Worm.Win32.SkyNet Résolu/Fermé

Question

Bonjour, 

Voilà, ce matin, je vais sur Internet et ce virus infecte mon pc. Avast ne sait plus où donner de la tête et finalement, après avoir fait tout ce qui m'était conseillé, l'ordi redémarre.
Jusque là, rien d'étrange pendant le redémarrage mais finalement, après m'avoir souhaité la "Bienvenue", une fenêtre s'affiche et m'explique en anglais quel virus m'a touché, ce qu'il risque faire et ne me propose que de faire un scan complet. Je ne peux cliquer que sur OK, ce que je fais, mais là, le pc réfléchit énormément et finalement, plus rien ne répond.
Ma question est la suivante : que faire en sachant que je peux plus accéder aux fonctionnalités habituelles de mon pc ?

fix200 · Answer

Salut,

Je vais t'aider à désinfecter ton PC, avant tout, tu dois prendre en compte ces quelque consignes pour le bon déroulement de la désinfection.

- Évite de créer des doublons pour le même problème (que ce soit sur ce forum ou sur un autre)
- Sois patient(e) pendant cette désinfection, je suis bénévole et je ne suis pas collé devant mon ordinateur ^^ Mais rassure toi, je ne laisse jamais tomber personne ;)
- La désinfection va se dérouler en plusieurs étapes et peux durer un certain temps selon l'infection et notre disponibilité. Même si les symptômes de l'infection disparaissent, cela ne veut pas dire que la désinfection est terminée -> Merci de revenir jusqu'au bout et attendre confirmation, sinon ça servira à rien.

=================

Je pense à un rootkit TDSS... fais ceci pour savoir + :

Télécharge ZHPDiag (de Nicolas Coolman) et enregistre le sur ton Bureau.

&#x25B6; Double clique sur ZHPDiag.exe pour lancer l'installation et suis les instructions , n'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

&#x25B6; Double clique sur le raccourci ZHPDiag sur ton Bureau. (l'outil a créé 2 icônes ZHPDiag et ZHPFix) 
(Sous Vista/7: clic droit puis "exécuter en tant qu'administrateur")

&#x25B6; Clique sur la loupe pour lancer l'analyse.

&#8658; Laisse l'outil travailler, il peut être assez long ...

&#x25B6; Une fois terminé , le rapport s'affiche : clique sur bouton "Disquette" pour sauvegarder le rapport obtenu .

&#x25B6; Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

&#x25B6; Pour le transmettre ouvre ce lien

* Clique sur Parcourir et cherche le fichier ci-dessus.

* Clique sur Ouvrir.

* Clique sur "Cliquez ici pour déposer le fichier".

* Un lien de cette forme est ajouté dans la page :

hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

&#x25B6; Copie ce lien dans ta réponse.

darkgg87 · Answer

Merci de vouloir m'aider.
Ce processus que tu me demandes d'effectuer doit l'être sur le pc touché par le virus non ? Or, depuis ce dernier, que j'ai finalement pu démarrer en mode sans échec, je ne peux aps aller sur Internet et ne peux donc pas suivre tes instructions.
Donc, actuellement, mon pc "contaminé" est en mode sans échec et j'utilise un pc portable pour Internet, l'accès à Internet étant impossible depuis le pc touché par le Worm...

fix200 · Answer

Re,

Alors transfère le logiciel depuis un autre pc sur une clé USB au système contaminé, suis le processus et transfère le rapport depuis le PC contaminé au pc sain et colle le rapport via cijoint...


THX.

darkgg87 · Answer

Je ne peux pas accéder à ma clé USB depuis le pc contaminé... Je sens que j'ai beaucoup de chance aujourd'hui...

fix200 · Answer

Re,

Il ne faut pas baisser les bras ^^

Tu as un message d'erreur quand tu essayes de te connecter ?

darkgg87 · Answer

Non, pas du tout. En fait, ça ne m'affiche strictement rien. D'ailleurs, quand je clique sur Poste de Travail, ça m'ouvre une fenêtre (comme d'habitude) mais après, ça ne va pas plus loin.

fix200 · Answer

Re,

Quand tu ouvres le poste de travail ça affiche normalement c'est ça ?

Si oui, fais ce qui est écrit en haut. Mais pour ouvrir la clé Usb, clique sur la flèche qui se trouve en haut à droite (juste devant le bouton "-> OK") et choisis ta clé usb et dis si ça s'ouvre.

darkgg87 · Answer

Non, non, ça ne s'affiche pas normalement (pardon si je me fais mal comprendre). La fenêtre s'ouvre mais aucune icône n'apparait et ça me signale que le poste de travail ne répond pas (avec "terminer maintenant", etc...).

fix200 · Answer

Ok,
Alors démarrer => exécuter
tape la lettre correspondante a ta clé usb, ex: F:\

Dis si la clé s'ouvre...

darkgg87 · Answer

Une fenêtre s'affiche à chaque fois avec écrit : 
"F:\ n'est pas accessible. Impossible de satisfaire à la demande en raison d'une erreur de périphérique E/S."

fix200 · Answer

Re,

Tu peux démarrer en mode sans échec avec prise en charge réseau ?

Si non essaye de récupérer ta connexion internet:
https://www.commentcamarche.net/faq/1202-connexion-mon-acces-a-internet-ne-fonctionne-plus

darkgg87 · Answer

J'ai lancé le redémarrage avec prise en charge réseau. En premier lieu, ça m'a affiché une fenêtre comme celle dont je parlais tout à l'heure (quand ça me présente le virus). En voici le contenu (je ne sais pas si ça peut être utile) : 
"Sécurity Warning ! 
Worm.Win32.SkyNet detected on your machine. This virus is distributed via the Internet through e-mail and Active-x objects. The worm has its own SMTP engine which means it gathers e-mails from your local computer  and re-distributes itself. In worst cases, this worm can allow attachers to access your computer, stealing passwords and personnal data. Virus cas damage your confidential data and work on your computer. Continue working in unprotected mode is very dangerous.
Type : Virus.
System affected : Windows 2000, NT, ME, XP, Vista, 7.
Security risk (0-5) : 5.
Recommandations : It is necessary to perform a full system scan."

Sinon, la connexion à Internet est revenue. Je me lance dans les démarches que tu m'as données.

fix200 · Answer

Re,

Bien, c'est un rogue ça. (faux logiciel de sécurité)

J'attends le rapport alors....

++

darkgg87 · Answer

Voilà le lien vers le rapport :

http://www.cijoint.fr/cjlink.php?file=cj201005/cijd39k7MU.txt

fix200 · Answer

Re,

Télécharge sur le bureau ExeHelper

- Double-clique sur exeHelper.com pour le lancer
- Une fenêtre va s'ouvrir, patienter quelques instants et appuyer sur une touche quand le scan sera terminé
- Un rapport s'ouvre, copie-colle son contenu dans la réponse

Note : le rapport se trouve sur le bureau au nom de log.txt 

===============

Télécharge MalwareBytes' Anti-Malware (MBAM) .

&#x25B6; Double clique sur le fichier téléchargé pour lancer le processus d'installation , choisis "Français" et accepte lorsqu'il te le sera demandé de le mettre a jour.

&#x25B6; Regarde bien ce Tuto pour bien utiliser le programme.

! Déconnecte toi ferme toutes applications en cours !

&#8658; Lance MBAM.

&#8658; Mets le à jour via l'onglet mises à jours.

&#x25B6; Sous l'onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression"

&#x25B6; Clique maintenant sur l'onglet recherche et coche la case : "Exécuter un examen rapide".

&#x25B6; Puis clique sur " Rechercher ". 

&#x25B6; Laisse le scanner le PC... 

&#x25B6; Une fois l'analyse terminée, clique sur "OK", Ensuite sur "Afficher les résultats".

&#x25B6; Vérifie que tout est bien coché et clique sur "Supprimer la sélection".

&#x25B6; Il se peut qu'il te demande de redémarrer pour finir la suppression des nuisibles, accepte en cliquant sur "Yes". 

&#x25B6; A la fin un rapport va s'ouvrir, sauvegarde le de manière a le retrouver en vu et le poster sur le forum. 

&#x25B6;  Reviens sur le forum et copie et colle le rapport dans ta prochaine réponse .

Note: les rapports sont aussi rangés dans l'onglet Rapport/Log .

=================

Refais un scan ZHPDiag, coche bien toutes les options (sauf la 045 et 061), poste le nouveau rapport obtenu (via Cijoint).

darkgg87 · Answer

Contenu du rapport pour ExeHelper : 

"exeHelper by Raktor
Build 20100414
Run at 16:40:56 on 05/20/10
Now searching...
Checking for numerical processes...
Checking for sysguard processes...
Checking for bad processes...
Checking for bad files...
Deleting file C:\WINDOWS\system32\41.exe
Error deleting C:\WINDOWS\system32\41.exe - set for removal on reboot - PLEASE REBOOT
Checking for bad registry entries...
Resetting filetype association for .exe
Resetting filetype association for .com
Resetting userinit and shell values...
Resetting policies...
--Finished--

Le reste arrive.

darkgg87 · Answer

Rapport pour MBAM : 


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4120

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

20/05/2010 17:10:12
mbam-log-2010-05-20 (17-10-12).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 128935
Temps écoulé: 7 minute(s), 16 seconde(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 15
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 15

Processus mémoire infecté(s):
C:\WINDOWS\system32\smss32.exe (Trojan.FakeAlert) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\helpers32.dll (Trojan.FakeAlert) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\SE2010 (Rogue.Securityessentials2010) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\security essentials 2010 (Rogue.SecurityEssentials2010) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\smss32.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\smss32.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.FakeAlert) -> Data: c:\windows\system32\winlogon32.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.FakeAlert) -> Data: system32\winlogon32.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\get-key-se10.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\is-software-download.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\download-soft-package.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\download-software-package.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\get-key-se10.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\digital-supply.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\digital-supply.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\winlogon32.exe) Good: (userinit.exe) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\activedesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\Program Files\Securityessentials2010 (Rogue.SecurityEssentials2010) -> Delete on reboot.

Fichier(s) infecté(s):
C:\Documents and Settings\Groslier\Local Settings\Temp\3.tmp (Rootkit.TDSS.Gen) -> Quarantined and deleted successfully.
C:\Documents and Settings\Groslier\Local Settings\Temp\4.tmp (Rootkit.TDSS.Gen) -> Quarantined and deleted successfully.
C:\Documents and Settings\Groslier\Local Settings\Temp\5.tmp (Rootkit.TDSS.Gen) -> Quarantined and deleted successfully.
C:\Documents and Settings\Groslier\Local Settings\Temporary Internet Files\Content.IE5\BF50FAI4\exe[1].exe (Rootkit.TDSS.Gen) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\Z0IQJ0TO\exe[1].exe (Rootkit.TDSS.Gen) -> Quarantined and deleted successfully.
C:\Program Files\Securityessentials2010\SE2010.exe (Rogue.SecurityEssentials2010) -> Delete on reboot.
C:\WINDOWS\system32\warnings.html (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\helpers32.dll (Trojan.FakeAlert) -> Delete on reboot.
C:\WINDOWS\system32\config\systemprofile\Application Data\Microsoft\Internet Explorer\Quick Launch\Security essentials 2010.lnk (Rogue.SecurityEssentials2010) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\config\systemprofile\Menu Démarrer\Security essentials 2010.lnk (Rogue.SecurityEssentials2010) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\smss32.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\Winlogon32.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\Groslier\Local Settings\Temp\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Groslier\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\Groslier\Menu Démarrer\Programmes\Démarrage\wwwzuc32.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

darkgg87 · Answer

Je suis en train de refaire un scan ZHPDiag mais une fenêtre s'est affichée, me demandant d'accepter un contrat de licence, ce que j'ai fait. Mais depuis, le scan est extrêmement lent. En fait, il n'avance même plus...

darkgg87 · Answer

En fait, il s'est terminé. Juste le temps de récupérer Internet sur le pc contaminé et je l'envoie.

darkgg87 · Answer

Le lien : 

http://www.cijoint.fr/cjlink.php?file=cj201005/cijCBCItqX.txt

fix200 · Answer

Re,

Il reste quelque traces...

&#x25B6; Lance ZHPFix depuis le raccourci qui est sur ton bureau .
(Sous Vista/7: clic droit puis "exécuter en tant qu'administrateur")

&#x25B6; Une fois l'outil ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

&#x25B6; Ouvre ce lien puis copie colle tout le texte qui se trouve dedans et colle le dans l'encadré principal: 

https://www.cjoint.com/?fuxa0aShOq

&#x25B6; Clique sur le bouton [ OK ] .

> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !


&#x25B6; Clique sur le bouton [ Tous ] . Vérifie que toutes les lignes soient bien cochées .

&#x25B6; Enfin clique sur le bouton [ Nettoyer ] .

&#8658; ! Laisse travailler l'outil et ne touche à rien !

&#8658; Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

&#x25B6; Une fois terminé, un rapport s'affiche : copie-colle tout son contenu dans ta prochaine réponse.

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPFix\ZHPFixReport.txt )

========================

Mets à jour Malwarebytes, fais un scan rapide et colle le rapport.

========================

Refais un scan ZHPDiag, coche bien toutes les options (sauf la 045 et 061), poste le nouveau rapport obtenu (via Cijoint).

========================

Le poste de travail s'ouvre normalement ?

fix200 · Answer

Re,

Petite manip' à faire une fois le post précédant appliqué :

/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\

&#x25B6; Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer.

&#x25B6; Lance Gmer.

&#x25B6; Clique sur l'onglet " Rootkit ",lance le scan. des lignes rouges peuvent apparaitre.


* Les lignes rouges indiquent la présence d'un rootkit. Poste moi le rapport gmer :

&#x25B6; Clique sur copy.

&#x25B6; Ouvre le bloc note > Edition > Coller.

&#x25B6; Poste le rapport .

darkgg87 · Answer

Rapport ZHPFix : ZHPFix v1.12.3101 by Nicolas Coolman - Rapport de suppression du 21/05/2010 08:42:15 Fichier d'export Registre : Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html Contact : nicolascoolman@yahoo.fr Processus mémoire : (Néant) Module mémoire : (Néant) Clé du Registre : (Néant) Valeur du Registre : (Néant) Elément de données du Registre : (Néant) Préférences navigateur : (Néant) Dossier : (Néant) Fichier : c:\windows\system32\18467.exe => Supprimé et mis en quarantaine c:\windows\system32\26500.exe => Supprimé et mis en quarantaine c:\windows\system32\6334.exe => Supprimé et mis en quarantaine Logiciel : (Néant) Script Registre : (Néant) Master Boot Record : Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x82E6AD01]<< kernel: MBR read successfully user & kernel MBR OK Autre : (Néant) Récapitulatif : Processus mémoire : 0 Module mémoire : 0 Clé du Registre : 0 Valeur du Registre : 0 Elément de données du Registre : 0 Dossier : 0 Fichier : 3 Logiciel : 0 Master Boot Record : 9 Préférences navigateur : 0 Autre : 0 End of the scan

darkgg87 · Answer

Rapport MBAM :  


Malwarebytes' Anti-Malware 1.46 
www.malwarebytes.org 

Version de la base de données: 4122 

Windows 5.1.2600 Service Pack 3 (Safe Mode) 
Internet Explorer 8.0.6001.18702 

21/05/2010 08:53:10 
mbam-log-2010-05-21 (08-53-10).txt 

Type d'examen: Examen rapide 
Elément(s) analysé(s): 129368 
Temps écoulé: 7 minute(s), 20 seconde(s) 

Processus mémoire infecté(s): 0 
Module(s) mémoire infecté(s): 0 
Clé(s) du Registre infectée(s): 1 
Valeur(s) du Registre infectée(s): 0 
Elément(s) de données du Registre infecté(s): 0 
Dossier(s) infecté(s): 0 
Fichier(s) infecté(s): 0 

Processus mémoire infecté(s): 
(Aucun élément nuisible détecté) 

Module(s) mémoire infecté(s): 
(Aucun élément nuisible détecté) 

Clé(s) du Registre infectée(s): 
HKEY_CURRENT_USER\SOFTWARE\SE2010 (Rogue.Securityessentials2010) -> No action taken. 

Valeur(s) du Registre infectée(s): 
(Aucun élément nuisible détecté) 

Elément(s) de données du Registre infecté(s): 
(Aucun élément nuisible détecté) 

Dossier(s) infecté(s): 
(Aucun élément nuisible détecté) 

Fichier(s) infecté(s): 
(Aucun élément nuisible détecté) 



PS : Oui, le poste de travail fonctionne correctement. Oh et je me rends compte dans ce rapport qu'il y écrit "No Action Taken" pour la clé du registre infectée. Or, j'ai bien cliquer sur supprimer et ça a fonctionné. J'ai posté ce rapport juste avant de le faire.

darkgg87 · Answer

Je vais me lancer pour GMER. Par contre, étant une bille en informatique, peux tu me dire comment je fais pour désactiver mes logiciels de protection ?

Merci encore.

fix200 · Answer

Bonjour,

Clic droit sur l'icône "A" d'Avast!, puis "arrêter la protection résidente". 

@+

darkgg87 · Answer

Euh, GMER était en train de faire ce qu'il avait à faire quand soudain, le pc s'éteint... Est-ce normal ? Est-ce que je dois désactiver les pare-feux ? Je viens juste de repenser à ceux là...

fix200 · Answer

Re,

Télécharge Defogger (de jpshortstuff) sur ton Bureau
http://www.jpshortstuff.247fixes.com/Defogger.exe

* Lance le
* Une fenêtre apparait : clique sur "Disable"
* Fais redémarrer l'ordinateur si l'outil te le demande
* Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" 

Désactive tes défenses et déconnecte toi d'internet puis relance Gmer.

darkgg87 · Answer

Juste à titre indicatif, tu penses qu'il y en a encore pour longtemps ?

fix200 · Answer

Bah tu sais je ne peux pas savoir ^^
Ne sois pas pressé, l'essentiel que ton pc sera désinfecté ;)

darkgg87 · Answer

Ok ok ^^
Non mais j'ai le temps depuis que j'ai fini mes exams. C'est juste pour savoir. ^^

darkgg87 · Answer

Le pc a recoupé. Pourtant la protection résidente d'Avast est désactivée et j'ai même désactivé les pare-feux...

fix200 · Answer

T'as fait defogger ?

darkgg87 · Answer

Oui.

fix200 · Answer

Bon alors on passe a la bazooka ^^ Si vous êtes sous Vista/7 Désactivez l'UAC /!\ ATTENTION SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS /!\ _________________________________________________________________ >>>>>>>>>> ! Le logiciel qui suit n'est pas a utiliser a la légère ! <<<<<<<<<< > /!\ Ce logiciel est TRÈS PUISSANT et peut causer des dégâts sur ton système /!\ < >>>>>>>> ! Prends ton temps pour lire les tutoriels et les indications ! <<<<<<<< ========================================================= ==========>>> !! A lire, Impératif !! <<<========== Fais un clic droit ici Choisis "Enregistrer la cible du lien..." Au lieu de Combofix.exe -> Tape darkgg87.exe Clique sur "enregistrer" et laisse le téléchargement se faire. AVANT d'utiliser ComboFix : ▶ /!\ Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours. /!\ ▶ (!) Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares et de TOUT tes logiciels de protection (!). ( Tutoriel si besoin ) ▶ Double clique sur ComboFix.exe afin de le lancer (Sous Vista/7: Clique droit et choisir " Exécuter en tant qu'administrateur") ▶ Note : Sous XP : L'outil va te demander si tu souhaite installer la console de récupération (image) . Reconnecte toi , Puis clique sur "YES" , et une fois la console installée : ! Déconnecte toi d'internet, (très important) !. ▶ Répond par Oui / Yes au message d'avertissement pour que le programme commence à procéder à l'analyse du pc. !!!!! NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS, CLAVIER.....) !!!!! ▶ A la fin du scan, il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection, laisse le travailler. ▶ Après le redémarrage du PC, un rapport s'ouvrira dans le Bloc Notes en fin d'analyse, ▶ Réactive toutes tes défenses, reviens sur le forum puis copie et colle le rapport dans ton a ta prochaine réponse. Note : (Le fichier rapport Combofix.txt , est ensuite automatiquement sauvegardé dans C:\Combofix.txt) @+

darkgg87 · Answer

Rapport ComboFix : 


ComboFix 10-05-20.A0 - Groslier 21/05/2010  12:11:22.1.1 - x86 NETWORK
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.510.369 [GMT 2:00]
Lancé depuis: c:\documents and settings\Groslier\Bureau\darkgg87.exe
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

Une copie infectée de c:\windows\system32\drivers\mouclass.sys a été trouvée et désinfectée 
Copie restaurée à partir de - Kitty had a snack :p 
.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-04-21 au 2010-05-21  ))))))))))))))))))))))))))))))))))))
.

2010-05-20 15:00 . 2010-05-20 15:00	--------	d-----w-	c:\documents and settings\Groslier\Application Data\Malwarebytes
2010-05-20 15:00 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-05-20 15:00 . 2010-05-20 15:00	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-05-20 15:00 . 2010-05-20 15:00	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2010-05-20 15:00 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-05-20 13:59 . 2010-05-21 06:42	--------	d-----w-	c:\program files\ZHPDiag
2010-05-20 13:23 . 2010-05-20 13:23	664	----a-w-	c:\windows\system32\d3d9caps.dat
2010-05-20 10:18 . 2010-05-20 10:18	--------	d-sh--w-	c:\windows\system32\config\systemprofile\PrivacIE
2010-05-20 10:17 . 2010-05-20 10:17	--------	d-sh--w-	c:\windows\system32\config\systemprofile\IECompatCache
2010-05-20 10:17 . 2008-04-13 18:40	34688	-c--a-w-	c:\windows\system32\dllcache\lbrtfdc.sys
2010-05-20 10:17 . 2008-04-13 18:40	34688	----a-w-	c:\windows\system32\drivers\lbrtfdc.sys
2010-05-20 10:17 . 2008-04-13 18:41	8576	-c--a-w-	c:\windows\system32\dllcache\i2omgmt.sys
2010-05-20 10:17 . 2008-04-13 18:41	8576	----a-w-	c:\windows\system32\drivers\i2omgmt.sys
2010-05-20 10:16 . 2008-04-13 18:40	8192	-c--a-w-	c:\windows\system32\dllcache\changer.sys
2010-05-20 10:16 . 2008-04-13 18:40	8192	----a-w-	c:\windows\system32\drivers\changer.sys
2010-05-20 10:14 . 2010-05-20 10:14	--------	d-sh--w-	c:\windows\system32\config\systemprofile\IETldCache
2010-05-11 23:32 . 2010-05-20 10:19	--------	d-----w-	c:\windows\LastGood.Tmp
2010-05-08 18:15 . 2010-05-08 18:15	55287536	----a-w-	c:\documents and settings\Groslier\Application Data\LEGO Company\LEGO Digital Designer\setupLDD-PC-3_1_3.exe

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-20 13:53 . 2001-08-28 14:00	82654	----a-w-	c:\windows\system32\perfc00C.dat
2010-05-20 13:53 . 2001-08-28 14:00	506562	----a-w-	c:\windows\system32\perfh00C.dat
2010-05-20 10:22 . 2010-05-20 10:22	0	----a-w-	c:\documents and settings\Groslier
tuser.tmp
2010-05-16 11:48 . 2008-11-30 17:35	1	----a-w-	c:\documents and settings\Groslier\Application Data\OpenOffice.org2\user\uno_packages\cache\stamp.sys
2010-05-09 11:17 . 2007-06-29 13:40	--------	d-----w-	c:\documents and settings\Groslier\Application Data\LEGO Company
2010-05-08 18:15 . 2007-07-22 12:06	--------	d-----w-	c:\program files\LEGO Company
2010-04-22 14:50 . 2008-09-21 14:10	--------	d-----w-	c:\documents and settings\Groslier\Application Data\OpenOffice.org2
2010-04-06 15:29 . 2010-04-06 15:29	77132	---ha-w-	c:\windows\system32\mlfcache.dat
2010-03-10 06:16 . 2004-08-04 00:54	420352	----a-w-	c:\windows\system32\vbscript.dll
2010-02-25 06:17 . 2004-08-04 00:54	916480	----a-w-	c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2004-08-03 23:15	455680	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2007-02-11 13:40 . 2007-02-11 13:40	17929072	----a-w-	c:\program files\Install_Messenger.exe
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2005-05-19 1957888]
"NCLaunch"="c:\windows\NCLAUNCH.EXe" [2006-12-31 40960]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-02-21 39408]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"FlashPlayerUpdate"="c:\windows\system32\Macromed\Flash\FlashUtil10b.exe" [2009-02-03 240544]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"CmCardRun"="c:\windows\system32\CmWatch.exe" [2003-09-16 229376]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-02-22 339968]
"EPSON Stylus Photo RX520 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIAGE.EXE" [2005-04-07 98304]
"SoundMan"="SOUNDMAN.EXE" [2006-06-21 577536]
"SsAAD.exe"="c:\progra~1\Sony\SONICS~1\SsAAD.exe" [2006-01-07 81920]
"LifeCam"="c:\program files\Microsoft LifeCam\LifeExp.exe" [2007-05-17 279912]
"VX1000"="c:\windows\vVX1000.exe" [2007-04-10 709992]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-11-10 417792]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-11-12 141600]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2010-01-17 149280]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Groslier\Menu D'marrer\Programmes\D'marrage\
OpenOffice.org 2.4.lnk - c:\program files\OpenOffice.org 2.4\program\quickstart.exe [2008-1-21 393216]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
KODAK Software Updater.lnk - c:\program files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe [2004-2-13 16423]
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Readereader_sl.exe [2004-12-14 29696]
Logiciel Kodak EasyShare.lnk - c:\program files\Kodak\Kodak EasyShare software\bin\EasyShare.exe [2006-6-2 180224]
Utilitaire r'seau pour SAGEM Wi-Fi 11g USB adapter.lnk - c:\program files\SAGEM WiFi manager\WLANUTL.exe [2006-4-10 925696]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe"=
"c:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Ubisoft\Gearbox Software\BrothersInArms\System\bia.exe"=
"c:\Program Files\Microsoft LifeCam\LifeCam.exe"=
"c:\Program Files\Microsoft LifeCam\LifeExp.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\iTunes\iTunes.exe"=

R3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;c:\windows\system32\drivers\WlanBZXP.sys [10/04/2006 13:00 402432]
R3 UMSSSTOR;C-Media Storage;c:\windows\system32\drivers\Umss.SYS [01/11/2005 14:54 48512]
S0 glqibr;glqibr;c:\windows\system32\driverslxnsc.sys --> c:\windows\system32\driverslxnsc.sys [?]
.
Contenu du dossier 'Tâches planifiées'
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
TCP: {86C4E4DB-D7AD-479C-BE7B-9E3DC9CFB86A} = 192.168.1.1
DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game12.zylom.com/activex/zylomgamesplayer.cab
.
- - - - ORPHELINS SUPPRIMES - - - -

HKU-Default-Run-MsnMsgr - c:\program files\MSN Messenger\MsnMsgr.Exe
AddRemove-FairUse Wizard 2 - d:\gaetan\Autres\Logiciels\un_FU-Setup_14333.exe
AddRemove-{55718B4B90B54F7EADC5621C750A14E6} - d:\gaetan\DivX\DivX Author 1.5\DivXAuthorUninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-21 12:19
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(436)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(192)
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\eappprxy.dll
.
Heure de fin: 2010-05-21  12:23:16
ComboFix-quarantined-files.txt  2010-05-21 10:23

Avant-CF: 33 396 084 736 octets libres
Après-CF: 36 047 097 856 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
d:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

- - End Of File - - C62105AB64E9A1D4D89CB73E73A04D1D

fix200 · Answer

Re,

Refais un scan ZHPDiag et colle le rapport via cijoint.fr

darkgg87 · Answer

Voilà le lien : 

http://www.cijoint.fr/cjlink.php?file=cj201005/cijD7kP22E.txt

fix200 · Answer

C'est bien :)

Fais un scan antivirus en ligne chez Bit-Defender (avec Internet Explorer)  :

> Utilisation :
&#x25B6; En bas, dans l'encadré "Analyse en ligne gratuite" , clique sur "Analyser" .
&#x25B6; Dans la nouvelle fenêtre, clique sur "J'accepte" .
&#x25B6; Il te sera proposer d'installer un module complémentaire (contrôle ActiveX) pour pouvoir faire le scan > accepte !
&#x25B6; Patiente le temps du chargement ...
&#x25B6; La fenêtre change encore, clique sur "Démarrer l'analyse" .
&#x25B6; Les signatures se chargent, le scan démarre ... Laisse travailler et ne touche a rien !

&#8594; Poste le rapport obtenu, pour cela : 
- Clique sur l'onglet "plus de détailles" . A la fin du scan, clique sur "problèmes détectés " .
- Au dessus à droite de la fenêtre des résultats , clique sur "Cliquer ici pour exporter le rapport" choisis d'enregistrer le rapport sur ton bureau .
- Ouvre le document html que tu viens de sauvegarder ( le rapport ),
> fais un copier/coller de tout son contenu et poste le dans ta prochaine réponse

Aide en images si besoin

darkgg87 · Answer

Rapport BitDefender : 


BitDefender Online Scanner
  
  
 
Rapport d'analyse gnr : Fri, May 21, 2010 - 16:27:14
 
 
  
  
 
Voie d'analyse: C:\;D:\;E:\;F:\;G:\;H:\;I:\;
  
  
 
 
  
  
 
Statistiques
 
Temps
 00:29:41
 
Fichiers
 66499
 
Directoires
 13664
 
Secteurs de boot
 0
 
Archives
 1262
 
Paquets programmes
 5836
 
  
  
 
Rsultats
 
Virus identifis
 4
 
Fichiers infects
 17
 
Fichiers suspects
 0
 
Avertissements
 0
 
Dsinfects
 1
 
Fichiers effacs
 16
 
  
  
 
Info sur les moteurs
 
Dfinition virus
 6014064
 
Version des moteurs
 AVCORE v2.1 Windows/i386 11.0.0.33 (Apr 09 2010)
 
Analyse des plugins
 17
 
Archive des plugins
 43
 
Unpack des plugins
 10
 
E-mail plugins
 6
 
Systme plugins
 4
 
  
  
 
Paramtres d'analyse
 
Premire action
 DÃ©sinfectÃ©
 
Seconde Action
 SupprimÃ©s
 
Heuristique
 Oui
 
Acceptez les avertissements
 Oui
 
Extensions analyses
 exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;
 
Excludez les extensions
  
 
Analyse d'emails
 Oui
 
Analyse des Archives
 Oui
 
Analyser paquets programmes
 Oui
 
Analyse des fichiers
 Oui
 
Analyse de boot
 Oui
 
  
  
 
  Fichier analys
  Statut
 
C:\System Volume Information\_restore{E70F66B9-399D-47DF-8DB7-A1265DC737DD}\RP1424\A0284587.exe
 InfectÃ© par: Backdoor.Generic.345697
 
C:\System Volume Information\_restore{E70F66B9-399D-47DF-8DB7-A1265DC737DD}\RP1424\A0284587.exe
 SupprimÃ©
 
C:\System Volume Information\_restore{E70F66B9-399D-47DF-8DB7-A1265DC737DD}\RP1424\A0285587.exe
 InfectÃ© par: Backdoor.Generic.345697
 
C:\System Volume Information\_restore{E70F66B9-399D-47DF-8DB7-A1265DC737DD}\RP1424\A0285587.exe
 SupprimÃ©
 
C:\System Volume Information\_restore{E70F66B9-399D-47DF-8DB7-A1265DC737DD}\RP1424\A0286587.exe
 InfectÃ© par: Backdoor.Generic.345697
 
C:\System Volume Information\_restore{E70F66B9-399D-47DF-8DB7-A1265DC737DD}\RP1424\A0286587.exe
 SupprimÃ©
 
C:\System Volume Information\_restore{E70F66B9-399D-47DF-8DB7-A1265DC737DD}\RP1424\A0287587.exe
 InfectÃ© par: Backdoor.Generic.345697
 
C:\System Volume Information\_restore{E70F66B9-399D-47DF-8DB7-A1265DC737DD}\RP1424\A0287587.exe
 SupprimÃ©
 
C:\System Volume Information\_restore{E70F66B9-399D-47DF-8DB7-A1265DC737DD}\RP1424\A0288587.exe
 InfectÃ© par: Backdoor.Generic.345697
 
C:\System Volume Information\_restore{E70F66B9-399D-47DF-8DB7-A1265DC737DD}\RP1424\A0288587.exe
 SupprimÃ©
 
C:\System Volume Information\_restore{E70F66B9-399D-47DF-8DB7-A1265DC737DD}\RP1424\A0289587.exe
 InfectÃ© par: Backdoor.Generic.345697
 
C:\System Volume Information\_restore{E70F66B9-399D-47DF-8DB7-A1265DC737DD}\RP1424\A0289587.exe
 SupprimÃ©
 
C:\System Volume Information\_restore{E70F66B9-399D-47DF-8DB7-A1265DC737DD}\RP1424\A0290586.exe
 InfectÃ© par: Backdoor.Generic.345697
 
C:\System Volume Information\_restore{E70F66B9-399D-47DF-8DB7-A1265DC737DD}\RP1424\A0290586.exe
 SupprimÃ©
 
C:\System Volume Information\_restore{E70F66B9-399D-47DF-8DB7-A1265DC737DD}\RP1424\A0291587.exe
 InfectÃ© par: Backdoor.Generic.345697
 
C:\System Volume Information\_restore{E70F66B9-399D-47DF-8DB7-A1265DC737DD}\RP1424\A0291587.exe
 SupprimÃ©
 
C:\System Volume Information\_restore{E70F66B9-399D-47DF-8DB7-A1265DC737DD}\RP1424\A0292587.exe
 InfectÃ© par: Backdoor.Generic.345697
 
C:\System Volume Information\_restore{E70F66B9-399D-47DF-8DB7-A1265DC737DD}\RP1424\A0292587.exe
 SupprimÃ©
 
C:\System Volume Information\_restore{E70F66B9-399D-47DF-8DB7-A1265DC737DD}\RP1424\A0293587.exe
 InfectÃ© par: Backdoor.Generic.345697
 
C:\System Volume Information\_restore{E70F66B9-399D-47DF-8DB7-A1265DC737DD}\RP1424\A0293587.exe
 SupprimÃ©
 
C:\System Volume Information\_restore{E70F66B9-399D-47DF-8DB7-A1265DC737DD}\RP1424\A0294587.exe
 InfectÃ© par: Backdoor.Generic.345697
 
C:\System Volume Information\_restore{E70F66B9-399D-47DF-8DB7-A1265DC737DD}\RP1424\A0294587.exe
 SupprimÃ©
 
C:\System Volume Information\_restore{E70F66B9-399D-47DF-8DB7-A1265DC737DD}\RP1424\A0294591.exe
 InfectÃ© par: Backdoor.Generic.345697
 
C:\System Volume Information\_restore{E70F66B9-399D-47DF-8DB7-A1265DC737DD}\RP1424\A0294591.exe
 SupprimÃ©
 
C:\System Volume Information\_restore{E70F66B9-399D-47DF-8DB7-A1265DC737DD}\RP1424\A0294595.dll
 InfectÃ© par: Trojan.Generic.KD.12763
 
C:\System Volume Information\_restore{E70F66B9-399D-47DF-8DB7-A1265DC737DD}\RP1424\A0294595.dll
 SupprimÃ©
 
C:\System Volume Information\_restore{E70F66B9-399D-47DF-8DB7-A1265DC737DD}\RP1424\A0294596.exe
 InfectÃ© par: Trojan.Generic.KD.12748
 
C:\System Volume Information\_restore{E70F66B9-399D-47DF-8DB7-A1265DC737DD}\RP1424\A0294596.exe
 SupprimÃ©
 
C:\System Volume Information\_restore{E70F66B9-399D-47DF-8DB7-A1265DC737DD}\RP1424\A0302838.sys
 InfectÃ© par: Rootkit.Patched.TDSS.Gen
 
C:\System Volume Information\_restore{E70F66B9-399D-47DF-8DB7-A1265DC737DD}\RP1424\A0302838.sys
 DÃ©sinfectÃ©
 
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\726UE3OV\SetupSE2010[1].exe
 InfectÃ© par: Trojan.Generic.KD.12748
 
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\726UE3OV\SetupSE2010[1].exe
 SupprimÃ©
 
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\TZO88BWX\firewall[1].dll
 InfectÃ© par: Trojan.Generic.KD.12763
 
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\TZO88BWX\firewall[1].dll
 SupprimÃ©

fix200 · Answer

Re,

- Le rapport est complet ?
- Des soucis ? (c'est pas terminé)
- Refais un scan ZHPDiag et poste le lien créé via cijoint.fr

darkgg87 · Answer

Salut, 

-Oui, le rapport est complet. Pourquoi ? Il y a un problème ? 
-Des soucis, non, mis à part la connexion à Internet qui marche quand elle veut mais ça c'est habituel. J'ai pas eu besoin d'un virus pour connaître ça. ^^ 
-Le scan ZHPDiag est fait. Voilà le lien : 
http://www.cijoint.fr/cjlink.php?file=cj201005/cijx7PKdec.txt

fix200 · Answer

-

darkgg87 · Answer

Excuse moi, mais je ne vois rien dans ton message.

fix200 · Answer

Salut,

Désolé c'était mon poste qui n'est pas passé.

Voilà donc la suite:

- Démarrer => exécute, tape : Combofix /uninstall
- Valide par OK
- ComboFix va redémarrer puis se supprimer

_____________________________________________________


1: Pour supprimer les outils spécifiques utilisés lors la désinfection :

Télécharge ToolsCleaner2 (de A.Rothstein) sur ton Bureau 

&#x25B6; Sous XP : Double-clique sur ToolsCleaner2.exe
&#x25B6; Sous Vista/7: Fais un clic droit sur ToolsCleaner2.exe et sélectionne "Exécuter en tant qu'administrateur"
&#x25B6; Clique sur Recherche et laisse le scan se terminer.
&#x25B6; Clique sur Suppression pour finaliser.
&#x25B6; Tu peux, si tu le souhaites, te servir des Options facultatives.
&#x25B6; Clique sur Quitter (et pas sur la croix rouge!) , pour que le rapport puisse se créer.
&#x25B6; Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\), colle le dans ta réponse.

______________________________________________________


2: Nettoyage des fichiers temporaires :

Télécharge ATF Cleaner par Atribune

Sous XP : Double-clique ATF-Cleaner.exe afin de lancer le programme.
Sous Vista/7: Fais un clic droit sur ATF-Cleaner.exe et choisis " Exécuter en tant qu'admin..."
&#x25B6; Dans l'onglet Main, coche simplement la case Select All (toutes les cases vont se cocher) puis sur le bouton Empty Selected. 
&#x25B6; Si tu possèdes : Firefox ou Opera comme navigateur, pense à choisir ton navigateur en haut a gauche avant de sélectionner Select All puis Empty Selected.
&#x25B6; Puis réponds Non au message qui s'affiche, si tu ne souhaites pas perdre tes mots de passes . 

 Aide : Comment utiliser ATF-Cleaner.

Télécharge CCleaner sur ton bureau 

&#x25B6; Installe le programme.
&#x25B6; Lance CCleaner puis Clique sur "Options" &#8594; "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".
&#x25B6; Dans le menu " Nettoyeur " &#8594; "Analyse" .
&#x25B6; Ensuite clique sur le bouton "Lancer le nettoyage" et laisse le faire. 
&#x25B6; Maintenant dans l'onglet "Registre" &#8594; "Chercher des erreurs  .
&#x25B6; Réponds a Oui a la question qui te sera posée.
&#x25B6; Enfin , répare les erreurs en cliquant sur " Réparer les erreurs sélectionnés "
.

* Note : Refais trois fois , une réparation du registre pour que cela soit efficace !

 Aide : Comment utiliser CCleaner ?

______________________________________________________


3 : Purge de la restauration du système :

&#8658; Sous XP :

* Désactivation :

&#x25B6; Clic droit sur le Poste de travail &#8594; Propriétés &#8594; Onglet "Restauration du système" &#8594; coche la case "Désactiver la Restauration du système sur tous les lecteurs" &#8594; Appliquer.
&#x25B6; Patiente jusqu'à que cela soit marqué "désactivée" puis OK.
&#8658; Redémarre le PC.

* Activation :

&#x25B6; Suis le même chemin ; décoche la case "Désactiver la Restauration du système sur tous les lecteurs" > Appliquer.
&#x25B6; Attends que cela soit a nouveau sur "Surveillance" puis OK. 
&#8658; Redémarre le PC.

_____________________________________________________

4: Création d'un point de restauration sain :

&#8658; Sous XP

&#8658; Sous Vista

&#8658; Sous Seven

______________________________________________________

5: Ménage & Optimisation :

* Nettoyage de disque:

&#x25B6; Clic droit sur "Poste de travail" &#8594; "Ouvrir" > Clic droit sur le disque C &#8594; Propriétés &#8594; Onglet "Général"
&#x25B6; Clique sur le bouton "Nettoyage de disque" &#8594; OK
&#x25B6; Fais la même chose pour chacun de tes disques 
                    

* Défragmentation:

&#9679; Menu "Démarrer" &#8594; "Tous les programmes" &#8594; Accessoires &#8594; Outils système &#8594; "Défragumenteur de disque"
&#x25B6; Clique sur Analyser, s'il te demande de défragmenter , tu Défragmentes.
&#155; &#155; Fais le même chose pour chacun de tes disques.

Note : si tu as un utilitaire pour défragmenter , utilise le à la place 
                     
* Vérifications des erreurs :

&#x25B6; Clic droit sur "Poste de travail" / "Ordinateur" &#8594;  "ouvrir" &#8594; clic droit sur le disque C &#8594; Propriétés &#8594; Onglet "Outil" &#8594; "Vérifier maintenant", une boîte s'ouvre, coche les cases :

- Réparer automatiquement les erreurs...
- Rechercher et tenter une récupération...

&#8658; Démarrer, OK

Note : s'il te dis de redémarrer ton PC pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal

______________________________________________________


6: Remise en place des paramètres système par défaut :

&#x25B6; Démarrer &#8594; Panneau de configuration &#8594; Options des dossiers &#8594; onglet 'Affichage'
- [Décoche] Afficher les fichiers et dossiers cachés
- [Coche] Masquer les fichiers protégés du système d'exploitation (recommandé)
- Clique sur Appliquer, puis OK. 

&#x25B6; Tu peux maintenant à réactiver toutes tes protections résidentes (Antivirus, Antispyware, Firewall). 

&#x25B6; Tu peux vider la quarantaine de ton antivirus , ton anti-spyware et celle de MalwareBytes' .


                      
7: Maintenir son système a jour contre les failles de sécurité :

&#8658; Windows :

&#149; Rends toi ICI (avec internet explorer !)

! Ferme tes applications en cours (seulement le navigateur) !
&#149; Installe TOUTES les mises a jours critiques (M.A.J's de sécurité, framwork etc...) 

&#149; Laisse toi guider ...

&#8658; Java :

&#149; Désinstalle tes versions de Java et installe la nouvelle version :

&#149; Télécharge JavaRa.zip
 
&#149; Décompresse le fichier sur ton bureau (clique droit > Extraire tout.)

&#149; Double-clique sur le répertoire JavaRa obtenu.

&#149; Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s'afficher)

&#149; Clique sur " Search For Updates ".

&#149; Sélectionne " Update Using jucheck.exe " puis clique sur Search.

&#149;  Autorise le processus à se connecter s'il te le demande, clique sur Install et suis les instructions d'installation. Cela prendra quelques minutes. 

&#149; Quand l'installation est terminée, revient à l'écran de JavaRa et clique sur " Remove Older Versions ".

&#149; Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok.

&#149; Un rapport va s'ouvrir, copie-colle le dans ta prochaine réponse.

Note : le rapport se trouve aussi là : ( C:\JavaRa.log )

**Aide** : Comment Utiliser JavaRa ?


&#8658; Adobe Reader :

&#149; Désinstalle Adobe Reader depuis le menu Ajout/ suppression des programmes (programmes et fonctionnalités pour vista) .

&#149; Installe cette version

&#8658; Autres Mises a jours a effectuer :

&#149; Tu peux aussi mettre a jour tes logiciels grâce a Update Checker

&#149; Tutoriel

~~> Je t'invite a lire ça: Le danger des failles de sécurité 

______________________________________________________

Télécharge TrendMicro(TM) HijackThis(TM) sur ton bureau.  

&#x25B6; Fais un double-clic sur HJTInstall.exe afin de lancer l'installation 

&#x25B6; Clique sur Install ensuite sur I Accept 

&#x25B6; Lance un scan en cliquant sur " do a system scan and save a logfile " .

&#x25B6;  Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note

&#x25B6; Copie-colle son contenu A ta prochaine réponse.


&#8658; Aide : 
&#155; Démonstration animée (Merci baltrap34)
&#155; Tutoriel HijackThis  

@+

darkgg87 · Answer

Rapport TCleaner :

[ Rapport ToolsCleaner version 2.3.11 (par A. Rothstein & dj QUIOU) ]

--> Recherche:

C:\Combofix.txt: trouvé !
C:\Documents ans Settings\Groslier\Bureau\catchme.log: trouvé !
C:\Program Files\ZHPDiag: trouvé !
C:\Program Files\ZHPDiag\ZHPDiag.exe: trouvé !
C:\Program Files\ZHPDiag\catchme.exe: trouvé !
C:\Program Files\ZHPDiag\mbr.log: trouvé !
C:\Program Files\ZHPDiag\mbr.exe: trouvé !

---------------------------------
-->Suppression:

C:\Program Files\ZHPDiag\ZHPDiag.exe: supprimé !
C:\Program Files\ZHPDiag\catchme.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\Documents and Settings\Groslier\Bureau\catchme.log: supprimé !
C:\Program Files\ZHPDiag\mbr.log: supprimé !
C:\Program Files\ZHPDiag\mbr.exe: supprimé !
C:\Program Files\ZHPDiag: supprimé !



Le reste arrive.

darkgg87 · Answer

Je vais me lancer dans la purge de la restauration du système mais je ne trouve pas d'onglet "restauration du système"...
En revanche, dans les outils système proposés dans les accessoires du menu démarrer, il y a un outil "restauration du système"...
Je suis un peu perdu (une fois n'est pas coutume ^^)

fix200 · Answer

En revanche, dans les outils système proposés dans les accessoires du menu démarrer, il y a un outil "restauration du système"... 

Alors tu peux faire ;)

darkgg87 · Answer

Lorsque je clique sur "Restauration du système", ce message s'affiche :

"Restauration du système ne peut pas protéger votre ordinateur. Faites redémarrer votre ordinateur, puis relancez Restauration du système."

Alors j'ai redémarré l'ordinateur mais ça m'affiche à chaque fois ce message.

fix200 · Answer

Bonjour,

Ta version de windows est-elle légale (la vérité stp)

darkgg87 · Answer

Oui oui. Tout ce qu'il y a de plus légal.

fix200 · Answer

Télécharge ZEB_RESTORE 

&#x25B6; ou ici

&#x25B6; Enregistre ce fichier sur ton bureau.

! Déconnecte toi et ferme toutes tes applications !

&#x25B6; Clique droit Zeb-Restore.zip ==> "Extraire tout" choisis comme lieu d'enregistrement le bureau.
&#x25B6; Ouvre le dossier ZR_1.0.0.37 ==> double clique sur Zeb-Restore.exe
&#x25B6; Coche les cases devant ( et uniquement celles-ci ! ) :

* Policies
* Restauration du système

&#x25B6; Clique sur : " Restaurer " et laisse faire.

&#x25B6; Une fois fait, redémarre ton PC pour que les réparations prennent effet ... 

Essaye et dis moi si il y a l'onglet restauration du système.

darkgg87 · Answer

Non, toujours pas d'onglet Restauration du système.

fix200 · Answer

Essaye d'acceder via l'un de ces 2 chemins:

Poste de travail > en haut à droite "afficher les informations système" et choisis l'onglet restauration du système.

OU:

Démarrer > Accessoires > outils système > nettoyge du disque > onglet "autres options" > dans restauration du système (en bas) clique sur nettoyer et valide.

darkgg87 · Answer

J'ai suivi le 2ème chemin pour C:\. Arrivé aux autres options, je choisis Restauration du système/nettoyer/Oui. Mais est-ce qu'il doit se passer quelque chose comme l'affichage d'une autre fenêtre ou autre chose dans ce genre ? Parce que je me demande s'il s'est produit quelque chose...

fix200 · Answer

Sois sûr que ça ne va rien faire de mal pour ton PC.

Pour la question s'il peut afficher une autre fenêtre, je ne peux pas savoir.

darkgg87 · Answer

Ok. Du coup, je l'ai aussi fait pour D:\.

fix200 · Answer

Bien alors passe à la suite ;)

@+

darkgg87 · Answer

Ok. Mais après c'est pareil, je dois créer un point de restauration sain mais comment le faire si je ne peux pas choisir "Restauration du système" ? (Je suis vraiment désolé de prendre autant de temps...).

fix200 · Answer

Tu peux ne pas créer un point de restauration, il se créera automatiquement.

darkgg87 · Answer

Ah ok. Désolé.

darkgg87 · Answer

Je suis sur le point de désinstaller Java. Toutefois, l'ordinateur refuse parce que je suis en mode sans échec. Est-ce que je peux quitter le mode sans échec sans risques ?

fix200 · Answer

Re,

Pourquoi tu travailles en mode sans échec ?

Bah tu aurais du quitter le MSE dés le début. il y a aucun risque normalement.

darkgg87 · Answer

J'étais en MSE parce qu'au début, c'était le seul moyen de faire fonctionner le pc normalement. Du coup, j'ai continué comme ça.
Donc, j'ai quitté le MSE, le pc démarre, j'arrive sur le bureau mais là, aucune icône présente sur le bureau ne s'affiche et je ne peux strictement rien faire, même pas cliquer sur le bouton Démarrer. J'ai d'abord pensé que c'était normal mais ça fait 10 minutes et je n'ai toujours rien...

darkgg87 · Answer

J'ai à nouveau redémarrer le pc. Cette fois, le bureau s'affiche avec les icônes. Par contre, lorsque je clique par exemple sur Mes Documents, le dossier s'ouvre sans problème mais après, si je veux ouvrir un dossier spécifique dans Mes Documents, ça ne marche aps, ça m'affiche que Mes Documents ne répond pas et je me rends aussi compte qu'il n'y a pas de barre Mes Documents dans la barre du bas de l'écran (j'ai perdu son nom). Le bouton démarrer ne fonctionne pas non plus...

fix200 · Answer

Salut, On reprends à Zero ... Essaye en mode normal sinon en mode sans échec : Si vous êtes sous Vista/7 Désactivez l'UAC /!\ ATTENTION SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS /!\ _________________________________________________________________ >>>>>>>>>> ! Le logiciel qui suit n'est pas a utiliser a la légère ! <<<<<<<<<< > /!\ Ce logiciel est TRÈS PUISSANT et peut causer des dégâts sur ton système /!\ < >>>>>>>> ! Prends ton temps pour lire les tutoriels et les indications ! <<<<<<<< ========================================================= ==========>>> !! A lire, Impératif !! <<<========== Télécharge ComboFix (de sUBs) et enregistre le sur ton bureau et pas ailleurs. AVANT d'utiliser ComboFix : ▶ /!\ Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours. /!\ ▶ (!) Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares et de TOUT tes logiciels de protection (!). ( Tutoriel si besoin ) ▶ Double clique sur ComboFix.exe afin de le lancer (Sous Vista/7: Clique droit et choisir " Exécuter en tant qu'administrateur") ▶ Note : Sous XP : L'outil va te demander si tu souhaite installer la console de récupération (image) . Reconnecte toi , Puis clique sur "YES" , et une fois la console installée : ! Déconnecte toi d'internet, (très important) !. ▶ Répond par Oui / Yes au message d'avertissement pour que le programme commence à procéder à l'analyse du pc. !!!!! NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS, CLAVIER.....) !!!!! ▶ A la fin du scan, il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection, laisse le travailler. ▶ Après le redémarrage du PC, un rapport s'ouvrira dans le Bloc Notes en fin d'analyse, ▶ Réactive toutes tes défenses, reviens sur le forum puis copie et colle le rapport dans ton a ta prochaine réponse. Note : (Le fichier rapport Combofix.txt , est ensuite automatiquement sauvegardé dans C:\Combofix.txt)

darkgg87 · Answer

ComboFix 10-05-24.03 - Groslier 25/05/2010  10:46:51.2.1 - x86 NETWORK
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.510.342 [GMT 2:00]
Lancé depuis: c:\documents and settings\Groslier\Bureau\darkgg87.exe
.

(((((((((((((((((((((((((((((   Fichiers créés du 2010-04-25 au 2010-05-25  ))))))))))))))))))))))))))))))))))))
.

2010-05-20 15:00 . 2010-05-20 15:00	--------	d-----w-	c:\documents and settings\Groslier\Application Data\Malwarebytes
2010-05-20 15:00 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-05-20 15:00 . 2010-05-20 15:00	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-05-20 15:00 . 2010-05-20 15:00	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2010-05-20 15:00 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-05-20 13:23 . 2010-05-20 13:23	664	----a-w-	c:\windows\system32\d3d9caps.dat
2010-05-20 10:18 . 2010-05-20 10:18	--------	d-sh--w-	c:\windows\system32\config\systemprofile\PrivacIE
2010-05-20 10:17 . 2010-05-20 10:17	--------	d-sh--w-	c:\windows\system32\config\systemprofile\IECompatCache
2010-05-20 10:17 . 2008-04-13 18:40	34688	-c--a-w-	c:\windows\system32\dllcache\lbrtfdc.sys
2010-05-20 10:17 . 2008-04-13 18:40	34688	----a-w-	c:\windows\system32\drivers\lbrtfdc.sys
2010-05-20 10:17 . 2008-04-13 18:41	8576	-c--a-w-	c:\windows\system32\dllcache\i2omgmt.sys
2010-05-20 10:17 . 2008-04-13 18:41	8576	----a-w-	c:\windows\system32\drivers\i2omgmt.sys
2010-05-20 10:16 . 2008-04-13 18:40	8192	-c--a-w-	c:\windows\system32\dllcache\changer.sys
2010-05-20 10:16 . 2008-04-13 18:40	8192	----a-w-	c:\windows\system32\drivers\changer.sys
2010-05-20 10:14 . 2010-05-20 10:14	--------	d-sh--w-	c:\windows\system32\config\systemprofile\IETldCache
2010-05-08 18:15 . 2010-05-08 18:15	55287536	----a-w-	c:\documents and settings\Groslier\Application Data\LEGO Company\LEGO Digital Designer\setupLDD-PC-3_1_3.exe

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-25 07:44 . 2008-09-21 14:10	--------	d-----w-	c:\documents and settings\Groslier\Application Data\OpenOffice.org2
2010-05-25 07:41 . 2010-05-24 14:23	--------	d-----w-	c:\documents and settings\All Users\Application Data\Alwil Software
2010-05-25 07:09 . 2001-08-28 14:00	83002	----a-w-	c:\windows\system32\perfc00C.dat
2010-05-25 07:09 . 2001-08-28 14:00	506894	----a-w-	c:\windows\system32\perfh00C.dat
2010-05-24 14:23 . 2005-11-01 12:47	--------	d-----w-	c:\program files\Alwil Software
2010-05-23 12:17 . 2010-05-23 12:17	--------	d-----w-	c:\program files\CCleaner
2010-05-23 12:17 . 2010-05-23 12:17	--------	d-----w-	c:\program files\Yahoo!
2010-05-23 12:17 . 2010-05-23 12:17	--------	d-----w-	c:\documents and settings\Groslier\Application Data\Yahoo!
2010-05-23 12:17 . 2010-05-23 12:17	--------	d-----w-	c:\documents and settings\All Users\Application Data\Yahoo! Companion
2010-05-20 10:22 . 2010-05-20 10:22	0	----a-w-	c:\documents and settings\Groslier
tuser.tmp
2010-05-16 11:48 . 2008-11-30 17:35	1	----a-w-	c:\documents and settings\Groslier\Application Data\OpenOffice.org2\user\uno_packages\cache\stamp.sys
2010-05-09 11:17 . 2007-06-29 13:40	--------	d-----w-	c:\documents and settings\Groslier\Application Data\LEGO Company
2010-05-08 18:15 . 2007-07-22 12:06	--------	d-----w-	c:\program files\LEGO Company
2010-04-06 15:29 . 2010-04-06 15:29	77132	---ha-w-	c:\windows\system32\mlfcache.dat
2010-03-10 06:16 . 2004-08-04 00:54	420352	----a-w-	c:\windows\system32\vbscript.dll
2010-02-25 06:17 . 2004-08-04 00:54	916480	----a-w-	c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2004-08-03 23:15	455680	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2007-02-11 13:40 . 2007-02-11 13:40	17929072	----a-w-	c:\program files\Install_Messenger.exe
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2005-05-19 1957888]
"NCLaunch"="c:\windows\NCLAUNCH.EXe" [2006-12-31 40960]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-02-21 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"CmCardRun"="c:\windows\system32\CmWatch.exe" [2003-09-16 229376]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-02-22 339968]
"EPSON Stylus Photo RX520 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIAGE.EXE" [2005-04-07 98304]
"SoundMan"="SOUNDMAN.EXE" [2006-06-21 577536]
"SsAAD.exe"="c:\progra~1\Sony\SONICS~1\SsAAD.exe" [2006-01-07 81920]
"LifeCam"="c:\program files\Microsoft LifeCam\LifeExp.exe" [2007-05-17 279912]
"VX1000"="c:\windows\vVX1000.exe" [2007-04-10 709992]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-11-10 417792]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-11-12 141600]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2010-01-17 149280]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Groslier\Menu D'marrer\Programmes\D'marrage\
OpenOffice.org 2.4.lnk - c:\program files\OpenOffice.org 2.4\program\quickstart.exe [2008-1-21 393216]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
KODAK Software Updater.lnk - c:\program files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe [2004-2-13 16423]
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Readereader_sl.exe [2004-12-14 29696]
Logiciel Kodak EasyShare.lnk - c:\program files\Kodak\Kodak EasyShare software\bin\EasyShare.exe [2006-6-2 180224]
Utilitaire r'seau pour SAGEM Wi-Fi 11g USB adapter.lnk - c:\program files\SAGEM WiFi manager\WLANUTL.exe [2006-4-10 925696]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe"=
"c:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Ubisoft\Gearbox Software\BrothersInArms\System\bia.exe"=
"c:\Program Files\Microsoft LifeCam\LifeCam.exe"=
"c:\Program Files\Microsoft LifeCam\LifeExp.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\iTunes\iTunes.exe"=

R3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;c:\windows\system32\drivers\WlanBZXP.sys [10/04/2006 13:00 402432]
R3 UMSSSTOR;C-Media Storage;c:\windows\system32\drivers\Umss.SYS [01/11/2005 14:54 48512]
S0 glqibr;glqibr;c:\windows\system32\driverslxnsc.sys --> c:\windows\system32\driverslxnsc.sys [?]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
TCP: {86C4E4DB-D7AD-479C-BE7B-9E3DC9CFB86A} = 192.168.1.1
DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game12.zylom.com/activex/zylomgamesplayer.cab
.
- - - - ORPHELINS SUPPRIMES - - - -

HKU-Default-Run-MsnMsgr - c:\program files\MSN Messenger\MsnMsgr.Exe
AddRemove-FairUse Wizard 2 - d:\gaetan\Autres\Logiciels\un_FU-Setup_14333.exe
AddRemove-{55718B4B90B54F7EADC5621C750A14E6} - d:\gaetan\DivX\DivX Author 1.5\DivXAuthorUninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-25 10:51
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(444)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(1620)
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\eappprxy.dll
.
Heure de fin: 2010-05-25  10:55:21
ComboFix-quarantined-files.txt  2010-05-25 08:55

Avant-CF: 39 340 130 304 octets libres
Après-CF: 39 330 000 896 octets libres

- - End Of File - - 0B231ED7C08E86069116FFA403D80B91

fix200 · Answer

Il y a un driver qui m'inquiète ...

/!\ ATTENTION /!\  : Cette procédure a été crée spécialement pour CET UTILISATEUR, toute copie sur sur un autre système peut entrainer des dysfonctionnements graves.

&#x25B6; Copie le texte ci-dessous :

Driver::
glqibr

File::
c:\windows\system32\drivers\rlxnsc.sys


&#x25B6; Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)

&#x25B6; Sauvegarde ce fichier sous le nom de CFScript.txt

&#x25B6; /!\ Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours. /!\ 
&#x25B6; (!) Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares et de TOUT tes logiciels de protection (!). 


&#x25B6; Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ceci

-> Cela va relancer Combofix,

&#x25B6; Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

&#x25B6; Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

/!\ Ne touche à rien tant que le scan n'est pas terminé /!\

&#x25B6; Après redémarrage, poste le contenu du rapport Combofix.txt

==============

/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\

&#x25B6; Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer.

&#x25B6; Lance Gmer.

&#x25B6; Clique sur l'onglet " Rootkit ",lance le scan. des lignes rouges peuvent apparaitre.


* Les lignes rouges indiquent la présence d'un rootkit. Poste moi le rapport gmer :

&#x25B6; Clique sur copy.

&#x25B6; Ouvre le bloc note > Edition > Coller.

&#x25B6; Poste le rapport .

darkgg87 · Answer

Rapport ComboFix : (par contre, il ne m'a pas proposé d'apputer sur 1 ou 2 au début, il a tout de suite lancé le scan.)

ComboFix 10-05-24.03 - Groslier 25/05/2010  11:14:50.3.1 - x86 NETWORK
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.510.267 [GMT 2:00]
Lancé depuis: c:\documents and settings\Groslier\Bureau\darkgg87.exe
Commutateurs utilisés :: c:\documents and settings\Groslier\Bureau\CFScript.txt

FILE ::
"c:\windows\system32\driverslxnsc.sys"
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_glqibr


(((((((((((((((((((((((((((((   Fichiers créés du 2010-04-25 au 2010-05-25  ))))))))))))))))))))))))))))))))))))
.

2010-05-24 14:23 . 2010-05-25 07:41	--------	d-----w-	c:\documents and settings\All Users\Application Data\Alwil Software
2010-05-23 12:17 . 2010-05-23 12:17	--------	d-----w-	c:\documents and settings\Groslier\Application Data\Yahoo!
2010-05-23 12:17 . 2010-05-23 12:17	--------	d-----w-	c:\documents and settings\All Users\Application Data\Yahoo! Companion
2010-05-23 12:17 . 2010-05-23 12:17	--------	d-----w-	c:\program files\Yahoo!
2010-05-23 12:17 . 2010-05-23 12:17	--------	d-----w-	c:\program files\CCleaner
2010-05-21 13:50 . 2010-05-21 14:27	--------	d-----w-	c:\windows\BDOSCAN8
2010-05-20 15:00 . 2010-05-20 15:00	--------	d-----w-	c:\documents and settings\Groslier\Application Data\Malwarebytes
2010-05-20 15:00 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-05-20 15:00 . 2010-05-20 15:00	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-05-20 15:00 . 2010-05-20 15:00	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2010-05-20 15:00 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-05-20 13:23 . 2010-05-20 13:23	664	----a-w-	c:\windows\system32\d3d9caps.dat
2010-05-20 10:18 . 2010-05-20 10:18	--------	d-sh--w-	c:\windows\system32\config\systemprofile\PrivacIE
2010-05-20 10:17 . 2010-05-20 10:17	--------	d-sh--w-	c:\windows\system32\config\systemprofile\IECompatCache
2010-05-20 10:17 . 2008-04-13 18:40	34688	-c--a-w-	c:\windows\system32\dllcache\lbrtfdc.sys
2010-05-20 10:17 . 2008-04-13 18:40	34688	----a-w-	c:\windows\system32\drivers\lbrtfdc.sys
2010-05-20 10:17 . 2008-04-13 18:41	8576	-c--a-w-	c:\windows\system32\dllcache\i2omgmt.sys
2010-05-20 10:17 . 2008-04-13 18:41	8576	----a-w-	c:\windows\system32\drivers\i2omgmt.sys
2010-05-20 10:16 . 2008-04-13 18:40	8192	-c--a-w-	c:\windows\system32\dllcache\changer.sys
2010-05-20 10:16 . 2008-04-13 18:40	8192	----a-w-	c:\windows\system32\drivers\changer.sys
2010-05-20 10:14 . 2010-05-20 10:14	--------	d-sh--w-	c:\windows\system32\config\systemprofile\IETldCache
2010-05-08 18:15 . 2010-05-08 18:15	55287536	----a-w-	c:\documents and settings\Groslier\Application Data\LEGO Company\LEGO Digital Designer\setupLDD-PC-3_1_3.exe

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-25 07:44 . 2008-09-21 14:10	--------	d-----w-	c:\documents and settings\Groslier\Application Data\OpenOffice.org2
2010-05-25 07:09 . 2001-08-28 14:00	83002	----a-w-	c:\windows\system32\perfc00C.dat
2010-05-25 07:09 . 2001-08-28 14:00	506894	----a-w-	c:\windows\system32\perfh00C.dat
2010-05-24 14:23 . 2005-11-01 12:47	--------	d-----w-	c:\program files\Alwil Software
2010-05-20 10:22 . 2010-05-20 10:22	0	----a-w-	c:\documents and settings\Groslier
tuser.tmp
2010-05-16 11:48 . 2008-11-30 17:35	1	----a-w-	c:\documents and settings\Groslier\Application Data\OpenOffice.org2\user\uno_packages\cache\stamp.sys
2010-05-09 11:17 . 2007-06-29 13:40	--------	d-----w-	c:\documents and settings\Groslier\Application Data\LEGO Company
2010-05-08 18:15 . 2007-07-22 12:06	--------	d-----w-	c:\program files\LEGO Company
2010-04-06 15:29 . 2010-04-06 15:29	77132	---ha-w-	c:\windows\system32\mlfcache.dat
2010-03-10 06:16 . 2004-08-04 00:54	420352	----a-w-	c:\windows\system32\vbscript.dll
2010-02-25 06:17 . 2004-08-04 00:54	916480	----a-w-	c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2004-08-03 23:15	455680	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2007-02-11 13:40 . 2007-02-11 13:40	17929072	----a-w-	c:\program files\Install_Messenger.exe
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2005-05-19 1957888]
"NCLaunch"="c:\windows\NCLAUNCH.EXe" [2006-12-31 40960]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-02-21 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"CmCardRun"="c:\windows\system32\CmWatch.exe" [2003-09-16 229376]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-02-22 339968]
"EPSON Stylus Photo RX520 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIAGE.EXE" [2005-04-07 98304]
"SoundMan"="SOUNDMAN.EXE" [2006-06-21 577536]
"SsAAD.exe"="c:\progra~1\Sony\SONICS~1\SsAAD.exe" [2006-01-07 81920]
"LifeCam"="c:\program files\Microsoft LifeCam\LifeExp.exe" [2007-05-17 279912]
"VX1000"="c:\windows\vVX1000.exe" [2007-04-10 709992]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-11-10 417792]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-11-12 141600]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2010-01-17 149280]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Groslier\Menu D'marrer\Programmes\D'marrage\
OpenOffice.org 2.4.lnk - c:\program files\OpenOffice.org 2.4\program\quickstart.exe [2008-1-21 393216]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
KODAK Software Updater.lnk - c:\program files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe [2004-2-13 16423]
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Readereader_sl.exe [2004-12-14 29696]
Logiciel Kodak EasyShare.lnk - c:\program files\Kodak\Kodak EasyShare software\bin\EasyShare.exe [2006-6-2 180224]
Utilitaire r'seau pour SAGEM Wi-Fi 11g USB adapter.lnk - c:\program files\SAGEM WiFi manager\WLANUTL.exe [2006-4-10 925696]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe"=
"c:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Ubisoft\Gearbox Software\BrothersInArms\System\bia.exe"=
"c:\Program Files\Microsoft LifeCam\LifeCam.exe"=
"c:\Program Files\Microsoft LifeCam\LifeExp.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\iTunes\iTunes.exe"=

R3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;c:\windows\system32\drivers\WlanBZXP.sys [10/04/2006 13:00 402432]
R3 UMSSSTOR;C-Media Storage;c:\windows\system32\drivers\Umss.SYS [01/11/2005 14:54 48512]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
TCP: {86C4E4DB-D7AD-479C-BE7B-9E3DC9CFB86A} = 192.168.1.1
DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game12.zylom.com/activex/zylomgamesplayer.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-25 11:20
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(444)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(1684)
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\eappprxy.dll
.
Heure de fin: 2010-05-25  11:24:53 - La machine a redémarré
ComboFix-quarantined-files.txt  2010-05-25 09:24
ComboFix2.txt  2010-05-25 08:55

Avant-CF: 39 341 363 200 octets libres
Après-CF: 39 206 428 672 octets libres

- - End Of File - - C2DF241F0CE92FC082F4C5E874BEDAE1

darkgg87 · Answer

Pour Gmer, est-ce que D:\ doit aussi être concerné par le scan ? Je demande ça parce que seule la case de C:\ est cochée.

darkgg87 · Answer

Ah, l'ordi a coupé pendant que Gmer travaillait...

darkgg87 · Answer

Au fait, je voulais juste te dire que si on n'a pas de résultats vraiment concluant ce soir, je vais probablement appeler un informaticien-dépanneur demain pour qu'il voit ce qu'il peut faire.
Ne le prends pas mal mais ça devient vraiment urgent que ce pc retrouve un fonctionnement normal. En tout cas, je te remercie vraiment de t'être investi comme tu l'as fait dans la résolution de ce problème. Même si on n'arrive pas à quelque chose de plus convainquant ce soir, tu auras sûrement fait de ton mieux, je n'en doute pas.
Mais en attendant, ton aide est toujours la bienvenue.

fix200 · Answer

Non stp, on continue ensuite en verra.

Mets à jours MBAM, un scan rapide et colle le rapport.

==============

Télécharge load_tdsskiller de Loup Blanc sur ton Bureau en cliquant sur ce lien 

- Lance load_tdsskiller en double-cliquant dessus : l'outil va se connecter au Net pour télécharger une copie à jour de TDSSKiller, puis va lancer le scan

- A la fin du scan, appuie sur une touche pour continuer, comme l'indique le message dans la fenêtre noire d'invite de commande

- Le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (le fichier est également présent ici : C:	dsskillereport.txt)

- Fais redémarrer ton PC

===============


* Télécharge et installe List&Kill'em de gen-hackman et enregistre le sur ton bureau
http://sd-1.archive-host.com/...

- double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation
- coche la case "creer une icone sur le bureau"
- une fois terminée , clic sur "terminer" et le programme se lancer seul
- choisis la langue puis choisis l'option SEARCH
- laisse travailler l'outil
- à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.
- un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , mais ne le supprime pas pour l instant, le scan n'est pas fini.
- Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"
- réactive ton antivirus

darkgg87 · Answer

Je suis en train de faire le scan avec MBAM.
Par contre, un message s'affiche à l'écran, me disant que ma version de Windows ne peut pas être validée. Pourtant je suis sûr à 100% qu'elle est légale. J'avais d'ailleurs déjà eu un problème de ce genre qui avait pu être réglé. Je ne comprends vraiment plus rien...

darkgg87 · Answer

Rapport MBAM : 


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4141

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

25/05/2010 13:50:55
mbam-log-2010-05-25 (13-50-55).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 119897
Temps écoulé: 4 minute(s), 50 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0 
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

darkgg87 · Answer

Le rapport de TDSSKiller est vide. Il n'y a absolument rien d'écrit.

fix200 · Answer

Re;

Laisse tomber et passe à List&kill'em stp.

darkgg87 · Answer

List&kill'em est en cours.

darkgg87 · Answer

Ma connexion internet marche pas trop bien. Je t'envoie le rapport de List&Kill'em via cijoint.fr.

Le lien : http://www.cijoint.fr/cjlink.php?file=cj201005/cij7eNos0o.txt

fix200 · Answer

- Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.

- Mais cette fois-ci: choisis l'option CLEAN

--> Ton PC va redemarrer,
--> Laisse travailler l'outil.

- En fin de scan la fenêtre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

- Colle le contenu dans ta réponse

===========

Télécharge ZHPFix
Installe-le

&#x25B6; Lance ZHPFix depuis le raccourci qui est sur ton bureau .
(Sous Vista/7: clic droit puis "exécuter en tant qu'administrateur")

&#x25B6; Une fois l'outil ouvert , clique sur le bouton [ H ] ( "coller les ligne Helper" ) .

&#x25B6; Ouvre ce lien puis copie colle tout le texte qui se trouve dedans et colle le dans l'encadré principal: 

MBRFix

&#x25B6; Clique sur le bouton [ OK ] .

> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !


&#x25B6; Clique sur le bouton [ Tous ] . Vérifie que toutes les lignes soient bien cochées .

&#x25B6; Enfin clique sur le bouton [ Nettoyer ] .

&#8658; ! Laisse travailler l'outil et ne touche à rien !

&#8658; Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

&#x25B6; Une fois terminé, un rapport s'affiche : copie-colle tout son contenu dans ta prochaine réponse.

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPFix\ZHPFixReport.txt )

==============

Télécharge ZHPDiag (de Nicolas Coolman) et enregistre le sur ton Bureau.

&#x25B6; Double clique sur ZHPDiag.exe pour lancer l'installation et suis les instructions , n'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

&#x25B6; Double clique sur le raccourci ZHPDiag sur ton Bureau. (l'outil a créé 2 icônes ZHPDiag et ZHPFix) 
(Sous Vista/7: clic droit puis "exécuter en tant qu'administrateur")

&#x25B6; Clique sur la loupe pour lancer l'analyse.

&#8658; Laisse l'outil travailler, il peut être assez long ...

&#x25B6; Une fois terminé , le rapport s'affiche : clique sur bouton "Disquette" pour sauvegarder le rapport obtenu .

&#x25B6; Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

&#x25B6; Pour le transmettre ouvre ce lien

* Clique sur Parcourir et cherche le fichier ci-dessus.

* Clique sur Ouvrir.

* Clique sur "Cliquez ici pour déposer le fichier".

* Un lien de cette forme est ajouté dans la page :

hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

&#x25B6; Copie ce lien dans ta réponse.

darkgg87 · Answer

Le PC a bien redémarré après que j'ai relancé List_Kill'em mais il ne se passe rien.

fix200 · Answer

C'est vraiment louche se qui se passe sur ton PC. 
Passe à ZHPFIX et ZHPDiag stp

@+

darkgg87 · Answer

Pour ZHPFix, tu me dis d'ouvrir un lien mais tu ne l'as pas mis.

fix200 · Answer

Bah si je l'ai mit ;)

https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
--

darkgg87 · Answer

Oui, celui là est là. Mais après tu écrit : 

"? Ouvre ce lien puis copie colle tout le texte qui se trouve dedans et colle le dans l'encadré principal: 

MBRFix 

? Clique sur le bouton [ OK ] ." 

Et là, je n'ai pas de lien à ouvrir.
Et dis moi, est-ce que tu comprends ce qu'il se passe et est-ce que tu penses savoir comment résoudre le problème ? (réponds moi sincèrement.)

fix200 · Answer

Re,

C'est vrai j'ai l'habitude d'uploader les scripts, mais là j'ai pas uploadé le script et j'ai oublié d'enlever cette partie, copie colle donc la ligne MBRFix

darkgg87 · Answer

Rapport ZHPFix :

ZHPFix v1.12.3102 by Nicolas Coolman-Rapport de suppression du 25/05/2010 16:21:10
Fichier d'export Registre : 
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Préférences navigateur :
(Néant)

Dossier :
(Néant)

Fichier :
(Néant)

Logiciel :
(Néant)

Script Registre :
(Néant)

Master Boot Record :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS
kernel: MBR read successfully
user & kernel MBR OK

Autre : 
(Néant)

Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 0
Fichier : 0
Logiciel : 0
Master Boot Record : 9
Préférences navigateur : 0
Autre : 0

End of the scan

darkgg87 · Answer

Lien vers le rapport ZHPDiag : 

http://www.cijoint.fr/cjlink.php?file=201005/cij5qGosqV.txt

fix200 · Answer

Je ne peut pas acceder au fichier...  

Re-héberge-le stp

PS: tu as le CD de windows ?

darkgg87 · Answer

Lien :  

http://www.cijoint.fr/cjlink.php?file=cj201005/cij5qGoqsV.txt 

Je regarde si je trouve le CD Windows.

darkgg87 · Answer

J'ai retrouvé le CD. Le hic c'est que c'est un CD pour Windows XP Edition familiale-Service Pack 2. Or, j'utilise XP Pro Service Pack 3...

fix200 · Answer

Copie colle le contenu de ce fichier:
C:\TDSSKiller.2.3.1.0_25.05.2010_14.16.33_log.txt

Si il est vide alors celui là: C:\TDSSKiller.2.3.1.0_25.05.2010_14.17.19_log.txt

darkgg87 · Answer

Contenu de C:/TDSSKiller.2.3.1.0_25.05.2010_14.16.33_log.txt : 

14:16:33:187 0872	TDSS rootkit removing tool 2.3.1.0 May 25 2010 12:52:14
14:16:33:187 0872	================================================================================
14:16:33:187 0872	SystemInfo:

14:16:33:187 0872	OS Version: 5.1.2600 ServicePack: 3.0
14:16:33:187 0872	Product type: Workstation
14:16:33:187 0872	ComputerName: PCPERSO
14:16:33:187 0872	UserName: Groslier
14:16:33:187 0872	Windows directory: C:\WINDOWS
14:16:33:187 0872	Processor architecture: Intel x86
14:16:33:187 0872	Number of processors: 1
14:16:33:187 0872	Page size: 0x1000
14:16:33:187 0872	Boot type: Safe boot with network
14:16:33:187 0872	================================================================================
14:16:33:640 0872	Initialize success
14:16:33:640 0872	
14:16:33:640 0872	Scanning	Services ...
14:16:34:468 0872	Raw services enum returned 307 services
14:16:34:484 0872	
14:16:34:484 0872	Scanning	Drivers ...
14:16:35:500 0872	ACPI            (e5e6dbfc41ea8aad005cb9a57a96b43b) C:\WINDOWS\system32\DRIVERS\ACPI.sys
14:16:35:562 0872	ACPIEC          (e4abc1212b70bb03d35e60681c447210) C:\WINDOWS\system32\drivers\ACPIEC.sys
14:16:35:671 0872	AFD             (7e775010ef291da96ad17ca4b17137d7) C:\WINDOWS\System32\drivers\afd.sys
14:16:35:953 0872	ALCXWDM         (fcb505a7fa9dd4b8b98064792fd038a4) C:\WINDOWS\system32\drivers\ALCXWDM.SYS
14:16:36:187 0872	Arp1394         (b5b8a80875c1dededa8b02765642c32f) C:\WINDOWS\system32\DRIVERS\arp1394.sys
14:16:36:359 0872	AsyncMac        (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
14:16:36:453 0872	atapi           (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
14:16:36:578 0872	ati2mtag        (56c198ec46b4ad3153aa748c89178e86) C:\WINDOWS\system32\DRIVERS\ati2mtag.sys
14:16:36:687 0872	audstub         (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
14:16:36:734 0872	Beep            (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
14:16:36:796 0872	cbidf2k         (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
14:16:36:890 0872	Cdfs            (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
14:16:36:968 0872	Cdrom           (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
14:16:37:171 0872	Disk            (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
14:16:37:265 0872	dmboot          (f5deadd42335fb33edca74ecb2f36cba) C:\WINDOWS\system32\drivers\dmboot.sys
14:16:37:375 0872	dmio            (5a7c47c9b3f9fb92a66410a7509f0c71) C:\WINDOWS\system32\drivers\dmio.sys
14:16:37:437 0872	dmload          (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
14:16:37:500 0872	DMusic          (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
14:16:37:578 0872	Fastfat         (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
14:16:37:656 0872	Fdc             (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys
14:16:37:687 0872	Fips            (31f923eb2170fc172c81abda0045d18c) C:\WINDOWS\system32\drivers\Fips.sys
14:16:37:765 0872	FltMgr          (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
14:16:37:843 0872	fssfltr         (c6ee3a87fe609d3e1db9dbd072a248de) C:\WINDOWS\system32\DRIVERS\fssfltr_tdi.sys
14:16:37:906 0872	Fs_Rec          (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
14:16:37:984 0872	Ftdisk          (a86859b77b908c18c2657f284aa29fe3) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
14:16:38:046 0872	GEARAspiWDM     (8182ff89c65e4d38b2de4bb0fb18564e) C:\WINDOWS\system32\DRIVERS\GEARAspiWDM.sys
14:16:38:156 0872	Gpc             (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
14:16:38:234 0872	HidUsb          (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
14:16:38:328 0872	HTTP            (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
14:16:38:453 0872	i8042prt        (a09bdc4ed10e3b2e0ec27bb94af32516) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
14:16:38:500 0872	imagedrv        (0a7c49b48c772591a2d362daa00246c8) C:\WINDOWS\system32\Drivers\imagedrv.sys
14:16:38:593 0872	imagesrv        (549ba4f539e7b8d8129500b96dd7b27a) C:\WINDOWS\system32\DRIVERS\imagesrv.sys
14:16:38:656 0872	Imapi           (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
14:16:38:796 0872	IpNat           (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
14:16:38:859 0872	IPSec           (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
14:16:38:937 0872	isapnp          (355836975a67b6554bca60328cd6cb74) C:\WINDOWS\system32\DRIVERS\isapnp.sys
14:16:39:031 0872	Kbdclass        (16813155807c6881f4bfbf6657424659) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
14:16:39:093 0872	kbdhid          (94c59cb884ba010c063687c3a50dce8e) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
14:16:39:156 0872	klmd23          (0b06b0a25e08df0d536402bce3bde61e) C:\WINDOWS\system32\drivers\klmd.sys
14:16:39:250 0872	kmixer          (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
14:16:39:343 0872	KSecDD          (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
14:16:39:421 0872	mnmdd           (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
14:16:39:500 0872	Mouclass        (027c01bd7ef3349aaebc883d8a799efb) C:\WINDOWS\system32\DRIVERS\mouclass.sys
14:16:39:531 0872	MountMgr        (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
14:16:39:609 0872	MRxDAV          (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
14:16:39:734 0872	MRxSmb          (f3aefb11abc521122b67095044169e98) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
14:16:39:828 0872	Msfs            (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
14:16:39:890 0872	mssmbios        (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
14:16:39:953 0872	Mup             (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
14:16:40:000 0872	NDIS            (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
14:16:40:046 0872	NdisTapi        (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS
distapi.sys
14:16:40:078 0872	Ndisuio         (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS
disuio.sys
14:16:40:125 0872	NdisWan         (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS
diswan.sys
14:16:40:187 0872	NDProxy         (6215023940cfd3702b46abc304e1d45a) C:\WINDOWS\system32\drivers\NDProxy.sys
14:16:40:250 0872	NetBIOS         (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS
etbios.sys
14:16:40:343 0872	NetBT           (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS
etbt.sys
14:16:40:406 0872	NIC1394         (e9e47cfb2d461fa0fc75b7a74c6383ea) C:\WINDOWS\system32\DRIVERS
ic1394.sys
14:16:40:500 0872	Npfs            (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
14:16:40:562 0872	Ntfs            (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
14:16:40:640 0872	Null            (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
14:16:40:718 0872	ohci1394        (ca33832df41afb202ee7aeb05145922f) C:\WINDOWS\system32\DRIVERS\ohci1394.sys
14:16:40:781 0872	Parport         (8fd0bdbea875d06ccf6c945ca9abaf75) C:\WINDOWS\system32\DRIVERS\parport.sys
14:16:40:828 0872	PartMgr         (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
14:16:40:875 0872	ParVdm          (9575c5630db8fb804649a6959737154c) C:\WINDOWS\system32\drivers\ParVdm.sys
14:16:40:968 0872	PCI             (043410877bda580c528f45165f7125bc) C:\WINDOWS\system32\DRIVERS\pci.sys
14:16:41:046 0872	PCIIde          (f4bfde7209c14a07aaa61e4d6ae69eac) C:\WINDOWS\system32\DRIVERS\pciide.sys
14:16:41:093 0872	Pcmcia          (f0406cbc60bdb0394a0e17ffb04cdd3d) C:\WINDOWS\system32\drivers\Pcmcia.sys
14:16:41:218 0872	pfc             (6c1618a07b49e3873582b6449e744088) C:\WINDOWS\system32\drivers\pfc.sys
14:16:41:296 0872	PptpMiniport    (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERSaspptp.sys
14:16:41:343 0872	Processor       (e19c9632ac828f6f214391e2bdda11cb) C:\WINDOWS\system32\DRIVERS\processr.sys
14:16:41:375 0872	Ptilink         (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
14:16:41:421 0872	PxHelp20        (d86b4a68565e444d76457f14172c875a) C:\WINDOWS\system32\Drivers\PxHelp20.sys
14:16:41:609 0872	RasAcd          (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERSasacd.sys
14:16:41:671 0872	Rasl2tp         (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERSasl2tp.sys
14:16:41:718 0872	RasPppoe        (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERSaspppoe.sys
14:16:41:765 0872	Raspti          (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERSaspti.sys
14:16:41:859 0872	Rdbss           (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERSdbss.sys
14:16:41:937 0872	RDPCDD          (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
14:16:42:015 0872	rdpdr           (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERSdpdr.sys
14:16:42:093 0872	redbook         (d8eb2a7904db6c916eb5361878ddcbae) C:\WINDOWS\system32\DRIVERSedbook.sys
14:16:42:156 0872	rtl8139         (d507c1400284176573224903819ffda3) C:\WINDOWS\system32\DRIVERS\RTL8139.SYS
14:16:42:250 0872	Secdrv          (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
14:16:42:296 0872	serenum         (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
14:16:42:359 0872	Serial          (93d313c31f7ad9ea2b75f26075413c7c) C:\WINDOWS\system32\DRIVERS\serial.sys
14:16:42:437 0872	SG762_XP        (478b4415dfb3a45b6fe61ec781e07d7b) C:\WINDOWS\system32\DRIVERS\WlanBZXP.sys
14:16:42:609 0872	sr              (39626e6dc1fb39434ec40c42722b660a) C:\WINDOWS\system32\DRIVERS\sr.sys
14:16:42:671 0872	Srv             (89220b427890aa1dffd1a02648ae51c3) C:\WINDOWS\system32\DRIVERS\srv.sys
14:16:42:765 0872	swenum          (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
14:16:42:968 0872	sysaudio        (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
14:16:43:062 0872	Tcpip           (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS	cpip.sys
14:16:43:187 0872	TermDD          (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS	ermdd.sys
14:16:43:343 0872	Udfs            (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
14:16:43:468 0872	UMSSSTOR        (d3c985fa303bc571ce36fbd93b5355b5) C:\WINDOWS\system32\DRIVERS\UMSS.SYS
14:16:43:531 0872	Update          (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
14:16:43:593 0872	usbaudio        (e919708db44ed8543a7c017953148330) C:\WINDOWS\system32\drivers\usbaudio.sys
14:16:43:656 0872	usbccgp         (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
14:16:43:718 0872	usbehci         (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
14:16:43:765 0872	usbhub          (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
14:16:43:812 0872	usbohci         (0daecce65366ea32b162f85f07c6753b) C:\WINDOWS\system32\DRIVERS\usbohci.sys
14:16:43:890 0872	VgaSave         (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
14:16:43:968 0872	VolSnap         (46de1126684369bace4849e4fc8c43ca) C:\WINDOWS\system32\drivers\VolSnap.sys
14:16:44:078 0872	VX1000          (f4fab0b9d43a65f79fc838c94006f643) C:\WINDOWS\system32\DRIVERS\VX1000.sys
14:16:44:187 0872	Wanarp          (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
14:16:44:343 0872	wdmaud          (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
14:16:44:406 0872	WS2IFSL         (6abe6e225adb5a751622a9cc3bc19ce8) C:\WINDOWS\System32\drivers\ws2ifsl.sys
14:16:44:468 0872	WSTCODEC        (c98b39829c2bbd34e454150633c62c78) C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS
14:16:44:593 0872	ZDPSp50         (00ae175b903d45ed4a62384d3315dc2a) C:\WINDOWS\system32\Drivers\ZDPSp50.sys
14:16:44:593 0872	
14:16:44:593 0872	Completed
14:16:44:593 0872	
14:16:44:593 0872	Results:
14:16:44:593 0872	Registry objects infected / cured / cured on reboot:	0 / 0 / 0
14:16:44:609 0872	File objects infected / cured / cured on reboot:	0 / 0 / 0
14:16:44:609 0872	
14:16:44:640 0872	KLMD(ARK) unloaded successfully

fix200 · Answer

Re,

Désolé, je te répondrai demain.

Bonne nuit ;)

@+

darkgg87 · Answer

Salut.

Ce matin, j'ai allumé le PC normalement (sans MSE) et apparemment, il fonctionne correctement. Les dossiers ne déconnent plus, Internet non plus. Il y a juste le fond d'écran qui, alors qu'il était apparu normalement, est devenu noir un peu plus tard.

fix200 · Answer

Salut,

Très bien, belle surprise pour le matin :)

Pour voir les nouvelles, refais moi un dernier ZHPDiag stp.

darkgg87 · Answer

Rapport ZHPDiag :

 http://www.cijoint.fr/cjlink.php?file=cj201005/cijEl1Hgwu.txt

fix200 · Answer

Re,

&#x25B6; Lance ZHPFix depuis le raccourci qui est sur ton bureau .
(Sous Vista/7: clic droit puis "exécuter en tant qu'administrateur")

&#x25B6; Une fois l'outil ouvert , clique sur le bouton [ H ] ( "coller les ligne Helper" ) .

&#x25B6; Copie colle tout ce texteet colle le dans l'encadré principal: 

[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified


&#x25B6; Clique sur le bouton [ OK ] .

> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !


&#x25B6; Clique sur le bouton [ Tous ] . Vérifie que toutes les lignes soient bien cochées .

&#x25B6; Enfin clique sur le bouton [ Nettoyer ] .

&#8658; ! Laisse travailler l'outil et ne touche à rien !

&#8658; Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

&#x25B6; Une fois terminé, un rapport s'affiche : copie-colle tout son contenu dans ta prochaine réponse.

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPFix\ZHPFixReport.txt )

===============

Reprends les instructions de ce poste:
https://forums.commentcamarche.net/forum/affich-17792147-worm-win32-skynet?page=3#47

Et supprime ToolsCleaner2 une fois utilisé.

@+

darkgg87 · Answer

Rapport ZHPFix :


ZHPFix v1.12.3101  by Nicolas Coolman - Rapport de suppression du 26/05/2010 15:24:21
Fichier d'export Registre : C:\ZHPExportRegistry-26-05-2010-15-24-21.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

Contact : nicolascoolman@yahoo.fr

Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
(Néant)

Elément de données du Registre :
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified  => Donnée supprimée avec succès

Préférences navigateur :
(Néant)

Dossier :
(Néant)

Fichier :
(Néant)

Logiciel :
(Néant)

Script Registre :
(Néant)

Master Boot Record :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 1
Dossier : 0
Fichier : 0
Logiciel : 0
Master Boot Record : 0
Préférences navigateur : 0
Autre : 0


End of the scan

darkgg87 · Answer

Rapport TCleaner :


[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Combofix.txt: trouvé !
C:\Qoobox: trouvé !
C:\Program Files\ZHPDiag: trouvé !
C:\Program Files\ZHPFix: trouvé !
C:\Program Files\List_Kill'em\catchme.exe: trouvé !
C:\Program Files\List_Kill'em\mbr.exe: trouvé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: trouvé !
C:\Program Files\ZHPDiag\catchme.exe: trouvé !
C:\Program Files\ZHPDiag\mbr.log: trouvé !
C:\Program Files\ZHPDiag\mbr.exe: trouvé !
C:\Program Files\ZHPFix\catchme.exe: trouvé !
C:\Program Files\ZHPFix\mbr.log: trouvé !
C:\Program Files\ZHPFix\mbr.exe: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\WINDOWS\mbr.exe: trouvé !

---------------------------------
--> Suppression: 

C:\Program Files\List_Kill'em\catchme.exe: supprimé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: supprimé !
C:\Program Files\ZHPDiag\catchme.exe: supprimé !
C:\Program Files\ZHPFix\catchme.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\Program Files\List_Kill'em\mbr.exe: supprimé !
C:\Program Files\ZHPDiag\mbr.log: supprimé !
C:\Program Files\ZHPDiag\mbr.exe: supprimé !
C:\Program Files\ZHPFix\mbr.log: supprimé !
C:\Program Files\ZHPFix\mbr.exe: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\WINDOWS\mbr.exe: supprimé !
C:\Qoobox: supprimé !
C:\Program Files\ZHPDiag: supprimé !
C:\Program Files\ZHPFix: supprimé !

fix200 · Answer

Vu,

La suite =)

darkgg87 · Answer

Je pense que ça devrait arriver mais je crois que mon PC ne veut plus démarrer correctement en mode "normal". Je tente de le redémarrer. Au pire, retour au MSE.

fix200 · Answer

Re,

Message d'erreur ? freeze ? ....?

darkgg87 · Answer

Oui, c'est bien ce que je disais. Il me refait le coup où la barre Démarrer ne fonctionne pas correctement et où les dossiers déconnent quand je cherche à les ouvrir.

darkgg87 · Answer

Sinon, j'en suis à l'étape où je dois créer un point de restauration du système, en m'appuyant sur le tutoriel de vulgarisation-informatique.com.
J'arrive à ouvrir l'outil de restauration du système, mais il ne me propose qu'une seul option : "Restaurer mon ordinateur à une date antérieure".

fix200 · Answer

Télécharge OTL sur ton Bureau.

&#x25B6; Ferme toutes tes fenêtres actives.

&#x25B6; Double clique sur l'icône pour le lancer.

&#x25B6; Copie colle ces instructions dans "Custom Scan" :

netsvcs
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
vstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles


&#x25B6; Clique sur le bouton "Quick Scan".

&#x25B6; Ne change pas les réglages par défaut, sauf si l'outil te le demande.

&#x25B6; Le scan devrait être rapide.

&#x25B6; A la fin du scan, le Bloc-Notes va s'ouvrir avec deux rapports : ( OTL.txt & Extras.txt ).

&#x25B6; Ces fichiers sont sur ton Bureau. 

&#8658; &#8658; &#8658; !!!!! NE POSTE PAS LES RAPPORTS SUR LE FORUM !!!!!  

&#x25B6; Pour les transmettre ouvre ce lien

* Clique sur Parcourir et cherche le fichier ci-dessus.

* Clique sur Ouvrir.

* Clique sur "Cliquez ici pour déposer le fichier".

* Un lien de cette forme est ajouté dans la page :

hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

&#x25B6; Copie ce lien dans ta réponse.

darkgg87 · Answer

Lien vers OTL :

http://www.cijoint.fr/cjlink.php?file=cj201005/cijGb07F4H.txt

Lien vers Extras :

http://www.cijoint.fr/cjlink.php?file=cj201005/cijOb4KrvH.txt

fix200 · Answer

Re,

&#x25B6; Double clic sur OTL.exe pour le lancer.

&#x25B6; Copie la liste qui se trouve en gras ci-dessous, et colle-la dans la zone sous " Customs Scans/Fixes "

:files
C:\WINDOWS\_delis43.ini
C:\Kill'em
C:\Program Files\List_Kill'em
C:\Documents and Settings\Groslier\Bureau\List_Killem_Install.exe
C:	dsskiller
C:\Documents and Settings\Groslier\Bureau\ZHPFix_1.12.30.exe
C:\Documents and Settings\Groslier\Bureau\List_Kill'em.lnk
C:\Documents and Settings\Groslier\Bureau\List_Killem_Install.exe
C:\Documents and Settings\Groslier\Bureau\Load_tdsskiller.exe
C:\Documents and Settings\Groslier\Bureau\3lu2olt9.exe
C:\Documents and Settings\Groslier\Bureau\darkgg87.exe
C:\Documents and Settings\Groslier\Bureau\Defogger.exe
C:\Documents and Settings\Groslier\Bureau\x4rk400g.exe
C:\Documents and Settings\Groslier\Bureau\mbam-setup.exe
C:\Documents and Settings\Groslier\Bureau\exeHelper.com

:Commands
[Emptytemp]
[Reboot]


&#x25B6; Clique sur " RunFix " pour lancer la suppression.

&#x25B6; Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.  Accepte en cliquant sur YES.

&#x25B6; Au redémarrage , autorise OTL a s'exécuter.

&#x25B6; Poste le rapport généré par OTL.

================

- Désinstalle Avast

- Supprime ses traces avec cet outil
https://www.commentcamarche.net/telecharger/securite/22859-utilitaire-de-desinstallation-de-avast/

- Passe un coup CCleaner (registre & nettoyage)

- Démarre en mode normal et dis moi ce qui se passe.

- Teste ta barette de RAM avec memtest:
https://www.commentcamarche.net/informatique/composants/1437-tester-la-memoire-vive-ram-d-un-ordinateur-avec-memtest86/

darkgg87 · Answer

Rapport OTL :


All processes killed
========== FILES ==========
C:\WINDOWS\_delis43.ini moved successfully.
C:\Kill'em\Save\Users\00000002 folder moved successfully.
C:\Kill'em\Save\Users\00000001 folder moved successfully.
C:\Kill'em\Save\Users folder moved successfully.
C:\Kill'em\Save folder moved successfully.
C:\Kill'em\Quarantine\WindowsUpdate.Kill'em folder moved successfully.
C:\Kill'em\Quarantine\espionServerData.Kill'em folder moved successfully.
C:\Kill'em\Quarantine folder moved successfully.
C:\Kill'em folder moved successfully.
C:\Program Files\List_Kill'em folder moved successfully.
C:\Documents and Settings\Groslier\Bureau\List_Killem_Install.exe moved successfully.
C:	dsskiller folder moved successfully.
C:\Documents and Settings\Groslier\Bureau\ZHPFix_1.12.30.exe moved successfully.
C:\Documents and Settings\Groslier\Bureau\List_Kill'em.lnk moved successfully.
File\Folder C:\Documents and Settings\Groslier\Bureau\List_Killem_Install.exe not found.
C:\Documents and Settings\Groslier\Bureau\Load_tdsskiller.exe moved successfully.
C:\Documents and Settings\Groslier\Bureau\3lu2olt9.exe moved successfully.
C:\Documents and Settings\Groslier\Bureau\darkgg87.exe moved successfully.
C:\Documents and Settings\Groslier\Bureau\Defogger.exe moved successfully.
C:\Documents and Settings\Groslier\Bureau\x4rk400g.exe moved successfully.
C:\Documents and Settings\Groslier\Bureau\mbam-setup.exe moved successfully.
C:\Documents and Settings\Groslier\Bureau\exeHelper.com moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
 
User: Groslier
->Temp folder emptied: 4160705 bytes
->Temporary Internet Files folder emptied: 400998 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 1537462 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
->Flash cache emptied: 405 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 55034 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 221373 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 6,00 mb
 
 
OTL by OldTimer - Version 3.2.5.0 log created on 05262010_172506

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

darkgg87 · Answer

En mode normal, ça me pose toujours le même problème. Je repasse en MSE pour le test de la barrette de RAM. Quoique j'ai l'impression que ça va pas être faisable en MSE...

darkgg87 · Answer

Au fait, je voulais te dire que je vais pas pouvoir travailler à la résolution de ce problème pour encore très longtemps. En effet, lundi, je reprends mon stage et je ne pourrai plus me consacrer à ça. Donc, même si tu penses qu'il ne faut pas baisser les bras (ce que je ne fais pas d'ailleurs, là, j'évalue les priorités ^^), si la situation est la même samedi ou dimanche, je devrais faire appel à un dépanneur. Je suis désolé mais je n'ai plus d'autre choix. 
Bien sûr, on peut toujours arriver à une solution avant ce week-end, ce qui serait génial. En attendant, je te remercie encore pour ton investissement dans ce travail.

fix200 · Answer

Re,

Au fait, je fais de tout mon possible, je suis en vacances donc disponible 3 fois par jour ;)

Ré-installe maintenant Avast5, fais la M.A.J, un scan puis colle le rapport.

Peux-tu prêter le CD de windows XP SP3 pour qu'on fasse une réparation ?
http://www.informatruc.com/reparer-windows-xp/

Merci, @+

darkgg87 · Answer

Le problème, c'est que je n'ai pas le CD de Windows XP SP3. Je n'ai que celui de Windows XP-Familial SP2.

fix200 · Answer

Je sais justement

Tu choisis: chercher où prêter le CD OU intégrer le SP3 dans le cd: http://toutwindows.com/winxp_sp3_slipstream.shtml 

@+

darkgg87 · Answer

Excuse moi mais je ne trouve pas ces deux options...

fix200 · Answer

J'ai modifié mon poste ;)

Tu choisis: sois integrer le sp3 dans le cd de windows (voir le tuto) ou prêter un cd.

darkgg87 · Answer

Il y a tout de même une question que je me pose.
Sur mon PC, c'est XP-Pro que j'utilise. Et sur le CD, c'est XP-Famille. Est-ce que ça ne va pas poser problème ?

fix200 · Answer

Non, ça ne fonctionnera pas ...

darkgg87 · Answer

Donc, on est dans l'impasse là ? ^^

fix200 · Answer

Tu ne peux pas prêter le cd ?

darkgg87 · Answer

Je comprends pas ce que tu veux dire par là... Je dois prêter le CD de XP-Famille SP2 ?

fix200 · Answer

Bonjour, 

(dsl pour le retard...) 

Je comprends pas ce que tu veux dire par là... Je dois prêter le CD de XP-Famille SP2 ?

Non, cherche un CD de Windows xp professionel SP3, sinon SP2. 

Merci.

darkgg87 · Answer

Je suis désolé, ma mère a pris les choses en main et a décidé d'appeler un dépanneur. Je lui amène la tour demain. Je crois qu'elle ne tenait plus sans le PC. ^^
Voilà, désolé, mais sache que je te remercie énormément pour ce que tu as fait pour m'aider et pour le temps que tu as passé pour résoudre ce problème. Je ne doute pas qu'on serait sans doute arrivé à quelque chose mais voilà...
Merci encore et à bientôt (enfin j'espère pas pour un truc du même genre ^^).

fix200 · Answer

Salut,

Ok, content pour toi.

A lire:

Prévention & Protection sur internet (Grand merci aux auteurs de ce très bon PDF)

Bon surf ;)

++

Worm.Win32.SkyNet

124 réponses

Discussions similaires