PC qui ne démarre plus + virus

Question

Bonjourno tout le monde, 

Le PC sur lequel je vais travailler m'a l'air complétement infecté. Il ne démarre plus (la page du choix mode normal/sans échec s'affiche avec le compte à rebours, et dans les deux cas, windows ne se lance pas, le PC redémarre et.... retour à la page du choix mode normal/sans échec !)...

Il semble également qu'il y est spidermessenger en processus actif lorsque j'arrive à l'allumer en passant par F11 (HP recovery).

En fait, j'appui sur F11, le recovery s'initialise et lorsque j'arrive sur l'écran d'accueil (choix sauvegarde fichier ou formatage), je fais annuler et la le PC démarre (pourki pourkoi ??)...

Comment procéder, faire un rapport HijackThis et vous le poster, avec un autre analyseur ?

Je suis en train d'utiliser unlocker en ce moment, pour le problème de spidermessnger (vu sur ccm).

Merci pour votre aide

Co


Configuration: Windows XP / Firefox 3.5.9out le monde

Malekal_morte- · Answer

Salut,

Quand tu as le compte à rebours fais ça :
Menu Démarrer / exécuter et tape : shutdown -a

Essaye de sauvegarder tes données, on est pas à l'abbri d'un plantage de Windows.
Laisser tomber unlocker.




Désactive les logiciels de protection (Antivirus, Antispywares) puis :     

Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!     

Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.     

Eventuellement, installe la console de récupération comme cela est conseillé     

Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.     

Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix     

PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.     

Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.     



Puis :     


- Télécharge  http://www.trendsecure.com/portal/fr/_download/HJTInstall.exe ton bureau.     
- Double-clic sur HijackThis     
- Génère un rapport en suivant ces indications :     
    - Exécute le et clique sur Do a scan and save log file.     
    - Le rapport s'ouvre sur le Bloc-Note     
- Colle le rapport ici, pour cela :     
    - Menu Edition / Selectionner Tout     
    - Menu Edition / copier     
    - Ici dans un nouveau message : clic droit / coller

Co · Answer

ok, merci pour cette rapide réponse, je suis tes indications de suite et je poste les rapports. 

Par contre, je me suis mal exprimé pour le redémarrage, je n'arrive même pas jusqu'a l'écran de bureau. Le PC redémarre a peu près au moment du logo windows avec la barre de défilement dessous. (c'est compréhensible comme explication ?)

Et c'est le même topo en mode sans échec (avec ou sans prise en charge réseau). Le seul moyen de le faire démarrer (pour l'instant) c'est la manip en passant par F11... manip' que je n'explique pas !

@ tout de suite...

Co

Co · Answer

e,

Je m'explique assez mal, désolé. Je reprends :
- j'allume mon PC >> écran de choix du mode de démarrage
- peu importe le choix, lorsque le PC est sur la page "logo windows+barre de défilement", il redémarre.

du coup, en faisant F11 dès le début, j'accède au HP recovery, il s'initialise, j'arrive sur l'écran d'accueil et la je fais "annuler" et alors l'ordi démarre correctement... et j'ai donc accès au bureau etc...

Est-ce plus clair ?

Les rapports ce trouvent ici :

http://www.cijoint.fr/cjlink.php?file=cj201005/cijp62y8Sk.txt 

Qu'en pensez-vous ?

PS: désolé du retard, j'avais cru posté ce matin mais en fait ca a du planter vu la longueur du post !

Merci d'avance

Co

Malekal_morte- · Answer

wow OK. Bizarre la feinte pour pouvoir démarrer.    

Tu as installé des programmes EoRezo, sais-tu que le service transmet certaines informations ? comme par exemple ton adresse, numéro de télephone qui ont été saisis lors de l'inscription ?     
EoRezo modifie aussi ta page de démarrge vers lo.st, il se peux aussi que ce site transmettent certaines informations.     

Pour plus d'informations se reporter à cette page : https://forum.malekal.com/viewtopic.php?t=18245&start=     

Désinstalle les programmes EoRezo, vas dans ajout/suppression de programmes du panneau de configuration puis désinstalle les programmes commençant par Eo et Software Update.     

Change ta page de démarrage : Dans Internet Explorer : Menu Outils puis Options Internet et tu changes ta page de démarrage.     

~~~     


DESACTIVE LA PROTECTION ANTIVIR DURANT LA PROCEDURE     

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :     

driver:: 
xtpkbmvx 
wslag
file::   
c:\windows\system32\drivers\xtpkbmvx.sys 
c:\windows\system32\drivers\wslag.sys      

Enregistre ce fichier sous le nom CFScript     

[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe      

[*]Combofix se lance, laisse toi guider..     

[*]Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!     
Ne touche à rien tant que le scan n'est pas terminé.     
[*]Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis     


Madness Rox \o/

Co · Answer

Bonjour,

Je viens d'effectuer les manip' (désinstallation d'eorezo et combofix).

J'ai essayé de redémarrer mon pc, le problème n'a pas changé. J'ai aussi des alertes de spybot S&D en permanence pour me dmeander l'autorisation de modification de valeurs (diverses).

Voici le rapport combofix :

ComboFix 10-05-17.03 - Administrateur 19/05/2010  10:25:58.2.2 - x86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.2942.2125 [GMT 2:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Administrateur\Bureau\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((   Fichiers créés du 2010-04-19 au 2010-05-19  ))))))))))))))))))))))))))))))))))))
.

2010-05-18 15:13 . 2010-05-18 15:16	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\QuickScan
2010-05-18 15:13 . 2010-05-17 14:48	702120	----a-w-	c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\dcujvulo.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\qscanff.dll
2010-05-18 15:13 . 2010-05-17 14:48	868456	----a-w-	c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\dcujvulo.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins
pqscan.dll
2010-05-18 09:39 . 2010-05-18 09:39	--------	d-----w-	c:\program files\Trend Micro
2010-05-18 09:33 . 2010-05-19 08:29	536064	----a-w-	c:\windows\system32\drivers\wslag.sys
2010-05-18 08:46 . 2010-05-18 09:30	--------	d-----w-	c:\program files\Unlocker
2010-05-18 07:30 . 2008-06-14 17:33	272768	------w-	c:\windows\system32\dllcache\bthport.sys
2010-05-18 07:29 . 2008-05-08 14:02	203136	------w-	c:\windows\system32\dllcachemcast.sys
2010-05-18 07:29 . 2009-10-15 16:32	81920	------w-	c:\windows\system32\dllcache\fontsub.dll
2010-05-18 07:29 . 2009-10-15 16:32	119808	------w-	c:\windows\system32\dllcache	2embed.dll
2010-05-18 07:29 . 2009-12-31 16:50	353792	------w-	c:\windows\system32\dllcache\srv.sys
2010-05-18 07:28 . 2010-02-24 13:11	455680	------w-	c:\windows\system32\dllcache\mrxsmb.sys
2010-05-18 07:25 . 2009-08-25 09:18	354816	------w-	c:\windows\system32\dllcache\winhttp.dll
2010-05-18 07:25 . 2008-10-15 16:35	337408	------w-	c:\windows\system32\dllcache
etapi32.dll
2010-05-17 15:20 . 2010-05-17 15:20	--------	d-----w-	c:\windows\system32\fr
2010-05-17 15:20 . 2010-05-17 15:20	--------	d-----w-	c:\windows\system32\bits
2010-05-17 15:20 . 2010-05-17 15:20	--------	d-----w-	c:\windows\l2schemas
2010-05-17 07:55 . 2010-05-17 07:55	--------	d-sh--w-	c:\documents and settings\Administrateur\IECompatCache
2010-05-17 07:55 . 2010-05-17 07:55	--------	d-sh--w-	c:\documents and settings\Administrateur\PrivacIE
2010-05-17 07:43 . 2010-05-17 07:43	--------	d-sh--w-	c:\documents and settings\LocalService\IETldCache
2010-05-17 07:41 . 2010-05-17 07:41	--------	d-sh--w-	c:\documents and settings\Administrateur\IETldCache
2010-05-17 07:34 . 2010-02-25 06:17	12800	------w-	c:\windows\system32\dllcache\xpshims.dll
2010-05-17 07:34 . 2010-02-25 06:17	247808	------w-	c:\windows\system32\dllcache\ieproxy.dll
2010-05-17 07:34 . 2010-05-19 01:06	--------	d-----w-	c:\windows\ie8updates
2010-05-17 07:33 . 2010-02-16 04:50	64000	------w-	c:\windows\system32\dllcache\iecompat.dll
2010-05-17 07:31 . 2010-05-17 07:33	--------	dc-h--w-	c:\windows\ie8
2010-05-07 07:10 . 2010-05-07 07:10	503808	----a-w-	c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-120d1af9-n\msvcp71.dll
2010-05-07 07:10 . 2010-05-07 07:10	499712	----a-w-	c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-120d1af9-n\jmc.dll
2010-05-07 07:10 . 2010-05-07 07:10	348160	----a-w-	c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-120d1af9-n\msvcr71.dll
2010-05-07 07:10 . 2010-05-07 07:10	61440	----a-w-	c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-79c79760-n\decora-sse.dll
2010-05-07 07:10 . 2010-05-07 07:10	12800	----a-w-	c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-79c79760-n\decora-d3d.dll
2010-05-07 07:10 . 2010-04-12 15:29	411368	----a-w-	c:\windows\system32\deployJava1.dll
2010-05-07 06:37 . 2010-05-07 09:07	--------	d-----w-	c:\windows\BDOSCAN8
2010-05-06 07:04 . 2010-05-19 08:29	859648	----a-w-	c:\windows\system32\drivers\xtpkbmvx.sys
2010-05-04 10:59 . 2010-01-27 09:02	15880	----a-w-	c:\windows\system32\lsdelete.exe
2010-05-04 10:03 . 2010-05-04 10:03	--------	d-----w-	c:\program files\TeaTimer (Spybot - Search & Destroy)
2010-05-04 10:03 . 2010-05-04 10:03	--------	d-----w-	c:\program files\SDHelper (Spybot - Search & Destroy)
2010-05-04 10:03 . 2010-05-04 10:03	--------	d-----w-	c:\program files\Misc. Support Library (Spybot - Search & Destroy)
2010-05-04 10:03 . 2010-05-04 10:03	--------	d-----w-	c:\program files\File Scanner Library (Spybot - Search & Destroy)
2010-04-28 08:52 . 2001-10-28 14:42	116224	----a-w-	c:\windows\system32\pdfcmnnt.dll
2010-04-28 08:52 . 2010-04-28 08:53	--------	d-----w-	c:\program files\PDFCreator
2010-04-28 08:52 . 1998-07-12 23:08	59904	----a-w-	c:\windows\system32\MSCC2FR.DLL
2010-04-28 08:52 . 1998-07-05 22:00	23552	----a-w-	c:\windows\system32\MSMPIDE.DLL

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-19 07:29 . 2009-08-27 08:40	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\EoRezo
2010-05-19 07:12 . 2007-07-21 10:01	--------	d-----w-	c:\program files\Mozilla Thunderbird
2010-05-19 06:00 . 2007-07-21 10:41	--------	d-----w-	c:\program files\Vigilus Smart
2010-05-19 01:24 . 2007-07-21 10:05	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\OpenOffice.org2
2010-05-19 01:24 . 2009-05-13 16:54	--------	d-----w-	c:\program files\SPAMfighter
2010-05-18 15:18 . 2007-01-04 08:07	--------	d-----w-	c:\program files\Google
2010-05-18 15:15 . 2006-05-08 09:33	84766	----a-w-	c:\windows\system32\perfc00C.dat
2010-05-18 15:15 . 2006-05-08 09:33	510742	----a-w-	c:\windows\system32\perfh00C.dat
2010-05-17 15:23 . 2006-05-08 09:20	88211	----a-w-	c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-05-12 15:27 . 2007-07-21 10:40	--------	d-----w-	c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-05-07 08:42 . 2007-06-05 08:21	22968	----a-w-	c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-05-07 07:10 . 2007-01-04 08:07	--------	d-----w-	c:\program files\Java
2010-05-06 07:04 . 2010-05-06 07:03	16	----a-w-	c:\documents and settings\Administrateur\Application Data\qvjsge.dat
2010-05-04 10:11 . 2007-07-21 10:40	--------	d-----w-	c:\program files\Spybot - Search & Destroy
2010-04-16 13:35 . 2010-04-16 13:35	--------	d-----w-	c:\documents and settings\LocalService\Application Data\TeamViewer
2010-04-16 12:52 . 2010-04-16 12:52	--------	d-----w-	c:\windows\system32\config\systemprofile\Application Data\TeamViewer
2010-04-12 17:07 . 2010-04-12 17:07	--------	d-----w-	c:\program files\Flash Movie Player
2010-03-30 13:16 . 2010-03-30 13:16	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\dvdcss
2010-03-22 10:17 . 2010-03-22 09:38	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\TeamViewer
2010-03-22 09:38 . 2010-03-22 09:38	--------	d-----w-	c:\program files\TeamViewer
2010-03-22 07:38 . 2010-03-22 07:38	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\ZohoMeeting
2010-03-10 06:16 . 2006-03-02 02:00	420352	----a-w-	c:\windows\system32\vbscript.dll
2010-02-25 06:17 . 2006-03-02 02:00	916480	----a-w-	c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2006-03-02 02:00	455680	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2010-02-19 23:47 . 2010-02-19 23:47	3604480	----a-w-	c:\windows\system32\GPhotos.scr
2008-03-02 16:17 . 2008-03-02 16:17	20906864	----a-w-	c:\program files\aaw2007.exe
2009-10-23 00:47 . 2008-11-12 17:54	119808	----a-w-	c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
2009-07-14 00:16 . 2009-07-14 00:16	1044480	----a-w-	c:\program files\mozilla firefox\plugins\libdivx.dll
2009-07-14 00:16 . 2009-07-14 00:16	200704	----a-w-	c:\program files\mozilla firefox\plugins\ssldivx.dll
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]
"SpiderMessenger"="c:\program files\SpiderMessenger\SpiderMessenger.exe" [BU]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe" [2005-01-07 61952]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2006-05-23 344064]
"RTHDCPL"="RTHDCPL.EXE" [2006-08-01 16049664]
"EPSON Stylus Photo R240 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIAHE.EXE" [2005-04-25 98304]
"SystrayORAHSS"="c:\program files\Orange\Systray\SystrayApp.exe" [2007-09-25 94208]
"ORAHSSSessionManager"="c:\program files\Orange\SessionManager\SessionManager.exe" [2007-09-25 102400]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2009-10-23 30192]
"SPAMfighter Agent"="c:\program files\SPAMfighter\SFAgent.exe" [2009-03-12 326792]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"EoEngine"="" [BU]
"eorezo"="" [BU]
"UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [BU]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Administrateur\Menu D'marrer\Programmes\D'marrage\
OpenOffice.org 2.2.lnk - c:\program files\OpenOffice.org 2.2\program\quickstart.exe [2007-2-2 393216]
VigilusSmart.lnk - c:\documents and settings\Administrateur\Application Data\Microsoft\Installer\{DA4F4946-94BC-11D6-9D97-00201866727E}\IconDA4F4946.exe [2007-7-21 10752]

c:\documents and settings\Administrateur\Menu D'marrer\Programmes\D'marrage\
OpenOffice.org 2.2.lnk - c:\program files\OpenOffice.org 2.2\program\quickstart.exe [2007-2-2 393216]
VigilusSmart.lnk - c:\documents and settings\Administrateur\Application Data\Microsoft\Installer\{DA4F4946-94BC-11D6-9D97-00201866727E}\IconDA4F4946.exe [2007-7-21 10752]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Readereader_sl.exe [2008-4-23 29696]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\WINDOWS\SMINST\Scheduler.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Orange\Connectivity\ConnectivityManager.exe"=
"c:\Program Files\TeamViewer\Version4\TeamViewer.exe"=

R0 atiide;atiide;c:\windows\system32\drivers\atiide.sys [21/12/2006 21:35 3840]
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [30/12/2009 23:00 64288]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [30/12/2009 18:05 108289]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [24/09/2009 13:17 1181328]
R2 SPAMfighter Update Service;SPAMfighter Update Service;c:\program files\SPAMfighter\sfus.exe [12/03/2009 10:44 184968]
R2 TeamViewer4;TeamViewer 4;c:\program files\TeamViewer\Version4\TeamViewer_Service.exe [23/03/2009 11:35 185640]
S3 GoogleDesktopManager-093009-130223;Google Desktop Manager 5.9.909.30391;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [12/11/2008 19:54 30192]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - wslag
*Deregistered* - xtpkbmvx
.
Contenu du dossier 'Tâches planifiées'

2010-05-19 c:\windows\Tasks\Ad-Aware Update (Daily 1).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 15:00]

2010-05-19 c:\windows\Tasks\Ad-Aware Update (Daily 2).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 15:00]

2010-05-19 c:\windows\Tasks\Ad-Aware Update (Daily 3).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 15:00]

2010-05-19 c:\windows\Tasks\Ad-Aware Update (Daily 4).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 15:00]

2010-05-19 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 15:00]
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://fr.gdark.com/search.php?cx=partner-pub-7902900401080901%3Ae94ctf-nqmg&cof=FORID%3A10&ie=UTF-8&q={searchTerms}
uStart Page = hxxp://www.google.fr/
uDefault_Search_URL = hxxp://fr.gdark.com
mStart Page = hxxp://fr.gdark.com
uSearchAssistant = hxxp://fr.gdark.com
uSearchURL,(Default) = hxxp://fr.gdark.com
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: {{ECC5777A-6E88-BFCE-13CE-81F134789F6A} - c:\program files\Vigilus Smart\VigilusSmartAjoutIE.exe
IE: {{32893F3D-2B10-4B09-BA6A-8F20E7D33925} - {32893F3D-2B10-4B09-BA6A-8F20E7D33925} - j:\damien\iGraal\Button.dll
Trusted Zone: orange.fr\www
DPF: {7BBE219E-10CB-4C37-BC25-64533EFCCDCB} - hxxp://www.naviciel.com/data/Navi_Picture.CAB
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\dcujvulo.default\
FF - prefs.js: browser.search.defaulturl - hxxp://fr.gdark.com/search.php?cx=partner-pub-7902900401080901%3Ae94ctf-nqmg&cof=FORID%3A10&ie=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Gdark
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://fr.gdark.com/search.php?cx=partner-pub-7902900401080901%3Ae94ctf-nqmg&cof=FORID%3A10&ie=UTF-8&q=
FF - component: c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\dcujvulo.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\qscanff.dll
FF - component: c:\program files\Mozilla Firefox\components\GoogleDesktopMozilla.dll
FF - plugin: c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\dcujvulo.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins
pqscan.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins
pdeployJava1.dll
FF - plugin: c:\program files\Picasa2
pPicasa3.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{ADE49752-DBBC-43A3-9498-379A82F574BF} - (no file)
Toolbar-{D01B1F7D-9D7F-46C3-8DB9-5A55819E2A7F} - (no file)
HKLM-Run-SoftwareHelper - c:\documents and settings\Administrateur\Application Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-19 10:29
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wslag]

Co · Answer

--

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\xtpkbmvx]

.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-4160038612-688107719-1409318655-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,27,a5,c4,1f,44,a5,c8,42,ba,46,d1,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,27,a5,c4,1f,44,a5,c8,42,ba,46,d1,\
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(760)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(4028)
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\program files\Orange\Launcher\Inactivity.Dll
.
Heure de fin: 2010-05-19  10:31:08
ComboFix-quarantined-files.txt  2010-05-19 08:31
ComboFix2.txt  2010-05-18 09:37

Avant-CF: 110 850 203 648 octets libres
Après-CF: 110 827 839 488 octets libres

- - End Of File - - B08420B16F039AF0FDDC0875E9719F15

Merci d'avance pour votre aide

Cordialement

Co

Malekal_morte- · Answer

C'est pas bon, ça n'a pas bien fonctionné et tu es encore infecté.  
Tu devrais désinstaller SpyBot....  

Recommence la manip là :  
https://forums.commentcamarche.net/forum/affich-17768741-pc-qui-ne-demarre-plus-virus#5  

Si ça passe pas, on fera autrement.  

Supprime ce dossier : c:\documents and settings\Administrateur\Application Data\EoRezo 

Madness Rox \o/

Co · Answer

re,

spybot et le dossier eorezo viré...

voila le rapport combofix

Merci encore pour ton aide malekal_morte

ComboFix 10-05-17.03 - Administrateur 19/05/2010  12:21:29.3.2 - x86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.2942.2414 [GMT 2:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Administrateur\Bureau\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((   Fichiers créés du 2010-04-19 au 2010-05-19  ))))))))))))))))))))))))))))))))))))
.

2010-05-18 15:13 . 2010-05-18 15:16	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\QuickScan
2010-05-18 15:13 . 2010-05-17 14:48	702120	----a-w-	c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\dcujvulo.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\qscanff.dll
2010-05-18 15:13 . 2010-05-17 14:48	868456	----a-w-	c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\dcujvulo.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins
pqscan.dll
2010-05-18 09:39 . 2010-05-18 09:39	--------	d-----w-	c:\program files\Trend Micro
2010-05-18 09:33 . 2010-05-19 10:25	536064	----a-w-	c:\windows\system32\drivers\wslag.sys
2010-05-18 08:46 . 2010-05-18 09:30	--------	d-----w-	c:\program files\Unlocker
2010-05-18 07:30 . 2008-06-14 17:33	272768	------w-	c:\windows\system32\dllcache\bthport.sys
2010-05-18 07:29 . 2008-05-08 14:02	203136	------w-	c:\windows\system32\dllcachemcast.sys
2010-05-18 07:29 . 2009-10-15 16:32	81920	------w-	c:\windows\system32\dllcache\fontsub.dll
2010-05-18 07:29 . 2009-10-15 16:32	119808	------w-	c:\windows\system32\dllcache	2embed.dll
2010-05-18 07:29 . 2009-12-31 16:50	353792	------w-	c:\windows\system32\dllcache\srv.sys
2010-05-18 07:28 . 2010-02-24 13:11	455680	------w-	c:\windows\system32\dllcache\mrxsmb.sys
2010-05-18 07:25 . 2009-08-25 09:18	354816	------w-	c:\windows\system32\dllcache\winhttp.dll
2010-05-18 07:25 . 2008-10-15 16:35	337408	------w-	c:\windows\system32\dllcache
etapi32.dll
2010-05-17 15:20 . 2010-05-17 15:20	--------	d-----w-	c:\windows\system32\fr
2010-05-17 15:20 . 2010-05-17 15:20	--------	d-----w-	c:\windows\system32\bits
2010-05-17 15:20 . 2010-05-17 15:20	--------	d-----w-	c:\windows\l2schemas
2010-05-17 07:55 . 2010-05-17 07:55	--------	d-sh--w-	c:\documents and settings\Administrateur\IECompatCache
2010-05-17 07:55 . 2010-05-17 07:55	--------	d-sh--w-	c:\documents and settings\Administrateur\PrivacIE
2010-05-17 07:43 . 2010-05-17 07:43	--------	d-sh--w-	c:\documents and settings\LocalService\IETldCache
2010-05-17 07:41 . 2010-05-17 07:41	--------	d-sh--w-	c:\documents and settings\Administrateur\IETldCache
2010-05-17 07:34 . 2010-02-25 06:17	12800	------w-	c:\windows\system32\dllcache\xpshims.dll
2010-05-17 07:34 . 2010-02-25 06:17	247808	------w-	c:\windows\system32\dllcache\ieproxy.dll
2010-05-17 07:34 . 2010-05-19 01:06	--------	d-----w-	c:\windows\ie8updates
2010-05-17 07:33 . 2010-02-16 04:50	64000	------w-	c:\windows\system32\dllcache\iecompat.dll
2010-05-17 07:31 . 2010-05-17 07:33	--------	dc-h--w-	c:\windows\ie8
2010-05-07 07:10 . 2010-05-07 07:10	503808	----a-w-	c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-120d1af9-n\msvcp71.dll
2010-05-07 07:10 . 2010-05-07 07:10	499712	----a-w-	c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-120d1af9-n\jmc.dll
2010-05-07 07:10 . 2010-05-07 07:10	348160	----a-w-	c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-120d1af9-n\msvcr71.dll
2010-05-07 07:10 . 2010-05-07 07:10	61440	----a-w-	c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-79c79760-n\decora-sse.dll
2010-05-07 07:10 . 2010-05-07 07:10	12800	----a-w-	c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-79c79760-n\decora-d3d.dll
2010-05-07 07:10 . 2010-04-12 15:29	411368	----a-w-	c:\windows\system32\deployJava1.dll
2010-05-07 06:37 . 2010-05-07 09:07	--------	d-----w-	c:\windows\BDOSCAN8
2010-05-06 07:04 . 2010-05-19 10:25	859648	----a-w-	c:\windows\system32\drivers\xtpkbmvx.sys
2010-05-04 10:59 . 2010-01-27 09:02	15880	----a-w-	c:\windows\system32\lsdelete.exe
2010-05-04 10:03 . 2010-05-04 10:03	--------	d-----w-	c:\program files\TeaTimer (Spybot - Search & Destroy)
2010-05-04 10:03 . 2010-05-04 10:03	--------	d-----w-	c:\program files\SDHelper (Spybot - Search & Destroy)
2010-05-04 10:03 . 2010-05-04 10:03	--------	d-----w-	c:\program files\Misc. Support Library (Spybot - Search & Destroy)
2010-05-04 10:03 . 2010-05-04 10:03	--------	d-----w-	c:\program files\File Scanner Library (Spybot - Search & Destroy)
2010-04-28 08:52 . 2001-10-28 14:42	116224	----a-w-	c:\windows\system32\pdfcmnnt.dll
2010-04-28 08:52 . 2010-04-28 08:53	--------	d-----w-	c:\program files\PDFCreator
2010-04-28 08:52 . 1998-07-12 23:08	59904	----a-w-	c:\windows\system32\MSCC2FR.DLL
2010-04-28 08:52 . 1998-07-05 22:00	23552	----a-w-	c:\windows\system32\MSMPIDE.DLL

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-19 10:20 . 2009-05-13 16:54	--------	d-----w-	c:\program files\SPAMfighter
2010-05-19 10:20 . 2007-06-05 08:21	24128	----a-w-	c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-05-19 10:19 . 2007-07-21 10:05	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\OpenOffice.org2
2010-05-19 10:18 . 2007-07-21 10:40	--------	d-----w-	c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-05-19 10:17 . 2007-07-21 10:40	--------	d-----w-	c:\program files\Spybot - Search & Destroy
2010-05-19 09:55 . 2007-07-21 10:01	--------	d-----w-	c:\program files\Mozilla Thunderbird
2010-05-19 06:00 . 2007-07-21 10:41	--------	d-----w-	c:\program files\Vigilus Smart
2010-05-18 15:18 . 2007-01-04 08:07	--------	d-----w-	c:\program files\Google
2010-05-18 15:15 . 2006-05-08 09:33	84766	----a-w-	c:\windows\system32\perfc00C.dat
2010-05-18 15:15 . 2006-05-08 09:33	510742	----a-w-	c:\windows\system32\perfh00C.dat
2010-05-17 15:23 . 2006-05-08 09:20	88211	----a-w-	c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-05-07 07:10 . 2007-01-04 08:07	--------	d-----w-	c:\program files\Java
2010-05-06 07:04 . 2010-05-06 07:03	16	----a-w-	c:\documents and settings\Administrateur\Application Data\qvjsge.dat
2010-04-16 13:35 . 2010-04-16 13:35	--------	d-----w-	c:\documents and settings\LocalService\Application Data\TeamViewer
2010-04-16 12:52 . 2010-04-16 12:52	--------	d-----w-	c:\windows\system32\config\systemprofile\Application Data\TeamViewer
2010-04-12 17:07 . 2010-04-12 17:07	--------	d-----w-	c:\program files\Flash Movie Player
2010-03-30 13:16 . 2010-03-30 13:16	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\dvdcss
2010-03-22 10:17 . 2010-03-22 09:38	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\TeamViewer
2010-03-22 09:38 . 2010-03-22 09:38	--------	d-----w-	c:\program files\TeamViewer
2010-03-22 07:38 . 2010-03-22 07:38	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\ZohoMeeting
2010-03-10 06:16 . 2006-03-02 02:00	420352	----a-w-	c:\windows\system32\vbscript.dll
2010-02-25 06:17 . 2006-03-02 02:00	916480	----a-w-	c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2006-03-02 02:00	455680	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2010-02-19 23:47 . 2010-02-19 23:47	3604480	----a-w-	c:\windows\system32\GPhotos.scr
2008-03-02 16:17 . 2008-03-02 16:17	20906864	----a-w-	c:\program files\aaw2007.exe
2009-10-23 00:47 . 2008-11-12 17:54	119808	----a-w-	c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
2009-07-14 00:16 . 2009-07-14 00:16	1044480	----a-w-	c:\program files\mozilla firefox\plugins\libdivx.dll
2009-07-14 00:16 . 2009-07-14 00:16	200704	----a-w-	c:\program files\mozilla firefox\plugins\ssldivx.dll
.

(((((((((((((((((((((((((((((   SnapShot@2010-05-19_08.29.45   )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-05-19 09:37 . 2010-05-19 09:37	16384              c:\windows\Temp\Perflib_Perfdata_524.dat
+ 2006-03-02 02:00 . 2009-06-25 08:26	54272              c:\windows\system32\wdigest.dll
+ 2006-03-02 02:00 . 2009-06-25 08:26	56832              c:\windows\system32\secur32.dll
- 2006-03-02 02:00 . 2009-02-03 19:58	56832              c:\windows\system32\secur32.dll
+ 2006-03-02 02:00 . 2009-06-24 11:18	92928              c:\windows\system32\drivers\ksecdd.sys
+ 2009-06-25 08:26 . 2009-06-25 08:26	54272              c:\windows\system32\dllcache\wdigest.dll
+ 2009-02-03 19:58 . 2009-06-25 08:26	56832              c:\windows\system32\dllcache\secur32.dll
- 2009-02-03 19:58 . 2009-02-03 19:58	56832              c:\windows\system32\dllcache\secur32.dll
+ 2009-06-24 11:18 . 2009-06-24 11:18	92928              c:\windows\system32\dllcache\ksecdd.sys
+ 2006-03-02 02:00 . 2009-06-25 08:26	147456              c:\windows\system32\schannel.dll
+ 2006-03-02 02:00 . 2009-06-25 08:26	736768              c:\windows\system32\lsasrv.dll
+ 2006-03-02 02:00 . 2009-06-25 08:26	301568              c:\windows\system32\kerberos.dll
+ 2008-12-05 06:57 . 2009-06-25 08:26	147456              c:\windows\system32\dllcache\schannel.dll
+ 2010-05-18 07:27 . 2009-06-25 08:26	736768              c:\windows\system32\dllcache\lsasrv.dll
+ 2009-06-25 08:26 . 2009-06-25 08:26	301568              c:\windows\system32\dllcache\kerberos.dll
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpiderMessenger"="c:\program files\SpiderMessenger\SpiderMessenger.exe" [BU]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe" [2005-01-07 61952]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2006-05-23 344064]
"RTHDCPL"="RTHDCPL.EXE" [2006-08-01 16049664]
"EPSON Stylus Photo R240 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIAHE.EXE" [2005-04-25 98304]
"SystrayORAHSS"="c:\program files\Orange\Systray\SystrayApp.exe" [2007-09-25 94208]
"ORAHSSSessionManager"="c:\program files\Orange\SessionManager\SessionManager.exe" [2007-09-25 102400]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2009-10-23 30192]
"SPAMfighter Agent"="c:\program files\SPAMfighter\SFAgent.exe" [2009-03-12 326792]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"EoEngine"="" [BU]
"eorezo"="" [BU]
"UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [BU]
"SoftwareHelper"="c:\documents and settings\Administrateur\Application Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe" [BU]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Administrateur\Menu D'marrer\Programmes\D'marrage\
OpenOffice.org 2.2.lnk - c:\program files\OpenOffice.org 2.2\program\quickstart.exe [2007-2-2 393216]
VigilusSmart.lnk - c:\documents and settings\Administrateur\Application Data\Microsoft\Installer\{DA4F4946-94BC-11D6-9D97-00201866727E}\IconDA4F4946.exe [2007-7-21 10752]

c:\documents and settings\Administrateur\Menu D'marrer\Programmes\D'marrage\
OpenOffice.org 2.2.lnk - c:\program files\OpenOffice.org 2.2\program\quickstart.exe [2007-2-2 393216]
VigilusSmart.lnk - c:\documents and settings\Administrateur\Application Data\Microsoft\Installer\{DA4F4946-94BC-11D6-9D97-00201866727E}\IconDA4F4946.exe [2007-7-21 10752]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Readereader_sl.exe [2008-4-23 29696]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\WINDOWS\SMINST\Scheduler.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Orange\Connectivity\ConnectivityManager.exe"=
"c:\Program Files\TeamViewer\Version4\TeamViewer.exe"=

R0 atiide;atiide;c:\windows\system32\drivers\atiide.sys [21/12/2006 21:35 3840]
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [30/12/2009 23:00 64288]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [30/12/2009 18:05 108289]
R2 SPAMfighter Update Service;SPAMfighter Update Service;c:\program files\SPAMfighter\sfus.exe [12/03/2009 10:44 184968]
R2 TeamViewer4;TeamViewer 4;c:\program files\TeamViewer\Version4\TeamViewer_Service.exe [23/03/2009 11:35 185640]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [24/09/2009 13:17 1181328]
S3 GoogleDesktopManager-093009-130223;Google Desktop Manager 5.9.909.30391;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [12/11/2008 19:54 30192]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - wslag
*Deregistered* - xtpkbmvx
.
Contenu du dossier 'Tâches planifiées'

2010-05-19 c:\windows\Tasks\Ad-Aware Update (Daily 1).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 15:00]

2010-05-19 c:\windows\Tasks\Ad-Aware Update (Daily 2).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 15:00]

2010-05-19 c:\windows\Tasks\Ad-Aware Update (Daily 3).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 15:00]

2010-05-19 c:\windows\Tasks\Ad-Aware Update (Daily 4).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 15:00]

2010-05-19 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 15:00]
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://fr.gdark.com/search.php?cx=partner-pub-7902900401080901%3Ae94ctf-nqmg&cof=FORID%3A10&ie=UTF-8&q={searchTerms}
uStart Page = hxxp://www.google.fr/
uDefault_Search_URL = hxxp://fr.gdark.com
mStart Page = hxxp://fr.gdark.com
uSearchAssistant = hxxp://fr.gdark.com
uSearchURL,(Default) = hxxp://fr.gdark.com
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: {{ECC5777A-6E88-BFCE-13CE-81F134789F6A} - c:\program files\Vigilus Smart\VigilusSmartAjoutIE.exe
IE: {{32893F3D-2B10-4B09-BA6A-8F20E7D33925} - {32893F3D-2B10-4B09-BA6A-8F20E7D33925} - j:\damien\iGraal\Button.dll
DPF: {7BBE219E-10CB-4C37-BC25-64533EFCCDCB} - hxxp://www.naviciel.com/data/Navi_Picture.CAB
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\dcujvulo.default\
FF - prefs.js: browser.search.defaulturl - hxxp://fr.gdark.com/search.php?cx=partner-pub-7902900401080901%3Ae94ctf-nqmg&cof=FORID%3A10&ie=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Gdark
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://fr.gdark.com/search.php?cx=partner-pub-7902900401080901%3Ae94ctf-nqmg&cof=FORID%3A10&ie=UTF-8&q=
FF - component: c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\dcujvulo.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\qscanff.dll
FF - component: c:\program files\Mozilla Firefox\components\GoogleDesktopMozilla.dll
FF - plugin: c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\dcujvulo.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins
pqscan.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins
pdeployJava1.dll
FF - plugin: c:\program files\Picasa2
pPicasa3.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{ADE49752-DBBC-43A3-9498-379A82F574BF} - (no file)
Toolbar-{D01B1F7D-9D7F-46C3-8DB9-5A55819E2A7F} - (no file)

Malekal_morte- · Answer

Pas bon.
Je crois que je sais pourquoi ça marche pas, si c'est ça, c'est vraiment pourri :(

Supprime le CFScript.txt

Fais un clic droit sur : http://www3.malekal.com/CFScript.txt
puis enregistrer la cible du lien sous et tu le mets sur ton bureau.

Tu dois avoir donc un CFSCript.txt sur ton bureau.
Si tu doubles-clics dessus, ça s'ouvre sur le bloc-note et tu as ce qui est en italique sur ce topic : https://forums.commentcamarche.net/forum/affich-17768741-pc-qui-ne-demarre-plus-virus#5

Si c'est OK, tu reprends la procédure en faisant glisser le CFScript sur l'icone Combofix, tu laisses faire et tu postes le rapport ici.

Co · Answer

et la fin...

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-19 12:25
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wslag]

Malekal_morte- · Answer

J'ai répondu entre temps là : https://forums.commentcamarche.net/forum/affich-17768741-pc-qui-ne-demarre-plus-virus#10

Co · Answer

voila le rapport combofix

ComboFix 10-05-17.03 - Administrateur 19/05/2010  12:00:03.4.2 - x86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.2942.2308 [GMT 2:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Administrateur\Bureau\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((   Fichiers créés du 2010-04-19 au 2010-05-19  ))))))))))))))))))))))))))))))))))))
.

2010-05-19 09:58 . 2009-12-14 05:57	213504	----a-w-	c:\documents and settings\Administrateur\Application Data\Thunderbird\Profiles\ukwpga06.default\extensions\{e2fda1a4-762b-4020-b5ad-a41df1933103}\components\calbscmp.dll
2010-05-18 15:13 . 2010-05-18 15:16	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\QuickScan
2010-05-18 15:13 . 2010-05-17 14:48	702120	----a-w-	c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\dcujvulo.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\qscanff.dll
2010-05-18 15:13 . 2010-05-17 14:48	868456	----a-w-	c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\dcujvulo.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins
pqscan.dll
2010-05-18 09:39 . 2010-05-18 09:39	--------	d-----w-	c:\program files\Trend Micro
2010-05-18 09:33 . 2010-05-19 10:02	536064	----a-w-	c:\windows\system32\drivers\wslag.sys
2010-05-18 08:46 . 2010-05-18 09:30	--------	d-----w-	c:\program files\Unlocker
2010-05-18 07:30 . 2008-06-14 17:33	272768	------w-	c:\windows\system32\dllcache\bthport.sys
2010-05-18 07:29 . 2008-05-08 14:02	203136	------w-	c:\windows\system32\dllcachemcast.sys
2010-05-18 07:29 . 2009-10-15 16:32	81920	------w-	c:\windows\system32\dllcache\fontsub.dll
2010-05-18 07:29 . 2009-10-15 16:32	119808	------w-	c:\windows\system32\dllcache	2embed.dll
2010-05-18 07:29 . 2009-12-31 16:50	353792	------w-	c:\windows\system32\dllcache\srv.sys
2010-05-18 07:28 . 2010-02-24 13:11	455680	------w-	c:\windows\system32\dllcache\mrxsmb.sys
2010-05-18 07:25 . 2009-08-25 09:18	354816	------w-	c:\windows\system32\dllcache\winhttp.dll
2010-05-18 07:25 . 2008-10-15 16:35	337408	------w-	c:\windows\system32\dllcache
etapi32.dll
2010-05-17 15:20 . 2010-05-17 15:20	--------	d-----w-	c:\windows\system32\fr
2010-05-17 15:20 . 2010-05-17 15:20	--------	d-----w-	c:\windows\system32\bits
2010-05-17 15:20 . 2010-05-17 15:20	--------	d-----w-	c:\windows\l2schemas
2010-05-17 07:55 . 2010-05-17 07:55	--------	d-sh--w-	c:\documents and settings\Administrateur\IECompatCache
2010-05-17 07:55 . 2010-05-17 07:55	--------	d-sh--w-	c:\documents and settings\Administrateur\PrivacIE
2010-05-17 07:43 . 2010-05-17 07:43	--------	d-sh--w-	c:\documents and settings\LocalService\IETldCache
2010-05-17 07:41 . 2010-05-17 07:41	--------	d-sh--w-	c:\documents and settings\Administrateur\IETldCache
2010-05-17 07:34 . 2010-02-25 06:17	12800	------w-	c:\windows\system32\dllcache\xpshims.dll
2010-05-17 07:34 . 2010-02-25 06:17	247808	------w-	c:\windows\system32\dllcache\ieproxy.dll
2010-05-17 07:34 . 2010-05-19 01:06	--------	d-----w-	c:\windows\ie8updates
2010-05-17 07:33 . 2010-02-16 04:50	64000	------w-	c:\windows\system32\dllcache\iecompat.dll
2010-05-17 07:31 . 2010-05-17 07:33	--------	dc-h--w-	c:\windows\ie8
2010-05-07 07:10 . 2010-05-07 07:10	503808	----a-w-	c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-120d1af9-n\msvcp71.dll
2010-05-07 07:10 . 2010-05-07 07:10	499712	----a-w-	c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-120d1af9-n\jmc.dll
2010-05-07 07:10 . 2010-05-07 07:10	348160	----a-w-	c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-120d1af9-n\msvcr71.dll
2010-05-07 07:10 . 2010-05-07 07:10	61440	----a-w-	c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-79c79760-n\decora-sse.dll
2010-05-07 07:10 . 2010-05-07 07:10	12800	----a-w-	c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-79c79760-n\decora-d3d.dll
2010-05-07 07:10 . 2010-04-12 15:29	411368	----a-w-	c:\windows\system32\deployJava1.dll
2010-05-07 06:37 . 2010-05-07 09:07	--------	d-----w-	c:\windows\BDOSCAN8
2010-05-06 07:04 . 2010-05-19 10:02	859648	----a-w-	c:\windows\system32\drivers\xtpkbmvx.sys
2010-05-04 10:59 . 2010-01-27 09:02	15880	----a-w-	c:\windows\system32\lsdelete.exe
2010-05-04 10:03 . 2010-05-04 10:03	--------	d-----w-	c:\program files\TeaTimer (Spybot - Search & Destroy)
2010-05-04 10:03 . 2010-05-04 10:03	--------	d-----w-	c:\program files\SDHelper (Spybot - Search & Destroy)
2010-05-04 10:03 . 2010-05-04 10:03	--------	d-----w-	c:\program files\Misc. Support Library (Spybot - Search & Destroy)
2010-05-04 10:03 . 2010-05-04 10:03	--------	d-----w-	c:\program files\File Scanner Library (Spybot - Search & Destroy)
2010-04-28 08:52 . 2001-10-28 14:42	116224	----a-w-	c:\windows\system32\pdfcmnnt.dll
2010-04-28 08:52 . 2010-04-28 08:53	--------	d-----w-	c:\program files\PDFCreator
2010-04-28 08:52 . 1998-07-12 23:08	59904	----a-w-	c:\windows\system32\MSCC2FR.DLL
2010-04-28 08:52 . 1998-07-05 22:00	23552	----a-w-	c:\windows\system32\MSMPIDE.DLL

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-19 10:20 . 2009-05-13 16:54	--------	d-----w-	c:\program files\SPAMfighter
2010-05-19 10:20 . 2007-06-05 08:21	24128	----a-w-	c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-05-19 10:19 . 2007-07-21 10:05	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\OpenOffice.org2
2010-05-19 10:18 . 2007-07-21 10:40	--------	d-----w-	c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-05-19 10:17 . 2007-07-21 10:40	--------	d-----w-	c:\program files\Spybot - Search & Destroy
2010-05-19 09:58 . 2007-07-21 10:01	--------	d-----w-	c:\program files\Mozilla Thunderbird
2010-05-19 09:56 . 2007-07-21 10:01	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\Thunderbird
2010-05-19 06:00 . 2007-07-21 10:41	--------	d-----w-	c:\program files\Vigilus Smart
2010-05-18 15:18 . 2007-01-04 08:07	--------	d-----w-	c:\program files\Google
2010-05-18 15:15 . 2006-05-08 09:33	84766	----a-w-	c:\windows\system32\perfc00C.dat
2010-05-18 15:15 . 2006-05-08 09:33	510742	----a-w-	c:\windows\system32\perfh00C.dat
2010-05-17 15:23 . 2006-05-08 09:20	88211	----a-w-	c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-05-07 07:10 . 2007-01-04 08:07	--------	d-----w-	c:\program files\Java
2010-05-06 07:04 . 2010-05-06 07:03	16	----a-w-	c:\documents and settings\Administrateur\Application Data\qvjsge.dat
2010-04-16 13:35 . 2010-04-16 13:35	--------	d-----w-	c:\documents and settings\LocalService\Application Data\TeamViewer
2010-04-16 12:52 . 2010-04-16 12:52	--------	d-----w-	c:\windows\system32\config\systemprofile\Application Data\TeamViewer
2010-04-12 17:07 . 2010-04-12 17:07	--------	d-----w-	c:\program files\Flash Movie Player
2010-03-30 13:16 . 2010-03-30 13:16	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\dvdcss
2010-03-22 10:17 . 2010-03-22 09:38	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\TeamViewer
2010-03-22 09:38 . 2010-03-22 09:38	--------	d-----w-	c:\program files\TeamViewer
2010-03-22 07:38 . 2010-03-22 07:38	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\ZohoMeeting
2010-03-10 06:16 . 2006-03-02 02:00	420352	----a-w-	c:\windows\system32\vbscript.dll
2010-02-25 06:17 . 2006-03-02 02:00	916480	----a-w-	c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2006-03-02 02:00	455680	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2010-02-19 23:47 . 2010-02-19 23:47	3604480	----a-w-	c:\windows\system32\GPhotos.scr
2008-03-02 16:17 . 2008-03-02 16:17	20906864	----a-w-	c:\program files\aaw2007.exe
2009-10-23 00:47 . 2008-11-12 17:54	119808	----a-w-	c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
2009-07-14 00:16 . 2009-07-14 00:16	1044480	----a-w-	c:\program files\mozilla firefox\plugins\libdivx.dll
2009-07-14 00:16 . 2009-07-14 00:16	200704	----a-w-	c:\program files\mozilla firefox\plugins\ssldivx.dll
.

(((((((((((((((((((((((((((((   SnapShot@2010-05-19_08.29.45   )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-05-19 09:37 . 2010-05-19 09:37	16384              c:\windows\Temp\Perflib_Perfdata_524.dat
+ 2006-03-02 02:00 . 2009-06-25 08:26	54272              c:\windows\system32\wdigest.dll
+ 2006-03-02 02:00 . 2009-06-25 08:26	56832              c:\windows\system32\secur32.dll
- 2006-03-02 02:00 . 2009-02-03 19:58	56832              c:\windows\system32\secur32.dll
+ 2006-03-02 02:00 . 2009-06-24 11:18	92928              c:\windows\system32\drivers\ksecdd.sys
+ 2009-06-25 08:26 . 2009-06-25 08:26	54272              c:\windows\system32\dllcache\wdigest.dll
+ 2009-02-03 19:58 . 2009-06-25 08:26	56832              c:\windows\system32\dllcache\secur32.dll
- 2009-02-03 19:58 . 2009-02-03 19:58	56832              c:\windows\system32\dllcache\secur32.dll
+ 2009-06-24 11:18 . 2009-06-24 11:18	92928              c:\windows\system32\dllcache\ksecdd.sys
+ 2006-03-02 02:00 . 2009-06-25 08:26	147456              c:\windows\system32\schannel.dll
+ 2006-03-02 02:00 . 2009-06-25 08:26	736768              c:\windows\system32\lsasrv.dll
+ 2006-03-02 02:00 . 2009-06-25 08:26	301568              c:\windows\system32\kerberos.dll
+ 2008-12-05 06:57 . 2009-06-25 08:26	147456              c:\windows\system32\dllcache\schannel.dll
+ 2010-05-18 07:27 . 2009-06-25 08:26	736768              c:\windows\system32\dllcache\lsasrv.dll
+ 2009-06-25 08:26 . 2009-06-25 08:26	301568              c:\windows\system32\dllcache\kerberos.dll
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpiderMessenger"="c:\program files\SpiderMessenger\SpiderMessenger.exe" [BU]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe" [2005-01-07 61952]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2006-05-23 344064]
"RTHDCPL"="RTHDCPL.EXE" [2006-08-01 16049664]
"EPSON Stylus Photo R240 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIAHE.EXE" [2005-04-25 98304]
"SystrayORAHSS"="c:\program files\Orange\Systray\SystrayApp.exe" [2007-09-25 94208]
"ORAHSSSessionManager"="c:\program files\Orange\SessionManager\SessionManager.exe" [2007-09-25 102400]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2009-10-23 30192]
"SPAMfighter Agent"="c:\program files\SPAMfighter\SFAgent.exe" [2009-03-12 326792]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"EoEngine"="" [BU]
"eorezo"="" [BU]
"UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [BU]
"SoftwareHelper"="c:\documents and settings\Administrateur\Application Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe" [BU]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Administrateur\Menu D'marrer\Programmes\D'marrage\
OpenOffice.org 2.2.lnk - c:\program files\OpenOffice.org 2.2\program\quickstart.exe [2007-2-2 393216]
VigilusSmart.lnk - c:\documents and settings\Administrateur\Application Data\Microsoft\Installer\{DA4F4946-94BC-11D6-9D97-00201866727E}\IconDA4F4946.exe [2007-7-21 10752]

c:\documents and settings\Administrateur\Menu D'marrer\Programmes\D'marrage\
OpenOffice.org 2.2.lnk - c:\program files\OpenOffice.org 2.2\program\quickstart.exe [2007-2-2 393216]
VigilusSmart.lnk - c:\documents and settings\Administrateur\Application Data\Microsoft\Installer\{DA4F4946-94BC-11D6-9D97-00201866727E}\IconDA4F4946.exe [2007-7-21 10752]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Readereader_sl.exe [2008-4-23 29696]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\WINDOWS\SMINST\Scheduler.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Orange\Connectivity\ConnectivityManager.exe"=
"c:\Program Files\TeamViewer\Version4\TeamViewer.exe"=

R0 atiide;atiide;c:\windows\system32\drivers\atiide.sys [21/12/2006 21:35 3840]
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [30/12/2009 23:00 64288]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [30/12/2009 18:05 108289]
R2 SPAMfighter Update Service;SPAMfighter Update Service;c:\program files\SPAMfighter\sfus.exe [12/03/2009 10:44 184968]
R2 TeamViewer4;TeamViewer 4;c:\program files\TeamViewer\Version4\TeamViewer_Service.exe [23/03/2009 11:35 185640]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [24/09/2009 13:17 1181328]
S3 GoogleDesktopManager-093009-130223;Google Desktop Manager 5.9.909.30391;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [12/11/2008 19:54 30192]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - wslag
*Deregistered* - xtpkbmvx
.
Contenu du dossier 'Tâches planifiées'

2010-05-19 c:\windows\Tasks\Ad-Aware Update (Daily 1).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 15:00]

2010-05-19 c:\windows\Tasks\Ad-Aware Update (Daily 2).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 15:00]

2010-05-19 c:\windows\Tasks\Ad-Aware Update (Daily 3).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 15:00]

2010-05-19 c:\windows\Tasks\Ad-Aware Update (Daily 4).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 15:00]

2010-05-19 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 15:00]
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://fr.gdark.com/search.php?cx=partner-pub-7902900401080901%3Ae94ctf-nqmg&cof=FORID%3A10&ie=UTF-8&q={searchTerms}
uStart Page = hxxp://www.google.fr/
uDefault_Search_URL = hxxp://fr.gdark.com
mStart Page = hxxp://fr.gdark.com
uSearchAssistant = hxxp://fr.gdark.com
uSearchURL,(Default) = hxxp://fr.gdark.com
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: {{ECC5777A-6E88-BFCE-13CE-81F134789F6A} - c:\program files\Vigilus Smart\VigilusSmartAjoutIE.exe
IE: {{32893F3D-2B10-4B09-BA6A-8F20E7D33925} - {32893F3D-2B10-4B09-BA6A-8F20E7D33925} - j:\damien\iGraal\Button.dll
DPF: {7BBE219E-10CB-4C37-BC25-64533EFCCDCB} - hxxp://www.naviciel.com/data/Navi_Picture.CAB
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\dcujvulo.default\
FF - prefs.js: browser.search.defaulturl - hxxp://fr.gdark.com/search.php?cx=partner-pub-7902900401080901%3Ae94ctf-nqmg&cof=FORID%3A10&ie=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Gdark
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://fr.gdark.com/search.php?cx=partner-pub-7902900401080901%3Ae94ctf-nqmg&cof=FORID%3A10&ie=UTF-8&q=
FF - component: c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\dcujvulo.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\qscanff.dll
FF - component: c:\program files\Mozilla Firefox\components\GoogleDesktopMozilla.dll
FF - plugin: c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\dcujvulo.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins
pqscan.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins
pdeployJava1.dll
FF - plugin: c:\program files\Picasa2
pPicasa3.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
.

Co · Answer

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-19 12:02
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wslag]

Malekal_morte- · Answer

Tu peux le supprimer ce fichier c:\windows\system32\drivers\wslag.sys  ?

Co · Answer

non, je ne peux pas... "impossible de lire a partir du fichier..."

Malekal_morte- · Answer

OK :)
bon on va pas essayer avec Rootkit::

~~

* Telecharge:: http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

* dezippe le , Lance l'épée , executer en tant qu'administrateur sous vista http://imagesup.org/image

http://img256.imageshack.us/img256/6883/080229185901qa4.jpg

Debranche tous tes supports USB

Dans le cadre , sous Input Script here , copie_colle le contenu du cadre ci dessous et clic execute:

begin copying here:
Drivers to delete:
wslag
xtpkbmvx
Files to delete:
c:\windows\system32\drivers\wslag.sys
c:\windows\system32\drivers\xtpkbmvx.sys
Registry keys to delete:
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wslag
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\xtpkbmvx

* Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine reponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt

Co · Answer

Me revoici...

Voila le rapport Avenger (j'ai encore eu le "problème" au démarrage)

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "wslag" deleted successfully.
Driver "xtpkbmvx" deleted successfully.
File "c:\windows\system32\drivers\wslag.sys" deleted successfully.
File "c:\windows\system32\drivers\xtpkbmvx.sys" deleted successfully.

Error:  registry key "HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wslag" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wslag" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  registry key "HKEY_LOCAL_MACHINE\System\ControlSet001\Services\xtpkbmvx" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\System\ControlSet001\Services\xtpkbmvx" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.

Malekal_morte- · Answer

Bon, ça doit être mieux  :) 

genre t'as 1h ou deux et tu refais un Combofix normal comme la première fois sans le CFScript et tu postes le rapport ici. 

Eventuellement, avant tu peux faire un Malwarebyte : 

Malwarebyte Anti-Malware : https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/  

Tuto d'aide à l'utilisation : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/  

Tu fais un scan et tu mets en quarantaine et poste le rapport ici.  


Madness Rox \o/

Co · Answer

voici le rapport combofix

ComboFix 10-05-17.05 - Administrateur 19/05/2010  15:41:12.5.2 - x86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.2942.2307 [GMT 2:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((   Fichiers créés du 2010-04-19 au 2010-05-19  ))))))))))))))))))))))))))))))))))))
.

2010-05-19 09:58 . 2009-12-14 05:57	213504	----a-w-	c:\documents and settings\Administrateur\Application Data\Thunderbird\Profiles\ukwpga06.default\extensions\{e2fda1a4-762b-4020-b5ad-a41df1933103}\components\calbscmp.dll
2010-05-18 15:13 . 2010-05-18 15:16	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\QuickScan
2010-05-18 15:13 . 2010-05-17 14:48	702120	----a-w-	c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\dcujvulo.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\qscanff.dll
2010-05-18 15:13 . 2010-05-17 14:48	868456	----a-w-	c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\dcujvulo.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins
pqscan.dll
2010-05-18 09:39 . 2010-05-18 09:39	--------	d-----w-	c:\program files\Trend Micro
2010-05-18 08:46 . 2010-05-18 09:30	--------	d-----w-	c:\program files\Unlocker
2010-05-18 07:30 . 2008-06-14 17:33	272768	------w-	c:\windows\system32\dllcache\bthport.sys
2010-05-18 07:29 . 2008-05-08 14:02	203136	------w-	c:\windows\system32\dllcachemcast.sys
2010-05-18 07:29 . 2009-10-15 16:32	81920	------w-	c:\windows\system32\dllcache\fontsub.dll
2010-05-18 07:29 . 2009-10-15 16:32	119808	------w-	c:\windows\system32\dllcache	2embed.dll
2010-05-18 07:29 . 2009-12-31 16:50	353792	------w-	c:\windows\system32\dllcache\srv.sys
2010-05-18 07:28 . 2010-02-24 13:11	455680	------w-	c:\windows\system32\dllcache\mrxsmb.sys
2010-05-18 07:25 . 2009-08-25 09:18	354816	------w-	c:\windows\system32\dllcache\winhttp.dll
2010-05-18 07:25 . 2008-10-15 16:35	337408	------w-	c:\windows\system32\dllcache
etapi32.dll
2010-05-17 15:20 . 2010-05-17 15:20	--------	d-----w-	c:\windows\system32\fr
2010-05-17 15:20 . 2010-05-17 15:20	--------	d-----w-	c:\windows\system32\bits
2010-05-17 15:20 . 2010-05-17 15:20	--------	d-----w-	c:\windows\l2schemas
2010-05-17 07:55 . 2010-05-17 07:55	--------	d-sh--w-	c:\documents and settings\Administrateur\IECompatCache
2010-05-17 07:55 . 2010-05-17 07:55	--------	d-sh--w-	c:\documents and settings\Administrateur\PrivacIE
2010-05-17 07:43 . 2010-05-17 07:43	--------	d-sh--w-	c:\documents and settings\LocalService\IETldCache
2010-05-17 07:41 . 2010-05-17 07:41	--------	d-sh--w-	c:\documents and settings\Administrateur\IETldCache
2010-05-17 07:34 . 2010-02-25 06:17	12800	------w-	c:\windows\system32\dllcache\xpshims.dll
2010-05-17 07:34 . 2010-02-25 06:17	247808	------w-	c:\windows\system32\dllcache\ieproxy.dll
2010-05-17 07:34 . 2010-05-19 01:06	--------	d-----w-	c:\windows\ie8updates
2010-05-17 07:33 . 2010-02-16 04:50	64000	------w-	c:\windows\system32\dllcache\iecompat.dll
2010-05-17 07:31 . 2010-05-17 07:33	--------	dc-h--w-	c:\windows\ie8
2010-05-07 07:10 . 2010-05-07 07:10	503808	----a-w-	c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-120d1af9-n\msvcp71.dll
2010-05-07 07:10 . 2010-05-07 07:10	499712	----a-w-	c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-120d1af9-n\jmc.dll
2010-05-07 07:10 . 2010-05-07 07:10	348160	----a-w-	c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-120d1af9-n\msvcr71.dll
2010-05-07 07:10 . 2010-05-07 07:10	61440	----a-w-	c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-79c79760-n\decora-sse.dll
2010-05-07 07:10 . 2010-05-07 07:10	12800	----a-w-	c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-79c79760-n\decora-d3d.dll
2010-05-07 07:10 . 2010-04-12 15:29	411368	----a-w-	c:\windows\system32\deployJava1.dll
2010-05-07 06:37 . 2010-05-07 09:07	--------	d-----w-	c:\windows\BDOSCAN8
2010-05-04 10:59 . 2010-01-27 09:02	15880	----a-w-	c:\windows\system32\lsdelete.exe
2010-05-04 10:03 . 2010-05-04 10:03	--------	d-----w-	c:\program files\TeaTimer (Spybot - Search & Destroy)
2010-05-04 10:03 . 2010-05-04 10:03	--------	d-----w-	c:\program files\SDHelper (Spybot - Search & Destroy)
2010-05-04 10:03 . 2010-05-04 10:03	--------	d-----w-	c:\program files\Misc. Support Library (Spybot - Search & Destroy)
2010-05-04 10:03 . 2010-05-04 10:03	--------	d-----w-	c:\program files\File Scanner Library (Spybot - Search & Destroy)
2010-04-28 08:52 . 2001-10-28 14:42	116224	----a-w-	c:\windows\system32\pdfcmnnt.dll
2010-04-28 08:52 . 2010-04-28 08:53	--------	d-----w-	c:\program files\PDFCreator
2010-04-28 08:52 . 1998-07-12 23:08	59904	----a-w-	c:\windows\system32\MSCC2FR.DLL
2010-04-28 08:52 . 1998-07-05 22:00	23552	----a-w-	c:\windows\system32\MSMPIDE.DLL

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-19 13:23 . 2009-05-13 16:54	--------	d-----w-	c:\program files\SPAMfighter
2010-05-19 13:20 . 2007-07-21 10:05	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\OpenOffice.org2
2010-05-19 13:19 . 2007-07-21 10:40	--------	d-----w-	c:\program files\Spybot - Search & Destroy
2010-05-19 10:25 . 2007-07-21 10:01	--------	d-----w-	c:\program files\Mozilla Thunderbird
2010-05-19 10:20 . 2007-06-05 08:21	24128	----a-w-	c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-05-19 10:18 . 2007-07-21 10:40	--------	d-----w-	c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-05-19 09:56 . 2007-07-21 10:01	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\Thunderbird
2010-05-19 06:00 . 2007-07-21 10:41	--------	d-----w-	c:\program files\Vigilus Smart
2010-05-18 15:18 . 2007-01-04 08:07	--------	d-----w-	c:\program files\Google
2010-05-18 15:15 . 2006-05-08 09:33	84766	----a-w-	c:\windows\system32\perfc00C.dat
2010-05-18 15:15 . 2006-05-08 09:33	510742	----a-w-	c:\windows\system32\perfh00C.dat
2010-05-17 15:23 . 2006-05-08 09:20	88211	----a-w-	c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-05-07 07:10 . 2007-01-04 08:07	--------	d-----w-	c:\program files\Java
2010-05-06 07:04 . 2010-05-06 07:03	16	----a-w-	c:\documents and settings\Administrateur\Application Data\qvjsge.dat
2010-04-16 13:35 . 2010-04-16 13:35	--------	d-----w-	c:\documents and settings\LocalService\Application Data\TeamViewer
2010-04-16 12:52 . 2010-04-16 12:52	--------	d-----w-	c:\windows\system32\config\systemprofile\Application Data\TeamViewer
2010-04-12 17:07 . 2010-04-12 17:07	--------	d-----w-	c:\program files\Flash Movie Player
2010-03-30 13:16 . 2010-03-30 13:16	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\dvdcss
2010-03-22 10:17 . 2010-03-22 09:38	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\TeamViewer
2010-03-22 09:38 . 2010-03-22 09:38	--------	d-----w-	c:\program files\TeamViewer
2010-03-22 07:38 . 2010-03-22 07:38	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\ZohoMeeting
2010-03-10 06:16 . 2006-03-02 02:00	420352	----a-w-	c:\windows\system32\vbscript.dll
2010-02-25 06:17 . 2006-03-02 02:00	916480	----a-w-	c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2006-03-02 02:00	455680	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2010-02-19 23:47 . 2010-02-19 23:47	3604480	----a-w-	c:\windows\system32\GPhotos.scr
2008-03-02 16:17 . 2008-03-02 16:17	20906864	----a-w-	c:\program files\aaw2007.exe
2009-10-23 00:47 . 2008-11-12 17:54	119808	----a-w-	c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
2009-07-14 00:16 . 2009-07-14 00:16	1044480	----a-w-	c:\program files\mozilla firefox\plugins\libdivx.dll
2009-07-14 00:16 . 2009-07-14 00:16	200704	----a-w-	c:\program files\mozilla firefox\plugins\ssldivx.dll
.

(((((((((((((((((((((((((((((   SnapShot@2010-05-19_08.29.45   )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-05-19 13:20 . 2010-05-19 13:20	16384              c:\windows\Temp\Perflib_Perfdata_644.dat
+ 2006-03-02 02:00 . 2009-06-25 08:26	54272              c:\windows\system32\wdigest.dll
+ 2006-03-02 02:00 . 2009-06-25 08:26	56832              c:\windows\system32\secur32.dll
- 2006-03-02 02:00 . 2009-02-03 19:58	56832              c:\windows\system32\secur32.dll
+ 2006-03-02 02:00 . 2009-06-24 11:18	92928              c:\windows\system32\drivers\ksecdd.sys
+ 2009-06-25 08:26 . 2009-06-25 08:26	54272              c:\windows\system32\dllcache\wdigest.dll
+ 2009-02-03 19:58 . 2009-06-25 08:26	56832              c:\windows\system32\dllcache\secur32.dll
- 2009-02-03 19:58 . 2009-02-03 19:58	56832              c:\windows\system32\dllcache\secur32.dll
+ 2009-06-24 11:18 . 2009-06-24 11:18	92928              c:\windows\system32\dllcache\ksecdd.sys
+ 2006-03-02 02:00 . 2009-06-25 08:26	147456              c:\windows\system32\schannel.dll
+ 2006-03-02 02:00 . 2009-06-25 08:26	736768              c:\windows\system32\lsasrv.dll
+ 2006-03-02 02:00 . 2009-06-25 08:26	301568              c:\windows\system32\kerberos.dll
+ 2008-12-05 06:57 . 2009-06-25 08:26	147456              c:\windows\system32\dllcache\schannel.dll
+ 2010-05-18 07:27 . 2009-06-25 08:26	736768              c:\windows\system32\dllcache\lsasrv.dll
+ 2009-06-25 08:26 . 2009-06-25 08:26	301568              c:\windows\system32\dllcache\kerberos.dll
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpiderMessenger"="c:\program files\SpiderMessenger\SpiderMessenger.exe" [BU]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe" [2005-01-07 61952]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2006-05-23 344064]
"RTHDCPL"="RTHDCPL.EXE" [2006-08-01 16049664]
"EPSON Stylus Photo R240 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIAHE.EXE" [2005-04-25 98304]
"SystrayORAHSS"="c:\program files\Orange\Systray\SystrayApp.exe" [2007-09-25 94208]
"ORAHSSSessionManager"="c:\program files\Orange\SessionManager\SessionManager.exe" [2007-09-25 102400]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2009-10-23 30192]
"SPAMfighter Agent"="c:\program files\SPAMfighter\SFAgent.exe" [2009-03-12 326792]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"EoEngine"="" [BU]
"eorezo"="" [BU]
"UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [BU]
"SoftwareHelper"="c:\documents and settings\Administrateur\Application Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe" [BU]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Administrateur\Menu D'marrer\Programmes\D'marrage\
OpenOffice.org 2.2.lnk - c:\program files\OpenOffice.org 2.2\program\quickstart.exe [2007-2-2 393216]
VigilusSmart.lnk - c:\documents and settings\Administrateur\Application Data\Microsoft\Installer\{DA4F4946-94BC-11D6-9D97-00201866727E}\IconDA4F4946.exe [2007-7-21 10752]

c:\documents and settings\Administrateur\Menu D'marrer\Programmes\D'marrage\
OpenOffice.org 2.2.lnk - c:\program files\OpenOffice.org 2.2\program\quickstart.exe [2007-2-2 393216]
VigilusSmart.lnk - c:\documents and settings\Administrateur\Application Data\Microsoft\Installer\{DA4F4946-94BC-11D6-9D97-00201866727E}\IconDA4F4946.exe [2007-7-21 10752]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Readereader_sl.exe [2008-4-23 29696]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\WINDOWS\SMINST\Scheduler.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Orange\Connectivity\ConnectivityManager.exe"=
"c:\Program Files\TeamViewer\Version4\TeamViewer.exe"=

R0 atiide;atiide;c:\windows\system32\drivers\atiide.sys [21/12/2006 21:35 3840]
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [30/12/2009 23:00 64288]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [30/12/2009 18:05 108289]
R2 SPAMfighter Update Service;SPAMfighter Update Service;c:\program files\SPAMfighter\sfus.exe [12/03/2009 10:44 184968]
R2 TeamViewer4;TeamViewer 4;c:\program files\TeamViewer\Version4\TeamViewer_Service.exe [23/03/2009 11:35 185640]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [24/09/2009 13:17 1181328]
S3 GoogleDesktopManager-093009-130223;Google Desktop Manager 5.9.909.30391;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [12/11/2008 19:54 30192]
.
Contenu du dossier 'Tâches planifiées'

2010-05-19 c:\windows\Tasks\Ad-Aware Update (Daily 1).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 15:00]

2010-05-19 c:\windows\Tasks\Ad-Aware Update (Daily 2).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 15:00]

2010-05-19 c:\windows\Tasks\Ad-Aware Update (Daily 3).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 15:00]

2010-05-19 c:\windows\Tasks\Ad-Aware Update (Daily 4).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 15:00]

2010-05-19 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 15:00]
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://fr.gdark.com/search.php?cx=partner-pub-7902900401080901%3Ae94ctf-nqmg&cof=FORID%3A10&ie=UTF-8&q={searchTerms}
uStart Page = hxxp://www.google.fr/
uDefault_Search_URL = hxxp://fr.gdark.com
mStart Page = hxxp://fr.gdark.com
uSearchAssistant = hxxp://fr.gdark.com
uSearchURL,(Default) = hxxp://fr.gdark.com
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: {{ECC5777A-6E88-BFCE-13CE-81F134789F6A} - c:\program files\Vigilus Smart\VigilusSmartAjoutIE.exe
IE: {{32893F3D-2B10-4B09-BA6A-8F20E7D33925} - {32893F3D-2B10-4B09-BA6A-8F20E7D33925} - j:\damien\iGraal\Button.dll
DPF: {7BBE219E-10CB-4C37-BC25-64533EFCCDCB} - hxxp://www.naviciel.com/data/Navi_Picture.CAB
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\dcujvulo.default\
FF - prefs.js: browser.search.defaulturl - hxxp://fr.gdark.com/search.php?cx=partner-pub-7902900401080901%3Ae94ctf-nqmg&cof=FORID%3A10&ie=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Gdark
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://fr.gdark.com/search.php?cx=partner-pub-7902900401080901%3Ae94ctf-nqmg&cof=FORID%3A10&ie=UTF-8&q=
FF - component: c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\dcujvulo.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\qscanff.dll
FF - component: c:\program files\Mozilla Firefox\components\GoogleDesktopMozilla.dll
FF - plugin: c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\dcujvulo.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins
pqscan.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins
pdeployJava1.dll
FF - plugin: c:\program files\Picasa2
pPicasa3.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
.

Co · Answer

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-19 15:44
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-4160038612-688107719-1409318655-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,27,a5,c4,1f,44,a5,c8,42,ba,46,d1,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,27,a5,c4,1f,44,a5,c8,42,ba,46,d1,\
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(736)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3028)
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Heure de fin: 2010-05-19  15:45:54
ComboFix-quarantined-files.txt  2010-05-19 13:45
ComboFix2.txt  2010-05-19 10:04
ComboFix3.txt  2010-05-19 10:26
ComboFix4.txt  2010-05-19 08:31
ComboFix5.txt  2010-05-19 13:40

Avant-CF: 110 804 639 744 octets libres
Après-CF: 110 793 302 016 octets libres

- - End Of File - - 3D363ADF219444DFD28D281C00C78A57

et voila le rapport malwarebytes

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 183350
Temps écoulé: 31 minute(s), 16 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo (Rogue.Eorezo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\kukzdw.sys.vir (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{FEEA537F-4E78-4814-A60F-A7A8BE8C9F38}\RP950\A0043535.exe (Spyware.AgenceExclusive) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{FEEA537F-4E78-4814-A60F-A7A8BE8C9F38}\RP950\A0043584.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{FEEA537F-4E78-4814-A60F-A7A8BE8C9F38}\RP952\A0044463.exe (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{FEEA537F-4E78-4814-A60F-A7A8BE8C9F38}\RP952\A0044464.exe (Rogue.Eorezo) -> Quarantined and deleted successfully.

Malekal_morte- · Answer

Je me demande s'il est possible de rencontrer un internaute ici qui n'a pas installé ce Eorezo..... hallucinant.  

Bon ça doit aller mieux.  
Tu confirmes ? plus de soucis ?  

~~  

T'as Ad-Aware et Spybot, ça sert à rien.  
Tu devrais les désinstaller.

~~~  

Bon le plus important à comprendre.... Ta version d'Adobe Reader est pas à jour et comporte des vulnérabilités et c'est certainement ce qui a permis l'infection de ton PC (voir : https://forum.malekal.com/viewtopic.php?t=13629&start= ).  

Faut absolument que tu le mettes à jour ainsi que tes logiciels et surtout que tu prennes l'habitude de les maintenir à jour.  
Utilise ça :  
https://www.commentcamarche.net/faq/24790-software-informer-maintenir-ses-logiciels-a-jour  
ou : https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour  

J'insiste c'est vraiment important.  

~~  

Un peu de lecture pour éviter les infections :    
- connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf    
- sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html    


Madness Rox \o/

Co · Answer

re,

merci pour toutes ces infos malekal_morte.
oui effectivement, ca va mieux, le pc démarre normalement et tout a l'air de fonctionner à merveille... very very thanks !

je vais mettre a jour tous ce qui se trouve sur ce PC.

encore merci !

co

PC qui ne démarre plus + virus

22 réponses

Votre réponse

Newsletters