Infection Rootkit besoin d'un maitre Jedi svp Fermé

Question

Configuration: Windows XP / Internet Explorer 7.0

Bonjour

Antivir me bombarde de messages d'alerte. Le Trojan Rootkit.gen s'attaque à mon system32. Je balance tout en quarantaine mais ce serait trop facile. Malwarebytes a décelé des fichiers corrompus dans HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
et
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer

J'ai fait un scan Hijackthis pour commencer. Si une âme chevaleresque se prenait l'envie d'aider un gueu ... Je poste ci dessous le cpte rendu Hijackthis. Merci

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:34:26, on 03/05/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\AskBarDis\bar\bin\AskService.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\TVersity\Media Server\MediaServer.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\Program Files\Windows Media Player\WMPNetwk.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\QuickTime\QTTask.exe
C:\WINDOWS\system32\WDBtnMgr.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\sm56hlpr.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Fichiers communs\Nokia\MPlatform\NokiaMServer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\Rainlendar2\Rainlendar2.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\ADS Tech\MediaTV\MediaTVMonitor.exe
C:\Program Files\My Book\WD Backup\uBBMonitor.exe
C:\Program Files\802.11 Wireless LAN\WlanMonitor.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Live\Toolbar\wltuser.exe
C:\DOCUME~1\LAURENT\LOCALS~1\Temp\Répertoire temporaire 1 pour HiJackThis.zip\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.dartybox.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - c:\program filesealealplayerpbrowserrecordplugin.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar5.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar5.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [WD Button Manager] WDBtnMgr.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NokiaMServer] C:\Program Files\Fichiers communs\Nokia\MPlatform\NokiaMServer /watchfiles startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Rainlendar2] C:\Program Files\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Moniteur & Configuration.lnk = ?
O4 - Startup: wwwzuc32.exe
O4 - Global Startup: MediaTV Monitor.lnk = C:\Program Files\ADS Tech\MediaTV\MediaTVMonitor.exe
O4 - Global Startup: WD Backup Monitor.lnk = C:\Program Files\My Book\WD Backup\uBBMonitor.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: (no name) - {49783ED4-258D-4f9f-BE11-137C18D3E543} - (no file)
O9 - Extra button: Europa Casino - {4C826F10-D34B-4ba8-B609-1FB8C6482A05} - C:\Casino\Europa Casino\casino.exe (file missing)
O9 - Extra 'Tools' menuitem: Europa Casino - {4C826F10-D34B-4ba8-B609-1FB8C6482A05} - C:\Casino\Europa Casino\casino.exe (file missing)
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Club Dice Casino - {907A768D-DD74-476d-8487-FD27DF7AD7FF} - C:\Casino\Club Dice Casino\casino.exe (file missing)
O9 - Extra 'Tools' menuitem: Club Dice Casino - {907A768D-DD74-476d-8487-FD27DF7AD7FF} - C:\Casino\Club Dice Casino\casino.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {326A7290-FAE3-48C5-9FBA-F071633E1EB5} (VPlayer Control) - http://www.flashbeer.com.au/player/vivid_ocx.jpeg
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://srv07.admin.over-blog.com/fdata/iu/ImageUploader5.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - http://upload.facebook.com/controls/FacebookPhotoUploader.cab
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - 
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://fdata.over-blog.com/99/00/00/01/js/javauploader/ImageUploader4.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx1.hotmail.com/mail/w4/pr01/photouploadcontrol/MSNPUpld.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ASKService - Unknown owner - C:\Program Files\AskBarDis\bar\bin\AskService.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: ServiceLayer - Nokia - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TVersityMediaServer - Unknown owner - C:\Program Files\TVersity\Media Server\MediaServer.exe

dédétraqué · Answer

Salut malorossi


Télécharge combofix.exe (de sUBs) sur le bureau :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Important Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
https://forum.pcastuces.com/default.asp
https://www.bleepingcomputer.com/forums/t/114351/how-to-temporarily-disable-your-anti-virus-firewall-and-anti-malware-programs/

==> Sauvegarde ton travail et ferme toutes les fenêtres actives, il peut y avoir un redémarrage du PC. Ne lance aucun programme tant que Combofix n'est pas fini. <==

Double clique sur combofix.exe, clique sur OUI et valide par Entrée 

Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Combofix est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure


@++   :)

malorossi · Answer

ok je m'y colle. I ll be back

dédétraqué · Answer

Salut malorossi


OK, mais ne touche au PC durant le scan.

Poste a la suite du sujet, utilise le bouton en bas >>J'ai une réponse


@++   :)

malorossi · Answer

J'essaye en vai nde poster le rapport mais ca bloque? Je vais essayer de le poster  en 2 parties. Part 1

ComboFix 10-05-02.03 - LAURENT 03/05/2010  15:25:00.5.1 - x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.1023.540 [GMT 2:00]
Lancé depuis: c:\documents and settings\LAURENT\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\LAURENT\Application Data\avdrn.dat
c:\program files\WindowsUpdate
c:ecycler\S-1-5-21-4189239213-92354496-2938251625-1003
c:\windows\system32\404Fix.exe
c:\windows\system32\dumphive.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32	mp.reg
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NDISRD
-------\Legacy_SYSREST.SYS
-------\Legacy_tdssserv
-------\Service_tdssserv


(((((((((((((((((((((((((((((   Fichiers créés du 2010-04-03 au 2010-05-03  ))))))))))))))))))))))))))))))))))))
.

2010-05-03 08:49 . 2008-04-13 17:41	8576	-c--a-w-	c:\windows\system32\dllcache\i2omgmt.sys
2010-05-03 08:49 . 2008-04-13 17:41	8576	----a-w-	c:\windows\system32\drivers\i2omgmt.sys
2010-05-03 08:48 . 2008-04-13 17:40	8192	-c--a-w-	c:\windows\system32\dllcache\changer.sys
2010-05-03 08:48 . 2008-04-13 17:40	8192	----a-w-	c:\windows\system32\drivers\changer.sys
2010-04-25 16:59 . 2010-04-25 17:00	--------	d-----w-	c:\program files\AltBinz
2010-04-07 17:39 . 2010-04-07 17:39	32	--shatr-	c:\documents and settings\LAURENT\Local Settings\Application Data	56.dat
2010-04-07 17:39 . 2010-04-07 17:39	--------	dc----w-	c:\documents and settings\All Users\Application Data\Axure
2010-04-07 17:39 . 2010-04-07 17:39	--------	d-----w-	c:\documents and settings\LAURENT\Application Data\Axure
2010-04-07 17:39 . 2010-04-07 17:39	--------	dc-h--w-	c:\documents and settings\All Users\Application Data\{54DE34B1-F379-4CA2-8CE4-E2F22D17CD4E}
2010-04-07 17:38 . 2010-04-07 17:38	--------	d-----w-	c:\program files\Axure
2010-04-05 18:25 . 2010-04-05 18:25	--------	d-----w-	c:\windows\Globalization
2010-04-05 18:19 . 2010-04-05 18:19	--------	d-----w-	c:\program files\Fichiers communs\muvee Technologies
2010-04-05 18:09 . 2010-04-05 18:19	--------	d-----w-	c:\program files\Fichiers communs\Nokia
2010-04-05 18:04 . 2008-08-26 07:26	18816	----a-w-	c:\windows\system32\drivers\pccsmcfd.sys
2010-04-05 18:03 . 2010-04-05 18:04	--------	d-----w-	c:\program files\PC Connectivity Solution
2010-04-05 17:58 . 2010-04-05 17:58	--------	dc----w-	c:\documents and settings\All Users\Application Data\OviInstallerCache

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-03 09:18 . 2008-08-26 13:16	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-05-03 08:47 . 2010-05-03 08:46	16	----a-w-	c:\documents and settings\LocalService\Application Data\qvjsge.dat
2010-04-30 08:03 . 2010-04-30 08:03	443912	----a-w-	c:\documents and settings\LAURENT\Application Data\Real\Update\setup3.10\setup.exe
2010-04-30 08:02 . 2009-11-11 09:12	181096	----a-w-	c:\documents and settings\LAURENT\Application Data\Mozilla\Firefox\Profiles\hkjrfh5f.default\FlashGot.exe
2010-04-29 13:39 . 2008-08-26 13:16	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 13:39 . 2008-08-26 13:16	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-04-25 15:58 . 2010-01-03 18:00	--------	d-----w-	c:\program files\Fichiers communs\AOL
2010-04-25 15:56 . 2007-08-27 14:09	--------	d-----w-	c:\program files\Ref Hotkey
2010-04-20 14:58 . 2005-11-18 11:04	86274	----a-w-	c:\windows\system32\perfc00C.dat
2010-04-20 14:58 . 2005-11-18 11:04	514630	----a-w-	c:\windows\system32\perfh00C.dat
2010-04-20 14:58 . 2008-12-26 17:48	--------	d-----w-	c:\documents and settings\All Users\Application Data\Microsoft Help
2010-04-07 09:35 . 2006-02-25 18:34	78736	----a-w-	c:\documents and settings\LAURENT\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-04-05 18:38 . 2007-08-28 13:55	--------	d-----w-	c:\documents and settings\LAURENT\Application Data\Nokia
2010-04-05 18:26 . 2010-04-05 17:59	12212040	-c--a-w-	c:\documents and settings\All Users\Application Data\OviInstallerCache\{DEE1E2E5-B553-4F88-9DE7-23CBEA5D739C}\Installer\CommonCustomActions\WMFDist11-WindowsXP-X86-ENU.exe
2010-04-05 18:26 . 2010-04-05 17:59	13930312	-c--a-w-	c:\documents and settings\All Users\Application Data\OviInstallerCache\{DEE1E2E5-B553-4F88-9DE7-23CBEA5D739C}\Installer\CommonCustomActions\WMFDist11-WindowsXP-X64-ENU.exe
2010-04-05 18:26 . 2010-04-05 17:59	77824	-c--a-w-	c:\documents and settings\All Users\Application Data\OviInstallerCache\{DEE1E2E5-B553-4F88-9DE7-23CBEA5D739C}\Installer\CommonCustomActions\Run_XML6_SP1.exe
2010-04-05 18:26 . 2010-04-05 17:59	61440	-c--a-w-	c:\documents and settings\All Users\Application Data\OviInstallerCache\{DEE1E2E5-B553-4F88-9DE7-23CBEA5D739C}\Installer\CommonCustomActions\WMF11Runx86.exe
2010-04-05 18:26 . 2010-04-05 17:59	58880	-c--a-w-	c:\documents and settings\All Users\Application Data\OviInstallerCache\{DEE1E2E5-B553-4F88-9DE7-23CBEA5D739C}\Installer\CommonCustomActions\WMF11Runx64.exe
2010-04-05 18:26 . 2010-04-05 17:59	50000	-c--a-w-	c:\documents and settings\All Users\Application Data\OviInstallerCache\{DEE1E2E5-B553-4F88-9DE7-23CBEA5D739C}\Installer\CommonCustomActions\pcswpc.exe
2010-04-05 18:19 . 2007-08-28 13:53	--------	d-----w-	c:\program files\Nokia
2010-04-05 18:04 . 2007-08-28 13:53	--------	d-----w-	c:\program files\DIFX
2010-04-05 17:56 . 2010-04-05 17:58	98366952	-c--a-w-	c:\documents and settings\All Users\Application Data\OviInstallerCache\{DEE1E2E5-B553-4F88-9DE7-23CBEA5D739C}\Nokia_Ovi_Suite_11_update.exe
2010-03-23 18:33 . 2010-03-23 11:57	--------	dc----w-	c:\documents and settings\All Users\Application Data\InternetFax
2010-03-23 11:59 . 2010-03-23 11:57	--------	dc----w-	c:\documents and settings\All Users\Application Data	pfmon
2010-03-23 11:57 . 2010-03-23 11:57	--------	d-----w-	c:\program files\Alliance MCA
2010-03-12 18:47 . 2009-02-15 09:57	--------	d-----w-	c:\documents and settings\LAURENT\Application Data\dvdcss
2010-03-10 06:16 . 2005-11-18 11:04	420352	----a-w-	c:\windows\system32\vbscript.dll
2010-02-25 06:17 . 2005-11-18 11:04	916480	----a-w-	c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2005-11-18 11:03	455680	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2010-02-17 12:07 . 2005-11-18 11:03	2192000	----a-w-	c:\windows\system32
toskrnl.exe
2010-02-16 19:07 . 2004-08-04 00:48	2068864	----a-w-	c:\windows\system32
tkrnlpa.exe
2010-02-16 17:00 . 2009-11-27 16:24	152576	----a-w-	c:\documents and settings\LAURENT\Application Data\Sun\Java\jre1.6.0_17\lzma.dll
2010-02-16 17:00 . 2009-11-22 17:25	79488	----a-w-	c:\documents and settings\LAURENT\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll
2010-02-12 10:03 . 2010-03-12 07:57	293376	------w-	c:\windows\system32\browserchoice.exe
2010-02-12 04:34 . 2005-11-18 11:03	100864	----a-w-	c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2005-11-18 11:04	226880	----a-w-	c:\windows\system32\drivers	cpip6.sys
2010-02-05 13:59 . 2007-09-03 17:10	1100	----a-w-	c:\windows\system32\d3d8caps.dat
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
2008-10-02 15:44	325000	----a-w-	c:\program files\AskBarDis\bar\bin\askBar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\program files\AskBarDis\bar\bin\askBar.dll" [2008-10-02 325000]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "c:\program files\AskBarDis\bar\bin\askBar.dll" [2008-10-02 325000]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Rainlendar2"="c:\program files\Rainlendar2\Rainlendar2.exe" [2006-10-28 981504]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-06 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NokiaMServer"="c:\program files\Fichiers communs\Nokia\MPlatform\NokiaMServer" [X]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-03-10 5566464]
"AlcWzrd"="ALCWZRD.EXE" [2005-03-10 2803712]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2007-06-29 286720]
"WD Button Manager"="WDBtnMgr.exe" [2007-06-07 364544]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2005-03-18 98393]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2005-03-18 688217]
"SMSERIAL"="sm56hlpr.exe" [2005-08-01 544768]
"Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe" [2005-01-07 61952]
"nwiz"="nwiz.exe" [2005-03-10 1495040]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OBealsched.exe" [2009-10-16 198160]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\LAURENT\Menu D'marrer\Programmes\D'marrage\
Moniteur & Configuration.lnk - c:\program files\802.11 Wireless LAN\WlanMonitor.exe [2003-10-1 450560]
wwwzuc32.exe [2008-4-14 34304]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
MediaTV Monitor.lnk - c:\program files\ADS Tech\MediaTV\MediaTVMonitor.exe [2006-5-26 135168]
WD Backup Monitor.lnk - c:\program files\My Book\WD Backup\uBBMonitor.exe [2007-6-7 98304]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\Documents and Settings\LAURENT\Application Data\SopCast\adv\SopAdver.exe"=
"c:\Program Files\SopCast\SopCast.exe"=
"c:\Program Files\SopCast\adv\SopAdver.exe"=
"c:\Program Files\TVAnts\Tvants.exe"=
"c:\WINDOWS\network diagnostic\xpnetdiag.exe"=
"c:\Program Files\GlobalSCAPE\CuteFTP\Cutftp32.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"=
"c:\Program Files\Skype\Phone\Skype.exe"=
"c:\Program Files\NiouzeFire\NiouzeFire.exe"=
"c:\Program Files\NewsBinGN\NewsbinGN.exe"=

malorossi · Answer

Rapport combofix partie 2 R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [27/05/2006 19:36 717296] R0 Vax347b;Vax347b;c:\windows\system32\drivers\Vax347b.sys [08/03/2006 18:54 159616] R0 Vax347s;Vax347s;c:\windows\system32\drivers\Vax347s.sys [08/03/2006 18:54 5248] R1 oreans32;oreans32;c:\windows\system32\drivers\oreans32.sys [03/04/2007 09:56 33824] S3 P0630VID;Creative WebCam Live!;c:\windows\system32\drivers\p0630vid.sys [24/08/2007 11:15 91830] S3 PTV339;Mini DualTV USB;c:\windows\system32\drivers\ptv339.sys [26/05/2006 22:42 278144] . Contenu du dossier 'Tâches planifiées' 2010-05-03 c:\windows\Tasks\User_Feed_Synchronization-{09120D53-70C5-4805-AF4D-53E5B30B471B}.job - c:\windows\system32\msfeedssync.exe [2006-10-17 03:31] 2010-05-02 c:\windows\Tasks\User_Feed_Synchronization-{D548D294-46D9-4191-8837-254135D6D296}.job - c:\windows\system32\msfeedssync.exe [2006-10-17 03:31] . . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.google.fr/ uDefault_Search_URL = hxxp://www.google.com/ie uInternet Connection Wizard,ShellNext = hxxp://www.dartybox.com/ uSearchAssistant = hxxp://www.google.com/ie uSearchURL,(Default) = hxxp://www.google.com/search?q=%s IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200 IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000 IE: {{4C826F10-D34B-4ba8-B609-1FB8C6482A05} - c:\casino\Europa Casino\casino.exe IE: {{907A768D-DD74-476d-8487-FD27DF7AD7FF} - c:\casino\Club Dice Casino\casino.exe DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab FF - ProfilePath - c:\documents and settings\LAURENT\Application Data\Mozilla\Firefox\Profiles\hkjrfh5f.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr FF - component: c:\program files\Nokia\Nokia Ovi Suite\Connectors\Bookmarks Connector\FirefoxExtension\components\FirefoxExtension.dll FF - component: c:\program files eal ealplayer\browserrecord\firefox\ext\components prpffbrowserrecordext.dll FF - plugin: c:\documents and settings\LAURENT\Local Settings\Application Data\Unity\WebPlayer\loader pUnity3D32.dll FF - plugin: c:\program files\Google\Picasa3 pPicasa3.dll FF - plugin: c:\program files\Microsoft\Office Live pOLW.dll FF - plugin: c:\program files\Mozilla Firefox\plugins pdnupdater2.dll FF - plugin: c:\program files\Mozilla Firefox\plugins pExentCtl.dll FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- PARAMETRES FIREFOX ---- FF - user.js: network.protocol-handler.warn-external.dnupdate - falsec:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32); c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false); c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false); c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5); c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false); c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true); c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", ""); c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false); c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false); c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600); c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com"); c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20); . - - - - ORPHELINS SUPPRIMES - - - - HKLM-Run-PinnacleDriverCheck - c:\windows\system32\PSDrvCheck.exe AddRemove-HijackThis - c:\docume~1\LAURENT\LOCALS~1\Temp\Répertoire temporaire 1 pour HiJackThis.zip\HijackThis.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-05-03 16:36 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x86FD91F8]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\Disk -> CLASSPNP.SYS @ 0xf76eff28 \Driver\ACPI -> ACPI.sys @ 0xf7412cb8 \Driver\atapi -> 0x86c65f00 \Driver\iaStor -> 0x86f6b1f8 IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579014 \Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579014 NDIS: Intel(R) PRO/Wireless 2200BG Network Connection -> SendCompleteHandler -> NDIS.sys @ 0xf724ebb0 PacketIndicateHandler -> NDIS.sys @ 0xf723da0d SendHandler -> NDIS.sys @ 0xf7251b40 Warning: possible MBR rootkit infection ! user & kernel MBR OK ************************************************************************** . --------------------- CLES DE REGISTRE BLOQUEES --------------------- [HKEY_USERS\S-1-5-21-4051219880-139728346-3592256728-1007\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*] "??"=hex:9c,41,79,f2,bf,12,7e,80,f3,a0,34,45,dd,93,92,35,9b,8c,06,5b,98,40,e9, 6e,3c,01,80,1b,b7,84,8b,d4,a1,21,39,ee,ac,4b,f6,71,88,2f,ca,26,dc,1c,6e,01,\ "??"=hex:be,f6,18,84,3c,cd,dc,99,14,3d,e7,a8,98,db,c9,0e . --------------------- DLLs chargées dans les processus actifs --------------------- - - - - - - - > 'explorer.exe'(1800) c:\windows\system32\webcheck.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll c:\windows\system32\eappprxy.dll . ------------------------ Autres processus actifs ------------------------ . c:\program files\Lavasoft\Ad-Aware\aawservice.exe c:\windows\system32\brss01a.exe c:\program files\Avira\AntiVir Desktop\sched.exe c:\program files\a-squared Free\a2service.exe c:\program files\Avira\AntiVir Desktop\avguard.exe c:\program files\AskBarDis\bar\bin\AskService.exe c:\program files\ewido anti-spyware 4.0\guard.exe c:\program files\Java\jre6\bin\jqs.exe c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE c:\program files\CDBurnerXP\NMSAccessU.exe c:\windows\system32 vsvc32.exe c:\windows\system32\PnkBstrA.exe c:\windows\system32\PnkBstrB.exe c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe c:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe c:\program files\TVersity\Media Server\MediaServer.exe c:\program files\Canon\CAL\CALMAIN.exe c:\program files\Windows Media Player\WMPNetwk.exe c:\windows\system32\WDBtnMgr.exe c:\windows\sm56hlpr.exe c:\program files\Fichiers communs\Nokia\MPlatform\NokiaMServer.exe c:\program files\Microsoft ActiveSync\WCESCOMM.EXE . ************************************************************************** . Heure de fin: 2010-05-03 16:52:10 - La machine a redémarré ComboFix-quarantined-files.txt 2010-05-03 14:51 Avant-CF: 14 874 357 760 octets libres Après-CF: 15 324 831 744 octets libres WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect - - End Of File - - 73AD093BADD9C288B16AEF939C66F52D

dédétraqué · Answer

Salut malorossi


Télécharge Gmer et enregistre-le sur ton bureau.
http://www2.gmer.net/download.php

- Déconnecte toi d'internet si possible et ferme tous les programmes, puis lance l'outil.
- Clique sur le bouton "Scan" sur la droite.

- Lorsque le scan est terminé, clic sur "Copy".
- Ouvre le bloc-note et clic sur le Menu Edition / Coller
- Le rapport doit alors apparaître.

- Enregistre le fichier sur ton bureau et copie/colle le contenu ici.


@++  :)

malorossi · Answer

impossible de lancer le .exe. Ca plante au bout de quelques secondes et affiche une fenetre d'erreur windows. je passe en mode sans échec?

dédétraqué · Answer

Salut malorossi 


Oui fais le en mode sans échec


@++   :)

malorossi · Answer

arf ! meme en mode sans echec, le .exe plante... :(

dédétraqué · Answer

Salut malorossi


Télécharge OTL (de OldTimer) et enregistre-le sur ton Bureau.
http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/

- Quitte les applications en cours afin de ne pas interrompre le scan.
- Faire un double clique sur OTL.exe présent sur le bureau pour lancer le programme
- Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche "Rapport minimal". Fais de même avec "Tous les utilisateurs".
- Coche également les cases à côté de "Recherche LOP" et "Recherche Purity".

Ne modifie pas les autres paramètres!

Copie la liste qui se trouve en gras ci-dessous, et colle-la dans la zone sous " Personnalisation "

netsvcs
%SYSTEMDRIVE%\*.* 
%SYSTEMDRIVE%\*.exe 
%PROGRAMFILES%\*.* 
%PROGRAMFILES%\*.
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
explorer.exe
svchost.exe
userinit.exe
qmgr.dll
ws2_32.dll
proquota.exe
imm32.dll
kernel32.dll
ndis.sys
autochk.exe
spoolsv.exe
xmlprov.dll
ntmssvc.dll
mswsock.dll
Beep.SYS
ntfs.sys
termsrv.dll
sfcfiles.dll
st3shark.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
c:\$recycle.bin\*.* /s


- Clique sur le bouton Analyse.
- Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTListIT2 (donc par défaut sur le Bureau).

Utilise cjoint.com pour poster en lien tes rapports :
https://www.cjoint.com/

- Clique sur Parcourir pour aller chercher le rapport
- Clique sur Ouvrir ensuite sur Créer le lien Cjoint

- Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.


@++   :)

malorossi · Answer

parfait, merci. Scan en cours

malorossi · Answer

le scan aura duré 4h ...
fichier extras ici : https://www.cjoint.com/?fdxQ6LaqHZ
fichier OTL là : https://www.cjoint.com/?fdxScQPykA

On avance ;) lentement mais sûrement ! Bonne nuit

dédétraqué · Answer

Salut malorossi


Télécharge load_tdsskiller de Loup Blanc sur ton Bureau :
http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe

Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.

- Lance load_tdsskiller en double-cliquant dessus : l'outil va se connecter au Net pour télécharger une copie à jour de TDSSKiller, puis va lancer le scan

- A la fin du scan, appuie sur une touche pour continuer, comme l'indique le message dans la fenêtre noire d'invite de commande
- Le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (le fichier est également présent ici : C:	dsskillereport.txt)
- Fais redémarrer ton PC


@++   :)

malorossi · Answer

Bjr dédétraqué

Voici le rapport du TDSKIller : https://www.cjoint.com/?fekf7MK0cD

Je redémarre la bête.

dédétraqué · Answer

Salut malorossi


Télécharge AD-Remover sur ton Bureau. (Merci à C_XX)
http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe

Miroir:
https://www.androidworld.fr/

/!\ Ferme toutes applications en cours /!\

/!\ Désactive provisoirement et seulement le temps de l'utilisation de AD-Remover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
 
- Double-clique sur l'icône Ad-remover située sur ton Bureau.
(Vista/7 - Faire un clique droit sur l'icône AD-Remover située sur ton Bureau et choisir exécuter en tant qu'administrateur.)
- Sur la page, clique sur le bouton « Scanner »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)


@++   :)

malorossi · Answer

ca fait 2 bonnes heures que le scan est bloqué à 30% avec mon CPU qui plafonne à 100%. je relance?

malorossi · Answer

précision : dans la fenêtre AD R, est affiché " Scan supplémentaire..."

malorossi · Answer

je viens de relancer le scan. Je te tiens au courant

dédétraqué · Answer

Salut malorossi


Arrête le

Double clic sur OTL.exe pour le lancer.

? Copie la liste qui se trouve en gras ci-dessous, et colle-la dans la zone sous " Personnalisation "

:services 
ASKService

:OTL
O2 - BHO: (AskBar BHO) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (Ask.com)     
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.     
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (Ask.com)     
O3 - HKU\S-1-5-21-4051219880-139728346-3592256728-1007\..\Toolbar\WebBrowser: (Ask Toolbar) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (Ask.com)     
O4 - Startup: C:\Documents and Settings\LAURENT\Menu Démarrer\Programmes\Démarrage\wwwzuc32.exe ()     
O9 - Extra Button: Europa Casino - {4C826F10-D34B-4ba8-B609-1FB8C6482A05} - C:\Casino\Europa Casino\casino.exe File not found     
O9 - Extra 'Tools' menuitem : Europa Casino - {4C826F10-D34B-4ba8-B609-1FB8C6482A05} - C:\Casino\Europa Casino\casino.exe File not found     
O9 - Extra Button: Club Dice Casino - {907A768D-DD74-476d-8487-FD27DF7AD7FF} - C:\Casino\Club Dice Casino\casino.exe File not found     
O9 - Extra 'Tools' menuitem : Club Dice Casino - {907A768D-DD74-476d-8487-FD27DF7AD7FF} - C:\Casino\Club Dice Casino\casino.exe File not found     
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455}  (ExentInf Class)     
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.) 
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Reg Error: Key error.) 
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Key error.) 
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Key error.) 
O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17) 
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17) 

:Files
C:\WINDOWS\System32
etwbix32.dll
C:\Documents and Settings\LAURENT\Application Data\EoRezo
C:\Program Files\AskBarDis
C:\Program Files\eoRezo
C:\Documents and Settings\LAURENT\Menu Démarrer\Programmes\Démarrage\wwwzuc32.exe

:Commands
[Emptytemp]
[Start explorer]


? Clique sur " Correction " pour lancer la suppression.

? Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur Oui.

? Au redémarrage , autorise OTL a s'exécuter.

? Poste le rapport généré par OTL.


@++   :)

malorossi · Answer

et voilà le travail =>

All processes killed
========== SERVICES/DRIVERS ==========
Service ASKService stopped successfully!
Service ASKService deleted successfully!
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{201f27d4-3704-41d6-89c1-aa35e39143ed}\ deleted successfully.
C:\Program Files\AskBarDis\bar\bin\askBar.dll moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\{3041d03e-fd4b-44e0-b742-2d9b88305f98} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3041d03e-fd4b-44e0-b742-2d9b88305f98}\ deleted successfully.
File C:\Program Files\AskBarDis\bar\bin\askBar.dll not found.
Registry value HKEY_USERS\S-1-5-21-4051219880-139728346-3592256728-1007\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{3041D03E-FD4B-44E0-B742-2D9B88305F98} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3041D03E-FD4B-44E0-B742-2D9B88305F98}\ not found.
File C:\Program Files\AskBarDis\bar\bin\askBar.dll not found.
File move failed. C:\Documents and Settings\LAURENT\Menu Démarrer\Programmes\Démarrage\wwwzuc32.exe scheduled to be moved on reboot.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{4C826F10-D34B-4ba8-B609-1FB8C6482A05}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4C826F10-D34B-4ba8-B609-1FB8C6482A05}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{4C826F10-D34B-4ba8-B609-1FB8C6482A05}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4C826F10-D34B-4ba8-B609-1FB8C6482A05}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{907A768D-DD74-476d-8487-FD27DF7AD7FF}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{907A768D-DD74-476d-8487-FD27DF7AD7FF}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{907A768D-DD74-476d-8487-FD27DF7AD7FF}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{907A768D-DD74-476d-8487-FD27DF7AD7FF}\ not found.
Starting removal of ActiveX control {6A060448-60F9-11D5-A6CD-0002B31F7455}
Registry error reading value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{6A060448-60F9-11D5-A6CD-0002B31F7455}\DownloadInformation\INF .
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{6A060448-60F9-11D5-A6CD-0002B31F7455}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6A060448-60F9-11D5-A6CD-0002B31F7455}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6A060448-60F9-11D5-A6CD-0002B31F7455}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6A060448-60F9-11D5-A6CD-0002B31F7455}\ not found.
Starting removal of ActiveX control {8FFBE65D-2C9C-4669-84BD-5829DC0B603C}
C:\WINDOWS\Downloaded Program Files\erma.inf moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
========== FILES ==========
C:\WINDOWS\System32
etwbix32.dll moved successfully.
C:\Documents and Settings\LAURENT\Application Data\EoRezo\db folder moved successfully.
C:\Documents and Settings\LAURENT\Application Data\EoRezo folder moved successfully.
C:\Program Files\AskBarDis\bar\Settings folder moved successfully.
C:\Program Files\AskBarDis\bar\History folder moved successfully.
C:\Program Files\AskBarDis\bar\Cache folder moved successfully.
C:\Program Files\AskBarDis\bar\bin folder moved successfully.
C:\Program Files\AskBarDis\bar folder moved successfully.
C:\Program Files\AskBarDis folder moved successfully.
C:\Program Files\eoRezo\EoAdv folder moved successfully.
C:\Program Files\eoRezo folder moved successfully.
File move failed. C:\Documents and Settings\LAURENT\Menu Démarrer\Programmes\Démarrage\wwwzuc32.exe scheduled to be moved on reboot.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: KARINE
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Flash cache emptied: 348 bytes
 
User: LAURENT
->Temp folder emptied: 349327 bytes
->Temporary Internet Files folder emptied: 6166066 bytes
->Java cache emptied: 12118713 bytes
->FireFox cache emptied: 86083722 bytes
->Flash cache emptied: 98994 bytes
 
User: LocalService
->Temp folder emptied: 65748 bytes
->Temporary Internet Files folder emptied: 721030 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 49286 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 3614208 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 17048 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 206274 bytes
RecycleBin emptied: 308485 bytes
 
Total Files Cleaned = 105,00 mb
 
 
OTL by OldTimer - Version 3.2.4.1 log created on 05042010_190950

Files\Folders moved on Reboot...
C:\Documents and Settings\LAURENT\Menu Démarrer\Programmes\Démarrage\wwwzuc32.exe moved successfully.
File\Folder C:\Documents and Settings\LAURENT\Local Settings\Temp\~DF7E97.tmp not found!
File\Folder C:\Documents and Settings\LAURENT\Local Settings\Temp\~DF7FE5.tmp not found!
File\Folder C:\Documents and Settings\LAURENT\Local Settings\Temp\~DF816B.tmp not found!
File\Folder C:\Documents and Settings\LAURENT\Local Settings\Temp\~DF81A1.tmp not found!
File\Folder C:\Documents and Settings\LAURENT\Local Settings\Temp\~DF845D.tmp not found!
File\Folder C:\Documents and Settings\LAURENT\Local Settings\Temp\~DF8494.tmp not found!
C:\Documents and Settings\LAURENT\Local Settings\Temporary Internet Files\Content.IE5\JIJ8JQ03\favicon[1].ico moved successfully.
C:\Documents and Settings\LAURENT\Local Settings\Temporary Internet Files\Content.IE5\JIJ8JQ03\favicon[2].ico moved successfully.
C:\Documents and Settings\LAURENT\Local Settings\Temporary Internet Files\Content.IE5\J37I688G\affich-17602466-infection-rootkit-besoin-d-un-maitre-jedi-svp[3].htm moved successfully.
C:\Documents and Settings\LAURENT\Local Settings\Temporary Internet Files\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2.dat moved successfully.

Registry entries deleted on Reboot...

dédétraqué · Answer

Salut malorossi 


OK cela est bon, on continu :

Télécharge MBR par (GMER) sur ton Bureau :

http://www2.gmer.net/mbr/mbr.exe

- Désactive tous les programmes de protection (antivirus, antispyware etc.)
https://forum.pcastuces.com/default.asp

- Double-clique sur mbr.exe > une fenêtre noire va s'ouvrir et se refermer.
- Poste le rapport mbr.log qui apparaît.


@++    :)

malorossi · Answer

je lance  l'exe. La fenetre noire apparait 2 secondes puis disparait? Et ensuite plus rien. Aucun rapport. Quand je vais dans le gestionnaires des taches windows il n'y a aucune trace de mbr.exe. Ca fait 15 minutes maintenant et rien ne se passe...

dédétraqué · Answer

Salut malorossi 


Regarde bien sur le bureau, tu devrais avoir le mbr.log


@++   :)

malorossi · Answer

j'ai honte ! Il était devant mes yeux...

Le rapport : 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

dédétraqué · Answer

Salut malorossi 


OK c'est bon pour ce rapport., Combofix a tout bien réparer.

Je reviens au scan de Gmer que je t'avais demandé hier et je n'avais pas porté attention sur ta réponse. 
Peux-tu me donner le message d'erreur que Windows te donne?


@++   :)

malorossi · Answer

La fenetre affiche un msg classique d'erreur . gmr.exe a renco,ntré un probleme et doit fermer etc;

Quand jer clique pour avoir le détail des erreurs : voila ce que j'ai : 


AppName: wxmckpqy[1].exe	 AppVer: 1.0.15.15281	 ModName: wxmckpqy[1].exe
ModVer: 1.0.15.15281	 Offset: 0005c887

dédétraqué · Answer

Salut malorossi 


Télécharge SystemLook sur ton Bureau :
http://jpshortstuff.247fixes.com/SystemLook.exe

- Double-clique sur SystemLook.exe pour le lancer.

- Copie le contenu en gras ci-dessous et colle-le dans la zone texte de SystemLook :

 :filefind
wxmckpqy[1].exe
wxmckpqy.exe
*wxmckpqy*
:regfind 
wxmckpqy

- Clique sur le bouton Look pour démarrer l'examen.
- A la fin, le Bloc-notes s'ouvre avec le résultat de l'analyse. Copie-colle le rapport dans ta prochaine réponse.


@++   :)

malorossi · Answer

SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 20:09 on 05/05/2010 by LAURENT (Administrator - Elevation successful)

========== filefind ==========

Searching for "wxmckpqy[1].exe "
C:\Documents and Settings\LAURENT\Local Settings\Temporary Internet Files\Content.IE5\944OH8CI\wxmckpqy[1].exe	--a--- 293376 bytes	[16:09 05/05/2010]	[16:09 05/05/2010] F80F6E09E7F4BAFE478CA0DA6137E1E2

Searching for "wxmckpqy.exe "
No files found.

Searching for "*wxmckpqy* "
C:\Documents and Settings\LAURENT\Local Settings\Temporary Internet Files\Content.IE5\944OH8CI\wxmckpqy[1].exe	--a--- 293376 bytes	[16:09 05/05/2010]	[16:09 05/05/2010] F80F6E09E7F4BAFE478CA0DA6137E1E2
C:\WINDOWS\Prefetch\WXMCKPQY[1].EXE-2024E040.pf	--a--- 15516 bytes	[16:09 05/05/2010]	[16:09 05/05/2010] F3C0331F785737DEAECC7B8E56F66CBE

========== regfind ==========

Searching for "wxmckpqy "
No data found.

-=End Of File=-

dédétraqué · Answer

Salut malorossi


Double clic sur OTL.exe pour le lancer.

? Copie la liste qui se trouve en gras ci-dessous, et colle-la dans la zone sous " Personnalisation "


 :files 
C:\Documents and Settings\LAURENT\Local Settings\Temporary Internet Files\Content.IE5\944OH8CI\wxmckpqy[1].exe
C:\WINDOWS\Prefetch\WXMCKPQY[1].EXE-2024E040.pf

:commands 
[emptytemp] 


? Clique sur " Correction " pour lancer la suppression.

? Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur Oui.

? Au redémarrage , autorise OTL a s'exécuter.

? Poste le rapport généré par OTL.

Essai de nouveau avec Gmer voir si cela fonctionne


@++   :)

malorossi · Answer

voila pour OTL

All processes killed
========== FILES ==========
File\Folder C:\Documents and Settings\LAURENT\Local Settings\Temporary Internet Files\Content.IE5\944OH8CI\wxmckpqy[1].exe not found.
C:\WINDOWS\Prefetch\WXMCKPQY[1].EXE-2024E040.pf moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: KARINE
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: LAURENT
->Temp folder emptied: 141395 bytes
->Temporary Internet Files folder emptied: 52363247 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 11397067 bytes
->Flash cache emptied: 1856 bytes
 
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 664 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 32071 bytes
 
Total Files Cleaned = 61,00 mb
 
 
OTL by OldTimer - Version 3.2.4.1 log created on 05062010_151426

Files\Folders moved on Reboot...
File\Folder C:\Documents and Settings\LAURENT\Local Settings\Temp\~DF3AF0.tmp not found!
File\Folder C:\Documents and Settings\LAURENT\Local Settings\Temp\~DF3C15.tmp not found!
File\Folder C:\Documents and Settings\LAURENT\Local Settings\Temp\~DF3C79.tmp not found!
File\Folder C:\Documents and Settings\LAURENT\Local Settings\Temp\~DF3DB9.tmp not found!
File\Folder C:\Documents and Settings\LAURENT\Local Settings\Temp\~DF4060.tmp not found!
File\Folder C:\Documents and Settings\LAURENT\Local Settings\Temp\~DF437A.tmp not found!
C:\Documents and Settings\LAURENT\Local Settings\Temporary Internet Files\Content.IE5\XQ7EI88K\favicon[2].ico moved successfully.
C:\Documents and Settings\LAURENT\Local Settings\Temporary Internet Files\Content.IE5\944OH8CI\affich-17602466-infection-rootkit-besoin-d-un-maitre-jedi-svp[1].htm moved successfully.
C:\Documents and Settings\LAURENT\Local Settings\Temporary Internet Files\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2.dat moved successfully.
C:\WINDOWS	emp\T30DebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...

je relance gmer

malorossi · Answer

et hop gmer : 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

dédétraqué · Answer

Salut malorossi 


Cela est le rapport de MBR et non Gmer, on va utilisé un utilitaire qui désactive certain logiciel qui peut nuire au bon fonctionnement de Gmer :

* Télécharge Defogger (de jpshortstuff) sur ton Bureau :
http://www.jpshortstuff.247fixes.com/Defogger.exe

* Lance le
* Une fenêtre apparait : clique sur "Disable"
* Fais redémarrer l'ordinateur si l'outil te le demande
* Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

Essai de nouveau avec Gmer


@++   :)

malorossi · Answer

bjr dédétraqué

le scan fut interminable mais a quand meme fonctionné. Voici le rapport :

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-05-07 00:03:41
Windows 5.1.2600 Service Pack 3
Running: 3hk4uwh2.exe; Driver: C:\DOCUME~1\LAURENT\LOCALS~1\Temp\uxtdapow.sys


---- System - GMER 1.0.15 ----

SSDT            EC380C1E                                                                                                             ZwCreateKey
SSDT            EC380C14                                                                                                             ZwCreateThread
SSDT            EC380C23                                                                                                             ZwDeleteKey
SSDT            EC380C2D                                                                                                             ZwDeleteValueKey
SSDT            EC380C32                                                                                                             ZwLoadKey
SSDT            EC380C00                                                                                                             ZwOpenProcess
SSDT            EC380C05                                                                                                             ZwOpenThread
SSDT            EC380C3C                                                                                                             ZwReplaceKey
SSDT            EC380C37                                                                                                             ZwRestoreKey
SSDT            EC380C28                                                                                                             ZwSetValueKey
SSDT            EC380C0F                                                                                                             ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\system32\drivers\oreans32.sys                                                                             section is writeable [0xF3131280, 0x7B04, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text           C:\Program Files\internet explorer\iexplore.exe[1464] USER32.dll!DialogBoxParamW                                     7E3A47AB 5 Bytes  JMP 40D85505 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\internet explorer\iexplore.exe[1464] USER32.dll!CreateWindowExW                                     7E3AD0A3 5 Bytes  JMP 40E5DAC4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\internet explorer\iexplore.exe[1464] USER32.dll!DialogBoxIndirectParamW                             7E3B2072 5 Bytes  JMP 40F5473F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\internet explorer\iexplore.exe[1464] USER32.dll!MessageBoxIndirectA                                 7E3BA082 5 Bytes  JMP 40F54671 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\internet explorer\iexplore.exe[1464] USER32.dll!DialogBoxParamA                                     7E3BB144 5 Bytes  JMP 40F546DC C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\internet explorer\iexplore.exe[1464] USER32.dll!MessageBoxExW                                       7E3D0838 5 Bytes  JMP 40F54542 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\internet explorer\iexplore.exe[1464] USER32.dll!MessageBoxExA                                       7E3D085C 5 Bytes  JMP 40F545A4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\internet explorer\iexplore.exe[1464] USER32.dll!DialogBoxIndirectParamA                             7E3D6D7D 5 Bytes  JMP 40F547A2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\internet explorer\iexplore.exe[1464] USER32.dll!MessageBoxIndirectW                                 7E3E64D5 5 Bytes  JMP 40F54606 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\internet explorer\iexplore.exe[2064] USER32.dll!DialogBoxParamW                                     7E3A47AB 5 Bytes  JMP 40D85505 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\internet explorer\iexplore.exe[2064] USER32.dll!SetWindowsHookExW                                   7E3A820F 5 Bytes  JMP 40E59A75 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\internet explorer\iexplore.exe[2064] USER32.dll!CallNextHookEx                                      7E3AB3C6 5 Bytes  JMP 40E4D101 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\internet explorer\iexplore.exe[2064] USER32.dll!CreateWindowExW                                     7E3AD0A3 5 Bytes  JMP 40E5DAC4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\internet explorer\iexplore.exe[2064] USER32.dll!UnhookWindowsHookEx                                 7E3AD5F3 5 Bytes  JMP 40DC466E C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\internet explorer\iexplore.exe[2064] USER32.dll!DialogBoxIndirectParamW                             7E3B2072 5 Bytes  JMP 40F5473F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\internet explorer\iexplore.exe[2064] USER32.dll!MessageBoxIndirectA                                 7E3BA082 5 Bytes  JMP 40F54671 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\internet explorer\iexplore.exe[2064] USER32.dll!DialogBoxParamA                                     7E3BB144 5 Bytes  JMP 40F546DC C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\internet explorer\iexplore.exe[2064] USER32.dll!MessageBoxExW                                       7E3D0838 5 Bytes  JMP 40F54542 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\internet explorer\iexplore.exe[2064] USER32.dll!MessageBoxExA                                       7E3D085C 5 Bytes  JMP 40F545A4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\internet explorer\iexplore.exe[2064] USER32.dll!DialogBoxIndirectParamA                             7E3D6D7D 5 Bytes  JMP 40F547A2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\internet explorer\iexplore.exe[2064] USER32.dll!MessageBoxIndirectW                                 7E3E64D5 5 Bytes  JMP 40F54606 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\internet explorer\iexplore.exe[2064] ole32.dll!CoCreateInstance                                     774C057E 5 Bytes  JMP 40E5DB20 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\internet explorer\iexplore.exe[2064] ole32.dll!OleLoadFromStream                                    774E9C85 5 Bytes  JMP 40F54AA7 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\internet explorer\iexplore.exe[2064] ws2_32.dll!getaddrinfo                                         719F2A6F 5 Bytes  JMP 46CAE71D C:\Program Files\Microsoft\Search Enhancement Pack\SeaNote\SeaNote.dll (Microsoft Search Note/Microsoft Corporation)
.text           C:\Program Files\internet explorer\iexplore.exe[2064] ws2_32.dll!closesocket                                         719F3E2B 5 Bytes  JMP 46CAEEE9 C:\Program Files\Microsoft\Search Enhancement Pack\SeaNote\SeaNote.dll (Microsoft Search Note/Microsoft Corporation)
.text           C:\Program Files\internet explorer\iexplore.exe[2064] ws2_32.dll!socket                                              719F4211 5 Bytes  JMP 46CAE59E C:\Program Files\Microsoft\Search Enhancement Pack\SeaNote\SeaNote.dll (Microsoft Search Note/Microsoft Corporation)
.text           C:\Program Files\internet explorer\iexplore.exe[2064] ws2_32.dll!connect                                             719F4A07 5 Bytes  JMP 46CAE62A C:\Program Files\Microsoft\Search Enhancement Pack\SeaNote\SeaNote.dll (Microsoft Search Note/Microsoft Corporation)
.text           C:\Program Files\internet explorer\iexplore.exe[2064] ws2_32.dll!send                                                719F4C27 5 Bytes  JMP 46CAE9ED C:\Program Files\Microsoft\Search Enhancement Pack\SeaNote\SeaNote.dll (Microsoft Search Note/Microsoft Corporation)
.text           C:\Program Files\internet explorer\iexplore.exe[2064] ws2_32.dll!recv                                                719F676F 5 Bytes  JMP 46CAF1C3 C:\Program Files\Microsoft\Search Enhancement Pack\SeaNote\SeaNote.dll (Microsoft Search Note/Microsoft Corporation)
.text           C:\Program Files\internet explorer\iexplore.exe[2572] USER32.dll!DialogBoxParamW                                     7E3A47AB 5 Bytes  JMP 40D85505 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\internet explorer\iexplore.exe[2572] USER32.dll!SetWindowsHookExW                                   7E3A820F 5 Bytes  JMP 40E59A75 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\internet explorer\iexplore.exe[2572] USER32.dll!CallNextHookEx                                      7E3AB3C6 5 Bytes  JMP 40E4D101 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\internet explorer\iexplore.exe[2572] USER32.dll!CreateWindowExW                                     7E3AD0A3 5 Bytes  JMP 40E5DAC4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\internet explorer\iexplore.exe[2572] USER32.dll!UnhookWindowsHookEx                                 7E3AD5F3 5 Bytes  JMP 40DC466E C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\internet explorer\iexplore.exe[2572] USER32.dll!DialogBoxIndirectParamW                             7E3B2072 5 Bytes  JMP 40F5473F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\internet explorer\iexplore.exe[2572] USER32.dll!MessageBoxIndirectA                                 7E3BA082 5 Bytes  JMP 40F54671 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\internet explorer\iexplore.exe[2572] USER32.dll!DialogBoxParamA                                     7E3BB144 5 Bytes  JMP 40F546DC C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\internet explorer\iexplore.exe[2572] USER32.dll!MessageBoxExW                                       7E3D0838 5 Bytes  JMP 40F54542 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\internet explorer\iexplore.exe[2572] USER32.dll!MessageBoxExA                                       7E3D085C 5 Bytes  JMP 40F545A4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\internet explorer\iexplore.exe[2572] USER32.dll!DialogBoxIndirectParamA                             7E3D6D7D 5 Bytes  JMP 40F547A2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\internet explorer\iexplore.exe[2572] USER32.dll!MessageBoxIndirectW                                 7E3E64D5 5 Bytes  JMP 40F54606 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\internet explorer\iexplore.exe[2572] ole32.dll!CoCreateInstance                                     774C057E 5 Bytes  JMP 40E5DB20 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\internet explorer\iexplore.exe[2572] ole32.dll!OleLoadFromStream                                    774E9C85 5 Bytes  JMP 40F54AA7 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\internet explorer\iexplore.exe[2572] ws2_32.dll!getaddrinfo                                         719F2A6F 5 Bytes  JMP 46CAE71D C:\Program Files\Microsoft\Search Enhancement Pack\SeaNote\SeaNote.dll (Microsoft Search Note/Microsoft Corporation)
.text           C:\Program Files\internet explorer\iexplore.exe[2572] ws2_32.dll!closesocket                                         719F3E2B 5 Bytes  JMP 46CAEEE9 C:\Program Files\Microsoft\Search Enhancement Pack\SeaNote\SeaNote.dll (Microsoft Search Note/Microsoft Corporation)
.text           C:\Program Files\internet explorer\iexplore.exe[2572] ws2_32.dll!socket                                              719F4211 5 Bytes  JMP 46CAE59E C:\Program Files\Microsoft\Search Enhancement Pack\SeaNote\SeaNote.dll (Microsoft Search Note/Microsoft Corporation)
.text           C:\Program Files\internet explorer\iexplore.exe[2572] ws2_32.dll!connect                                             719F4A07 5 Bytes  JMP 46CAE62A C:\Program Files\Microsoft\Search Enhancement Pack\SeaNote\SeaNote.dll (Microsoft Search Note/Microsoft Corporation)
.text           C:\Program Files\internet explorer\iexplore.exe[2572] ws2_32.dll!send                                                719F4C27 5 Bytes  JMP 46CAE9ED C:\Program Files\Microsoft\Search Enhancement Pack\SeaNote\SeaNote.dll (Microsoft Search Note/Microsoft Corporation)
.text           C:\Program Files\internet explorer\iexplore.exe[2572] ws2_32.dll!recv                                                719F676F 5 Bytes  JMP 46CAF1C3 C:\Program Files\Microsoft\Search Enhancement Pack\SeaNote\SeaNote.dll (Microsoft Search Note/Microsoft Corporation)

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\Program Files\internet explorer\iexplore.exe[2064] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExW]  [009C1ACB] C:\Program Files\internet explorer\xpshims.dll (Internet Explorer Compatibility Shims for XP/Microsoft Corporation)
IAT             C:\Program Files\internet explorer\iexplore.exe[2572] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExW]  [009C1ACB] C:\Program Files\internet explorer\xpshims.dll (Internet Explorer Compatibility Shims for XP/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                              SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                                                              SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                            fssfltr_tdi.sys (Family Safety Filter Driver (TDI)/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                                     
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                  0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                               0x2F 0xF9 0x23 0xE4 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                  C:\Program Files\DAEMON Tools Lite\
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                            
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                         0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                      0x94 0xC4 0x39 0x6E ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40                      
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                0xA5 0xC9 0x07 0xD6 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)                 
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                      0
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                   0x2F 0xF9 0x23 0xE4 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                      C:\Program Files\DAEMON Tools Lite\
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)        
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                             0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                          0x94 0xC4 0x39 0x6E ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                    0xA5 0xC9 0x07 0xD6 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)                 
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                      0
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                   0x2F 0xF9 0x23 0xE4 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                      C:\Program Files\DAEMON Tools Lite\
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)        
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                             0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                          0x94 0xC4 0x39 0x6E ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                    0xD8 0x5F 0x23 0x93 ...
Reg             HKLM\SYSTEM\ControlSet003\Services	dssserv@start                                                                    1
Reg             HKLM\SYSTEM\ControlSet003\Services	dssserv@type                                                                     1
Reg             HKLM\SYSTEM\ControlSet003\Services	dssserv@imagepath                                                                \systemroot\system32\drivers	dssserv.sys
Reg             HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32                                    
Reg             HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ThreadingModel                     Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@                                   C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@cd042efbbd7f7af1647644e76e06692b   0xC8 0x28 0x51 0xAF ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32                                    
Reg             HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ThreadingModel                     Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@                                   C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@bca643cdc5c2726b20d2ecedcc62c59b   0x71 0x3B 0x04 0x66 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32                                    
Reg             HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ThreadingModel                     Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@                                   C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@2c81e34222e8052573023a60d06dd016   0x7A 0x45 0x05 0xFD ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32                                    
Reg             HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ThreadingModel                     Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@                                   C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@2582ae41fb52324423be06337561aa48   0x6B 0x65 0x49 0x6A ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32                                    
Reg             HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ThreadingModel                     Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@                                   C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@caaeda5fd7a9ed7697d9686d4b818472   0xF5 0x1D 0x4D 0x73 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32                                    
Reg             HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ThreadingModel                     Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@                                   C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@a4a1bcf2cc2b8bc3716b74b2b4522f5d   0xDF 0x20 0x58 0x62 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32                                    
Reg             HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ThreadingModel                     Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@                                   C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@4d370831d2c43cd13623e232fed27b7b   0xFB 0xA7 0x78 0xE6 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32                                    
Reg             HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ThreadingModel                     Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@                                   C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@1d68fe701cdea33e477eb204b76f993d   0x01 0x3A 0x48 0xFC ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32                                    
Reg             HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ThreadingModel                     Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@                                   C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@1fac81b91d8e3c5aa4b0a51804d844a3   0xF6 0x0F 0x4E 0x58 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32                                    
Reg             HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ThreadingModel                     Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@                                   C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@f5f62a6129303efb32fbe080bb27835b   0xB1 0xCD 0x45 0x5A ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32                                    
Reg             HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ThreadingModel                     Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@                                   C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@fd4e2e1a3940b94dceb5a6a021f2e3c6   0xE3 0x0E 0x66 0xD5 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32                                    
Reg             HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ThreadingModel                     Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@                                   C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@8a8aec57dd6508a385616fbc86791ec2   0x6C 0x43 0x2D 0x1E ...

---- EOF - GMER 1.0.15 ----

dédétraqué · Answer

Salut malorossi


- Quitte les applications en cours afin de ne pas interrompre le scan.
- Faire un double clique sur OTL.exe présent sur le bureau pour lancer le programme
- Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche "Rapport minimal". Fais de même avec "Tous les utilisateurs".
- Coche également les cases à côté de "Recherche LOP" et "Recherche Purity".

Ne modifie pas les autres paramètres!

- Clique sur le bouton Analyse.
- Une fois l'analyse terminée, une fenêtre va s'ouvrir dans le Bloc-notes : OTL.txt 

Utilise cjoint.com pour poster en lien le rapport :
https://www.cjoint.com/

- Clique sur Parcourir pour aller chercher le rapport
- Clique sur Ouvrir ensuite sur Créer le lien Cjoint

- Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.


@++   :)

malorossi · Answer

plus rapide cette fois :

https://www.cjoint.com/?fhrlYeIVyB

dédétraqué · Answer

Salut malorossi 


Bon là je me disait que l'on avais travailler pour rien, en effet le rapport que tu m'as posté date :
OTL logfile created on: 03/05/2010 19:06:36

Peux-tu m'en posté un tout frais faite.


@++   :)

malorossi · Answer

C'était un test pour vérifier que tu suivais...

Ca devrait etre mieux avec ca : https://www.cjoint.com/?fhsgrM0xKa
sorry

dédétraqué · Answer

Salut malorossi 


Merci de me tester  :-)))

Double clic sur OTL.exe pour le lancer.

? Copie la liste qui se trouve en gras ci-dessous, et colle-la dans la zone sous " Personnalisation "

:Files
C:\Documents and Settings\LocalService\Application Data\qvjsge.dat

:Commands
[Emptytemp]


? Clique sur " Correction " pour lancer la suppression.

? Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur Oui.

? Au redémarrage , autorise OTL a s'exécuter.

? Poste le rapport généré par OTL.


-----


On va vérifier si rien de caché:
Faire un scan avec Nod32 en ligne (il faut utiliser Internet Explorer) ici :

https://www.eset.com/int/home/online-scanner/

(coche toutes les cases à chaque fois, sauf les deux dernières a la fin du scan, sinon le rapport est supprimer) 
A la fin, colle le rapport : C:\Program Files\EsetOnlineScanner\log.txt


@++   :)

malorossi · Answer

Voila pour OTL, je lance le scan en ligne ;Rapport demain ou cette nuit ;)


All processes killed
========== FILES ==========
C:\Documents and Settings\LocalService\Application Data\qvjsge.dat moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: KARINE
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: LAURENT
->Temp folder emptied: 250817 bytes
->Temporary Internet Files folder emptied: 31774057 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 1366 bytes
 
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 412 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 664 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 856140 bytes
 
Total Files Cleaned = 31,00 mb
 
 
OTL by OldTimer - Version 3.2.4.1 log created on 05072010_190511

Files\Folders moved on Reboot...
File\Folder C:\Documents and Settings\LAURENT\Local Settings\Temp\~DF5C2F.tmp not found!
File\Folder C:\Documents and Settings\LAURENT\Local Settings\Temp\~DF5C4B.tmp not found!
File\Folder C:\Documents and Settings\LAURENT\Local Settings\Temp\~DF5C94.tmp not found!
File\Folder C:\Documents and Settings\LAURENT\Local Settings\Temp\~DF5D3C.tmp not found!
File\Folder C:\Documents and Settings\LAURENT\Local Settings\Temp\~DF5E8B.tmp not found!
File\Folder C:\Documents and Settings\LAURENT\Local Settings\Temp\~DF5F1A.tmp not found!
File\Folder C:\Documents and Settings\LAURENT\Local Settings\Temp\~DFF8E1.tmp not found!
File\Folder C:\Documents and Settings\LAURENT\Local Settings\Temp\~DFF901.tmp not found!
C:\Documents and Settings\LAURENT\Local Settings\Temporary Internet Files\Content.IE5\WES1YBDJ\favicon[2].ico moved successfully.
C:\Documents and Settings\LAURENT\Local Settings\Temporary Internet Files\Content.IE5\5931JCXR\affich-17602466-infection-rootkit-besoin-d-un-maitre-jedi-svp[2].htm moved successfully.
C:\Documents and Settings\LAURENT\Local Settings\Temporary Internet Files\Content.IE5\5931JCXR\error404[1].htm moved successfully.
C:\Documents and Settings\LAURENT\Local Settings\Temporary Internet Files\Content.IE5\5931JCXR\favicon[5].ico moved successfully.
C:\Documents and Settings\LAURENT\Local Settings\Temporary Internet Files\Content.IE5\5931JCXR\favicon[6].ico moved successfully.
C:\Documents and Settings\LAURENT\Local Settings\Temporary Internet Files\Content.IE5\1ANVD9NW\confirm[1].htm moved successfully.
C:\Documents and Settings\LAURENT\Local Settings\Temporary Internet Files\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2.dat moved successfully.

Registry entries deleted on Reboot...

dédétraqué · Answer

Salut malorossi 


Cela est bon, le fichier est bien supprimer.

OK pour le scan, ne touche a rien durant, va faire pisser le chien  :-D


@++   :)

malorossi · Answer

bonjour dédétraqué

le chien a eu le temps de vidanger pendant le scan. Malheureusement, il a planté. Pas le chien hein, je parle du scan. J'ai des problemes de connexion wifi qui remontent à avant le virus... Impossible de terminer le scan online. Il y a tjrs une coupure de réseau entre temps. 

C'est mer noire

dédétraqué · Answer

Salut malorossi


Mettre à jour Antivir, faire un scan complet en mode sans échec et poste le rapport a la fin en mode normal.

Voici une vidéo pour bien configurer Antivir :
https://www.youtube.com/watch?v=7tBiBl54EX8


@++   :)

malorossi · Answer

Je crois qu'il y a encore du boulot Avira AntiVir Personal Date de création du fichier de rapport : samedi 8 mai 2010 17:15 La recherche porte sur 2081209 souches de virus. Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus Numéro de série : 0000149996-ADJIE-0000001 Plateforme : Windows XP Version de Windows : (Service Pack 3) [5.1.2600] Mode Boot : Démarré normalement Identifiant : SYSTEM Nom de l'ordinateur : LOKA Informations de version : BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00 AVSCAN.EXE : 9.0.3.10 466689 Bytes 23/11/2009 17:19:34 AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02 LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11 LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 17:19:33 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 17:19:33 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 17:24:37 VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 16:34:49 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 16:37:18 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 14:26:58 VBASE006.VDF : 7.10.6.83 2048 Bytes 15/04/2010 14:26:58 VBASE007.VDF : 7.10.6.84 2048 Bytes 15/04/2010 14:26:58 VBASE008.VDF : 7.10.6.85 2048 Bytes 15/04/2010 14:26:59 VBASE009.VDF : 7.10.6.86 2048 Bytes 15/04/2010 14:26:59 VBASE010.VDF : 7.10.6.87 2048 Bytes 15/04/2010 14:26:59 VBASE011.VDF : 7.10.6.88 2048 Bytes 15/04/2010 14:26:59 VBASE012.VDF : 7.10.6.89 2048 Bytes 15/04/2010 14:27:00 VBASE013.VDF : 7.10.6.90 2048 Bytes 15/04/2010 14:27:00 VBASE014.VDF : 7.10.6.123 126464 Bytes 19/04/2010 14:27:01 VBASE015.VDF : 7.10.6.152 123392 Bytes 21/04/2010 15:03:02 VBASE016.VDF : 7.10.6.178 122880 Bytes 22/04/2010 15:03:08 VBASE017.VDF : 7.10.6.206 120320 Bytes 26/04/2010 21:33:02 VBASE018.VDF : 7.10.6.232 99328 Bytes 28/04/2010 07:58:21 VBASE019.VDF : 7.10.7.2 155648 Bytes 30/04/2010 14:07:43 VBASE020.VDF : 7.10.7.26 119808 Bytes 04/05/2010 14:06:53 VBASE021.VDF : 7.10.7.51 118272 Bytes 06/05/2010 14:06:45 VBASE022.VDF : 7.10.7.52 2048 Bytes 06/05/2010 14:06:45 VBASE023.VDF : 7.10.7.53 2048 Bytes 06/05/2010 14:06:45 VBASE024.VDF : 7.10.7.54 2048 Bytes 06/05/2010 14:06:45 VBASE025.VDF : 7.10.7.55 2048 Bytes 06/05/2010 14:06:45 VBASE026.VDF : 7.10.7.56 2048 Bytes 06/05/2010 14:06:45 VBASE027.VDF : 7.10.7.57 2048 Bytes 06/05/2010 14:06:46 VBASE028.VDF : 7.10.7.58 2048 Bytes 06/05/2010 14:06:46 VBASE029.VDF : 7.10.7.59 2048 Bytes 06/05/2010 14:06:46 VBASE030.VDF : 7.10.7.60 2048 Bytes 06/05/2010 14:06:46 VBASE031.VDF : 7.10.7.66 70656 Bytes 07/05/2010 14:06:49 Version du moteur : 8.2.1.236 AEVDF.DLL : 8.1.2.0 106868 Bytes 25/04/2010 15:03:17 AESCRIPT.DLL : 8.1.3.28 1298810 Bytes 06/05/2010 14:06:51 AESCN.DLL : 8.1.5.0 127347 Bytes 25/03/2010 22:24:33 AESBX.DLL : 8.1.3.1 254324 Bytes 25/04/2010 15:03:18 AERDL.DLL : 8.1.4.6 541043 Bytes 20/04/2010 14:27:12 AEPACK.DLL : 8.2.1.1 426358 Bytes 19/03/2010 17:57:17 AEOFFICE.DLL : 8.1.0.41 201083 Bytes 17/03/2010 18:44:38 AEHEUR.DLL : 8.1.1.27 2670967 Bytes 06/05/2010 14:06:50 AEHELP.DLL : 8.1.11.3 242039 Bytes 02/04/2010 09:48:22 AEGEN.DLL : 8.1.3.7 373106 Bytes 20/04/2010 14:27:08 AEEMU.DLL : 8.1.2.0 393588 Bytes 25/04/2010 15:03:15 AECORE.DLL : 8.1.15.1 192886 Bytes 06/05/2010 14:06:46 AEBB.DLL : 8.1.1.0 53618 Bytes 25/04/2010 15:03:15 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30 AVPREF.DLL : 9.0.3.0 44289 Bytes 14/10/2009 07:22:05 AVREP.DLL : 8.0.0.7 159784 Bytes 20/02/2010 11:02:25 AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42 AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57 NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 14/10/2009 07:22:04 RCTEXT.DLL : 9.0.73.0 88321 Bytes 23/11/2009 17:19:31 Configuration pour la recherche actuelle : Nom de la tâche...............................: Contrôle intégral du système Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp Documentation.................................: bas Action principale.............................: interactif Action secondaire.............................: ignorer Recherche sur les secteurs d'amorçage maître..: marche Recherche sur les secteurs d'amorçage.........: marche Secteurs d'amorçage...........................: C:, D:, Recherche dans les programmes actifs..........: marche Recherche en cours sur l'enregistrement.......: marche Recherche de Rootkits.........................: marche Contrôle d'intégrité de fichiers système......: arrêt Fichier mode de recherche.....................: Tous les fichiers Recherche sur les archives....................: marche Limiter la profondeur de récursivité..........: 20 Archive Smart Extensions......................: marche Heuristique de macrovirus.....................: marche Heuristique fichier...........................: moyen Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR, Début de la recherche : samedi 8 mai 2010 17:15 La recherche d'objets cachés commence. '126853' objets ont été contrôlés, '0' objets cachés ont été trouvés. La recherche sur les processus démarrés commence : Processus de recherche 'jucheck.exe' - '1' module(s) sont contrôlés Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés Processus de recherche 'WlanMonitor.exe' - '1' module(s) sont contrôlés Processus de recherche 'uBBMonitor.exe' - '1' module(s) sont contrôlés Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés Processus de recherche 'Rainlendar2.exe' - '1' module(s) sont contrôlés Processus de recherche 'wcescomm.exe' - '1' module(s) sont contrôlés Processus de recherche 'WinPatrol.exe' - '1' module(s) sont contrôlés Processus de recherche 'NokiaMServer.exe' - '1' module(s) sont contrôlés Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés Processus de recherche 'realsched.exe' - '1' module(s) sont contrôlés Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés Processus de recherche 'sm56hlpr.exe' - '1' module(s) sont contrôlés Processus de recherche 'SynTPEnh.exe' - '1' module(s) sont contrôlés Processus de recherche 'SynTPLpr.exe' - '1' module(s) sont contrôlés Processus de recherche 'WDBtnMgr.exe' - '1' module(s) sont contrôlés Processus de recherche 'QTTask.exe' - '1' module(s) sont contrôlés Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés Processus de recherche 'wmiprvse.exe' - '1' module(s) sont contrôlés Processus de recherche 'wmpnetwk.exe' - '1' module(s) sont contrôlés Processus de recherche 'CALMAIN.exe' - '1' module(s) sont contrôlés Processus de recherche 'MediaServer.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'StarWindService.exe' - '1' module(s) sont contrôlés Processus de recherche 'SeaPort.exe' - '1' module(s) sont contrôlés Processus de recherche 'PnkBstrB.exe' - '1' module(s) sont contrôlés Processus de recherche 'PnkBstrA.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés Processus de recherche 'NMSAccessU.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'MDM.EXE' - '1' module(s) sont contrôlés Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'guard.exe' - '1' module(s) sont contrôlés Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés Processus de recherche 'a2service.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés Processus de recherche 'brss01a.exe' - '1' module(s) sont contrôlés Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés Processus de recherche 'brsvc01a.exe' - '1' module(s) sont contrôlés Processus de recherche 'aawservice.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés Processus de recherche 'services.exe' - '1' module(s) sont contrôlés Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés '56' processus ont été contrôlés avec '56' modules La recherche sur les secteurs d'amorçage maître commence : Secteur d'amorçage maître HD0 [INFO] Aucun virus trouvé ! Secteur d'amorçage maître HD1 [INFO] Aucun virus trouvé ! La recherche sur les secteurs d'amorçage commence : Secteur d'amorçage 'C:\' [INFO] Aucun virus trouvé ! Secteur d'amorçage 'D:\' [INFO] Aucun virus trouvé ! La recherche sur les renvois aux fichiers exécutables (registre) commence : Le registre a été contrôlé ( '69' fichiers). La recherche sur les fichiers sélectionnés commence : Recherche débutant dans 'C:\' C:\hiberfil.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! [REMARQUE] Ce fichier est un fichier système Windows. [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche. C:\pagefile.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! [REMARQUE] Ce fichier est un fichier système Windows. [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche. C:\System Volume Information\_restore{3781572D-D5B8-446C-A336-482B37A412BA}\RP191\A0035505.sys [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen C:\System Volume Information\_restore{3781572D-D5B8-446C-A336-482B37A412BA}\RP191\A0035574.sys [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen C:\System Volume Information\_restore{3781572D-D5B8-446C-A336-482B37A412BA}\RP191\A0035575.sys [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen C:\System Volume Information\_restore{3781572D-D5B8-446C-A336-482B37A412BA}\RP191\A0035577.sys [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen C:\System Volume Information\_restore{3781572D-D5B8-446C-A336-482B37A412BA}\RP191\A0035578.sys [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen C:\System Volume Information\_restore{3781572D-D5B8-446C-A336-482B37A412BA}\RP191\A0035579.sys [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen C:\System Volume Information\_restore{3781572D-D5B8-446C-A336-482B37A412BA}\RP191\A0035580.sys [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen C:\System Volume Information\_restore{3781572D-D5B8-446C-A336-482B37A412BA}\RP191\A0035581.sys [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen C:\System Volume Information\_restore{3781572D-D5B8-446C-A336-482B37A412BA}\RP191\A0035582.sys [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen C:\System Volume Information\_restore{3781572D-D5B8-446C-A336-482B37A412BA}\RP191\A0035583.sys [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen C:\System Volume Information\_restore{3781572D-D5B8-446C-A336-482B37A412BA}\RP191\A0035584.sys [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen C:\System Volume Information\_restore{3781572D-D5B8-446C-A336-482B37A412BA}\RP191\A0035585.sys [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen C:\System Volume Information\_restore{3781572D-D5B8-446C-A336-482B37A412BA}\RP191\A0035586.sys [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen C:\System Volume Information\_restore{3781572D-D5B8-446C-A336-482B37A412BA}\RP191\A0035587.sys [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen C:\System Volume Information\_restore{3781572D-D5B8-446C-A336-482B37A412BA}\RP191\A0035588.sys [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen C:\System Volume Information\_restore{3781572D-D5B8-446C-A336-482B37A412BA}\RP191\A0035589.sys [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen C:\System Volume Information\_restore{3781572D-D5B8-446C-A336-482B37A412BA}\RP191\A0035590.sys [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen C:\System Volume Information\_restore{3781572D-D5B8-446C-A336-482B37A412BA}\RP191\A0035675.exe [RESULTAT] Contient le modèle de détection de l'application APPL/NirCmd.3 C:\WINDOWS\system32\FlashAX\FlashAX.ocx [RESULTAT] Contient le modèle de détection du programme de jeu GAME/Casino.Gen Recherche débutant dans 'D:\' Début de la désinfection : C:\System Volume Information\_restore{3781572D-D5B8-446C-A336-482B37A412BA}\RP191\A0035505.sys [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c15d76e.qua' ! C:\System Volume Information\_restore{3781572D-D5B8-446C-A336-482B37A412BA}\RP191\A0035574.sys [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d6741bf.qua' ! C:\System Volume Information\_restore{3781572D-D5B8-446C-A336-482B37A412BA}\RP191\A0035575.sys [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d63629f.qua' ! C:\System Volume Information\_restore{3781572D-D5B8-446C-A336-482B37A412BA}\RP191\A0035577.sys [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d65502f.qua' ! C:\System Volume Information\_restore{3781572D-D5B8-446C-A336-482B37A412BA}\RP191\A0035578.sys [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d645867.qua' ! C:\System Volume Information\_restore{3781572D-D5B8-446C-A336-482B37A412BA}\RP191\A0035579.sys [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4fd1580f.qua' ! C:\System Volume Information\_restore{3781572D-D5B8-446C-A336-482B37A412BA}\RP191\A0035580.sys [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d61710f.qua' ! C:\System Volume Information\_restore{3781572D-D5B8-446C-A336-482B37A412BA}\RP191\A0035581.sys [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4957251f.qua' ! C:\System Volume Information\_restore{3781572D-D5B8-446C-A336-482B37A412BA}\RP191\A0035582.sys [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4fd04047.qua' ! C:\System Volume Information\_restore{3781572D-D5B8-446C-A336-482B37A412BA}\RP191\A0035583.sys [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c15d76f.qua' ! C:\System Volume Information\_restore{3781572D-D5B8-446C-A336-482B37A412BA}\RP191\A0035584.sys [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c15d770.qua' ! C:\System Volume Information\_restore{3781572D-D5B8-446C-A336-482B37A412BA}\RP191\A0035585.sys [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4fdd79f1.qua' ! C:\System Volume Information\_restore{3781572D-D5B8-446C-A336-482B37A412BA}\RP191\A0035586.sys [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4fdc6139.qua' ! C:\System Volume Information\_restore{3781572D-D5B8-446C-A336-482B37A412BA}\RP191\A0035587.sys [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4fdf6961.qua' ! C:\System Volume Information\_restore{3781572D-D5B8-446C-A336-482B37A412BA}\RP191\A0035588.sys [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c15d771.qua' ! C:\System Volume Information\_restore{3781572D-D5B8-446C-A336-482B37A412BA}\RP191\A0035589.sys [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4fd91ad2.qua' ! C:\System Volume Information\_restore{3781572D-D5B8-446C-A336-482B37A412BA}\RP191\A0035590.sys [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4fd8021a.qua' ! C:\System Volume Information\_restore{3781572D-D5B8-446C-A336-482B37A412BA}\RP191\A0035675.exe [RESULTAT] Contient le modèle de détection de l'application APPL/NirCmd.3 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4fdb0a42.qua' ! C:\WINDOWS\system32\FlashAX\FlashAX.ocx [RESULTAT] Contient le modèle de détection du programme de jeu GAME/Casino.Gen [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c46d7ad.qua' ! Fin de la recherche : samedi 8 mai 2010 23:27 Temps nécessaire: 2:03:15 Heure(s) La recherche a été effectuée intégralement 18143 Les répertoires ont été contrôlés 605618 Des fichiers ont été contrôlés 19 Des virus ou programmes indésirables ont été trouvés 0 Des fichiers ont été classés comme suspects 0 Des fichiers ont été supprimés 0 Des virus ou programmes indésirables ont été réparés 19 Les fichiers ont été déplacés dans la quarantaine 0 Les fichiers ont été renommés 2 Impossible de contrôler des fichiers 605597 Fichiers non infectés 10500 Les archives ont été contrôlées 2 Avertissements 21 Consignes 126853 Des objets ont été contrôlés lors du Rootkitscan 0 Des objets cachés ont été trouvés

dédétraqué · Answer

Salut malorossi 


Cela est bon, seulement des points de restauration système infectés que l'on va purger :

Désactive la restauration système sur tous les lecteurs :

- Clique droit sur le Poste de travail sur le bureau, dans propriété tu cliques sur l'onglet Restauration système

- Coche la case désactiver la restauration et applique 

Redémarre l'ordinateur et réactive la restauration système.

Tutoriel XP :  http://www.libellules.ch/desactiver_restauration.php

As-tu d'autre souci?


@++   :)

malorossi · Answer

voilà, c'est fait. Y a t-il encore une manip pour vérifier l'absence du trojan, où on considère que tout est ok?
Un petit scan antivir pour le plaisir?

dédétraqué · Answer

Salut malorossi 


Un petit scan antivir pour le plaisir?
Si cela est un plaisir pour toi, go va s'y pour le scan


@++   :)

malorossi · Answer

Salut dédétraqué

C'est l'heure de se dire au revoir. Un grand merci pour ton altruisme, ta patience et tout se dont j'ai honteusement abusé pour me sortir de ce merdier.

Bonne route à toi et encore merci
Laurent

dédétraqué · Answer

Salut malorossi 


Pas encore fini, reste le nettoyage et sécurisé ton PC :

On va faire un ménage des outils téléchargés pour la désinfection, télécharge Tools Cleaner sur le bureau :

http://pc-system.fr/


- Double clique sur ToolsCleaner2.exe sur le bureau
- Clique sur Recherche et laisse le scan agir.
- Clique sur Suppression pour finaliser.
- Tu peux, si tu le souhaites, te servir des Options facultatives.
- Clique sur Quitter pour obtenir le rapport.
- Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
- Si des outils restes après le passage de Tools Cleaner, tu pourras les supprimer manuellement ainsi que tous les rapports qui on été généré lors de la désinfection.


-----


Important de mettre à jour Windows et tes logiciels :
Mettre Windows(catégories critique, Services Pack et Services Release) à jour : http://www.windowsupdate.com/windowsupdate/v6/default.aspx

Faire un scan de vulnérabilités afin de vérifier que tes logiciels soit à jour sans failles de sécurités et mettre à jour :
https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/

Faire un ménage des fichiers inutiles et de la base de registre : 
https://www.malekal.com/tutoriel-ccleaner/

Dis moi quand cela est fais où si tu as des soucis et on passe à la résolution du sujet par la suite.


@++ :)

malorossi · Answer

-->- Recherche: 

C:\VundoFix.txt: trouvé !
C:\Combofix.txt: trouvé !
C:\Vundofix backups: trouvé !
C:\Documents and Settings\LAURENT\Bureau\SmitFraudfix: trouvé !
C:\Documents and Settings\LAURENT\Mes documents\hijackthis.log: trouvé !
C:\Documents and Settings\LAURENT\Mes documents\HijackThis: trouvé !
C:\Documents and Settings\LAURENT\Mes documents\HiJackThis\HijackThis.exe: trouvé !
C:\Documents and Settings\LAURENT\Mes documents\HiJackThis\hijackthis.log: trouvé !

---------------------------------
-->- Suppression: 

voici le rapport tcleaner

C:\Documents and Settings\LAURENT\Mes documents\HiJackThis\HijackThis.exe: supprimé !
C:\VundoFix.txt: supprimé !
C:\Combofix.txt: supprimé !
C:\Documents and Settings\LAURENT\Mes documents\hijackthis.log: supprimé !
C:\Documents and Settings\LAURENT\Mes documents\HiJackThis\hijackthis.log: supprimé !
C:\Vundofix backups: supprimé !
C:\Documents and Settings\LAURENT\Bureau\SmitFraudfix: supprimé !
C:\Documents and Settings\LAURENT\Mes documents\HijackThis: supprimé !

Corbeille vidée!
Fichiers temporaires nettoyés !

dédétraqué · Answer

Salut malorossi 


Tu me feras signe quand la suite sera faite.


@++   :)

malorossi · Answer

ca coince sur le scan vulnerability. J'ai le message suivant qui s'affiche : There might be problems loading the Java Applet in your browser.

Ensuite plus rien, ca mouline

dédétraqué · Answer

Salut malorossi 


On va mettre à jour ta version de Java et supprimer les vieilles versions qui peut être la cause du souci :

Télécharge JavaRa (de Paul McLain et Fred de Vries) sur le bureau :

http://raproducts.org/click/click.php?id=1


- Décompresse le fichier sur ton bureau (clic droit > Extraire tout)
- Double-clique sur le répertoire JavaRa obtenu
- Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher)
- Sous Vista: clic droit/Exécuter en temps qu'administrateur Clique sur Search For Updates
- Sélectionne Update Using jucheck.exe puis clique sur Search
- Autorise le processus à se connecter s'il te le demande, clique sur Install et suis les instructions d'installation. Cela prendra quelques minutes. 
- Quand l'installation est terminée, revient à l'écran de JavaRa et clique sur Remove Older Versions
- Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok. 
- Un rapport va s'ouvrir, copie/colle le dans ta prochaine réponse. Note : le rapport se trouve aussi à la racine de la partition système, en général C:\ sous le nom JavaRa.log (c:\JavaRa.log)
- Ferme l'application


@++   :)

malorossi · Answer

JavaRa 1.15 Removal Log.

Report follows after line.

------------------------------------

The JavaRa removal process was started on Sun May 09 20:25:08 2010

Found and removed: C:\Program Files\Java\jre1.6.0_03

Found and removed: C:\Program Files\Java\jre1.6.0_05

Found and removed: C:\Program Files\Java\jre1.6.0_07

Found and removed: C:\Documents and Settings\LAURENT\Application Data\Sun\Java\jre1.6.0_11

Found and removed: C:\Documents and Settings\LAURENT\Application Data\Sun\Java\jre1.6.0_15

Found and removed: C:\Documents and Settings\LAURENT\Application Data\Sun\Java\jre1.6.0_17

Found and removed: Software\JavaSoft\Java2D\1.5.0

Found and removed: Software\JavaSoft\Java2D\1.5.0_06

Found and removed: SOFTWARE\Classes\Installer\Features\8A0F842331866D117AB7000B0D610003

Found and removed: SOFTWARE\Classes\Installer\Features\8A0F842331866D117AB7000B0D610005

Found and removed: SOFTWARE\Classes\Installer\Products\8A0F842331866D117AB7000B0D610003

Found and removed: SOFTWARE\Classes\Installer\Products\8A0F842331866D117AB7000B0D610005

Found and removed: SOFTWARE\Classes\Installer\UpgradeCodes\7A0F842331866D117AB7000B0D610003

Found and removed: SOFTWARE\Classes\Installer\UpgradeCodes\7A0F842331866D117AB7000B0D610005

Found and removed: SOFTWARE\Classes\JavaPlugin.160_03

Found and removed: SOFTWARE\Classes\JavaPlugin.160_05

Found and removed: SOFTWARE\JavaSoft\Java Plug-in\1.6.0_03

Found and removed: SOFTWARE\JavaSoft\Java Plug-in\1.6.0_05

Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.6.0_03

Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.6.0_05

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\7A0F842331866D117AB7000B0D610003

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\7A0F842331866D117AB7000B0D610005

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\ACBB9B2318A96D117A58000B0D610003

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\ACBB9B2318A96D117A58000B0D610005

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\8A0F842331866D117AB7000B0D610003

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\8A0F842331866D117AB7000B0D610005

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3248F0A8-6813-11D6-A77B-00B0D0160030}

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3248F0A8-6813-11D6-A77B-00B0D0160050}

Found and removed: Software\Classes\JavaPlugin.160_03

Found and removed: Software\Classes\JavaPlugin.160_05

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0005-ABCDEFFEDCBA}

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_02

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_03

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_04

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2.0_01

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.6.0_03

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.6.0_05

Found and removed: Software\JavaSoft\Java2D\1.6.0_03

Found and removed: Software\JavaSoft\Java2D\1.6.0_05

Found and removed: Software\JavaSoft\Java Runtime Environment\1.6.0_03

Found and removed: Software\JavaSoft\Java Runtime Environment\1.6.0_05

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0000-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBB}

Found and removed: SOFTWARE\JavaSoft\Java Plug-in\1.6.0_07

Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.6.0_07

Found and removed: SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\ACBB9B2318A96D117A58000B0D610007

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\8A0F842331866D117AB7000B0D610007

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3248F0A8-6813-11D6-A77B-00B0D0160070}

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Program Files\Java\jre1.6.0_03\

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Program Files\Java\jre1.6.0_05\

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Program Files\Java\jre1.6.0_03\bin\

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Program Files\Java\jre1.6.0_05\bin\

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Program Files\Java\jre1.6.0_07\bin\

JavaRa 1.15 Removal Log.

Report follows after line.

------------------------------------

The JavaRa removal process was started on Sun May 09 20:26:09 2010

------------------------------------

Finished reporting.

dédétraqué · Answer

Salut malorossi 


OK, essai de nouveau maintenant


@++   :)

malorossi · Answer

rebelote. Meme message d'erreur. Il me conseille d'installer la dernière version de Java...

dédétraqué · Answer

Salut malorossi 


Bizarre, as-tu fais l'essai avec IE et Firefox?


@++   :)

Infection Rootkit besoin d'un maitre Jedi svp

56 réponses

Discussions similaires