userini corrompu par Crypt.ZPACK.Gen Résolu/Fermé

Question

Bonjour, 
antivir m'a détecté un trojan :

Dans le fichier 'F:\WINDOWS\system32\userini.exe'
un virus ou un programme indésirable 'TR/Crypt.ZPACK.Gen' [trojan] a été détecté.

J'ai fait tourner hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:52:56, on 17/05/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\system32\ZoneLabs\vsmon.exe
F:\WINDOWS\Explorer.EXE
F:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Program Files\Avira\AntiVir Desktop\sched.exe
F:\Program Files\Avira\AntiVir Desktop\avguard.exe
F:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
F:\Program Files\Java\jre6\bin\jqs.exe
F:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
F:\WINDOWS\system32
vsvc32.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\system32\RUNDLL32.EXE
F:\WINDOWS\RTHDCPL.EXE
F:\WINDOWS\System32\svchost.exe
F:\Program Files\Nero\Nero 7\InCD\NBHGui.exe
F:\Program Files\Nero\Nero 7\InCD\InCD.exe
F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
F:\Program Files\Avira\AntiVir Desktop\avgnt.exe
F:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
F:\WINDOWS\system32\ctfmon.exe
F:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe
F:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
F:\Program Files\DAEMON Tools\daemon.exe
F:\Program Files\uTorrent\uTorrent.exe
F:\Program Files\eMule\emule.exe
F:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
F:\Program Files\Fichiers communs\Nikon\Monitor\NkMonitor.exe
F:\WINDOWS\VPro520.exe
F:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
F:\WINDOWS\system32\wbem\wmiapsrv.exe
F:\WINDOWS\system32\wuauclt.exe
F:\Program Files\Internet Explorer\IEXPLORE.EXE
F:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - F:\Program Files\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - F:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - F:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] F:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SecurDisc] F:\Program Files\Nero\Nero 7\InCD\NBHGui.exe
O4 - HKLM\..\Run: [InCD] F:\Program Files\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [userini] F:\WINDOWS\explorer.exe:userini.exe
O4 - HKLM\..\Run: [avgnt] "F:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LightScribe Control Panel] F:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "F:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DAEMON Tools] "F:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [updateMgr] F:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0
O4 - HKCU\..\Run: [userini] F:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Run: [uTorrent] "F:\Program Files\uTorrent\uTorrent.exe"
O4 - HKCU\..\Run: [eMuleAutoStart] F:\Program Files\eMule\emule.exe -AutoStart
O4 - HKLM\..\Policies\Explorer\Run: [userini] F:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Policies\Explorer\Run: [userini] F:\WINDOWS\explorer.exe:userini.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = F:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Nikon Monitor.lnk = F:\Program Files\Fichiers communs\Nikon\Monitor\NkMonitor.exe
O4 - Global Startup: VPro520.lnk = ?
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://F:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://F:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://F:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://F:\Program Files\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - F:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - F:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe
O16 - DPF: Garmin Communicator Plug-In - https://my.garmin.com/mygarmin/m/GarminAxControl.CAB
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.4.3.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - https://www.eset.com/
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {78ABDC59-D8E7-44D3-9A76-9A0918C52B4A} (DLoader Class) - http://dl.uc.sina.com/cab/downloader.cab
O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-2.0.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} (get_atlcom Class) - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - F:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - F:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - F:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - F:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - F:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - F:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - F:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - F:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\system32
vsvc32.exe
O23 - Service: ServiceLayer - Nokia - F:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - F:\WINDOWS\system32\ZoneLabs\vsmon.exe

broots_fr · Answer

il manque la fin du message qui est en gros :
merci de votre aide, je n'arrive pas à le supprimer :)

Smart91 · Answer

Bonjour,

On va faire une analyse plus poussée.

Télécharge ZHPDiag sur ton bureau 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
 
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 
-  Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer. (/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
-  Clique sur la loupe pour lancer l'analyse. 
-  Laisse l'outil travailler, il peut être assez long. 
-  Ferme ZHPDiag en fin d'analyse. 
-  Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/ 
-  Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 
-  Sélectionne le fichier ZHPDiag.txt. 
-  Clique sur "Cliquez ici pour déposer le fichier". 
-  Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page. 
-  Copie ce lien dans ta réponse.

Smart

broots_fr · Answer

fait :
http://www.cijoint.fr/cjlink.php?file=cj201005/cijk4366FB.txt

Smart91 · Answer

En effet tu as un MBR rootkit.

Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
Copie/colle les lignes suivantes et place les dans ZHPFix :

----------------------------------------------------------
MBRFix
O3 - Toolbar: (no name) - {710EB7A1-45ED-11D0-924A-0020AFC7AC4D} . (.Pas de propriétaire - Pas de description.)

----------------------------------------------------------

-  Clique sur « Tous », puis sur « Nettoyer »
-  Copie/colle la totalité du rapport dans ta prochaine réponse

Smart

broots_fr · Answer

ok, merci

broots_fr · Answer

ZHPFix v1.12.3099 by Nicolas Coolman - Rapport de suppression du 17/05/2010 23:15:36 Fichier d'export Registre : F:\ZHPExportRegistry-17-05-2010-23-15-36.txt Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html Contact : nicolascoolman@yahoo.fr Processus mémoire : (Néant) Module mémoire : (Néant) Clé du Registre : (Néant) Valeur du Registre : O3 - Toolbar: (no name) - {710EB7A1-45ED-11D0-924A-0020AFC7AC4D} . (.Pas de propriétaire - Pas de description.) => Valeur supprimée avec succès Elément de données du Registre : (Néant) Préférences navigateur : (Néant) Dossier : (Néant) Fichier : (Néant) Logiciel : (Néant) Script Registre : (Néant) Master Boot Record : Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x89B681E8]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\atapi -> 0x89b681e8 Warning: possible MBR rootkit infection ! user & kernel MBR OK Use "Recovery Console" command "fixmbr" to clear infection ! Resultat après le fix : Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK Autre : (Néant) Récapitulatif : Processus mémoire : 0 Module mémoire : 0 Clé du Registre : 0 Valeur du Registre : 1 Elément de données du Registre : 0 Dossier : 0 Fichier : 0 Logiciel : 0 Master Boot Record : 19 Préférences navigateur : 0 Autre : 0 End of the scan

Smart91 · Answer

OK. Maintenant tu fais ce qui suit:
Avant de commencer, fait une sauvegarde de tous tes documents 

Attention, cet outil n'est pas à utiliser à la légère, et doit être recommandé que par une personne formée à cet outil 
Imprime la procédure 

Télécharge ComboFix de sUBs sur ton Bureau : 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

Tutoriel pour bien utiliser l'outil ==> https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

-  /!\ Déconnecte-toi du net et DESACTIVE TOUTES LES DEFENSES, antivirus et antispyware y compris /!\
-  Double-clique sur ComboFix.exe 
-  Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter 
-  Surtout, accepte d'installer la console de récupération 
-  Mets-le en langue française F 
-  Tape sur la touche 1 (Yes) pour démarrer le scan. 

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de figer ton PC 
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu 

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ 

Note : Le rapport se trouve également là : C:\ComboFix.txt

Smart

broots_fr · Answer

pas très rassuré :)

ComboFix 10-05-16.02 - Broots 17/05/2010  23:39:29.1.2 - x86
Microsoft Windows XP Professionnel  5.1.2600.2.1252.33.1036.18.1983.1479 [GMT 2:00]
Lancé depuis: f:\documents and settings\Broots\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ZoneAlarm Firewall *enabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
[i] ADS - explorer.exe: deleted 0 bytes in 1 streams. /i

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

f:\windows\prefetch\explorer.exe
f:\windows\system32\dumphive.exe
f:\windows\system32\IEDFix.exe
f:\windows\system32\Process.exe
f:\windows\system32\SrchSTS.exe
f:\windows\system32	mp.reg
f:\windows\system32\userini.exe
f:\windows\system32\VCCLSID.exe
f:\windows\system32\WS2Fix.exe

.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-04-17 au 2010-05-17  ))))))))))))))))))))))))))))))))))))
.

2010-05-17 20:25 . 2010-05-17 21:15	--------	d-----w-	f:\program files\ZHPDiag
2010-05-16 07:44 . 2010-05-16 07:46	--------	d-----w-	f:\program files\MediaInfo
2010-05-14 12:55 . 2010-05-14 12:55	--------	d-----w-	f:\program files\Music NFO Builder
2010-05-01 08:37 . 2010-05-01 08:37	--------	d-----w-	f:\program files\Fichiers communs\PCSuite
2010-05-01 08:37 . 2010-05-01 08:37	--------	d-----w-	f:\program files\Fichiers communs\Nokia

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-17 21:45 . 2008-12-03 07:58	82319392	--sha-w-	f:\windows\system32\drivers\fidbox.dat
2010-05-17 21:34 . 2008-12-03 07:58	977564	--sha-w-	f:\windows\system32\drivers\fidbox.idx
2010-05-17 21:23 . 2009-07-29 21:55	--------	d-----w-	f:\documents and settings\Broots\Application Data\vlc
2010-05-17 21:19 . 2009-05-19 17:01	--------	d-----w-	f:\documents and settings\Broots\Application Data\dvdcss
2010-05-17 20:38 . 2008-06-22 23:06	--------	d-----w-	f:\documents and settings\Broots\Application Data\uTorrent
2010-05-17 17:21 . 2008-06-22 23:06	--------	d-----w-	f:\program files\uTorrent
2010-05-15 12:07 . 2010-05-15 12:08	2081792	----a-w-	f:\windows\Internet Logs\xDB28.tmp
2010-05-02 07:13 . 2009-03-27 06:36	11229233	----a-w-	f:\windows\Internet Logs	vDebug.zip
2010-05-01 08:40 . 2010-05-01 08:40	0	---ha-w-	f:\windows\system32\drivers\Msft_User_PCCSWpdDriver_01_07_00.Wdf
2010-05-01 08:40 . 2010-05-01 08:40	0	---ha-w-	f:\windows\system32\drivers\MsftWdf_user_01_07_00.Wdf
2010-05-01 08:39 . 2009-02-12 19:32	--------	d-----w-	f:\documents and settings\All Users\Application Data\PC Suite
2010-05-01 08:37 . 2009-02-12 19:29	--------	d-----w-	f:\program files\Nokia
2010-05-01 08:34 . 2009-02-12 19:32	--------	d-----w-	f:\documents and settings\Broots\Application Data\Nokia
2010-04-26 18:59 . 2010-04-26 19:00	2050048	----a-w-	f:\windows\Internet Logs\xDB27.tmp
2010-04-26 18:59 . 2010-04-26 19:00	673792	----a-w-	f:\windows\Internet Logs\xDB26.tmp
2010-04-26 17:54 . 2010-04-26 17:55	2049536	----a-w-	f:\windows\Internet Logs\xDB25.tmp
2010-04-26 17:54 . 2010-04-26 17:55	2042880	----a-w-	f:\windows\Internet Logs\xDB24.tmp
2010-04-18 08:33 . 2010-04-18 08:34	2347520	----a-w-	f:\windows\Internet Logs\xDB22.tmp
2010-04-18 08:33 . 2010-04-18 08:34	2047488	----a-w-	f:\windows\Internet Logs\xDB23.tmp
2010-04-17 18:08 . 2010-04-17 18:09	2045952	----a-w-	f:\windows\Internet Logs\xDB21.tmp
2010-04-17 18:08 . 2010-04-17 18:09	2273280	----a-w-	f:\windows\Internet Logs\xDB20.tmp
2010-04-17 16:08 . 2010-04-05 17:10	--------	d-----w-	f:\program files\Java
2010-04-17 16:08 . 2002-09-07 00:00	48856	----a-w-	f:\windows\system32\perfc00C.dat
2010-04-17 16:08 . 2002-09-07 00:00	368076	----a-w-	f:\windows\system32\perfh00C.dat
2010-04-16 07:18 . 2010-04-16 07:19	2034688	----a-w-	f:\windows\Internet Logs\xDB1F.tmp
2010-04-16 07:18 . 2010-04-16 07:19	2592768	----a-w-	f:\windows\Internet Logs\xDB1E.tmp
2010-04-12 15:29 . 2010-04-17 16:08	411368	----a-w-	f:\windows\system32\deployJava1.dll
2010-04-07 21:48 . 2010-04-07 21:49	2028544	----a-w-	f:\windows\Internet Logs\xDB1D.tmp
2010-04-07 21:48 . 2010-04-07 21:49	1433600	----a-w-	f:\windows\Internet Logs\xDB1C.tmp
2010-04-06 20:26 . 2010-04-06 20:27	830976	----a-w-	f:\windows\Internet Logs\xDB1B.tmp
2010-04-05 18:26 . 2010-04-05 18:27	943616	----a-w-	f:\windows\Internet Logs\xDB1A.tmp
2010-04-05 16:59 . 2010-04-05 17:00	2014720	----a-w-	f:\windows\Internet Logs\xDB19.tmp
2010-04-05 16:59 . 2010-04-05 17:00	2225664	----a-w-	f:\windows\Internet Logs\xDB18.tmp
2010-04-05 16:16 . 2010-04-05 16:17	2014208	----a-w-	f:\windows\Internet Logs\xDB17.tmp
2010-04-05 12:15 . 2010-04-05 12:16	2013184	----a-w-	f:\windows\Internet Logs\xDB16.tmp
2010-04-04 20:14 . 2010-04-04 20:15	2011648	----a-w-	f:\windows\Internet Logs\xDB15.tmp
2010-04-04 20:14 . 2010-04-04 20:15	710144	----a-w-	f:\windows\Internet Logs\xDB14.tmp
2010-04-04 18:03 . 2010-04-04 18:04	2011136	----a-w-	f:\windows\Internet Logs\xDB13.tmp
2010-04-04 18:03 . 2010-04-04 18:04	2786816	----a-w-	f:\windows\Internet Logs\xDB12.tmp
2010-04-04 14:48 . 2010-04-04 14:49	2012160	----a-w-	f:\windows\Internet Logs\xDB11.tmp
2010-03-29 17:46 . 2010-03-29 17:47	2695680	----a-w-	f:\windows\Internet Logs\xDBF.tmp
2010-03-29 17:46 . 2010-03-29 17:47	2004480	----a-w-	f:\windows\Internet Logs\xDB10.tmp
2010-03-29 15:49 . 2008-06-22 23:41	--------	d-----w-	f:\documents and settings\Broots\Application Data\Free Download Manager
2010-03-22 20:28 . 2010-03-22 20:29	4833280	----a-w-	f:\windows\Internet Logs\xDBD.tmp
2010-03-22 20:28 . 2010-03-22 20:29	1994240	----a-w-	f:\windows\Internet Logs\xDBE.tmp
2010-03-11 20:07 . 2010-03-11 20:07	503808	----a-w-	f:\documents and settings\Broots\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-2d1b4e88-n\msvcp71.dll
2010-03-11 20:07 . 2010-03-11 20:07	499712	----a-w-	f:\documents and settings\Broots\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-2d1b4e88-n\jmc.dll
2010-03-11 20:07 . 2010-03-11 20:07	348160	----a-w-	f:\documents and settings\Broots\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-2d1b4e88-n\msvcr71.dll
2010-03-11 20:07 . 2010-03-11 20:07	61440	----a-w-	f:\documents and settings\Broots\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-4f0dfa1b-n\decora-sse.dll
2010-03-11 20:07 . 2010-03-11 20:07	12800	----a-w-	f:\documents and settings\Broots\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-4f0dfa1b-n\decora-d3d.dll
2010-03-04 23:47 . 2010-03-04 23:48	1951744	----a-w-	f:\windows\Internet Logs\xDBC.tmp
2010-03-04 23:47 . 2010-03-04 23:48	2251264	----a-w-	f:\windows\Internet Logs\xDBB.tmp
2010-02-25 08:55 . 2010-02-25 08:55	12212040	----a-w-	f:\documents and settings\All Users\Application Data\OviInstallerCache\{927AA2A2-7631-4EA2-A1F9-252D27B9D0A2}\Installer\CommonCustomActions\WMFDist11-WindowsXP-X86-ENU.exe
2010-02-25 08:55 . 2010-02-25 08:55	13930312	----a-w-	f:\documents and settings\All Users\Application Data\OviInstallerCache\{927AA2A2-7631-4EA2-A1F9-252D27B9D0A2}\Installer\CommonCustomActions\WMFDist11-WindowsXP-X64-ENU.exe
2010-02-25 08:55 . 2010-02-25 08:55	77824	----a-w-	f:\documents and settings\All Users\Application Data\OviInstallerCache\{927AA2A2-7631-4EA2-A1F9-252D27B9D0A2}\Installer\CommonCustomActions\Run_XML6_SP1.exe
2010-02-25 08:55 . 2010-02-25 08:55	61440	----a-w-	f:\documents and settings\All Users\Application Data\OviInstallerCache\{927AA2A2-7631-4EA2-A1F9-252D27B9D0A2}\Installer\CommonCustomActions\WMF11Runx86.exe
2010-02-25 08:55 . 2010-02-25 08:55	58880	----a-w-	f:\documents and settings\All Users\Application Data\OviInstallerCache\{927AA2A2-7631-4EA2-A1F9-252D27B9D0A2}\Installer\CommonCustomActions\WMF11Runx64.exe
2010-02-25 08:55 . 2010-02-25 08:55	50000	----a-w-	f:\documents and settings\All Users\Application Data\OviInstallerCache\{927AA2A2-7631-4EA2-A1F9-252D27B9D0A2}\Installer\CommonCustomActions\pcswpc.exe
2010-02-25 08:54 . 2010-02-25 08:54	98302544	----a-w-	f:\documents and settings\All Users\Application Data\OviInstallerCache\{927AA2A2-7631-4EA2-A1F9-252D27B9D0A2}\Nokia_Ovi_Suite_PCS_Update.exe
2010-02-21 12:13 . 2010-02-21 12:14	2919936	----a-w-	f:\windows\Internet Logs\xDB9.tmp
2010-02-21 12:13 . 2010-02-21 12:14	1917952	----a-w-	f:\windows\Internet Logs\xDBA.tmp
2010-02-18 10:41 . 2010-02-18 10:42	1885184	----a-w-	f:\windows\Internet Logs\xDB8.tmp
2008-07-26 23:19 . 2008-07-26 23:19	119	----a-w-	f:\program files\satsukidecodersettings.ini
.

------- Sigcheck -------

[-] 2004-08-04 . C1783498EDB152656303B5D5BCABD86C . 359040 . . [5.1.2600.2180] . . f:\windows\system32\dllcache	cpip.sys
[-] 2004-08-04 . C1783498EDB152656303B5D5BCABD86C . 359040 . . [5.1.2600.2180] . . f:\windows\system32\drivers	cpip.sys
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LightScribe Control Panel"="f:\program files\Fichiers communs\LightScribe\LightScribeControlPanel.exe" [2007-08-23 455968]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="f:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 152872]
"DAEMON Tools"="f:\program files\DAEMON Tools\daemon.exe" [2007-04-03 165784]
"updateMgr"="f:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]
"uTorrent"="f:\program files\uTorrent\uTorrent.exe" [2010-05-16 322352]
"eMuleAutoStart"="f:\program files\eMule\emule.exe" [2009-02-22 5668864]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="f:\windows\system32\NvCpl.dll" [2007-10-04 8491008]
"nwiz"="nwiz.exe" [2007-10-04 1626112]
"NvMediaCenter"="f:\windows\system32\NvMcTray.dll" [2007-10-04 81920]
"RTHDCPL"="RTHDCPL.EXE" [2007-08-20 16384512]
"NeroFilterCheck"="f:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"SecurDisc"="f:\program files\Nero\Nero 7\InCD\NBHGui.exe" [2007-06-25 1629480]
"InCD"="f:\program files\Nero\Nero 7\InCD\InCD.exe" [2007-06-25 1057064]
"ZoneAlarm Client"="f:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"avgnt"="f:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="f:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="f:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

f:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Lancement rapide d'Adobe Reader.lnk - f:\program files\Adobe\Acrobat 7.0\Readereader_sl.exe [2008-4-23 29696]
Nikon Monitor.lnk - f:\program files\Fichiers communs\Nikon\Monitor\NkMonitor.exe [2007-10-18 479232]
VPro520.lnk - f:\windows\VPro520.exe [2008-6-23 73728]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
Trusted	1bfa

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"f:\Program Files\uTorrent\uTorrent.exe"=
"f:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"f:\Program Files\Windows Live\Messenger\livecall.exe"=
"f:\Program Files\Sports Interactive\Football Manager 2010\fm.exe"=

R0 pavboot;pavboot;f:\windows\system32\drivers\pavboot.sys [03/12/2008 22:55 28544]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;f:\program files\Avira\AntiVir Desktop\sched.exe [20/02/2010 21:22 108289]
R3 SPC520;Philips SPC520NC PC Camera;f:\windows\system32\drivers\SPC520.sys [23/06/2008 21:36 85504]
R3 SPC520m;Philips SPC520NC PC Cameram;f:\windows\system32\drivers\SPC520m.sys [23/06/2008 21:36 7680]
R3 WlanUIG;Sagem 802.11g Wireless LAN USB Adapter Driver;f:\windows\system32\drivers\WlanUIG.sys [22/06/2008 22:15 379456]
S0 sptd;sptd;f:\windows\system32\drivers\sptd.sys [29/06/2008 10:05 682232]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper	REG_MULTI_SZ   	getPlusHelper

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-08-23 15:34	451872	----a-w-	f:\program files\Fichiers communs\LightScribe\LSRunOnce.exe
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
IE: Tout télécharger avec Free Download Manager - file://f:\program files\Free Download Manager\dlall.htm
IE: Télécharger avec Free Download Manager - file://f:\program files\Free Download Manager\dllink.htm
IE: Télécharger la sélection avec Free Download Manager - file://f:\program files\Free Download Manager\dlselected.htm
IE: Télécharger la vidéo avec Free Download Manager - file://f:\program files\Free Download Manager\dlfvideo.htm
DPF: Garmin Communicator Plug-In - hxxps://my.garmin.com/mygarmin/m/GarminAxControl.CAB
DPF: {78ABDC59-D8E7-44D3-9A76-9A0918C52B4A} - hxxp://dl.uc.sina.com/cab/downloader.cab
DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} - hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-2.0.cab
FF - ProfilePath - f:\documents and settings\Broots\Application Data\Mozilla\Firefox\Profiles\5kiqth56.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - plugin: f:\program files\Mozilla Firefox\plugins
pdeployJava1.dll

---- PARAMETRES FIREFOX ----
f:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
f:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
f:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
f:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
f:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
f:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
f:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
f:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
f:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
f:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-userini - f:\windows\explorer.exe:userini.exe
HKLM-Run-userini - f:\windows\explorer.exe:userini.exe
HKLM-Explorer_Run-userini - f:\windows\explorer.exe:userini.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-17 23:45
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2010-05-17  23:47:38
ComboFix-quarantined-files.txt  2010-05-17 21:47

Avant-CF: 30 417 940 480 octets libres
Après-CF: 30 626 304 000 octets libres

- - End Of File - - 22F0DA249EA9635FFA0E243263F04851

Smart91 · Answer

OK Combofix a fait son travail
Refais un rapport ZHP

Smart

broots_fr · Answer

et voilà :

http://www.cijoint.fr/cjlink.php?file=cj201005/cijSCMIL4j.txt

Smart91 · Answer

Il faut que je vérifie quelque chose
Télécharge mbr.exe de Gmer ici ==> http://www2.gmer.net/mbr/mbr.exe 
et enregistre le fichier sur le Bureau. 

Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident) 
- Double clique sur mbr.exe 
- Un rapport sera généré : mbr.log

En cas d'infection, ce message "MBR rootkit code detected" va apparaitre. 

Si c'est le cas, continue comme ça : 

- Dans le menu Démarrer >  Exécuter tape : "%userprofile%\Bureau\mbr" -f 
- Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !" 
- Réactive tes protections 
- Poste ce rapport et supprimes-le ensuite. 

Pour vérifier 

- Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident) 
- Relance mbr.exe 
- Réactive tes protections. 

Poste le nouveau mbr.log

PS: cela te fait deux rapports à poster

Smart

broots_fr · Answer

a priori non :

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Smart91 · Answer

C'est bon mais je voulais m'en assurrer. On va vérifier autre chose. 
Peux-tu aller sur le ce site : https://www.virustotal.com/gui/ 
Tu copies ce fichier dans la case à coté de parcourir: 
F:\WINDOWS\PEV.exe 
Et tu fais envoyer. ensuite tu attends car le fichier est en liste d'attente et tu postes le rapport 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

broots_fr · Answer

MD5:  	f1fba6185a6a2bc6456970914875078e
First received: 	2010.04.27 18:36:25 UTC
Date 	2010.05.17 04:02:48 UTC [<1D]
Résultats 	2/41
Permalink: 	analisis/deaaab3b825ebadb6395e0be7671f96fd30ca8f76159b53c2d11da5c2ca7b7d0-1274068968

Antivirus 	Version 	Dernière mise à jour 	Résultat
a-squared 	4.5.0.50 	2010.05.10 	-
AhnLab-V3 	2010.05.16.00 	2010.05.15 	-
AntiVir 	8.2.1.242 	2010.05.16 	-
Antiy-AVL 	2.0.3.7 	2010.05.14 	-
Authentium 	5.2.0.5 	2010.05.16 	-
Avast 	4.8.1351.0 	2010.05.16 	-
Avast5 	5.0.332.0 	2010.05.16 	-
AVG 	9.0.0.787 	2010.05.16 	-
BitDefender 	7.2 	2010.05.17 	-
CAT-QuickHeal 	10.00 	2010.05.17 	(Suspicious) - DNAScan
ClamAV 	0.96.0.3-git 	2010.05.17 	-
Comodo 	4859 	2010.05.16 	-
DrWeb 	5.0.2.03300 	2010.05.17 	-
eSafe 	7.0.17.0 	2010.05.16 	Suspicious File
eTrust-Vet 	35.2.7490 	2010.05.15 	-
F-Prot 	4.5.1.85 	2010.05.16 	-
F-Secure 	9.0.15370.0 	2010.05.17 	-
Fortinet 	4.1.133.0 	2010.05.16 	-
GData 	21 	2010.05.17 	-
Ikarus 	T3.1.1.84.0 	2010.05.17 	-
Jiangmin 	13.0.900 	2010.05.16 	-
Kaspersky 	7.0.0.125 	2010.05.17 	-
McAfee 	5.400.0.1158 	2010.05.17 	-
McAfee-GW-Edition 	2010.1 	2010.05.16 	-
Microsoft 	1.5703 	2010.05.17 	-
NOD32 	5119 	2010.05.17 	-
Norman 	6.04.12 	2010.05.16 	-
nProtect 	2010-05-16.01 	2010.05.16 	-
Panda 	10.0.2.7 	2010.05.16 	-
PCTools 	7.0.3.5 	2010.05.17 	-
Prevx 	3.0 	2010.05.17 	-
Rising 	22.48.00.00 	2010.05.17 	-
Sophos 	4.53.0 	2010.05.17 	-
Sunbelt 	6311 	2010.05.17 	-
Symantec 	20101.1.0.89 	2010.05.17 	-
TheHacker 	6.5.2.0.280 	2010.05.14 	-
TrendMicro 	9.120.0.1004 	2010.05.17 	-
TrendMicro-HouseCall 	9.120.0.1004 	2010.05.17 	-
VBA32 	3.12.12.5 	2010.05.14 	-
ViRobot 	2010.5.15.2318 	2010.05.16 	-
VirusBuster 	5.0.27.0 	2010.05.16 	-
Information additionnelle
File size: 256512 bytes
MD5   : f1fba6185a6a2bc6456970914875078e
SHA1  : a3a0da9b072ad4ceab9aec41af71a730d9b44744
SHA256: deaaab3b825ebadb6395e0be7671f96fd30ca8f76159b53c2d11da5c2ca7b7d0
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000
timedatestamp.....: 0x4BD0E994 (Fri Apr 23 02:28:04 2010)
machinetype.......: 0x14C (Intel I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xCD000 0x3D200 8.00 10fd9cd92edc7a153b218ddee60205c2
.rsrc 0xCE000 0x2000 0x1200 7.15 819809785c41fb4f99e9a4bbda6774ba
.reloc 0xD0000 0x200 0x200 0.21 3c3c8a3260698cdfd07b5610e18e4e45

( 1 imports )

> kernel32.dll: LoadLibraryA, GetProcAddress, VirtualAlloc, VirtualFree

( 0 exports )
TrID  : File type identification
Win32 EXE PECompact compressed (v2.x) (48.9%)
Win32 EXE PECompact compressed (generic) (34.4%)
Win32 Executable Generic (7.0%)
Win32 Dynamic Link Library (generic) (6.2%)
Generic Win/DOS Executable (1.6%)
Symantec reputation: Suspicious.Insight https://www.broadcom.com/support/security-center
ssdeep: 6144:/uhtJBJ/2pIHsWNUhP58juAgJF16QXh7BIixl5EHg2:/uvopIHHjpgJF16WVl
sigcheck: publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
PEiD  : -
packers (Kaspersky): PE_Patch.PECompact, PecBundle, PECompact
packers (F-Prot): PecBundle, PECompact
RDS   : NSRL Reference Data Set

Smart91 · Answer

C'est bon.
Maintenant, (désolé mai pour une désinfectio il faut souvent plusieurs outils):

Télécharge FindyKill (créé par El Desaparecido) et enregistre-le sur ton bureau

-  tutoriel recherche
-  /!\ Ne fais pas le nettoyage tout dessuite /!\
-  Double-clique sur le raccourci FindyKill sur ton bureau, l'installation se fera automatiquement
-  Au menu principal,choisis l'option 1 (Recherche)
-  Poste le rapport FindyKill.txt

* Note : le rapport FindyKill.txt est sauvegardé a la racine du disque: c:\Findykill.txt

Smart

broots_fr · Answer

############################## | FindyKill V5.043 |

# User : Broots (Administrateurs) # PCBROOTS
# Update on 12/05/2010 by El Desaparecido
# Start at: 01:35:35 | 18/05/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# Intel(R) Celeron(R) CPU        E1200  @ 1.60GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Disabled
# AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]
# FW : ZoneAlarm Firewall[ Enabled ]7.0.483.000

# D:\ # Disque fixe local # 200,43 Go (4,73 Go free) [FILMS] # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque fixe local # 97,65 Go (28,81 Go free) [SYSTEM] # NTFS
# G:\ # Disque fixe local # 78,13 Go (41,04 Go free) [PICS MP3 FILMS_OK] # NTFS
# H:\ # Disque fixe local # 74,53 Go (9,14 Go free) [SERIES] # NTFS

################## | Eléments infectieux |


################## | Registre |

[HKCR\ed2k]  
[HKCU\Software\Classes\ed2k]  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "eMuleAutoStart"  
[HKU\S-1-5-21-583907252-1935655697-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run] "eMuleAutoStart"  

################## | Etat |

# Affichage des fichiers cachés : OK
 
# Mode sans echec : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 

################## | ! Fin du rapport # FindyKill V5.043 ! |

Smart91 · Answer

Une dernière vérification. le scan reisque d'être plus long /!\ Utilisateurs de Vista et Windows 7 : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard : Pour Vista : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac Pour Windows 7: https://www.androidworld.fr/ - Télécharge Malwarebytes - Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement. - Fais la mise à jour du logiciel, c'est très important (elle se fait normalement à l'installation) - Lance une analyse complète en cliquant sur "Exécuter un examen complet" - Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen" - L'analyse peut durer un bon moment..... - Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats" - Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK" - Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum * Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée Smart

broots_fr · Answer

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4052

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

18/05/2010 02:12:01
mbam-log-2010-05-18 (02-12-01).txt

Type d'examen: Examen complet (F:\|)
Elément(s) analysé(s): 155935
Temps écoulé: 26 minute(s), 43 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
F:\Qoobox\Quarantine\F\WINDOWS\system32\userini.exe.vir (Trojan.Dropper) -> Quarantined and deleted successfully.
F:\System Volume Information\_restore{85BA4F58-F266-46DF-8EC0-BA313B45D0B2}\RP339\A0140175.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

Smart91 · Answer

Relance MBAM et vide la quarantaine, et refais un rapport ZHPDiag

Smart

broots_fr · Answer

fait

http://www.cijoint.fr/cjlink.php?file=cj201005/cijhWdd344.txt

Smart91 · Answer

Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
Copie/colle les lignes suivantes et place les dans ZHPFix :

----------------------------------------------------------
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified

----------------------------------------------------------

-  Clique sur « Tous », puis sur « Nettoyer »
-  Copie/colle la totalité du rapport dans ta prochaine réponse

Smart

broots_fr · Answer

ZHPFix v1.12.3099  by Nicolas Coolman - Rapport de suppression du 18/05/2010 18:23:58
Fichier d'export Registre : F:\ZHPExportRegistry-18-05-2010-18-23-58.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

Contact : nicolascoolman@yahoo.fr

Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
(Néant)

Elément de données du Registre :
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified  => Donnée supprimée avec succès

Préférences navigateur :
(Néant)

Dossier :
(Néant)

Fichier :
(Néant)

Logiciel :
(Néant)

Script Registre :
(Néant)

Master Boot Record :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 1
Dossier : 0
Fichier : 0
Logiciel : 0
Master Boot Record : 0
Préférences navigateur : 0
Autre : 0


End of the scan

Smart91 · Answer

C'est bon la donnée a été supprimée. 

Comment se comporte ton PC? 

Je vais partir en en redez_vous mais je serais de retour en début de soiré et je serais là pour finaliser. 
En effet il faut faire des mises à jour importantes, supprimer les outils que je t'ai faits installer optimiser et quelques conseil de préventions 

Smart

broots_fr · Answer

je n'ai plus le message, c'est cool !

Smart91 · Answer

Hé bien c'est bon. On va quand même refaire un ZHPDiag pour vérifier une dernière fois (J'ame bien être sûr) et ensuite on passe à la phase mises à jour et nettoyage des outils

Smart

broots_fr · Answer

http://www.cijoint.fr/cjlink.php?file=cj201005/cijz4aLoPG.txt

Smart91 · Answer

On a presque terminé.  

Tu as deux antivirus Antivir et Norton. Il faut en garder qu'un seul. Sacahnt que Norton est payant tu garder Antivir mais mest le à jour dans ce cas. En effet deux antivirus sont cause de conflit et ralentissent ton PC  

1. Désinstallation des outils  

Télécharge Toolscleaner sur ton Bureau:   
- Double-clique sur ToolsCleaner2.exe et laisse le travailler   
- Clique sur Recherche et laisse le scan se terminer.   
- Clique sur Suppression pour finaliser.   
- Tu peux, si tu le souhaites, te servir des Options facultatives.   
- Clique sur Quitter, pour que le rapport puisse se créer.   
- Le rapport (TCleaner.txt) se trouve à la racine du disque dur (C:\)...colle le dans ta prochaine réponse.   

2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :   
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....   
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.   
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre).   

3. Désactiver la restauration système et céer un point de restauration   
Dans la barre des tâches de Windows, clique sur Démarrer.   
Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés.   
Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système"   
Clique sur Appliquer.   
Ensuite décoche "Désactiver la restauration du systeme"   
Clique sur appliquer puis ok   
Créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils systeme => restauration du système => créer un point de restauration => tu mets un nom (par exemple : PR après désinfection) puis tu valides  

Fais les mises à jours suivantes :  

Mise à jour IE8 ( indispensavble pour les mises à jour de Windows  
https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70  

Mise à jour Windows vers SP3:  
http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=fr  

Mise à jour Adobe  
Désinstalle Adobe 8  
Installe Adobe 9  

Mise à jour console java :  

Télécharge JavaRa.zip de Paul McLain et Fred de Vries.  

http://raproducts.org/click/click.php?id=1  

- Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).  
- Double-clique sur le répertoire JavaRa.  
- Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).  
- Choisis Français puis clique sur Select.  
- Clique sur Recherche de mises à jour.  
- Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.  
- Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.  
- L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.  
- Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.  
- Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.  
- Ferme l'application.  
Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.  

Quelques conseils de Prévention  

- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement.   

- Par rapport au P2P : http://www.libellules.ch/...   

- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) :   
Prévention et Protection  

Sois plus vigilant(e) sur Internet à l'avenir  

Voilà pour moi c'est terminé. Si tu as des question n'hésite pas.  

Smart  

"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

broots_fr · Answer

F:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
F:\Documents and Settings\Broots\Application Data\Microsoft\Internet Explorer\Quick Launch\HijackThis.lnk: supprimé !
F:\Documents and Settings\Broots\Mes documents\Téléchargements\antivir\ComboFix.exe: ERREUR DE SUPPRESSION !!
F:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
F:\Program Files\ZHPDiag\ZHPdiag.exe: supprimé !
F:\Combofix.txt: supprimé !
F:\Documents and Settings\Broots\Bureau\mbr.log: supprimé !
F:\Documents and Settings\Broots\Bureau\mbr.exe: supprimé !
F:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
F:\Program Files\ZHPDiag\mbr.log: supprimé !
F:\Program Files\ZHPDiag\mbr.exe: supprimé !
F:\Qoobox\Quarantine\catchme.log: supprimé !
F:\WINDOWS\mbr.exe: supprimé !
F:\Qoobox: supprimé !
F:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
F:\Program Files\ZHPDiag: supprimé !
F:\Program Files\Trend Micro\HijackThis: supprimé !

broots_fr · Answer

ok pour combix il était en lecture seule. Je l'ai supprimé

sinon, tu me parles de Norton mais je n'ai pas Norton, en tt cas il n'est visible nulle part (ni dans ajout / suppr de programmes ni dans le menu démarrer)

broots_fr · Answer

ok je vais regarder ça.
Merci pour tout Smart !

Smart91 · Answer

OK Tiens moi au courant. 

Smart

Userini corrompu par Crypt.ZPACK.Gen

31 réponses

Discussions similaires