De l'aide svp je suis infectée

E___E___C___L Messages postés 10 Date d'inscription   Statut Membre Dernière intervention   -  
Tigzy Messages postés 7983 Statut Contributeur sécurité -
bonjour, je viens vous demandez de l'aide car je suis la méthode prlimilaire de desinfection dans la rubrique astuce de votre site car j'ai des fenetres de pubs qui s'ouvrent tous le temps et sur msn sa envoi des liens à mes contacts et c'est des virus quand il clique dessus . Donc comme le dis votre rubique d'aide je vous poste le lien du site cijoint.fr:

http://www.cijoint.fr/cjlink.php?file=cj201005/cijUyQXrRD.txt

voila merci d'avance pour votre aide

13 réponses

  1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Salut

    Télécharger sur le bureau Malwarebyte's Anti-Malware

    = double-clic sur mbam-setup pour lancer l'installation
    = Installer simplement sans rien modifier
    = Ne pas décocher "Faire la mise à jour"
    = si la mise à jour a échoué, la faire après execution du logiciel => onglet "Mise à jour"
    = Quand le programme lancé ==> cocher Exécuter un examen complet
    = Clic Rechercher
    = Eventuellement décocher les disque à ne pas analyser
    = Clic Lancer l'examen
    = En fin de scan ( 1h environ), si infection trouvée
    ==> Clic Afficher résultat
    = Fermer vos applications en cours
    = Vérifier si tout est coché et clic Supprimer la sélection

    un rapport s'ouvre le copier et le coller dans la réponse

    -----------

    * Télécharge ZHPDiag
    Capture

    * Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    * Heberge le rapport ici: cijoint et colle le lien dans la réponse
    0
  2. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Y'a un truc qui va pas déjà , tu as Avast4 , Avast5 et McAfee.
    Désinstalle Avast4 et McAfee

    -----

    * Téléchargez aswClear5.exe sur votre bureau
    * Désactivez le système d'autoprotection avast!
    ou alors redémarrez Windows en Mode sans Echec

    * Exécutez l'utilitaire téléchargé
    Si vous avez installé avast dans un dossier différent de celui par défaut retrouvez le en parcourrant votre disque avec le bouton "...". (Note: Faites attention! Le contenu de tout dossier que vous choisirez sera supprimé!)
    Cliquez sur "Uninstall"
    * Redémarrez votre ordinateur
    0
  3. E___E___C___L Messages postés 10 Date d'inscription   Statut Membre Dernière intervention  
     
    voila le rapport de malwarebytes:

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4068

    Windows 6.0.6002 Service Pack 2
    Internet Explorer 7.0.6002.18005

    05/05/2010 13:53:39
    mbam-log-2010-05-05 (13-53-39).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 116010
    Temps écoulé: 5 minute(s), 47 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 1
    Valeur(s) du Registre infectée(s): 1
    Elément(s) de données du Registre infecté(s): 1
    Dossier(s) infecté(s): 3
    Fichier(s) infecté(s): 5

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userinit (Trojan.VirTool) -> Delete on reboot.

    Elément(s) de données du Registre infecté(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\RECYCLER\S-1-5-21-2045134538-7533455572-916705830-5909\yv8g67.exe,explorer.exe,C:\Users\tatan\AppData\Roaming\ebzbg.exe) Good: (Explorer.exe) -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    C:\Program Files\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D} (Worm.Prolaco.M) -> Quarantined and deleted successfully.
    C:\Program Files\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome (Worm.Prolaco.M) -> Quarantined and deleted successfully.
    C:\Program Files\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content (Worm.Prolaco.M) -> Quarantined and deleted successfully.

    Fichier(s) infecté(s):
    C:\Users\tatan\AppData\Roaming\sdra64.exe (Trojan.VirTool) -> Delete on reboot.
    C:\Users\tatan\AppData\Roaming\BD3B.tmp (Trojan.Tracur) -> Quarantined and deleted successfully.
    C:\RECYCLER\S-1-5-21-2045134538-7533455572-916705830-5909\yv8g67.exe (Trojan.Dropper) -> Delete on reboot.
    C:\Program Files\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\install.rdf (Worm.Prolaco.M) -> Quarantined and deleted successfully.
    C:\Program Files\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content\timer.xul (Worm.Prolaco.M) -> Quarantined and deleted successfully.
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Ok, après redémarrage relance le en mode COMPLET cette fois ci ;)
      Ensuite passe à la suite (ZHP)
      0
    2. E___E___C___L Messages postés 10 Date d'inscription   Statut Membre Dernière intervention  
       
      ZHP????
      0
  4. E___E___C___L Messages postés 10 Date d'inscription   Statut Membre Dernière intervention  
     
    voila le rapport de l'analyse compléte

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4068

    Windows 6.0.6002 Service Pack 2
    Internet Explorer 7.0.6002.18005

    05/05/2010 15:39:19
    mbam-log-2010-05-05 (15-39-19).txt

    Type d'examen: Examen complet (C:\|D:\|E:\|)
    Elément(s) analysé(s): 208117
    Temps écoulé: 1 heure(s), 6 minute(s), 53 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 1
    Valeur(s) du Registre infectée(s): 1
    Elément(s) de données du Registre infecté(s): 1
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 7

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userinit (Trojan.Agent) -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\RECYCLER\S-1-5-21-0992762029-5537661030-644263309-8614\yv8g67.exe,C:\RECYCLER\S-1-5-21-2045134538-7533455572-916705830-5909\yv8g67.exe,explorer.exe,C:\Users\tatan\AppData\Roaming\ebzbg.exe,Explorer.exe) Good: (Explorer.exe) -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\RECYCLER\S-1-5-21-0992762029-5537661030-644263309-8614\yv8g67.exe (Worm.Autorun.B) -> Delete on reboot.
    C:\Users\tatan\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\1NHRBLSH\dwdmnki[1].exe (Trojan.Ddox) -> Quarantined and deleted successfully.
    C:\Users\tatan\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YD4NVMMQ\dwemnk[1].exe (Trojan.Ddox) -> Quarantined and deleted successfully.
    C:\Users\tatan\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YD4NVMMQ\dwkjo[1].exe (Trojan.Ddox) -> Quarantined and deleted successfully.
    C:\Users\tatan\AppData\Local\Temp\253.exe (Trojan.Ddox) -> Quarantined and deleted successfully.
    C:\Users\tatan\AppData\Local\Temp\498.exe (Trojan.Ddox) -> Quarantined and deleted successfully.
    C:\Users\tatan\AppData\Local\Temp\829.exe (Trojan.Ddox) -> Quarantined and deleted successfully.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. E___E___C___L Messages postés 10 Date d'inscription   Statut Membre Dernière intervention  
     
    et voila le lien de cijoint

    http://www.cijoint.fr/cjlink.php?file=cj201005/cijM3A7dPe.txt

    et maintenant je fais quoi?
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Tu as bien redémarré avant le ZHPDiag?
      0
    2. E___E___C___L Messages postés 10 Date d'inscription   Statut Membre Dernière intervention  
       
      oui
      0
  7. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Pour moi ça a l'air ok.
    Ou en sont tes problèmes?
    0
    1. E___E___C___L Messages postés 10 Date d'inscription   Statut Membre Dernière intervention  
       
      j'ai toujours des pages qui s'ouvrent
      0
  8. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Ok, on enchaîne.

    Télécharger et enregistrer sur le bureau
    Combofix

    =Desactiver l'antivirus
    =Double-clic sur Combofix
    = Presser 1 si demandé
    = Attendre la fermeture de l'outil ( 5 -10 mn ou plus si infection importante)
    =Copier/coller le rapport dans la réponse
    Un rapport dans C:\Combofix.txt à mettre dans la réponse
    Réactiver l'antivirus
    0
    1. E___E___C___L Messages postés 10 Date d'inscription   Statut Membre Dernière intervention  
       
      je n'arrive pas le télécharger sa me dit "erreu vous ne pouvez pas renomer combofix en combofix(1) veuillez choissir un autre nom
      0
    2. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Parce que tu l'as déjà téléchargé. Enregistre le sur le bureau
      0
  9. E___E___C___L Messages postés 10 Date d'inscription   Statut Membre Dernière intervention  
     
    voila le rapport

    ComboFix 10-05-04.06 - tatan 05/05/2010 16:42:37.1.1 - x86
    Microsoft® Windows Vista(TM) Édition Familiale Basique 6.0.6002.2.1252.33.1036.18.2038.1138 [GMT 2:00]
    Lancé depuis: c:\users\tatan\Downloads\ComboFix.exe
    AV: Norman Security Suite ver. 7.00 *On-access scanning disabled* (Updated) {EB9EFB40-AE72-4C43-B204-0FCD0E92D5F1}
    SP: Lavasoft Ad-Watch Live! *disabled* (Updated) {67844DAE-4F77-4D69-9457-98E8CFFDAA22}
    SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\$recycle.bin\S-1-5-21-1187131972-786057027-3556547271-500
    c:\recycler\S-1-5-21-0131947250-4128821179-310463314-4736
    c:\recycler\S-1-5-21-0243744909-4795990978-188583860-5689
    c:\recycler\S-1-5-21-0263464071-4745853982-850158679-3903
    c:\recycler\S-1-5-21-0321916739-7218061227-972147161-9541
    c:\recycler\S-1-5-21-0359795344-2596042768-225122872-6931
    c:\recycler\S-1-5-21-0624359355-5648255495-697018927-5489
    c:\recycler\S-1-5-21-0992762029-5537661030-644263309-8614
    c:\recycler\S-1-5-21-1192351211-2231765533-616425830-1205
    c:\recycler\S-1-5-21-1366110527-1739655251-398556275-9454
    c:\recycler\S-1-5-21-1436180599-6583090845-358775877-0821
    c:\recycler\S-1-5-21-2045134538-7533455572-916705830-5909
    c:\recycler\S-1-5-21-2128090550-1130222452-856087057-8856
    c:\recycler\S-1-5-21-2182249778-2397527827-949130164-5111
    c:\recycler\S-1-5-21-2213527172-5122963680-859965825-8517
    c:\recycler\S-1-5-21-2772038498-5924633694-514351812-7558
    c:\recycler\S-1-5-21-2898335755-8944349509-510849855-3649
    c:\recycler\S-1-5-21-3067937365-6061247196-923423581-0316
    c:\recycler\S-1-5-21-3125366941-0013255825-018246311-0850
    c:\recycler\S-1-5-21-3160489485-9458919146-970899235-7359
    c:\recycler\S-1-5-21-3192485799-4258549367-473346950-6365
    c:\recycler\S-1-5-21-3516677547-8703607751-108192358-5852
    c:\recycler\S-1-5-21-3604862674-0594247176-439954794-5226
    c:\recycler\S-1-5-21-4310443748-5875290927-737073492-6716
    c:\recycler\S-1-5-21-4358037447-7080869793-210011567-7143
    c:\recycler\S-1-5-21-4377011933-6284870903-823735768-6953
    c:\recycler\S-1-5-21-4401342954-6122438907-220411952-5354
    c:\recycler\S-1-5-21-4543139986-0456407717-330386652-5383
    c:\recycler\S-1-5-21-4669932530-6636268574-579328619-1170
    c:\recycler\S-1-5-21-4878712248-7049906030-898441096-5522
    c:\recycler\S-1-5-21-4936676866-6101682401-305619816-7778
    c:\recycler\S-1-5-21-5029620997-0930758697-033819563-8666
    c:\recycler\S-1-5-21-5142384173-8078803120-129025062-7166
    c:\recycler\S-1-5-21-5420122468-7696464542-628099123-4339
    c:\recycler\S-1-5-21-5426210634-6606128393-745083745-2954
    c:\recycler\S-1-5-21-5501533012-0788850018-536952508-6246
    c:\recycler\S-1-5-21-5933065461-6527130519-185667924-7545
    c:\recycler\S-1-5-21-6448084153-2566828442-062641654-6351
    c:\recycler\S-1-5-21-6680625050-5360621526-393813047-1009
    c:\recycler\S-1-5-21-6693322782-6157848192-538714330-0201
    c:\recycler\S-1-5-21-7127705505-2086863489-279735170-8526
    c:\recycler\S-1-5-21-7209594942-6640737328-664138692-1272
    c:\recycler\S-1-5-21-7490675343-1720102850-225101722-5557
    c:\recycler\S-1-5-21-7730826927-8815293512-752357599-7799
    c:\recycler\S-1-5-21-7889718307-3177950129-431219411-6367
    c:\recycler\S-1-5-21-7962593198-0684098513-008024572-8971
    c:\recycler\S-1-5-21-8088277851-6932704764-318553581-0935
    c:\recycler\S-1-5-21-8259565034-6964431531-536619590-5875
    c:\recycler\S-1-5-21-8389774813-3363254852-807398772-1103
    c:\recycler\S-1-5-21-8420637614-9859407858-717278703-2112
    c:\recycler\S-1-5-21-8474776377-4944317595-165159610-2280
    c:\recycler\S-1-5-21-8483310109-3739283383-463050291-7173
    c:\recycler\S-1-5-21-8512011684-5679102965-419402114-8076
    c:\recycler\S-1-5-21-8556518175-9287571008-880694439-0710
    c:\recycler\S-1-5-21-8874964047-9553245601-344864719-4419
    c:\recycler\S-1-5-21-8899166517-2931236968-839602361-1750
    c:\recycler\S-1-5-21-9045781575-8974369800-367235717-2584
    c:\recycler\S-1-5-21-9315128628-5641096944-882832395-6936
    c:\recycler\S-1-5-21-9318002409-4091027790-610972772-6078
    c:\recycler\S-1-5-21-9476423851-9416942967-075439603-9929
    c:\recycler\S-1-5-21-9957149365-6658844818-056721271-7434
    c:\users\tatan\AppData\Local\Temp\jna6360069890574630939.tmp
    c:\users\tatan\AppData\Roaming\chrtmp
    c:\users\tatan\AppData\Roaming\ebzbg.exe

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-04-05 au 2010-05-05 ))))))))))))))))))))))))))))))))))))
    .

    2010-05-05 14:50 . 2010-05-05 14:50 -------- d-----w- c:\users\Default\AppData\Local\temp
    2010-05-05 12:25 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-05-05 12:25 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-05-05 11:40 . 2010-05-05 11:40 -------- d-----w- c:\users\tatan\AppData\Roaming\Malwarebytes
    2010-05-05 11:40 . 2010-05-05 12:25 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-05-05 11:40 . 2010-05-05 11:40 -------- d-----w- c:\programdata\Malwarebytes
    2010-05-05 11:33 . 2010-05-05 11:33 -------- d-----w- c:\users\tatan\AppData\Roaming\Yahoo!
    2010-05-05 11:33 . 2010-05-05 14:51 -------- d-----w- c:\program files\Yahoo!
    2010-05-05 11:33 . 2010-05-05 11:33 -------- d-----w- c:\program files\CCleaner
    2010-05-05 11:17 . 2010-05-05 14:01 -------- d-----w- c:\program files\ZHPDiag
    2010-04-19 13:01 . 2010-04-19 18:13 -------- d-----w- c:\program files\Pogo FR
    2010-04-18 19:54 . 2010-04-19 07:11 -------- d-sh--w- c:\programdata\SysWoW32
    2010-04-18 19:54 . 2010-04-19 07:11 -------- d-----w- c:\programdata\3729096
    2010-04-15 01:48 . 2010-04-20 16:20 1356 ----a-w- c:\users\tatan\AppData\Local\d3d9caps.dat
    2010-04-14 07:11 . 2010-02-18 14:07 904576 ----a-w- c:\windows\system32\drivers\tcpip.sys
    2010-04-14 07:11 . 2010-02-18 11:28 25088 ----a-w- c:\windows\system32\drivers\tunnel.sys
    2010-04-14 07:11 . 2010-02-18 13:30 200704 ----a-w- c:\windows\system32\iphlpsvc.dll
    2010-04-14 06:44 . 2010-02-23 11:10 212992 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
    2010-04-14 06:44 . 2010-02-23 11:10 79360 ----a-w- c:\windows\system32\drivers\mrxsmb20.sys
    2010-04-14 06:44 . 2010-02-23 11:10 106496 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
    2010-04-14 06:44 . 2010-02-18 14:07 3600776 ----a-w- c:\windows\system32\ntkrnlpa.exe
    2010-04-14 06:44 . 2010-02-18 14:07 3548040 ----a-w- c:\windows\system32\ntoskrnl.exe
    2010-04-14 06:43 . 2010-03-04 17:33 430080 ----a-w- c:\windows\system32\vbscript.dll
    2010-04-14 06:16 . 2009-12-23 11:33 172032 ----a-w- c:\windows\system32\wintrust.dll
    2010-04-14 06:16 . 2010-01-13 17:34 98304 ----a-w- c:\windows\system32\cabview.dll

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-05-05 14:55 . 2009-12-11 22:25 -------- d-----w- c:\users\tatan\AppData\Roaming\LimeWire
    2010-05-05 14:51 . 2009-08-27 19:10 -------- d-----w- c:\program files\Norman
    2010-05-05 13:51 . 2009-09-01 21:48 -------- d-----w- c:\users\tatan\AppData\Roaming\vlc
    2010-05-05 13:49 . 2008-01-21 07:23 669566 ----a-w- c:\windows\system32\perfh00C.dat
    2010-05-05 13:49 . 2008-01-21 07:23 123556 ----a-w- c:\windows\system32\perfc00C.dat
    2010-05-05 11:28 . 2010-02-22 23:48 -------- d-sh--w- c:\users\tatan\AppData\Roaming\lowsec
    2010-05-04 18:29 . 2010-01-08 22:09 1286 ----a-w- c:\users\tatan\AppData\Roaming\wklnhst.dat
    2010-05-02 17:17 . 2009-09-04 22:20 -------- d-----w- c:\users\tatan\AppData\Roaming\dvdcss
    2010-04-21 15:30 . 2009-12-03 17:48 -------- d-----w- c:\programdata\McAfee Security Scan
    2010-04-15 01:21 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
    2010-04-15 01:05 . 2008-07-16 03:40 -------- d-----w- c:\programdata\Microsoft Help
    2010-03-09 16:25 . 2010-03-30 21:07 78336 ----a-w- c:\windows\system32\ieencode.dll
    2010-03-09 15:42 . 2010-03-30 21:07 834048 ----a-w- c:\windows\system32\wininet.dll
    2010-02-24 08:16 . 2009-10-02 22:33 181632 ------w- c:\windows\system32\MpSigStub.exe
    2010-02-24 07:46 . 2009-08-27 20:42 72944 ----a-w- c:\users\tatan\AppData\Local\GDIPFONTCACHEV1.DAT
    2010-02-12 10:32 . 2010-02-25 07:22 293376 ----a-w- c:\windows\system32\browserchoice.exe
    2010-02-10 09:00 . 2010-02-20 01:28 84912 ----a-w- c:\programdata\Symantec\Definitions\SymcData\virusdefs-2.5-e\20100219.002\NAVENG.SYS
    2010-02-10 09:00 . 2010-02-20 01:28 1324720 ----a-w- c:\programdata\Symantec\Definitions\SymcData\virusdefs-2.5-e\20100219.002\NAVEX15.SYS
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "WindowsWelcomeCenter"="oobefldr.dll" [2009-04-11 2153472]
    "Picasa Media Detector"="c:\program files\Picasa2\PicasaMediaDetector.exe" [2008-02-26 443968]
    "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-08-27 39408]
    "msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
    "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
    "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
    "IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-06-06 142104]
    "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-06-06 154392]
    "Persistence"="c:\windows\system32\igfxpers.exe" [2007-06-06 138008]
    "RtHDVCpl"="RtHDVCpl.exe" [2007-07-06 4669440]
    "HotkeyApp"="c:\program files\Launch Manager\HotkeyApp.exe" [2007-07-26 192512]
    "SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-08-17 102400]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
    "NeroFilterCheck"="c:\program files\Common Files\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]
    "FSCRecovery"="c:\program files\Fujitsu Siemens Computers\Fujitsu Siemens Computers Recovery\FSCRecoveryReminder.exe" [2008-05-08 268096]
    "Norman ZANDA"="c:\program files\Norman\Npm\bin\ZLH.EXE" [2008-06-02 277616]
    "Google EULA Launcher"="c:\program files\Google\Google EULA\GoogleEULALauncher.exe" [2008-05-28 20480]
    "Ad-Watch"="c:\program files\Lavasoft\Ad-Aware\AAWTray.exe" [2010-03-01 524632]
    "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-12-11 149280]
    "Skytel"="Skytel.exe" [2007-06-15 1826816]
    "Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "Picasa Media Detector"="c:\program files\Picasa2\PicasaMediaDetector.exe" [2008-02-26 443968]
    "fsc-reg"="c:\programdata\fsc-reg\fscreg.exe" [2007-11-08 533264]

    c:\users\tatan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
    LimeWire On Startup.lnk - c:\program files\LimeWire\LimeWire.exe [2009-12-16 503808]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "EnableUIADesktopToggle"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
    BootExecute REG_MULTI_SZ autocheck autochk *\0lsdelete\0aswBoot.exe /M:353215bcebb

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
    @="Service"

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
    "VistaSp2"=hex(b):2c,60,f5,1b,4f,82,ca,01

    R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 135664]
    S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys [2009-08-31 64160]
    S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [2010-03-01 1029456]
    S2 NVOY;Norman's Very Own supplY of resources;c:\program files\Norman\npm\bin\nvoy.exe [2008-02-07 121912]
    S3 NVCScheduler;Norman Virus Control Scheduler;c:\program files\Norman\Npm\bin\NVCSCHED.EXE [2007-09-18 154680]
    S3 WisLMSvc;WisLMSvc;c:\program files\Launch Manager\WisLMSvc.exe [2006-11-17 118784]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
    LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
    getPlusHelper REG_MULTI_SZ getPlusHelper
    .
    Contenu du dossier 'Tâches planifiées'

    2010-05-03 c:\windows\Tasks\Ad-Aware Update (Weekly).job
    - c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-18 19:41]

    2010-05-05 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 19:18]

    2010-05-05 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 19:18]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.fr/
    mStart Page = hxxp://www.google.com/ig/redirectdomain?brand=FUJD&bmod=FUJD
    IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
    IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    HKCU-Run-nnccx1x - c:\windows\system32\c0hxcxnnh.exe
    HKCU-Run-chxcxnn - c:\windows\system32\nsnx5nnhn.exe
    HKCU-Run-lqbwb8l - c:\windows\system32\4wlggbg.exe
    HKCU-Run-glbg2w - c:\windows\system32\9bb0q1q.exe
    HKCU-Run-mwr0h - c:\windows\system32\rb4w0mbmmbm.exe
    HKCU-Run-rwhbh - c:\windows\system32\wrr2m981.exe
    HKCU-Run-akkpavp - c:\windows\system32\ffafafpk.exe
    HKCU-Run-grbrbb - c:\windows\system32\ggwwgmb037.exe
    HKCU-Run-wrrwrg6 - c:\windows\system32\6m4b5mg.exe
    HKCU-Run-sniid5y - c:\windows\system32\sd42yid6.exe
    HKCU-Run-wccwwcw - c:\windows\system32\h9m6cwm6h.exe
    HKCU-Run-rcwmm2h - c:\windows\system32\hrccw0mchm7.exe
    HKCU-Run-sysis - c:\windows\system32\5x2d5ix.exe
    HKCU-Run-nyiid0 - c:\windows\system32\inxsxi5ssn.exe
    HKCU-Run-xrhhx6 - c:\windows\system32\hhcchxhc1.exe
    HKCU-Run-hmmrcmm - c:\windows\system32\h72rc1c2mh1.exe
    HKCU-Run-ujeju5e - c:\windows\system32\jueejupjj.exe
    HKCU-Run-qgavvqg - c:\windows\system32\gvvlqlg5vll.exe
    HKCU-Run-glqbl - c:\windows\system32\vlqlbbvbvbl.exe
    HKCU-Run-vggbqql - c:\windows\system32\gbbgqlgvqlb.exe
    HKCU-Run-rrhxr - c:\windows\system32\cchcc2h5mx.exe
    HKCU-Run-mccrrxr - c:\windows\system32\hmchchhxmhc.exe
    HKCU-Run-hxxr1h - c:\windows\system32\x4rcmrrmm.exe
    HKCU-Run-dttoo5d - c:\windows\system32\d1oyydojdj.exe
    HKCU-Run-hhm7w - c:\windows\system32\wbrcmmrm.exe
    HKCU-Run-mmrh0 - c:\windows\system32\wwr5mrmr.exe
    HKCU-Run-rhrb1m - c:\windows\system32\mb9wwrm0bbr.exe
    HKCU-Run-whcc98 - c:\windows\system32\mhcrmhwr8m.exe
    HKCU-Run-wmmcrmh - c:\windows\system32\cw0mchm7.exe
    HKCU-Run-wmm6r - c:\windows\system32\mrc4mmh5cwr.exe
    HKCU-Run-fuppu7u - c:\windows\system32\uffp9ufkkp.exe
    HKCU-Run-kkzzpzp - c:\windows\system32\z2pz8895u.exe
    HKCU-Run-rmm3b - c:\windows\system32\mrbmh1mhwb.exe
    HKCU-Run-mmrr7b - c:\windows\system32\hbb1hmbwhrh.exe
    HKCU-Run-cwccw - c:\windows\system32\6mhm2r5.exe
    HKCU-Run-cmmhh - c:\windows\system32\6hwhr1c.exe
    HKCU-Run-cwcwccr - c:\windows\system32\rrwhcwwmm.exe
    HKCU-Run-cxhxxxx - c:\windows\system32\cxh4rhhmm1h.exe
    HKCU-Run-bwwgr5b - c:\windows\system32\7l9bgrb.exe
    HKCU-Run-gqqq3v - c:\windows\system32\b1vb7llgv.exe
    HKCU-Run-qggbb - c:\windows\system32\ggbbgbq1vq.exe
    HKCU-Run-qvgqq - c:\windows\system32\vq1gqqllq7.exe
    HKCU-Run-snni1 - c:\windows\system32\xxnc6xxi.exe
    HKCU-Run-yejtet - c:\windows\system32\jteey0oetto.exe
    HKCU-Run-ssixixs - c:\windows\system32\nxiisxii.exe
    HKCU-Run-nddidd - c:\windows\system32\dis9s1issxi.exe
    HKCU-Run-dddssnn - c:\windows\system32\dxisd1si.exe
    HKCU-Run-wwl7b - c:\windows\system32\vbwqg1bglwq.exe
    HKCU-Run-bqqlbq - c:\windows\system32\l6llgbbw.exe
    HKCU-Run-ggbgq7 - c:\windows\system32\1gwwg6l.exe
    HKCU-Run-fafavfv - c:\windows\system32\aqf4ffvvf.exe
    HKCU-Run-jjdod8 - c:\windows\system32\jtd0yyyo3d.exe
    HKCU-Run-faavqaa - c:\windows\system32\kvkfaqqvf4q.exe
    HKCU-Run-vfqfav - c:\windows\system32\5qal9aq.exe
    HKCU-Run-flvllq - c:\windows\system32\f8aav1l6a.exe
    HKCU-Run-mbwrhh - c:\windows\system32\3bwmwr6.exe
    HKCU-Run-rbbwmh - c:\windows\system32\w7whrrh6w.exe
    HKCU-Run-rmrbmm - c:\windows\system32\rm1bmmrbwb.exe
    HKCU-Run-qqlbbq - c:\windows\system32\bqqlqq6g7.exe
    HKCU-Run-gwwbww - c:\windows\system32\bqlgglbg.exe
    HKLM-Run-CtrlVol - c:\program files\Launch Manager\CtrlVol.exe
    HKLM-Run-LaunchAp - c:\program files\Launch Manager\LaunchAp.exe
    HKLM-Run-Wbutton - c:\program files\Launch Manager\WButton.exe
    HKLM-Run-NPCTray - c:\program files\Norman\npc\bin\npc_tray.exe
    HKLM-Run-FBSSA - c:\program files\SGPSA\ie3sh.exe

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-05-05 16:53
    Windows 6.0.6002 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    CtrlVol = c:\program files\Launch Manager\CtrlVol.exe?????H????????????4???X&w????????????0???$???????d???4? w?Y????????&wR?&w??????????????????F?4???o??v????????x???t???+?A?????????J?A????1????|?????F?$l@?H???????????? A??/?1????J?A?[?@??????v@????????1??@????????
    LaunchAp = c:\program files\Launch Manager\LaunchAp.exe????H????????????4???X&w????????????0???$???????d???4? w?Y????????&wR?&w??????????????????F?4???o??v????????x???t???+?A?????????J?A????1????|?????F?$l@?H???????????? A??/?1????J?A?[?@??????v@????????1??@????????
    Wbutton = c:\program files\Launch Manager\WButton.exe?????H????????????4???X&w????????????0???$???????d???4? w?Y????????&wR?&w??????????????????F?4???o??v????????x???t???+?A?????????J?A????1????|?????F?$l@?H???????????? A??/?1????J?A?[?@??????v@????????1??@????????
    FBSSA = c:\program files\SGPSA\ie3sh.exe?et Explorer\URLSearchHooks?????????}&c=web&s=DSP&v=19&tid={6187905C

    Recherche de fichiers cachés ...

    c:\users\tatan\AppData\Roaming\LimeWire\mozilla-profile\places.sqlite-journal 0 bytes

    Scan terminé avec succès
    Fichiers cachés: 1

    **************************************************************************
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\program files\Norman\Npm\Bin\Elogsvc.exe
    c:\program files\Norman\Npm\Bin\Zanda.exe
    c:\program files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
    c:\program files\Nero\Nero8\Nero BackItUp\NBService.exe
    c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
    c:\program files\Fujitsu Siemens Computers\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe
    c:\program files\Norman\Npm\bin\NJEEVES.EXE
    c:\windows\system32\wbem\unsecapp.exe
    c:\windows\RtHDVCpl.exe
    c:\windows\system32\igfxsrvc.exe
    c:\program files\Windows Media Player\wmpnetwk.exe
    c:\program files\Synaptics\SynTP\SynTPEnh.exe
    c:\windows\servicing\TrustedInstaller.exe
    c:\windows\system32\consent.exe
    .
    **************************************************************************
    .
    Heure de fin: 2010-05-05 17:00:25 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-05-05 15:00

    Avant-CF: 20 610 412 544 octets libres
    Après-CF: 20 671 787 008 octets libres

    - - End Of File - - 236EC67F7014FE9803339D425811F960
    0
  10. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Ok.

    Telecharge:

    The avenger

    * dezippe le , Lance le , executer en tant qu'administrateur sous vista

    capture

    Dans le cadre , sous Input Script here , copie_colle ce qui est en gras ci dessous et clic execute:


    Files to delete:
    c:\users\tatan\AppData\Roaming\wklnhst.dat


    * Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine reponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt

    -----------

    *Copier ceci:

    c:\program files\Launch Manager\CtrlVol.exe

    *Aller sur Virus Total
    * Cliquer sur "Choisir"
    *Coller dans "nom du fichier" et envoyer le fichier
    *Puis coller le rapport généré
    0
  11. E___E___C___L Messages postés 10 Date d'inscription   Statut Membre Dernière intervention  
     
    rapport de the avenger:

    Logfile of The Avenger Version 2.0, (c) by Swandog46
    http://swandog46.geekstogo.com

    Platform: Windows Vista

    *******************

    Script file opened successfully.
    Script file read successfully.

    Backups directory opened successfully at C:\Avenger

    *******************

    Beginning to process script file:

    Rootkit scan active.
    No rootkits found!

    Completed script processing.

    *******************

    Finished! Terminate.
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      J'ai du me planter.

      Fais ceci

      = Copier ce texte qui est en gras



      File::
      c:\users\tatan\AppData\Roaming\wklnhst.dat




      ------------------------------

      = Ouvrir le Bloc-Notes
      = Clic-droit ==> coller
      = Faire ==> fichier ==> enregistrer sous ==> choisir Bureau
      = Le nommer CFScript.txt
      = Fermer le bloc-note
      = prendre ce Bloc-note qui est sur le bureau par un clic-gauche continu
      = L'amener dans Combofix et relacher le clic
      = Combofix se relance seul
      = mettre le rapport dans la réponse
      0
  12. E__E__C__L
     
    voila l'autre rapport

    ComboFix 10-05-05.06 - tatan 06/05/2010 10:10:07.2.1 - x86
    Microsoft® Windows Vista(TM) Édition Familiale Basique 6.0.6002.2.1252.33.1036.18.2038.1163 [GMT 2:00]
    Lancé depuis: c:\users\tatan\Documents\ComboFix.exe
    Commutateurs utilisés :: c:\users\tatan\Documents\CFScript.txt
    AV: Norman Security Suite ver. 7.00 *On-access scanning disabled* (Updated) {EB9EFB40-AE72-4C43-B204-0FCD0E92D5F1}
    SP: Lavasoft Ad-Watch Live! *disabled* (Updated) {67844DAE-4F77-4D69-9457-98E8CFFDAA22}
    SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

    FILE ::
    "c:\users\tatan\AppData\Roaming\wklnhst.dat"
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\users\tatan\AppData\Roaming\wklnhst.dat

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-04-06 au 2010-05-06 ))))))))))))))))))))))))))))))))))))
    .

    2010-05-06 08:14 . 2010-05-06 08:15 -------- d-----w- c:\users\tatan\AppData\Local\temp
    2010-05-06 08:14 . 2010-05-06 08:14 -------- d-----w- c:\users\Public\AppData\Local\temp
    2010-05-06 08:14 . 2010-05-06 08:14 -------- d-----w- c:\users\Default\AppData\Local\temp
    2010-05-05 12:25 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-05-05 12:25 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-05-05 11:40 . 2010-05-05 11:40 -------- d-----w- c:\users\tatan\AppData\Roaming\Malwarebytes
    2010-05-05 11:40 . 2010-05-05 12:25 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-05-05 11:40 . 2010-05-05 11:40 -------- d-----w- c:\programdata\Malwarebytes
    2010-05-05 11:33 . 2010-05-05 11:33 -------- d-----w- c:\users\tatan\AppData\Roaming\Yahoo!
    2010-05-05 11:33 . 2010-05-05 14:51 -------- d-----w- c:\program files\Yahoo!
    2010-05-05 11:33 . 2010-05-05 11:33 -------- d-----w- c:\program files\CCleaner
    2010-05-05 11:17 . 2010-05-05 14:01 -------- d-----w- c:\program files\ZHPDiag
    2010-04-19 13:01 . 2010-04-19 18:13 -------- d-----w- c:\program files\Pogo FR
    2010-04-18 19:54 . 2010-04-19 07:11 -------- d-sh--w- c:\programdata\SysWoW32
    2010-04-18 19:54 . 2010-04-19 07:11 -------- d-----w- c:\programdata\3729096
    2010-04-15 01:48 . 2010-04-20 16:20 1356 ----a-w- c:\users\tatan\AppData\Local\d3d9caps.dat
    2010-04-14 07:11 . 2010-02-18 14:07 904576 ----a-w- c:\windows\system32\drivers\tcpip.sys
    2010-04-14 07:11 . 2010-02-18 11:28 25088 ----a-w- c:\windows\system32\drivers\tunnel.sys
    2010-04-14 07:11 . 2010-02-18 13:30 200704 ----a-w- c:\windows\system32\iphlpsvc.dll
    2010-04-14 06:44 . 2010-02-23 11:10 212992 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
    2010-04-14 06:44 . 2010-02-23 11:10 79360 ----a-w- c:\windows\system32\drivers\mrxsmb20.sys
    2010-04-14 06:44 . 2010-02-23 11:10 106496 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
    2010-04-14 06:44 . 2010-02-18 14:07 3600776 ----a-w- c:\windows\system32\ntkrnlpa.exe
    2010-04-14 06:44 . 2010-02-18 14:07 3548040 ----a-w- c:\windows\system32\ntoskrnl.exe
    2010-04-14 06:43 . 2010-03-04 17:33 430080 ----a-w- c:\windows\system32\vbscript.dll
    2010-04-14 06:16 . 2009-12-23 11:33 172032 ----a-w- c:\windows\system32\wintrust.dll
    2010-04-14 06:16 . 2010-01-13 17:34 98304 ----a-w- c:\windows\system32\cabview.dll

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-05-06 07:29 . 2009-12-11 22:25 -------- d-----w- c:\users\tatan\AppData\Roaming\LimeWire
    2010-05-06 06:54 . 2009-08-27 19:10 -------- d-----w- c:\program files\Norman
    2010-05-05 14:57 . 2008-01-21 07:23 669566 ----a-w- c:\windows\system32\perfh00C.dat
    2010-05-05 14:57 . 2008-01-21 07:23 123556 ----a-w- c:\windows\system32\perfc00C.dat
    2010-05-05 13:51 . 2009-09-01 21:48 -------- d-----w- c:\users\tatan\AppData\Roaming\vlc
    2010-05-05 11:28 . 2010-02-22 23:48 -------- d-sh--w- c:\users\tatan\AppData\Roaming\lowsec
    2010-05-02 17:17 . 2009-09-04 22:20 -------- d-----w- c:\users\tatan\AppData\Roaming\dvdcss
    2010-04-21 15:30 . 2009-12-03 17:48 -------- d-----w- c:\programdata\McAfee Security Scan
    2010-04-15 01:21 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
    2010-04-15 01:05 . 2008-07-16 03:40 -------- d-----w- c:\programdata\Microsoft Help
    2010-03-09 16:25 . 2010-03-30 21:07 78336 ----a-w- c:\windows\system32\ieencode.dll
    2010-03-09 15:42 . 2010-03-30 21:07 834048 ----a-w- c:\windows\system32\wininet.dll
    2010-02-24 08:16 . 2009-10-02 22:33 181632 ------w- c:\windows\system32\MpSigStub.exe
    2010-02-24 07:46 . 2009-08-27 20:42 72944 ----a-w- c:\users\tatan\AppData\Local\GDIPFONTCACHEV1.DAT
    2010-02-12 10:32 . 2010-02-25 07:22 293376 ----a-w- c:\windows\system32\browserchoice.exe
    2010-02-10 09:00 . 2010-02-20 01:28 84912 ----a-w- c:\programdata\Symantec\Definitions\SymcData\virusdefs-2.5-e\20100219.002\NAVENG.SYS
    2010-02-10 09:00 . 2010-02-20 01:28 1324720 ----a-w- c:\programdata\Symantec\Definitions\SymcData\virusdefs-2.5-e\20100219.002\NAVEX15.SYS
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "WindowsWelcomeCenter"="oobefldr.dll" [2009-04-11 2153472]
    "Picasa Media Detector"="c:\program files\Picasa2\PicasaMediaDetector.exe" [2008-02-26 443968]
    "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-08-27 39408]
    "msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
    "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
    "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
    "IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-06-06 142104]
    "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-06-06 154392]
    "Persistence"="c:\windows\system32\igfxpers.exe" [2007-06-06 138008]
    "RtHDVCpl"="RtHDVCpl.exe" [2007-07-06 4669440]
    "HotkeyApp"="c:\program files\Launch Manager\HotkeyApp.exe" [2007-07-26 192512]
    "SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-08-17 102400]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
    "NeroFilterCheck"="c:\program files\Common Files\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]
    "FSCRecovery"="c:\program files\Fujitsu Siemens Computers\Fujitsu Siemens Computers Recovery\FSCRecoveryReminder.exe" [2008-05-08 268096]
    "Norman ZANDA"="c:\program files\Norman\Npm\bin\ZLH.EXE" [2008-06-02 277616]
    "Google EULA Launcher"="c:\program files\Google\Google EULA\GoogleEULALauncher.exe" [2008-05-28 20480]
    "Ad-Watch"="c:\program files\Lavasoft\Ad-Aware\AAWTray.exe" [2010-03-01 524632]
    "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-12-11 149280]
    "Skytel"="Skytel.exe" [2007-06-15 1826816]
    "Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "Picasa Media Detector"="c:\program files\Picasa2\PicasaMediaDetector.exe" [2008-02-26 443968]
    "fsc-reg"="c:\programdata\fsc-reg\fscreg.exe" [2007-11-08 533264]

    c:\users\tatan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
    LimeWire On Startup.lnk - c:\program files\LimeWire\LimeWire.exe [2009-12-16 503808]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "EnableUIADesktopToggle"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
    BootExecute REG_MULTI_SZ autocheck autochk *\0lsdelete\0aswBoot.exe /M:353215bcebb

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
    @="Service"

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
    "VistaSp2"=hex(b):2c,60,f5,1b,4f,82,ca,01

    R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 135664]
    S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys [2009-08-31 64160]
    S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [2010-03-01 1029456]
    S2 NVOY;Norman's Very Own supplY of resources;c:\program files\Norman\npm\bin\nvoy.exe [2008-02-07 121912]
    S3 NVCScheduler;Norman Virus Control Scheduler;c:\program files\Norman\Npm\bin\NVCSCHED.EXE [2007-09-18 154680]
    S3 WisLMSvc;WisLMSvc;c:\program files\Launch Manager\WisLMSvc.exe [2006-11-17 118784]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
    LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
    getPlusHelper REG_MULTI_SZ getPlusHelper
    .
    Contenu du dossier 'Tâches planifiées'

    2010-05-03 c:\windows\Tasks\Ad-Aware Update (Weekly).job
    - c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-18 19:41]

    2010-05-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 19:18]

    2010-05-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 19:18]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.fr/
    mStart Page = hxxp://www.google.com/ig/redirectdomain?brand=FUJD&bmod=FUJD
    IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
    IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-05-06 10:15
    Windows 6.0.6002 Service Pack 2 NTFS

    Recherche de processus cachés ...

    [0] 0x647A1B00

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    c:\users\tatan\AppData\Local\Temp\catchme.dll 53248 bytes executable

    Scan terminé avec succès
    Fichiers cachés: 1

    **************************************************************************
    .
    Heure de fin: 2010-05-06 10:18:21
    ComboFix-quarantined-files.txt 2010-05-06 08:18

    Avant-CF: 20 278 046 720 octets libres
    Après-CF: 20 246 274 048 octets libres

    - - End Of File - - 09E05CD7518A5805A67FD73D747356F7
    0
  13. E__E__C__L
     
    non c'est bon plus de pub qui s'ouvrent merci beaucoup pour ton aide
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      J'aimerais bien le scan VT ;)
      0