PC qui ne démarre plus + virus

Co -  
 Co -
Bonjourno tout le monde,

Le PC sur lequel je vais travailler m'a l'air complétement infecté. Il ne démarre plus (la page du choix mode normal/sans échec s'affiche avec le compte à rebours, et dans les deux cas, windows ne se lance pas, le PC redémarre et.... retour à la page du choix mode normal/sans échec !)...

Il semble également qu'il y est spidermessenger en processus actif lorsque j'arrive à l'allumer en passant par F11 (HP recovery).

En fait, j'appui sur F11, le recovery s'initialise et lorsque j'arrive sur l'écran d'accueil (choix sauvegarde fichier ou formatage), je fais annuler et la le PC démarre (pourki pourkoi ??)...

Comment procéder, faire un rapport HijackThis et vous le poster, avec un autre analyseur ?

Je suis en train d'utiliser unlocker en ce moment, pour le problème de spidermessnger (vu sur ccm).

Merci pour votre aide

Co

out le monde

22 réponses

  • 1
  • 2
  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Quand tu as le compte à rebours fais ça :
    Menu Démarrer / exécuter et tape : shutdown -a

    Essaye de sauvegarder tes données, on est pas à l'abbri d'un plantage de Windows.
    Laisser tomber unlocker.

    Désactive les logiciels de protection (Antivirus, Antispywares) puis :

    Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!

    Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.

    Eventuellement, installe la console de récupération comme cela est conseillé

    Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

    Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.

    Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

    Puis :

    - Télécharge http://www.trendsecure.com/portal/fr/_download/HJTInstall.exe ton bureau.
    - Double-clic sur HijackThis
    - Génère un rapport en suivant ces indications :
    - Exécute le et clique sur Do a scan and save log file.
    - Le rapport s'ouvre sur le Bloc-Note
    - Colle le rapport ici, pour cela :
    - Menu Edition / Selectionner Tout
    - Menu Edition / copier
    - Ici dans un nouveau message : clic droit / coller
    0
  2. Co
     
    ok, merci pour cette rapide réponse, je suis tes indications de suite et je poste les rapports.

    Par contre, je me suis mal exprimé pour le redémarrage, je n'arrive même pas jusqu'a l'écran de bureau. Le PC redémarre a peu près au moment du logo windows avec la barre de défilement dessous. (c'est compréhensible comme explication ?)

    Et c'est le même topo en mode sans échec (avec ou sans prise en charge réseau). Le seul moyen de le faire démarrer (pour l'instant) c'est la manip en passant par F11... manip' que je n'explique pas !

    @ tout de suite...

    Co
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Tu arrives ou non sur le bureau ? mode sans échec ou je ne sais quoi ?
      Si tu n'arrives pas dessus, je comprends pas pourquoi tu parles de unlocker & co.
      0
  3. Co
     
    e,

    Je m'explique assez mal, désolé. Je reprends :
    - j'allume mon PC >> écran de choix du mode de démarrage
    - peu importe le choix, lorsque le PC est sur la page "logo windows+barre de défilement", il redémarre.

    du coup, en faisant F11 dès le début, j'accède au HP recovery, il s'initialise, j'arrive sur l'écran d'accueil et la je fais "annuler" et alors l'ordi démarre correctement... et j'ai donc accès au bureau etc...

    Est-ce plus clair ?

    Les rapports ce trouvent ici :

    http://www.cijoint.fr/cjlink.php?file=cj201005/cijp62y8Sk.txt

    Qu'en pensez-vous ?

    PS: désolé du retard, j'avais cru posté ce matin mais en fait ca a du planter vu la longueur du post !

    Merci d'avance

    Co
    0
  4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    wow OK. Bizarre la feinte pour pouvoir démarrer.

    Tu as installé des programmes EoRezo, sais-tu que le service transmet certaines informations ? comme par exemple ton adresse, numéro de télephone qui ont été saisis lors de l'inscription ?
    EoRezo modifie aussi ta page de démarrge vers lo.st, il se peux aussi que ce site transmettent certaines informations.

    Pour plus d'informations se reporter à cette page : https://forum.malekal.com/viewtopic.php?t=18245&start=

    Désinstalle les programmes EoRezo, vas dans ajout/suppression de programmes du panneau de configuration puis désinstalle les programmes commençant par Eo et Software Update.

    Change ta page de démarrage : Dans Internet Explorer : Menu Outils puis Options Internet et tu changes ta page de démarrage.

    ~~~

    DESACTIVE LA PROTECTION ANTIVIR DURANT LA PROCEDURE

    Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

    driver::
    xtpkbmvx
    wslag
    file::
    c:\windows\system32\drivers\xtpkbmvx.sys
    c:\windows\system32\drivers\wslag.sys


    Enregistre ce fichier sous le nom CFScript

    [*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

    [*]Combofix se lance, laisse toi guider..

    [*]Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
    [*]Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis

    Madness Rox \o/
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Co
     
    Bonjour,

    Je viens d'effectuer les manip' (désinstallation d'eorezo et combofix).

    J'ai essayé de redémarrer mon pc, le problème n'a pas changé. J'ai aussi des alertes de spybot S&D en permanence pour me dmeander l'autorisation de modification de valeurs (diverses).

    Voici le rapport combofix :

    ComboFix 10-05-17.03 - Administrateur 19/05/2010 10:25:58.2.2 - x86
    Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2942.2125 [GMT 2:00]
    Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
    Commutateurs utilisés :: c:\documents and settings\Administrateur\Bureau\CFScript.txt
    AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
    .

    ((((((((((((((((((((((((((((( Fichiers créés du 2010-04-19 au 2010-05-19 ))))))))))))))))))))))))))))))))))))
    .

    2010-05-18 15:13 . 2010-05-18 15:16 -------- d-----w- c:\documents and settings\Administrateur\Application Data\QuickScan
    2010-05-18 15:13 . 2010-05-17 14:48 702120 ----a-w- c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\dcujvulo.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\qscanff.dll
    2010-05-18 15:13 . 2010-05-17 14:48 868456 ----a-w- c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\dcujvulo.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
    2010-05-18 09:39 . 2010-05-18 09:39 -------- d-----w- c:\program files\Trend Micro
    2010-05-18 09:33 . 2010-05-19 08:29 536064 ----a-w- c:\windows\system32\drivers\wslag.sys
    2010-05-18 08:46 . 2010-05-18 09:30 -------- d-----w- c:\program files\Unlocker
    2010-05-18 07:30 . 2008-06-14 17:33 272768 ------w- c:\windows\system32\dllcache\bthport.sys
    2010-05-18 07:29 . 2008-05-08 14:02 203136 ------w- c:\windows\system32\dllcache\rmcast.sys
    2010-05-18 07:29 . 2009-10-15 16:32 81920 ------w- c:\windows\system32\dllcache\fontsub.dll
    2010-05-18 07:29 . 2009-10-15 16:32 119808 ------w- c:\windows\system32\dllcache\t2embed.dll
    2010-05-18 07:29 . 2009-12-31 16:50 353792 ------w- c:\windows\system32\dllcache\srv.sys
    2010-05-18 07:28 . 2010-02-24 13:11 455680 ------w- c:\windows\system32\dllcache\mrxsmb.sys
    2010-05-18 07:25 . 2009-08-25 09:18 354816 ------w- c:\windows\system32\dllcache\winhttp.dll
    2010-05-18 07:25 . 2008-10-15 16:35 337408 ------w- c:\windows\system32\dllcache\netapi32.dll
    2010-05-17 15:20 . 2010-05-17 15:20 -------- d-----w- c:\windows\system32\fr
    2010-05-17 15:20 . 2010-05-17 15:20 -------- d-----w- c:\windows\system32\bits
    2010-05-17 15:20 . 2010-05-17 15:20 -------- d-----w- c:\windows\l2schemas
    2010-05-17 07:55 . 2010-05-17 07:55 -------- d-sh--w- c:\documents and settings\Administrateur\IECompatCache
    2010-05-17 07:55 . 2010-05-17 07:55 -------- d-sh--w- c:\documents and settings\Administrateur\PrivacIE
    2010-05-17 07:43 . 2010-05-17 07:43 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache
    2010-05-17 07:41 . 2010-05-17 07:41 -------- d-sh--w- c:\documents and settings\Administrateur\IETldCache
    2010-05-17 07:34 . 2010-02-25 06:17 12800 ------w- c:\windows\system32\dllcache\xpshims.dll
    2010-05-17 07:34 . 2010-02-25 06:17 247808 ------w- c:\windows\system32\dllcache\ieproxy.dll
    2010-05-17 07:34 . 2010-05-19 01:06 -------- d-----w- c:\windows\ie8updates
    2010-05-17 07:33 . 2010-02-16 04:50 64000 ------w- c:\windows\system32\dllcache\iecompat.dll
    2010-05-17 07:31 . 2010-05-17 07:33 -------- dc-h--w- c:\windows\ie8
    2010-05-07 07:10 . 2010-05-07 07:10 503808 ----a-w- c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-120d1af9-n\msvcp71.dll
    2010-05-07 07:10 . 2010-05-07 07:10 499712 ----a-w- c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-120d1af9-n\jmc.dll
    2010-05-07 07:10 . 2010-05-07 07:10 348160 ----a-w- c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-120d1af9-n\msvcr71.dll
    2010-05-07 07:10 . 2010-05-07 07:10 61440 ----a-w- c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-79c79760-n\decora-sse.dll
    2010-05-07 07:10 . 2010-05-07 07:10 12800 ----a-w- c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-79c79760-n\decora-d3d.dll
    2010-05-07 07:10 . 2010-04-12 15:29 411368 ----a-w- c:\windows\system32\deployJava1.dll
    2010-05-07 06:37 . 2010-05-07 09:07 -------- d-----w- c:\windows\BDOSCAN8
    2010-05-06 07:04 . 2010-05-19 08:29 859648 ----a-w- c:\windows\system32\drivers\xtpkbmvx.sys
    2010-05-04 10:59 . 2010-01-27 09:02 15880 ----a-w- c:\windows\system32\lsdelete.exe
    2010-05-04 10:03 . 2010-05-04 10:03 -------- d-----w- c:\program files\TeaTimer (Spybot - Search & Destroy)
    2010-05-04 10:03 . 2010-05-04 10:03 -------- d-----w- c:\program files\SDHelper (Spybot - Search & Destroy)
    2010-05-04 10:03 . 2010-05-04 10:03 -------- d-----w- c:\program files\Misc. Support Library (Spybot - Search & Destroy)
    2010-05-04 10:03 . 2010-05-04 10:03 -------- d-----w- c:\program files\File Scanner Library (Spybot - Search & Destroy)
    2010-04-28 08:52 . 2001-10-28 14:42 116224 ----a-w- c:\windows\system32\pdfcmnnt.dll
    2010-04-28 08:52 . 2010-04-28 08:53 -------- d-----w- c:\program files\PDFCreator
    2010-04-28 08:52 . 1998-07-12 23:08 59904 ----a-w- c:\windows\system32\MSCC2FR.DLL
    2010-04-28 08:52 . 1998-07-05 22:00 23552 ----a-w- c:\windows\system32\MSMPIDE.DLL

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-05-19 07:29 . 2009-08-27 08:40 -------- d-----w- c:\documents and settings\Administrateur\Application Data\EoRezo
    2010-05-19 07:12 . 2007-07-21 10:01 -------- d-----w- c:\program files\Mozilla Thunderbird
    2010-05-19 06:00 . 2007-07-21 10:41 -------- d-----w- c:\program files\Vigilus Smart
    2010-05-19 01:24 . 2007-07-21 10:05 -------- d-----w- c:\documents and settings\Administrateur\Application Data\OpenOffice.org2
    2010-05-19 01:24 . 2009-05-13 16:54 -------- d-----w- c:\program files\SPAMfighter
    2010-05-18 15:18 . 2007-01-04 08:07 -------- d-----w- c:\program files\Google
    2010-05-18 15:15 . 2006-05-08 09:33 84766 ----a-w- c:\windows\system32\perfc00C.dat
    2010-05-18 15:15 . 2006-05-08 09:33 510742 ----a-w- c:\windows\system32\perfh00C.dat
    2010-05-17 15:23 . 2006-05-08 09:20 88211 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
    2010-05-12 15:27 . 2007-07-21 10:40 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
    2010-05-07 08:42 . 2007-06-05 08:21 22968 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
    2010-05-07 07:10 . 2007-01-04 08:07 -------- d-----w- c:\program files\Java
    2010-05-06 07:04 . 2010-05-06 07:03 16 ----a-w- c:\documents and settings\Administrateur\Application Data\qvjsge.dat
    2010-05-04 10:11 . 2007-07-21 10:40 -------- d-----w- c:\program files\Spybot - Search & Destroy
    2010-04-16 13:35 . 2010-04-16 13:35 -------- d-----w- c:\documents and settings\LocalService\Application Data\TeamViewer
    2010-04-16 12:52 . 2010-04-16 12:52 -------- d-----w- c:\windows\system32\config\systemprofile\Application Data\TeamViewer
    2010-04-12 17:07 . 2010-04-12 17:07 -------- d-----w- c:\program files\Flash Movie Player
    2010-03-30 13:16 . 2010-03-30 13:16 -------- d-----w- c:\documents and settings\Administrateur\Application Data\dvdcss
    2010-03-22 10:17 . 2010-03-22 09:38 -------- d-----w- c:\documents and settings\Administrateur\Application Data\TeamViewer
    2010-03-22 09:38 . 2010-03-22 09:38 -------- d-----w- c:\program files\TeamViewer
    2010-03-22 07:38 . 2010-03-22 07:38 -------- d-----w- c:\documents and settings\Administrateur\Application Data\ZohoMeeting
    2010-03-10 06:16 . 2006-03-02 02:00 420352 ----a-w- c:\windows\system32\vbscript.dll
    2010-02-25 06:17 . 2006-03-02 02:00 916480 ----a-w- c:\windows\system32\wininet.dll
    2010-02-24 13:11 . 2006-03-02 02:00 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
    2010-02-19 23:47 . 2010-02-19 23:47 3604480 ----a-w- c:\windows\system32\GPhotos.scr
    2008-03-02 16:17 . 2008-03-02 16:17 20906864 ----a-w- c:\program files\aaw2007.exe
    2009-10-23 00:47 . 2008-11-12 17:54 119808 ----a-w- c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
    2009-07-14 00:16 . 2009-07-14 00:16 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
    2009-07-14 00:16 . 2009-07-14 00:16 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]
    "SpiderMessenger"="c:\program files\SpiderMessenger\SpiderMessenger.exe" [BU]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe" [2005-01-07 61952]
    "ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2006-05-23 344064]
    "RTHDCPL"="RTHDCPL.EXE" [2006-08-01 16049664]
    "EPSON Stylus Photo R240 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIAHE.EXE" [2005-04-25 98304]
    "SystrayORAHSS"="c:\program files\Orange\Systray\SystrayApp.exe" [2007-09-25 94208]
    "ORAHSSSessionManager"="c:\program files\Orange\SessionManager\SessionManager.exe" [2007-09-25 102400]
    "Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2009-10-23 30192]
    "SPAMfighter Agent"="c:\program files\SPAMfighter\SFAgent.exe" [2009-03-12 326792]
    "SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
    "EoEngine"="" [BU]
    "eorezo"="" [BU]
    "UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [BU]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

    c:\documents and settings\Administrateur\Menu D'marrer\Programmes\D'marrage\
    OpenOffice.org 2.2.lnk - c:\program files\OpenOffice.org 2.2\program\quickstart.exe [2007-2-2 393216]
    VigilusSmart.lnk - c:\documents and settings\Administrateur\Application Data\Microsoft\Installer\{DA4F4946-94BC-11D6-9D97-00201866727E}\IconDA4F4946.exe [2007-7-21 10752]

    c:\documents and settings\Administrateur\Menu D'marrer\Programmes\D'marrage\
    OpenOffice.org 2.2.lnk - c:\program files\OpenOffice.org 2.2\program\quickstart.exe [2007-2-2 393216]
    VigilusSmart.lnk - c:\documents and settings\Administrateur\Application Data\Microsoft\Installer\{DA4F4946-94BC-11D6-9D97-00201866727E}\IconDA4F4946.exe [2007-7-21 10752]

    c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
    Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
    @="Service"

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\WINDOWS\\SMINST\\Scheduler.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\Orange\\Connectivity\\ConnectivityManager.exe"=
    "c:\\Program Files\\TeamViewer\\Version4\\TeamViewer.exe"=

    R0 atiide;atiide;c:\windows\system32\drivers\atiide.sys [21/12/2006 21:35 3840]
    R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [30/12/2009 23:00 64288]
    R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [30/12/2009 18:05 108289]
    R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [24/09/2009 13:17 1181328]
    R2 SPAMfighter Update Service;SPAMfighter Update Service;c:\program files\SPAMfighter\sfus.exe [12/03/2009 10:44 184968]
    R2 TeamViewer4;TeamViewer 4;c:\program files\TeamViewer\Version4\TeamViewer_Service.exe [23/03/2009 11:35 185640]
    S3 GoogleDesktopManager-093009-130223;Google Desktop Manager 5.9.909.30391;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [12/11/2008 19:54 30192]

    --- Autres Services/Pilotes en mémoire ---

    *Deregistered* - wslag
    *Deregistered* - xtpkbmvx
    .
    Contenu du dossier 'Tâches planifiées'

    2010-05-19 c:\windows\Tasks\Ad-Aware Update (Daily 1).job
    - c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 15:00]

    2010-05-19 c:\windows\Tasks\Ad-Aware Update (Daily 2).job
    - c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 15:00]

    2010-05-19 c:\windows\Tasks\Ad-Aware Update (Daily 3).job
    - c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 15:00]

    2010-05-19 c:\windows\Tasks\Ad-Aware Update (Daily 4).job
    - c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 15:00]

    2010-05-19 c:\windows\Tasks\Ad-Aware Update (Weekly).job
    - c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 15:00]
    .
    .
    ------- Examen supplémentaire -------
    .
    uSearchMigratedDefaultURL = hxxp://fr.gdark.com/search.php?cx=partner-pub-7902900401080901%3Ae94ctf-nqmg&cof=FORID%3A10&ie=UTF-8&q={searchTerms}
    uStart Page = hxxp://www.google.fr/
    uDefault_Search_URL = hxxp://fr.gdark.com
    mStart Page = hxxp://fr.gdark.com
    uSearchAssistant = hxxp://fr.gdark.com
    uSearchURL,(Default) = hxxp://fr.gdark.com
    IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
    IE: {{ECC5777A-6E88-BFCE-13CE-81F134789F6A} - c:\program files\Vigilus Smart\\VigilusSmartAjoutIE.exe
    IE: {{32893F3D-2B10-4B09-BA6A-8F20E7D33925} - {32893F3D-2B10-4B09-BA6A-8F20E7D33925} - j:\damien\iGraal\Button.dll
    Trusted Zone: orange.fr\www
    DPF: {7BBE219E-10CB-4C37-BC25-64533EFCCDCB} - hxxp://www.naviciel.com/data/Navi_Picture.CAB
    FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\dcujvulo.default\
    FF - prefs.js: browser.search.defaulturl - hxxp://fr.gdark.com/search.php?cx=partner-pub-7902900401080901%3Ae94ctf-nqmg&cof=FORID%3A10&ie=UTF-8&q=
    FF - prefs.js: browser.search.selectedEngine - Gdark
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
    FF - prefs.js: keyword.URL - hxxp://fr.gdark.com/search.php?cx=partner-pub-7902900401080901%3Ae94ctf-nqmg&cof=FORID%3A10&ie=UTF-8&q=
    FF - component: c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\dcujvulo.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\qscanff.dll
    FF - component: c:\program files\Mozilla Firefox\components\GoogleDesktopMozilla.dll
    FF - plugin: c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\dcujvulo.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
    FF - plugin: c:\program files\Mozilla Firefox\plugins\npdeployJava1.dll
    FF - plugin: c:\program files\Picasa2\npPicasa3.dll
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

    ---- PARAMETRES FIREFOX ----
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    BHO-{ADE49752-DBBC-43A3-9498-379A82F574BF} - (no file)
    Toolbar-{D01B1F7D-9D7F-46C3-8DB9-5A55819E2A7F} - (no file)
    HKLM-Run-SoftwareHelper - c:\documents and settings\Administrateur\Application Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-05-19 10:29
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wslag]
    0
  7. Co
     
    --

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\xtpkbmvx]

    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_USERS\S-1-5-21-4160038612-688107719-1409318655-500\Software\Microsoft\Internet Explorer\User Preferences]
    @Denied: (2) (Administrator)
    "88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
    d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,27,a5,c4,1f,44,a5,c8,42,ba,46,d1,\
    "2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
    d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,27,a5,c4,1f,44,a5,c8,42,ba,46,d1,\
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'winlogon.exe'(760)
    c:\windows\system32\Ati2evxx.dll

    - - - - - - - > 'explorer.exe'(4028)
    c:\windows\system32\eappprxy.dll
    c:\windows\system32\webcheck.dll
    c:\windows\system32\WPDShServiceObj.dll
    c:\windows\system32\PortableDeviceTypes.dll
    c:\windows\system32\PortableDeviceApi.dll
    c:\program files\Orange\Launcher\Inactivity.Dll
    .
    Heure de fin: 2010-05-19 10:31:08
    ComboFix-quarantined-files.txt 2010-05-19 08:31
    ComboFix2.txt 2010-05-18 09:37

    Avant-CF: 110 850 203 648 octets libres
    Après-CF: 110 827 839 488 octets libres

    - - End Of File - - B08420B16F039AF0FDDC0875E9719F15

    Merci d'avance pour votre aide

    Cordialement

    Co
    0
  8. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    C'est pas bon, ça n'a pas bien fonctionné et tu es encore infecté.
    Tu devrais désinstaller SpyBot....

    Recommence la manip là :
    https://forums.commentcamarche.net/forum/affich-17768741-pc-qui-ne-demarre-plus-virus#5

    Si ça passe pas, on fera autrement.

    Supprime ce dossier : c:\documents and settings\Administrateur\Application Data\EoRezo

    Madness Rox \o/
    0
  9. Co
     
    re,

    spybot et le dossier eorezo viré...

    voila le rapport combofix

    Merci encore pour ton aide malekal_morte

    ComboFix 10-05-17.03 - Administrateur 19/05/2010 12:21:29.3.2 - x86
    Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2942.2414 [GMT 2:00]
    Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
    Commutateurs utilisés :: c:\documents and settings\Administrateur\Bureau\CFScript.txt
    AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
    .

    ((((((((((((((((((((((((((((( Fichiers créés du 2010-04-19 au 2010-05-19 ))))))))))))))))))))))))))))))))))))
    .

    2010-05-18 15:13 . 2010-05-18 15:16 -------- d-----w- c:\documents and settings\Administrateur\Application Data\QuickScan
    2010-05-18 15:13 . 2010-05-17 14:48 702120 ----a-w- c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\dcujvulo.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\qscanff.dll
    2010-05-18 15:13 . 2010-05-17 14:48 868456 ----a-w- c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\dcujvulo.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
    2010-05-18 09:39 . 2010-05-18 09:39 -------- d-----w- c:\program files\Trend Micro
    2010-05-18 09:33 . 2010-05-19 10:25 536064 ----a-w- c:\windows\system32\drivers\wslag.sys
    2010-05-18 08:46 . 2010-05-18 09:30 -------- d-----w- c:\program files\Unlocker
    2010-05-18 07:30 . 2008-06-14 17:33 272768 ------w- c:\windows\system32\dllcache\bthport.sys
    2010-05-18 07:29 . 2008-05-08 14:02 203136 ------w- c:\windows\system32\dllcache\rmcast.sys
    2010-05-18 07:29 . 2009-10-15 16:32 81920 ------w- c:\windows\system32\dllcache\fontsub.dll
    2010-05-18 07:29 . 2009-10-15 16:32 119808 ------w- c:\windows\system32\dllcache\t2embed.dll
    2010-05-18 07:29 . 2009-12-31 16:50 353792 ------w- c:\windows\system32\dllcache\srv.sys
    2010-05-18 07:28 . 2010-02-24 13:11 455680 ------w- c:\windows\system32\dllcache\mrxsmb.sys
    2010-05-18 07:25 . 2009-08-25 09:18 354816 ------w- c:\windows\system32\dllcache\winhttp.dll
    2010-05-18 07:25 . 2008-10-15 16:35 337408 ------w- c:\windows\system32\dllcache\netapi32.dll
    2010-05-17 15:20 . 2010-05-17 15:20 -------- d-----w- c:\windows\system32\fr
    2010-05-17 15:20 . 2010-05-17 15:20 -------- d-----w- c:\windows\system32\bits
    2010-05-17 15:20 . 2010-05-17 15:20 -------- d-----w- c:\windows\l2schemas
    2010-05-17 07:55 . 2010-05-17 07:55 -------- d-sh--w- c:\documents and settings\Administrateur\IECompatCache
    2010-05-17 07:55 . 2010-05-17 07:55 -------- d-sh--w- c:\documents and settings\Administrateur\PrivacIE
    2010-05-17 07:43 . 2010-05-17 07:43 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache
    2010-05-17 07:41 . 2010-05-17 07:41 -------- d-sh--w- c:\documents and settings\Administrateur\IETldCache
    2010-05-17 07:34 . 2010-02-25 06:17 12800 ------w- c:\windows\system32\dllcache\xpshims.dll
    2010-05-17 07:34 . 2010-02-25 06:17 247808 ------w- c:\windows\system32\dllcache\ieproxy.dll
    2010-05-17 07:34 . 2010-05-19 01:06 -------- d-----w- c:\windows\ie8updates
    2010-05-17 07:33 . 2010-02-16 04:50 64000 ------w- c:\windows\system32\dllcache\iecompat.dll
    2010-05-17 07:31 . 2010-05-17 07:33 -------- dc-h--w- c:\windows\ie8
    2010-05-07 07:10 . 2010-05-07 07:10 503808 ----a-w- c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-120d1af9-n\msvcp71.dll
    2010-05-07 07:10 . 2010-05-07 07:10 499712 ----a-w- c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-120d1af9-n\jmc.dll
    2010-05-07 07:10 . 2010-05-07 07:10 348160 ----a-w- c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-120d1af9-n\msvcr71.dll
    2010-05-07 07:10 . 2010-05-07 07:10 61440 ----a-w- c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-79c79760-n\decora-sse.dll
    2010-05-07 07:10 . 2010-05-07 07:10 12800 ----a-w- c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-79c79760-n\decora-d3d.dll
    2010-05-07 07:10 . 2010-04-12 15:29 411368 ----a-w- c:\windows\system32\deployJava1.dll
    2010-05-07 06:37 . 2010-05-07 09:07 -------- d-----w- c:\windows\BDOSCAN8
    2010-05-06 07:04 . 2010-05-19 10:25 859648 ----a-w- c:\windows\system32\drivers\xtpkbmvx.sys
    2010-05-04 10:59 . 2010-01-27 09:02 15880 ----a-w- c:\windows\system32\lsdelete.exe
    2010-05-04 10:03 . 2010-05-04 10:03 -------- d-----w- c:\program files\TeaTimer (Spybot - Search & Destroy)
    2010-05-04 10:03 . 2010-05-04 10:03 -------- d-----w- c:\program files\SDHelper (Spybot - Search & Destroy)
    2010-05-04 10:03 . 2010-05-04 10:03 -------- d-----w- c:\program files\Misc. Support Library (Spybot - Search & Destroy)
    2010-05-04 10:03 . 2010-05-04 10:03 -------- d-----w- c:\program files\File Scanner Library (Spybot - Search & Destroy)
    2010-04-28 08:52 . 2001-10-28 14:42 116224 ----a-w- c:\windows\system32\pdfcmnnt.dll
    2010-04-28 08:52 . 2010-04-28 08:53 -------- d-----w- c:\program files\PDFCreator
    2010-04-28 08:52 . 1998-07-12 23:08 59904 ----a-w- c:\windows\system32\MSCC2FR.DLL
    2010-04-28 08:52 . 1998-07-05 22:00 23552 ----a-w- c:\windows\system32\MSMPIDE.DLL

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-05-19 10:20 . 2009-05-13 16:54 -------- d-----w- c:\program files\SPAMfighter
    2010-05-19 10:20 . 2007-06-05 08:21 24128 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
    2010-05-19 10:19 . 2007-07-21 10:05 -------- d-----w- c:\documents and settings\Administrateur\Application Data\OpenOffice.org2
    2010-05-19 10:18 . 2007-07-21 10:40 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
    2010-05-19 10:17 . 2007-07-21 10:40 -------- d-----w- c:\program files\Spybot - Search & Destroy
    2010-05-19 09:55 . 2007-07-21 10:01 -------- d-----w- c:\program files\Mozilla Thunderbird
    2010-05-19 06:00 . 2007-07-21 10:41 -------- d-----w- c:\program files\Vigilus Smart
    2010-05-18 15:18 . 2007-01-04 08:07 -------- d-----w- c:\program files\Google
    2010-05-18 15:15 . 2006-05-08 09:33 84766 ----a-w- c:\windows\system32\perfc00C.dat
    2010-05-18 15:15 . 2006-05-08 09:33 510742 ----a-w- c:\windows\system32\perfh00C.dat
    2010-05-17 15:23 . 2006-05-08 09:20 88211 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
    2010-05-07 07:10 . 2007-01-04 08:07 -------- d-----w- c:\program files\Java
    2010-05-06 07:04 . 2010-05-06 07:03 16 ----a-w- c:\documents and settings\Administrateur\Application Data\qvjsge.dat
    2010-04-16 13:35 . 2010-04-16 13:35 -------- d-----w- c:\documents and settings\LocalService\Application Data\TeamViewer
    2010-04-16 12:52 . 2010-04-16 12:52 -------- d-----w- c:\windows\system32\config\systemprofile\Application Data\TeamViewer
    2010-04-12 17:07 . 2010-04-12 17:07 -------- d-----w- c:\program files\Flash Movie Player
    2010-03-30 13:16 . 2010-03-30 13:16 -------- d-----w- c:\documents and settings\Administrateur\Application Data\dvdcss
    2010-03-22 10:17 . 2010-03-22 09:38 -------- d-----w- c:\documents and settings\Administrateur\Application Data\TeamViewer
    2010-03-22 09:38 . 2010-03-22 09:38 -------- d-----w- c:\program files\TeamViewer
    2010-03-22 07:38 . 2010-03-22 07:38 -------- d-----w- c:\documents and settings\Administrateur\Application Data\ZohoMeeting
    2010-03-10 06:16 . 2006-03-02 02:00 420352 ----a-w- c:\windows\system32\vbscript.dll
    2010-02-25 06:17 . 2006-03-02 02:00 916480 ----a-w- c:\windows\system32\wininet.dll
    2010-02-24 13:11 . 2006-03-02 02:00 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
    2010-02-19 23:47 . 2010-02-19 23:47 3604480 ----a-w- c:\windows\system32\GPhotos.scr
    2008-03-02 16:17 . 2008-03-02 16:17 20906864 ----a-w- c:\program files\aaw2007.exe
    2009-10-23 00:47 . 2008-11-12 17:54 119808 ----a-w- c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
    2009-07-14 00:16 . 2009-07-14 00:16 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
    2009-07-14 00:16 . 2009-07-14 00:16 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
    .

    ((((((((((((((((((((((((((((( SnapShot@2010-05-19_08.29.45 )))))))))))))))))))))))))))))))))))))))))
    .
    + 2010-05-19 09:37 . 2010-05-19 09:37 16384 c:\windows\Temp\Perflib_Perfdata_524.dat
    + 2006-03-02 02:00 . 2009-06-25 08:26 54272 c:\windows\system32\wdigest.dll
    + 2006-03-02 02:00 . 2009-06-25 08:26 56832 c:\windows\system32\secur32.dll
    - 2006-03-02 02:00 . 2009-02-03 19:58 56832 c:\windows\system32\secur32.dll
    + 2006-03-02 02:00 . 2009-06-24 11:18 92928 c:\windows\system32\drivers\ksecdd.sys
    + 2009-06-25 08:26 . 2009-06-25 08:26 54272 c:\windows\system32\dllcache\wdigest.dll
    + 2009-02-03 19:58 . 2009-06-25 08:26 56832 c:\windows\system32\dllcache\secur32.dll
    - 2009-02-03 19:58 . 2009-02-03 19:58 56832 c:\windows\system32\dllcache\secur32.dll
    + 2009-06-24 11:18 . 2009-06-24 11:18 92928 c:\windows\system32\dllcache\ksecdd.sys
    + 2006-03-02 02:00 . 2009-06-25 08:26 147456 c:\windows\system32\schannel.dll
    + 2006-03-02 02:00 . 2009-06-25 08:26 736768 c:\windows\system32\lsasrv.dll
    + 2006-03-02 02:00 . 2009-06-25 08:26 301568 c:\windows\system32\kerberos.dll
    + 2008-12-05 06:57 . 2009-06-25 08:26 147456 c:\windows\system32\dllcache\schannel.dll
    + 2010-05-18 07:27 . 2009-06-25 08:26 736768 c:\windows\system32\dllcache\lsasrv.dll
    + 2009-06-25 08:26 . 2009-06-25 08:26 301568 c:\windows\system32\dllcache\kerberos.dll
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SpiderMessenger"="c:\program files\SpiderMessenger\SpiderMessenger.exe" [BU]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe" [2005-01-07 61952]
    "ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2006-05-23 344064]
    "RTHDCPL"="RTHDCPL.EXE" [2006-08-01 16049664]
    "EPSON Stylus Photo R240 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIAHE.EXE" [2005-04-25 98304]
    "SystrayORAHSS"="c:\program files\Orange\Systray\SystrayApp.exe" [2007-09-25 94208]
    "ORAHSSSessionManager"="c:\program files\Orange\SessionManager\SessionManager.exe" [2007-09-25 102400]
    "Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2009-10-23 30192]
    "SPAMfighter Agent"="c:\program files\SPAMfighter\SFAgent.exe" [2009-03-12 326792]
    "SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
    "EoEngine"="" [BU]
    "eorezo"="" [BU]
    "UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [BU]
    "SoftwareHelper"="c:\documents and settings\Administrateur\Application Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe" [BU]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

    c:\documents and settings\Administrateur\Menu D'marrer\Programmes\D'marrage\
    OpenOffice.org 2.2.lnk - c:\program files\OpenOffice.org 2.2\program\quickstart.exe [2007-2-2 393216]
    VigilusSmart.lnk - c:\documents and settings\Administrateur\Application Data\Microsoft\Installer\{DA4F4946-94BC-11D6-9D97-00201866727E}\IconDA4F4946.exe [2007-7-21 10752]

    c:\documents and settings\Administrateur\Menu D'marrer\Programmes\D'marrage\
    OpenOffice.org 2.2.lnk - c:\program files\OpenOffice.org 2.2\program\quickstart.exe [2007-2-2 393216]
    VigilusSmart.lnk - c:\documents and settings\Administrateur\Application Data\Microsoft\Installer\{DA4F4946-94BC-11D6-9D97-00201866727E}\IconDA4F4946.exe [2007-7-21 10752]

    c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
    Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
    @="Service"

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\WINDOWS\\SMINST\\Scheduler.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\Orange\\Connectivity\\ConnectivityManager.exe"=
    "c:\\Program Files\\TeamViewer\\Version4\\TeamViewer.exe"=

    R0 atiide;atiide;c:\windows\system32\drivers\atiide.sys [21/12/2006 21:35 3840]
    R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [30/12/2009 23:00 64288]
    R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [30/12/2009 18:05 108289]
    R2 SPAMfighter Update Service;SPAMfighter Update Service;c:\program files\SPAMfighter\sfus.exe [12/03/2009 10:44 184968]
    R2 TeamViewer4;TeamViewer 4;c:\program files\TeamViewer\Version4\TeamViewer_Service.exe [23/03/2009 11:35 185640]
    S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [24/09/2009 13:17 1181328]
    S3 GoogleDesktopManager-093009-130223;Google Desktop Manager 5.9.909.30391;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [12/11/2008 19:54 30192]

    --- Autres Services/Pilotes en mémoire ---

    *Deregistered* - wslag
    *Deregistered* - xtpkbmvx
    .
    Contenu du dossier 'Tâches planifiées'

    2010-05-19 c:\windows\Tasks\Ad-Aware Update (Daily 1).job
    - c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 15:00]

    2010-05-19 c:\windows\Tasks\Ad-Aware Update (Daily 2).job
    - c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 15:00]

    2010-05-19 c:\windows\Tasks\Ad-Aware Update (Daily 3).job
    - c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 15:00]

    2010-05-19 c:\windows\Tasks\Ad-Aware Update (Daily 4).job
    - c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 15:00]

    2010-05-19 c:\windows\Tasks\Ad-Aware Update (Weekly).job
    - c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 15:00]
    .
    .
    ------- Examen supplémentaire -------
    .
    uSearchMigratedDefaultURL = hxxp://fr.gdark.com/search.php?cx=partner-pub-7902900401080901%3Ae94ctf-nqmg&cof=FORID%3A10&ie=UTF-8&q={searchTerms}
    uStart Page = hxxp://www.google.fr/
    uDefault_Search_URL = hxxp://fr.gdark.com
    mStart Page = hxxp://fr.gdark.com
    uSearchAssistant = hxxp://fr.gdark.com
    uSearchURL,(Default) = hxxp://fr.gdark.com
    IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
    IE: {{ECC5777A-6E88-BFCE-13CE-81F134789F6A} - c:\program files\Vigilus Smart\\VigilusSmartAjoutIE.exe
    IE: {{32893F3D-2B10-4B09-BA6A-8F20E7D33925} - {32893F3D-2B10-4B09-BA6A-8F20E7D33925} - j:\damien\iGraal\Button.dll
    DPF: {7BBE219E-10CB-4C37-BC25-64533EFCCDCB} - hxxp://www.naviciel.com/data/Navi_Picture.CAB
    FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\dcujvulo.default\
    FF - prefs.js: browser.search.defaulturl - hxxp://fr.gdark.com/search.php?cx=partner-pub-7902900401080901%3Ae94ctf-nqmg&cof=FORID%3A10&ie=UTF-8&q=
    FF - prefs.js: browser.search.selectedEngine - Gdark
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
    FF - prefs.js: keyword.URL - hxxp://fr.gdark.com/search.php?cx=partner-pub-7902900401080901%3Ae94ctf-nqmg&cof=FORID%3A10&ie=UTF-8&q=
    FF - component: c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\dcujvulo.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\qscanff.dll
    FF - component: c:\program files\Mozilla Firefox\components\GoogleDesktopMozilla.dll
    FF - plugin: c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\dcujvulo.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
    FF - plugin: c:\program files\Mozilla Firefox\plugins\npdeployJava1.dll
    FF - plugin: c:\program files\Picasa2\npPicasa3.dll
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

    ---- PARAMETRES FIREFOX ----
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    BHO-{ADE49752-DBBC-43A3-9498-379A82F574BF} - (no file)
    Toolbar-{D01B1F7D-9D7F-46C3-8DB9-5A55819E2A7F} - (no file)
    0
  10. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Pas bon.
    Je crois que je sais pourquoi ça marche pas, si c'est ça, c'est vraiment pourri :(

    Supprime le CFScript.txt

    Fais un clic droit sur : http://www3.malekal.com/CFScript.txt
    puis enregistrer la cible du lien sous et tu le mets sur ton bureau.

    Tu dois avoir donc un CFSCript.txt sur ton bureau.
    Si tu doubles-clics dessus, ça s'ouvre sur le bloc-note et tu as ce qui est en italique sur ce topic : https://forums.commentcamarche.net/forum/affich-17768741-pc-qui-ne-demarre-plus-virus#5

    Si c'est OK, tu reprends la procédure en faisant glisser le CFScript sur l'icone Combofix, tu laisses faire et tu postes le rapport ici.
    0
  11. Co
     
    et la fin...

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-05-19 12:25
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wslag]
    0
  12. Co
     
    voila le rapport combofix

    ComboFix 10-05-17.03 - Administrateur 19/05/2010 12:00:03.4.2 - x86
    Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2942.2308 [GMT 2:00]
    Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
    Commutateurs utilisés :: c:\documents and settings\Administrateur\Bureau\CFScript.txt
    AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
    .

    ((((((((((((((((((((((((((((( Fichiers créés du 2010-04-19 au 2010-05-19 ))))))))))))))))))))))))))))))))))))
    .

    2010-05-19 09:58 . 2009-12-14 05:57 213504 ----a-w- c:\documents and settings\Administrateur\Application Data\Thunderbird\Profiles\ukwpga06.default\extensions\{e2fda1a4-762b-4020-b5ad-a41df1933103}\components\calbscmp.dll
    2010-05-18 15:13 . 2010-05-18 15:16 -------- d-----w- c:\documents and settings\Administrateur\Application Data\QuickScan
    2010-05-18 15:13 . 2010-05-17 14:48 702120 ----a-w- c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\dcujvulo.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\qscanff.dll
    2010-05-18 15:13 . 2010-05-17 14:48 868456 ----a-w- c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\dcujvulo.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
    2010-05-18 09:39 . 2010-05-18 09:39 -------- d-----w- c:\program files\Trend Micro
    2010-05-18 09:33 . 2010-05-19 10:02 536064 ----a-w- c:\windows\system32\drivers\wslag.sys
    2010-05-18 08:46 . 2010-05-18 09:30 -------- d-----w- c:\program files\Unlocker
    2010-05-18 07:30 . 2008-06-14 17:33 272768 ------w- c:\windows\system32\dllcache\bthport.sys
    2010-05-18 07:29 . 2008-05-08 14:02 203136 ------w- c:\windows\system32\dllcache\rmcast.sys
    2010-05-18 07:29 . 2009-10-15 16:32 81920 ------w- c:\windows\system32\dllcache\fontsub.dll
    2010-05-18 07:29 . 2009-10-15 16:32 119808 ------w- c:\windows\system32\dllcache\t2embed.dll
    2010-05-18 07:29 . 2009-12-31 16:50 353792 ------w- c:\windows\system32\dllcache\srv.sys
    2010-05-18 07:28 . 2010-02-24 13:11 455680 ------w- c:\windows\system32\dllcache\mrxsmb.sys
    2010-05-18 07:25 . 2009-08-25 09:18 354816 ------w- c:\windows\system32\dllcache\winhttp.dll
    2010-05-18 07:25 . 2008-10-15 16:35 337408 ------w- c:\windows\system32\dllcache\netapi32.dll
    2010-05-17 15:20 . 2010-05-17 15:20 -------- d-----w- c:\windows\system32\fr
    2010-05-17 15:20 . 2010-05-17 15:20 -------- d-----w- c:\windows\system32\bits
    2010-05-17 15:20 . 2010-05-17 15:20 -------- d-----w- c:\windows\l2schemas
    2010-05-17 07:55 . 2010-05-17 07:55 -------- d-sh--w- c:\documents and settings\Administrateur\IECompatCache
    2010-05-17 07:55 . 2010-05-17 07:55 -------- d-sh--w- c:\documents and settings\Administrateur\PrivacIE
    2010-05-17 07:43 . 2010-05-17 07:43 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache
    2010-05-17 07:41 . 2010-05-17 07:41 -------- d-sh--w- c:\documents and settings\Administrateur\IETldCache
    2010-05-17 07:34 . 2010-02-25 06:17 12800 ------w- c:\windows\system32\dllcache\xpshims.dll
    2010-05-17 07:34 . 2010-02-25 06:17 247808 ------w- c:\windows\system32\dllcache\ieproxy.dll
    2010-05-17 07:34 . 2010-05-19 01:06 -------- d-----w- c:\windows\ie8updates
    2010-05-17 07:33 . 2010-02-16 04:50 64000 ------w- c:\windows\system32\dllcache\iecompat.dll
    2010-05-17 07:31 . 2010-05-17 07:33 -------- dc-h--w- c:\windows\ie8
    2010-05-07 07:10 . 2010-05-07 07:10 503808 ----a-w- c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-120d1af9-n\msvcp71.dll
    2010-05-07 07:10 . 2010-05-07 07:10 499712 ----a-w- c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-120d1af9-n\jmc.dll
    2010-05-07 07:10 . 2010-05-07 07:10 348160 ----a-w- c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-120d1af9-n\msvcr71.dll
    2010-05-07 07:10 . 2010-05-07 07:10 61440 ----a-w- c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-79c79760-n\decora-sse.dll
    2010-05-07 07:10 . 2010-05-07 07:10 12800 ----a-w- c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-79c79760-n\decora-d3d.dll
    2010-05-07 07:10 . 2010-04-12 15:29 411368 ----a-w- c:\windows\system32\deployJava1.dll
    2010-05-07 06:37 . 2010-05-07 09:07 -------- d-----w- c:\windows\BDOSCAN8
    2010-05-06 07:04 . 2010-05-19 10:02 859648 ----a-w- c:\windows\system32\drivers\xtpkbmvx.sys
    2010-05-04 10:59 . 2010-01-27 09:02 15880 ----a-w- c:\windows\system32\lsdelete.exe
    2010-05-04 10:03 . 2010-05-04 10:03 -------- d-----w- c:\program files\TeaTimer (Spybot - Search & Destroy)
    2010-05-04 10:03 . 2010-05-04 10:03 -------- d-----w- c:\program files\SDHelper (Spybot - Search & Destroy)
    2010-05-04 10:03 . 2010-05-04 10:03 -------- d-----w- c:\program files\Misc. Support Library (Spybot - Search & Destroy)
    2010-05-04 10:03 . 2010-05-04 10:03 -------- d-----w- c:\program files\File Scanner Library (Spybot - Search & Destroy)
    2010-04-28 08:52 . 2001-10-28 14:42 116224 ----a-w- c:\windows\system32\pdfcmnnt.dll
    2010-04-28 08:52 . 2010-04-28 08:53 -------- d-----w- c:\program files\PDFCreator
    2010-04-28 08:52 . 1998-07-12 23:08 59904 ----a-w- c:\windows\system32\MSCC2FR.DLL
    2010-04-28 08:52 . 1998-07-05 22:00 23552 ----a-w- c:\windows\system32\MSMPIDE.DLL

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-05-19 10:20 . 2009-05-13 16:54 -------- d-----w- c:\program files\SPAMfighter
    2010-05-19 10:20 . 2007-06-05 08:21 24128 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
    2010-05-19 10:19 . 2007-07-21 10:05 -------- d-----w- c:\documents and settings\Administrateur\Application Data\OpenOffice.org2
    2010-05-19 10:18 . 2007-07-21 10:40 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
    2010-05-19 10:17 . 2007-07-21 10:40 -------- d-----w- c:\program files\Spybot - Search & Destroy
    2010-05-19 09:58 . 2007-07-21 10:01 -------- d-----w- c:\program files\Mozilla Thunderbird
    2010-05-19 09:56 . 2007-07-21 10:01 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Thunderbird
    2010-05-19 06:00 . 2007-07-21 10:41 -------- d-----w- c:\program files\Vigilus Smart
    2010-05-18 15:18 . 2007-01-04 08:07 -------- d-----w- c:\program files\Google
    2010-05-18 15:15 . 2006-05-08 09:33 84766 ----a-w- c:\windows\system32\perfc00C.dat
    2010-05-18 15:15 . 2006-05-08 09:33 510742 ----a-w- c:\windows\system32\perfh00C.dat
    2010-05-17 15:23 . 2006-05-08 09:20 88211 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
    2010-05-07 07:10 . 2007-01-04 08:07 -------- d-----w- c:\program files\Java
    2010-05-06 07:04 . 2010-05-06 07:03 16 ----a-w- c:\documents and settings\Administrateur\Application Data\qvjsge.dat
    2010-04-16 13:35 . 2010-04-16 13:35 -------- d-----w- c:\documents and settings\LocalService\Application Data\TeamViewer
    2010-04-16 12:52 . 2010-04-16 12:52 -------- d-----w- c:\windows\system32\config\systemprofile\Application Data\TeamViewer
    2010-04-12 17:07 . 2010-04-12 17:07 -------- d-----w- c:\program files\Flash Movie Player
    2010-03-30 13:16 . 2010-03-30 13:16 -------- d-----w- c:\documents and settings\Administrateur\Application Data\dvdcss
    2010-03-22 10:17 . 2010-03-22 09:38 -------- d-----w- c:\documents and settings\Administrateur\Application Data\TeamViewer
    2010-03-22 09:38 . 2010-03-22 09:38 -------- d-----w- c:\program files\TeamViewer
    2010-03-22 07:38 . 2010-03-22 07:38 -------- d-----w- c:\documents and settings\Administrateur\Application Data\ZohoMeeting
    2010-03-10 06:16 . 2006-03-02 02:00 420352 ----a-w- c:\windows\system32\vbscript.dll
    2010-02-25 06:17 . 2006-03-02 02:00 916480 ----a-w- c:\windows\system32\wininet.dll
    2010-02-24 13:11 . 2006-03-02 02:00 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
    2010-02-19 23:47 . 2010-02-19 23:47 3604480 ----a-w- c:\windows\system32\GPhotos.scr
    2008-03-02 16:17 . 2008-03-02 16:17 20906864 ----a-w- c:\program files\aaw2007.exe
    2009-10-23 00:47 . 2008-11-12 17:54 119808 ----a-w- c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
    2009-07-14 00:16 . 2009-07-14 00:16 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
    2009-07-14 00:16 . 2009-07-14 00:16 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
    .

    ((((((((((((((((((((((((((((( SnapShot@2010-05-19_08.29.45 )))))))))))))))))))))))))))))))))))))))))
    .
    + 2010-05-19 09:37 . 2010-05-19 09:37 16384 c:\windows\Temp\Perflib_Perfdata_524.dat
    + 2006-03-02 02:00 . 2009-06-25 08:26 54272 c:\windows\system32\wdigest.dll
    + 2006-03-02 02:00 . 2009-06-25 08:26 56832 c:\windows\system32\secur32.dll
    - 2006-03-02 02:00 . 2009-02-03 19:58 56832 c:\windows\system32\secur32.dll
    + 2006-03-02 02:00 . 2009-06-24 11:18 92928 c:\windows\system32\drivers\ksecdd.sys
    + 2009-06-25 08:26 . 2009-06-25 08:26 54272 c:\windows\system32\dllcache\wdigest.dll
    + 2009-02-03 19:58 . 2009-06-25 08:26 56832 c:\windows\system32\dllcache\secur32.dll
    - 2009-02-03 19:58 . 2009-02-03 19:58 56832 c:\windows\system32\dllcache\secur32.dll
    + 2009-06-24 11:18 . 2009-06-24 11:18 92928 c:\windows\system32\dllcache\ksecdd.sys
    + 2006-03-02 02:00 . 2009-06-25 08:26 147456 c:\windows\system32\schannel.dll
    + 2006-03-02 02:00 . 2009-06-25 08:26 736768 c:\windows\system32\lsasrv.dll
    + 2006-03-02 02:00 . 2009-06-25 08:26 301568 c:\windows\system32\kerberos.dll
    + 2008-12-05 06:57 . 2009-06-25 08:26 147456 c:\windows\system32\dllcache\schannel.dll
    + 2010-05-18 07:27 . 2009-06-25 08:26 736768 c:\windows\system32\dllcache\lsasrv.dll
    + 2009-06-25 08:26 . 2009-06-25 08:26 301568 c:\windows\system32\dllcache\kerberos.dll
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SpiderMessenger"="c:\program files\SpiderMessenger\SpiderMessenger.exe" [BU]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe" [2005-01-07 61952]
    "ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2006-05-23 344064]
    "RTHDCPL"="RTHDCPL.EXE" [2006-08-01 16049664]
    "EPSON Stylus Photo R240 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIAHE.EXE" [2005-04-25 98304]
    "SystrayORAHSS"="c:\program files\Orange\Systray\SystrayApp.exe" [2007-09-25 94208]
    "ORAHSSSessionManager"="c:\program files\Orange\SessionManager\SessionManager.exe" [2007-09-25 102400]
    "Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2009-10-23 30192]
    "SPAMfighter Agent"="c:\program files\SPAMfighter\SFAgent.exe" [2009-03-12 326792]
    "SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
    "EoEngine"="" [BU]
    "eorezo"="" [BU]
    "UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [BU]
    "SoftwareHelper"="c:\documents and settings\Administrateur\Application Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe" [BU]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

    c:\documents and settings\Administrateur\Menu D'marrer\Programmes\D'marrage\
    OpenOffice.org 2.2.lnk - c:\program files\OpenOffice.org 2.2\program\quickstart.exe [2007-2-2 393216]
    VigilusSmart.lnk - c:\documents and settings\Administrateur\Application Data\Microsoft\Installer\{DA4F4946-94BC-11D6-9D97-00201866727E}\IconDA4F4946.exe [2007-7-21 10752]

    c:\documents and settings\Administrateur\Menu D'marrer\Programmes\D'marrage\
    OpenOffice.org 2.2.lnk - c:\program files\OpenOffice.org 2.2\program\quickstart.exe [2007-2-2 393216]
    VigilusSmart.lnk - c:\documents and settings\Administrateur\Application Data\Microsoft\Installer\{DA4F4946-94BC-11D6-9D97-00201866727E}\IconDA4F4946.exe [2007-7-21 10752]

    c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
    Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
    @="Service"

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\WINDOWS\\SMINST\\Scheduler.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\Orange\\Connectivity\\ConnectivityManager.exe"=
    "c:\\Program Files\\TeamViewer\\Version4\\TeamViewer.exe"=

    R0 atiide;atiide;c:\windows\system32\drivers\atiide.sys [21/12/2006 21:35 3840]
    R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [30/12/2009 23:00 64288]
    R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [30/12/2009 18:05 108289]
    R2 SPAMfighter Update Service;SPAMfighter Update Service;c:\program files\SPAMfighter\sfus.exe [12/03/2009 10:44 184968]
    R2 TeamViewer4;TeamViewer 4;c:\program files\TeamViewer\Version4\TeamViewer_Service.exe [23/03/2009 11:35 185640]
    S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [24/09/2009 13:17 1181328]
    S3 GoogleDesktopManager-093009-130223;Google Desktop Manager 5.9.909.30391;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [12/11/2008 19:54 30192]

    --- Autres Services/Pilotes en mémoire ---

    *Deregistered* - wslag
    *Deregistered* - xtpkbmvx
    .
    Contenu du dossier 'Tâches planifiées'

    2010-05-19 c:\windows\Tasks\Ad-Aware Update (Daily 1).job
    - c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 15:00]

    2010-05-19 c:\windows\Tasks\Ad-Aware Update (Daily 2).job
    - c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 15:00]

    2010-05-19 c:\windows\Tasks\Ad-Aware Update (Daily 3).job
    - c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 15:00]

    2010-05-19 c:\windows\Tasks\Ad-Aware Update (Daily 4).job
    - c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 15:00]

    2010-05-19 c:\windows\Tasks\Ad-Aware Update (Weekly).job
    - c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 15:00]
    .
    .
    ------- Examen supplémentaire -------
    .
    uSearchMigratedDefaultURL = hxxp://fr.gdark.com/search.php?cx=partner-pub-7902900401080901%3Ae94ctf-nqmg&cof=FORID%3A10&ie=UTF-8&q={searchTerms}
    uStart Page = hxxp://www.google.fr/
    uDefault_Search_URL = hxxp://fr.gdark.com
    mStart Page = hxxp://fr.gdark.com
    uSearchAssistant = hxxp://fr.gdark.com
    uSearchURL,(Default) = hxxp://fr.gdark.com
    IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
    IE: {{ECC5777A-6E88-BFCE-13CE-81F134789F6A} - c:\program files\Vigilus Smart\\VigilusSmartAjoutIE.exe
    IE: {{32893F3D-2B10-4B09-BA6A-8F20E7D33925} - {32893F3D-2B10-4B09-BA6A-8F20E7D33925} - j:\damien\iGraal\Button.dll
    DPF: {7BBE219E-10CB-4C37-BC25-64533EFCCDCB} - hxxp://www.naviciel.com/data/Navi_Picture.CAB
    FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\dcujvulo.default\
    FF - prefs.js: browser.search.defaulturl - hxxp://fr.gdark.com/search.php?cx=partner-pub-7902900401080901%3Ae94ctf-nqmg&cof=FORID%3A10&ie=UTF-8&q=
    FF - prefs.js: browser.search.selectedEngine - Gdark
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
    FF - prefs.js: keyword.URL - hxxp://fr.gdark.com/search.php?cx=partner-pub-7902900401080901%3Ae94ctf-nqmg&cof=FORID%3A10&ie=UTF-8&q=
    FF - component: c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\dcujvulo.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\qscanff.dll
    FF - component: c:\program files\Mozilla Firefox\components\GoogleDesktopMozilla.dll
    FF - plugin: c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\dcujvulo.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
    FF - plugin: c:\program files\Mozilla Firefox\plugins\npdeployJava1.dll
    FF - plugin: c:\program files\Picasa2\npPicasa3.dll
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

    ---- PARAMETRES FIREFOX ----
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
    .
    0
  13. Co
     
    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-05-19 12:02
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wslag]
    0
  14. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Tu peux le supprimer ce fichier c:\windows\system32\drivers\wslag.sys ?
    0
  15. Co
     
    non, je ne peux pas... "impossible de lire a partir du fichier..."
    0
  16. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    OK :)
    bon on va pas essayer avec Rootkit::

    ~~

    * Telecharge:: http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
    http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

    * dezippe le , Lance l'épée , executer en tant qu'administrateur sous vista http://imagesup.org/image

    http://img256.imageshack.us/img256/6883/080229185901qa4.jpg

    Debranche tous tes supports USB

    Dans le cadre , sous Input Script here , copie_colle le contenu du cadre ci dessous et clic execute:

    begin copying here:
    Drivers to delete:
    wslag
    xtpkbmvx
    Files to delete:
    c:\windows\system32\drivers\wslag.sys
    c:\windows\system32\drivers\xtpkbmvx.sys
    Registry keys to delete:
    HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wslag
    HKEY_LOCAL_MACHINE\System\ControlSet001\Services\xtpkbmvx


    * Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine reponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt

    0
  17. Co
     
    Me revoici...

    Voila le rapport Avenger (j'ai encore eu le "problème" au démarrage)

    Logfile of The Avenger Version 2.0, (c) by Swandog46
    http://swandog46.geekstogo.com

    Platform: Windows XP

    *******************

    Script file opened successfully.
    Script file read successfully.

    Backups directory opened successfully at C:\Avenger

    *******************

    Beginning to process script file:

    Rootkit scan active.
    No rootkits found!

    Driver "wslag" deleted successfully.
    Driver "xtpkbmvx" deleted successfully.
    File "c:\windows\system32\drivers\wslag.sys" deleted successfully.
    File "c:\windows\system32\drivers\xtpkbmvx.sys" deleted successfully.

    Error: registry key "HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wslag" not found!
    Deletion of registry key "HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wslag" failed!
    Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
    --> the object does not exist

    Error: registry key "HKEY_LOCAL_MACHINE\System\ControlSet001\Services\xtpkbmvx" not found!
    Deletion of registry key "HKEY_LOCAL_MACHINE\System\ControlSet001\Services\xtpkbmvx" failed!
    Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
    --> the object does not exist

    Completed script processing.

    *******************

    Finished! Terminate.
    0
  18. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Bon, ça doit être mieux :)

    genre t'as 1h ou deux et tu refais un Combofix normal comme la première fois sans le CFScript et tu postes le rapport ici.

    Eventuellement, avant tu peux faire un Malwarebyte :

    Malwarebyte Anti-Malware : https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

    Tuto d'aide à l'utilisation : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

    Tu fais un scan et tu mets en quarantaine et poste le rapport ici.

    Madness Rox \o/
    0
  19. Co
     
    voici le rapport combofix

    ComboFix 10-05-17.05 - Administrateur 19/05/2010 15:41:12.5.2 - x86
    Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2942.2307 [GMT 2:00]
    Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
    AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
    .

    ((((((((((((((((((((((((((((( Fichiers créés du 2010-04-19 au 2010-05-19 ))))))))))))))))))))))))))))))))))))
    .

    2010-05-19 09:58 . 2009-12-14 05:57 213504 ----a-w- c:\documents and settings\Administrateur\Application Data\Thunderbird\Profiles\ukwpga06.default\extensions\{e2fda1a4-762b-4020-b5ad-a41df1933103}\components\calbscmp.dll
    2010-05-18 15:13 . 2010-05-18 15:16 -------- d-----w- c:\documents and settings\Administrateur\Application Data\QuickScan
    2010-05-18 15:13 . 2010-05-17 14:48 702120 ----a-w- c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\dcujvulo.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\qscanff.dll
    2010-05-18 15:13 . 2010-05-17 14:48 868456 ----a-w- c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\dcujvulo.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
    2010-05-18 09:39 . 2010-05-18 09:39 -------- d-----w- c:\program files\Trend Micro
    2010-05-18 08:46 . 2010-05-18 09:30 -------- d-----w- c:\program files\Unlocker
    2010-05-18 07:30 . 2008-06-14 17:33 272768 ------w- c:\windows\system32\dllcache\bthport.sys
    2010-05-18 07:29 . 2008-05-08 14:02 203136 ------w- c:\windows\system32\dllcache\rmcast.sys
    2010-05-18 07:29 . 2009-10-15 16:32 81920 ------w- c:\windows\system32\dllcache\fontsub.dll
    2010-05-18 07:29 . 2009-10-15 16:32 119808 ------w- c:\windows\system32\dllcache\t2embed.dll
    2010-05-18 07:29 . 2009-12-31 16:50 353792 ------w- c:\windows\system32\dllcache\srv.sys
    2010-05-18 07:28 . 2010-02-24 13:11 455680 ------w- c:\windows\system32\dllcache\mrxsmb.sys
    2010-05-18 07:25 . 2009-08-25 09:18 354816 ------w- c:\windows\system32\dllcache\winhttp.dll
    2010-05-18 07:25 . 2008-10-15 16:35 337408 ------w- c:\windows\system32\dllcache\netapi32.dll
    2010-05-17 15:20 . 2010-05-17 15:20 -------- d-----w- c:\windows\system32\fr
    2010-05-17 15:20 . 2010-05-17 15:20 -------- d-----w- c:\windows\system32\bits
    2010-05-17 15:20 . 2010-05-17 15:20 -------- d-----w- c:\windows\l2schemas
    2010-05-17 07:55 . 2010-05-17 07:55 -------- d-sh--w- c:\documents and settings\Administrateur\IECompatCache
    2010-05-17 07:55 . 2010-05-17 07:55 -------- d-sh--w- c:\documents and settings\Administrateur\PrivacIE
    2010-05-17 07:43 . 2010-05-17 07:43 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache
    2010-05-17 07:41 . 2010-05-17 07:41 -------- d-sh--w- c:\documents and settings\Administrateur\IETldCache
    2010-05-17 07:34 . 2010-02-25 06:17 12800 ------w- c:\windows\system32\dllcache\xpshims.dll
    2010-05-17 07:34 . 2010-02-25 06:17 247808 ------w- c:\windows\system32\dllcache\ieproxy.dll
    2010-05-17 07:34 . 2010-05-19 01:06 -------- d-----w- c:\windows\ie8updates
    2010-05-17 07:33 . 2010-02-16 04:50 64000 ------w- c:\windows\system32\dllcache\iecompat.dll
    2010-05-17 07:31 . 2010-05-17 07:33 -------- dc-h--w- c:\windows\ie8
    2010-05-07 07:10 . 2010-05-07 07:10 503808 ----a-w- c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-120d1af9-n\msvcp71.dll
    2010-05-07 07:10 . 2010-05-07 07:10 499712 ----a-w- c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-120d1af9-n\jmc.dll
    2010-05-07 07:10 . 2010-05-07 07:10 348160 ----a-w- c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-120d1af9-n\msvcr71.dll
    2010-05-07 07:10 . 2010-05-07 07:10 61440 ----a-w- c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-79c79760-n\decora-sse.dll
    2010-05-07 07:10 . 2010-05-07 07:10 12800 ----a-w- c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-79c79760-n\decora-d3d.dll
    2010-05-07 07:10 . 2010-04-12 15:29 411368 ----a-w- c:\windows\system32\deployJava1.dll
    2010-05-07 06:37 . 2010-05-07 09:07 -------- d-----w- c:\windows\BDOSCAN8
    2010-05-04 10:59 . 2010-01-27 09:02 15880 ----a-w- c:\windows\system32\lsdelete.exe
    2010-05-04 10:03 . 2010-05-04 10:03 -------- d-----w- c:\program files\TeaTimer (Spybot - Search & Destroy)
    2010-05-04 10:03 . 2010-05-04 10:03 -------- d-----w- c:\program files\SDHelper (Spybot - Search & Destroy)
    2010-05-04 10:03 . 2010-05-04 10:03 -------- d-----w- c:\program files\Misc. Support Library (Spybot - Search & Destroy)
    2010-05-04 10:03 . 2010-05-04 10:03 -------- d-----w- c:\program files\File Scanner Library (Spybot - Search & Destroy)
    2010-04-28 08:52 . 2001-10-28 14:42 116224 ----a-w- c:\windows\system32\pdfcmnnt.dll
    2010-04-28 08:52 . 2010-04-28 08:53 -------- d-----w- c:\program files\PDFCreator
    2010-04-28 08:52 . 1998-07-12 23:08 59904 ----a-w- c:\windows\system32\MSCC2FR.DLL
    2010-04-28 08:52 . 1998-07-05 22:00 23552 ----a-w- c:\windows\system32\MSMPIDE.DLL

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-05-19 13:23 . 2009-05-13 16:54 -------- d-----w- c:\program files\SPAMfighter
    2010-05-19 13:20 . 2007-07-21 10:05 -------- d-----w- c:\documents and settings\Administrateur\Application Data\OpenOffice.org2
    2010-05-19 13:19 . 2007-07-21 10:40 -------- d-----w- c:\program files\Spybot - Search & Destroy
    2010-05-19 10:25 . 2007-07-21 10:01 -------- d-----w- c:\program files\Mozilla Thunderbird
    2010-05-19 10:20 . 2007-06-05 08:21 24128 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
    2010-05-19 10:18 . 2007-07-21 10:40 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
    2010-05-19 09:56 . 2007-07-21 10:01 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Thunderbird
    2010-05-19 06:00 . 2007-07-21 10:41 -------- d-----w- c:\program files\Vigilus Smart
    2010-05-18 15:18 . 2007-01-04 08:07 -------- d-----w- c:\program files\Google
    2010-05-18 15:15 . 2006-05-08 09:33 84766 ----a-w- c:\windows\system32\perfc00C.dat
    2010-05-18 15:15 . 2006-05-08 09:33 510742 ----a-w- c:\windows\system32\perfh00C.dat
    2010-05-17 15:23 . 2006-05-08 09:20 88211 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
    2010-05-07 07:10 . 2007-01-04 08:07 -------- d-----w- c:\program files\Java
    2010-05-06 07:04 . 2010-05-06 07:03 16 ----a-w- c:\documents and settings\Administrateur\Application Data\qvjsge.dat
    2010-04-16 13:35 . 2010-04-16 13:35 -------- d-----w- c:\documents and settings\LocalService\Application Data\TeamViewer
    2010-04-16 12:52 . 2010-04-16 12:52 -------- d-----w- c:\windows\system32\config\systemprofile\Application Data\TeamViewer
    2010-04-12 17:07 . 2010-04-12 17:07 -------- d-----w- c:\program files\Flash Movie Player
    2010-03-30 13:16 . 2010-03-30 13:16 -------- d-----w- c:\documents and settings\Administrateur\Application Data\dvdcss
    2010-03-22 10:17 . 2010-03-22 09:38 -------- d-----w- c:\documents and settings\Administrateur\Application Data\TeamViewer
    2010-03-22 09:38 . 2010-03-22 09:38 -------- d-----w- c:\program files\TeamViewer
    2010-03-22 07:38 . 2010-03-22 07:38 -------- d-----w- c:\documents and settings\Administrateur\Application Data\ZohoMeeting
    2010-03-10 06:16 . 2006-03-02 02:00 420352 ----a-w- c:\windows\system32\vbscript.dll
    2010-02-25 06:17 . 2006-03-02 02:00 916480 ----a-w- c:\windows\system32\wininet.dll
    2010-02-24 13:11 . 2006-03-02 02:00 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
    2010-02-19 23:47 . 2010-02-19 23:47 3604480 ----a-w- c:\windows\system32\GPhotos.scr
    2008-03-02 16:17 . 2008-03-02 16:17 20906864 ----a-w- c:\program files\aaw2007.exe
    2009-10-23 00:47 . 2008-11-12 17:54 119808 ----a-w- c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
    2009-07-14 00:16 . 2009-07-14 00:16 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
    2009-07-14 00:16 . 2009-07-14 00:16 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
    .

    ((((((((((((((((((((((((((((( SnapShot@2010-05-19_08.29.45 )))))))))))))))))))))))))))))))))))))))))
    .
    + 2010-05-19 13:20 . 2010-05-19 13:20 16384 c:\windows\Temp\Perflib_Perfdata_644.dat
    + 2006-03-02 02:00 . 2009-06-25 08:26 54272 c:\windows\system32\wdigest.dll
    + 2006-03-02 02:00 . 2009-06-25 08:26 56832 c:\windows\system32\secur32.dll
    - 2006-03-02 02:00 . 2009-02-03 19:58 56832 c:\windows\system32\secur32.dll
    + 2006-03-02 02:00 . 2009-06-24 11:18 92928 c:\windows\system32\drivers\ksecdd.sys
    + 2009-06-25 08:26 . 2009-06-25 08:26 54272 c:\windows\system32\dllcache\wdigest.dll
    + 2009-02-03 19:58 . 2009-06-25 08:26 56832 c:\windows\system32\dllcache\secur32.dll
    - 2009-02-03 19:58 . 2009-02-03 19:58 56832 c:\windows\system32\dllcache\secur32.dll
    + 2009-06-24 11:18 . 2009-06-24 11:18 92928 c:\windows\system32\dllcache\ksecdd.sys
    + 2006-03-02 02:00 . 2009-06-25 08:26 147456 c:\windows\system32\schannel.dll
    + 2006-03-02 02:00 . 2009-06-25 08:26 736768 c:\windows\system32\lsasrv.dll
    + 2006-03-02 02:00 . 2009-06-25 08:26 301568 c:\windows\system32\kerberos.dll
    + 2008-12-05 06:57 . 2009-06-25 08:26 147456 c:\windows\system32\dllcache\schannel.dll
    + 2010-05-18 07:27 . 2009-06-25 08:26 736768 c:\windows\system32\dllcache\lsasrv.dll
    + 2009-06-25 08:26 . 2009-06-25 08:26 301568 c:\windows\system32\dllcache\kerberos.dll
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SpiderMessenger"="c:\program files\SpiderMessenger\SpiderMessenger.exe" [BU]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe" [2005-01-07 61952]
    "ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2006-05-23 344064]
    "RTHDCPL"="RTHDCPL.EXE" [2006-08-01 16049664]
    "EPSON Stylus Photo R240 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIAHE.EXE" [2005-04-25 98304]
    "SystrayORAHSS"="c:\program files\Orange\Systray\SystrayApp.exe" [2007-09-25 94208]
    "ORAHSSSessionManager"="c:\program files\Orange\SessionManager\SessionManager.exe" [2007-09-25 102400]
    "Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2009-10-23 30192]
    "SPAMfighter Agent"="c:\program files\SPAMfighter\SFAgent.exe" [2009-03-12 326792]
    "SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
    "EoEngine"="" [BU]
    "eorezo"="" [BU]
    "UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [BU]
    "SoftwareHelper"="c:\documents and settings\Administrateur\Application Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe" [BU]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

    c:\documents and settings\Administrateur\Menu D'marrer\Programmes\D'marrage\
    OpenOffice.org 2.2.lnk - c:\program files\OpenOffice.org 2.2\program\quickstart.exe [2007-2-2 393216]
    VigilusSmart.lnk - c:\documents and settings\Administrateur\Application Data\Microsoft\Installer\{DA4F4946-94BC-11D6-9D97-00201866727E}\IconDA4F4946.exe [2007-7-21 10752]

    c:\documents and settings\Administrateur\Menu D'marrer\Programmes\D'marrage\
    OpenOffice.org 2.2.lnk - c:\program files\OpenOffice.org 2.2\program\quickstart.exe [2007-2-2 393216]
    VigilusSmart.lnk - c:\documents and settings\Administrateur\Application Data\Microsoft\Installer\{DA4F4946-94BC-11D6-9D97-00201866727E}\IconDA4F4946.exe [2007-7-21 10752]

    c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
    Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
    @="Service"

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\WINDOWS\\SMINST\\Scheduler.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\Orange\\Connectivity\\ConnectivityManager.exe"=
    "c:\\Program Files\\TeamViewer\\Version4\\TeamViewer.exe"=

    R0 atiide;atiide;c:\windows\system32\drivers\atiide.sys [21/12/2006 21:35 3840]
    R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [30/12/2009 23:00 64288]
    R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [30/12/2009 18:05 108289]
    R2 SPAMfighter Update Service;SPAMfighter Update Service;c:\program files\SPAMfighter\sfus.exe [12/03/2009 10:44 184968]
    R2 TeamViewer4;TeamViewer 4;c:\program files\TeamViewer\Version4\TeamViewer_Service.exe [23/03/2009 11:35 185640]
    S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [24/09/2009 13:17 1181328]
    S3 GoogleDesktopManager-093009-130223;Google Desktop Manager 5.9.909.30391;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [12/11/2008 19:54 30192]
    .
    Contenu du dossier 'Tâches planifiées'

    2010-05-19 c:\windows\Tasks\Ad-Aware Update (Daily 1).job
    - c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 15:00]

    2010-05-19 c:\windows\Tasks\Ad-Aware Update (Daily 2).job
    - c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 15:00]

    2010-05-19 c:\windows\Tasks\Ad-Aware Update (Daily 3).job
    - c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 15:00]

    2010-05-19 c:\windows\Tasks\Ad-Aware Update (Daily 4).job
    - c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 15:00]

    2010-05-19 c:\windows\Tasks\Ad-Aware Update (Weekly).job
    - c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 15:00]
    .
    .
    ------- Examen supplémentaire -------
    .
    uSearchMigratedDefaultURL = hxxp://fr.gdark.com/search.php?cx=partner-pub-7902900401080901%3Ae94ctf-nqmg&cof=FORID%3A10&ie=UTF-8&q={searchTerms}
    uStart Page = hxxp://www.google.fr/
    uDefault_Search_URL = hxxp://fr.gdark.com
    mStart Page = hxxp://fr.gdark.com
    uSearchAssistant = hxxp://fr.gdark.com
    uSearchURL,(Default) = hxxp://fr.gdark.com
    IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
    IE: {{ECC5777A-6E88-BFCE-13CE-81F134789F6A} - c:\program files\Vigilus Smart\\VigilusSmartAjoutIE.exe
    IE: {{32893F3D-2B10-4B09-BA6A-8F20E7D33925} - {32893F3D-2B10-4B09-BA6A-8F20E7D33925} - j:\damien\iGraal\Button.dll
    DPF: {7BBE219E-10CB-4C37-BC25-64533EFCCDCB} - hxxp://www.naviciel.com/data/Navi_Picture.CAB
    FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\dcujvulo.default\
    FF - prefs.js: browser.search.defaulturl - hxxp://fr.gdark.com/search.php?cx=partner-pub-7902900401080901%3Ae94ctf-nqmg&cof=FORID%3A10&ie=UTF-8&q=
    FF - prefs.js: browser.search.selectedEngine - Gdark
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
    FF - prefs.js: keyword.URL - hxxp://fr.gdark.com/search.php?cx=partner-pub-7902900401080901%3Ae94ctf-nqmg&cof=FORID%3A10&ie=UTF-8&q=
    FF - component: c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\dcujvulo.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\qscanff.dll
    FF - component: c:\program files\Mozilla Firefox\components\GoogleDesktopMozilla.dll
    FF - plugin: c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\dcujvulo.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
    FF - plugin: c:\program files\Mozilla Firefox\plugins\npdeployJava1.dll
    FF - plugin: c:\program files\Picasa2\npPicasa3.dll
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

    ---- PARAMETRES FIREFOX ----
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
    .
    0
  20. Co
     
    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-05-19 15:44
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_USERS\S-1-5-21-4160038612-688107719-1409318655-500\Software\Microsoft\Internet Explorer\User Preferences]
    @Denied: (2) (Administrator)
    "88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
    d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,27,a5,c4,1f,44,a5,c8,42,ba,46,d1,\
    "2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
    d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,27,a5,c4,1f,44,a5,c8,42,ba,46,d1,\
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'winlogon.exe'(736)
    c:\windows\system32\Ati2evxx.dll

    - - - - - - - > 'explorer.exe'(3028)
    c:\windows\system32\eappprxy.dll
    c:\windows\system32\webcheck.dll
    c:\windows\system32\WPDShServiceObj.dll
    c:\windows\system32\PortableDeviceTypes.dll
    c:\windows\system32\PortableDeviceApi.dll
    .
    Heure de fin: 2010-05-19 15:45:54
    ComboFix-quarantined-files.txt 2010-05-19 13:45
    ComboFix2.txt 2010-05-19 10:04
    ComboFix3.txt 2010-05-19 10:26
    ComboFix4.txt 2010-05-19 08:31
    ComboFix5.txt 2010-05-19 13:40

    Avant-CF: 110 804 639 744 octets libres
    Après-CF: 110 793 302 016 octets libres

    - - End Of File - - 3D363ADF219444DFD28D281C00C78A57

    et voila le rapport malwarebytes


    Type d'examen: Examen complet (C:\|D:\|)
    Elément(s) analysé(s): 183350
    Temps écoulé: 31 minute(s), 16 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 1
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 5

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo (Rogue.Eorezo) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\kukzdw.sys.vir (Rootkit.Agent) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{FEEA537F-4E78-4814-A60F-A7A8BE8C9F38}\RP950\A0043535.exe (Spyware.AgenceExclusive) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{FEEA537F-4E78-4814-A60F-A7A8BE8C9F38}\RP950\A0043584.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{FEEA537F-4E78-4814-A60F-A7A8BE8C9F38}\RP952\A0044463.exe (Rogue.Eorezo) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{FEEA537F-4E78-4814-A60F-A7A8BE8C9F38}\RP952\A0044464.exe (Rogue.Eorezo) -> Quarantined and deleted successfully.
    0
  • 1
  • 2