virus pas sympa ... a l aide svp Résolu/Fermé

Question

Bonjour, 

en decompressant une archive hier soir , je me suis retrouver attaquer par un mechant virus ... il agit bizzarement en plusieurs etapes :
- une icone c est installée dans ma barre des taches ( pub pour un antivirus , payant ) qui se lance tt seul et me trouve plein de malware keylogger , trojan ainsi ke des attaques internet incessante ...
- des que je lance un executable ( jeux , application , service systeme , antivirus ... ) j ai un message du type : "cannot opened file *.*.exe . do you want to launch your antivirus program )
- je ne peux plus surfer , il me bloque opera et dc tte les pages d antivirus en ligne

hier soir par force d insister , j ai reussi a rentre ds mon gestionnaire de programme etr en arretant plusieurs processus j ai comme meme reussi a installer ad aware , mais impossible depuis le reboot de le relancer
j ai deja hikjack et combo d installer , mais etant donner qu il bloque tout les executable je n arrive pas a avoir de rapport ....
le plus simple serait un formatage et reinstall , mais la flemme et pas envie de perdre tte mes données

si quelqu un a une idée , je suis preneur ... merci d avance

<config>athlon x64 4800+ , m2n sli deluxe , ati radeon 3850pcie ,2g ram 667 ,dd500g , windows xp pro sp3 , opera browser

flo-91 · Answer

Salut, je pense que tu es victime d'un rogue ^^ 

Fait ceci : 


1-> Télécharge Rkill ( de Grinler ) sur ton bureau : 

https://download.bleepingcomputer.com/grinler/rkill.exe 

/!\ Désactive toutes tes protections résidentes ( Antivirus, Antispyware, Pare-Feu ) /!\ 

> Double clique sur rkill ( présent sur ton bureau ) ou clique droit -> Executer en tant qu'administrateur ( utilisateurs de vista/7 ) 

> Une fenêtre sur fond noir s'ouvrira rapidement puis disparaîtra, c'est normal. 


2->Telecharge RSIT ici et enregistre-le sur ton bureau : 

http://images.malwareremoval.com/random/RSIT.exe 

>Double-clique sur RSIT.exe qui se trouve sur le bureau 

>Le programme se lance, choisi "1month" et clique sur "continue" 

>Laisse faire l'outil et poste le rapport qui s'affiche. 


>Voici un tuto d'aide : 

https://forum.pcastuces.com/randoms_system_information_tool_rsit-f31s31.htm 
 *>flo-91<*® 

N'hésitez pas a faire un tour dans la faq du forum ( rubrique astuce ),  
il y a peut être déjà  la solution à votre problème   =)

fabulous29 · Answer

ok je vais essayer mais vu qu il me bloque mon navigateur ... ca passe en mode sans echec ?

flo-91 · Answer

Oui, essaie. avec F8 ou F5 au démarrage du pc.
 *>flo-91<*® 

N'hésitez pas a faire un tour dans la faq du forum ( rubrique astuce ),  
il y a peut être déjà  la solution à votre problème   =)

fabulous29 · Answer

mode sans echec sans probleme , ad aware supprimle tt les cookies , avast trouve pas de virus , rkill et rsit , fonctionne bien , je redemarre en mode normal , mais le virus es tjr la , je n arrive pas a le bloquer et donc je peux pas dl rkill et rsit , 
de plus il me bloque explorer dc je peux meme pas naviguer sur mes dd

flo-91 · Answer

En mode sans echec, fait ceci :


>Telecharge Combofix ici et enregistre le sur ton bureau :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe


# Ferme toutes les fenêtres de programme ouvertes, y compris celle-ci.

# Ferme ou désactivez tous les programmes Antivirus, Antispyware, ainsi que tout pare-feu en cours d'exécution car ils pourraient perturber le fonctionnement de ComboFix.

#Double clic sur l'icône de ComboFix située sur le Bureau. Note bien que, une fois que tu as lancé ComboFix, tu ne dois pas cliquer dans la fenêtre de ComboFix car cela pourrait entraîner un plantage du programme. En fait, lorsque ComboFix tourne, ne touche plus du tout à ton pc. L'analyse peut prendre un certain temps, donc soit patient. 

#Une fenêtre présentant les différents sites autorisés de téléchargement de ComboFix s'affiche. Dans cette fenêtre, clique sur le bouton OK.

#Après la fin de la sauvegarde du Registre Windows, ComboFix va essayer de savoir si la Console de récupération est installée. Si tu ne l'a pas déja fait accepte.

#Ceci peut durer un certain temps, donc surtout soit patient. Si tu vois ton Bureau Windows disparaître, ne t'inquiete pas. C'est normal, et ComboFix restaurera votre Bureau avant de se terminer. Finalement, tu verras un nouvel affichage déclarant que le programme a presque fini et vous annonçant que le fichier rapport, ou log, se trouvera dans C:\ComboFix.txt.

#Poste ce rapport.

fabulous29 · Answer

tt d abord merci a toi , et honte a mon cerveau du samedi matin ...
mon erreure etait d avoir demarer en mode sans echec en mode admin ^^
je me suis co en sans echec sur ma session et j ai lancer combofix ... 
apres le redemarage ca a l air clean , maintenant je suis en train de relancer ad aware , avast , rkill et rsit , pour verifier la desinfection a 100% , je posterais les log apres (la je suis sur un autre pc )
en gros ca a l air resolu
donc un gros merci a toi pour ta dispo et la rapidité de tes reponses ....merci flo
et la prochaine fois je ferais plus attention avant de lancer d prog telecharger

flo-91 · Answer

Attends, je vais te suivre jusqu'à la fin de la désinfection, poste le rapport de combo :-)

Sache qu'avec ce genre d'infections, avast et autres anispyware ne peuvent rien.

fabulous29 · Answer

ComboFix 10-05-21.06 - fabien 22/05/2010  12:49:40.2.2 - x86 NETWORK
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.2046.1615 [GMT 2:00]
Lancé depuis: c:\documents and settings\fabien\Bureau\papiche.exe.exe
AV: avast! Antivirus *On-access scanning disabled* (Outdated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\fabien\Application Data\02000000c5238c90923C.manifest
c:\documents and settings\fabien\Application Data\02000000c5238c90923O.manifest
c:\documents and settings\fabien\Application Data\02000000c5238c90923P.manifest
c:\documents and settings\fabien\Application Data\02000000c5238c90923S.manifest
c:\documents and settings\fabien\Application Data\avdrn.dat
c:\documents and settings\fabien\Application Data\SystemProc
c:\documents and settings\fabien\Application Data\SystemProc\lsass.exe
c:\documents and settings\fabien\Local Settings\Application Data\chasqxkdp
c:\documents and settings\fabien\Local Settings\Application Data\chasqxkdp\gqiwhqrtssd.exe
c:\windows\Nzoqya.exe
c:\windows\Nzoqyb.exe
c:\windows\Nzoqyc.exe
c:\windows\system32\41.exe
c:\windows\system32\config\systemprofile\Application Data\avdrn.dat
c:\windows\system32\ES15.exe
c:\windows\system32\fjhdyfhsn.bat
c:\windows\system32\helpers32.dll
c:\windows\system32\smss32.exe
c:\windows\system32\sshnas21.dll
c:\windows\system32\warnings.html
c:\windows\system32\wbem\grpconv.exe
c:\windows\system32\winlogon32.exe
c:\windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job

c:\windows\system32\grpconv.exe était absent 
Copie restaurée à partir de - c:\system volume information\_restore{056DED64-93CE-4B88-99A1-88F3F8BA6851}\RP624\A0075623.exe

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSSERV
-------\Service_TDSSserv
-------\Legacy_SSHNAS
-------\Service_SSHNAS


(((((((((((((((((((((((((((((   Fichiers créés du 2010-04-22 au 2010-05-22  ))))))))))))))))))))))))))))))))))))
.

2010-05-22 10:53 . 2008-04-13 17:34	39424	----a-w-	c:\windows\system32\grpconv.exe
2010-05-22 10:47 . 2010-05-22 10:47	115200	----a-w-	c:\windows\system32\esentprf32.dll
2010-05-22 10:46 . 2010-05-22 10:46	115200	----a-w-	c:\windows\system32\dot3cfg32.dll
2010-05-22 10:22 . 2010-05-22 10:24	--------	d-----w-	c:\program files	rend micro
2010-05-22 10:22 . 2010-05-22 10:25	--------	d-----w-	C:sit
2010-05-22 09:58 . 2010-05-22 09:58	--------	d-sh--w-	c:\documents and settings\Administrateur\PrivacIE
2010-05-22 09:23 . 2010-05-22 09:36	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\vlc
2010-05-22 09:12 . 2010-05-22 09:12	--------	d-----w-	c:\documents and settings\Administrateur\Local Settings\Application Data\Opera
2010-05-22 09:11 . 2010-05-22 09:11	--------	d-sh--w-	c:\documents and settings\Administrateur\IETldCache
2010-05-21 22:45 . 2010-05-21 22:27	15880	----a-w-	c:\windows\system32\lsdelete.exe
2010-05-21 22:28 . 2010-02-05 09:03	64288	----a-w-	c:\windows\system32\drivers\Lbd.sys
2010-05-21 22:28 . 2010-05-21 22:28	95024	----a-w-	c:\windows\system32\drivers\SBREDrv.sys
2010-05-21 22:11 . 2010-05-21 22:11	--------	dc-h--w-	c:\documents and settings\All Users\Application Data\{52AC600B-5800-407E-99FF-83CD0669760B}
2010-05-21 22:10 . 2010-05-21 22:28	--------	d-----w-	c:\documents and settings\All Users\Application Data\Lavasoft
2010-05-21 22:10 . 2010-05-21 22:11	--------	d-----w-	c:\program files\Lavasoft
2010-05-21 21:19 . 2008-04-13 09:40	34688	-c--a-w-	c:\windows\system32\dllcache\lbrtfdc.sys
2010-05-21 21:19 . 2008-04-13 09:40	34688	----a-w-	c:\windows\system32\drivers\lbrtfdc.sys
2010-05-21 21:19 . 2008-04-13 09:41	8576	-c--a-w-	c:\windows\system32\dllcache\i2omgmt.sys
2010-05-21 21:19 . 2008-04-13 09:41	8576	----a-w-	c:\windows\system32\drivers\i2omgmt.sys
2010-05-21 21:19 . 2008-04-13 09:41	8192	-c--a-w-	c:\windows\system32\dllcache\changer.sys
2010-05-21 21:19 . 2008-04-13 09:41	8192	----a-w-	c:\windows\system32\drivers\changer.sys
2010-05-21 20:08 . 2010-05-21 20:08	--------	d-----w-	c:\documents and settings\fabien\Application Data\Games-Attack
2010-05-21 20:07 . 2010-05-21 20:07	--------	d-----w-	c:\documents and settings\All Users\Application Data\Games-Attack
2010-05-21 18:13 . 2010-05-21 18:13	--------	d-----w-	c:\documents and settings\fabien\Application Data\Ubisoft
2010-05-21 18:13 . 2010-05-21 18:13	--------	d-----w-	c:\documents and settings\All Users\Application Data\Ubisoft
2010-05-18 17:50 . 2010-05-18 17:50	--------	d-----w-	c:\program files\Thrustmaster
2010-05-18 17:50 . 2009-02-27 12:59	34304	----a-w-	c:\windows\system32	mffbdrv.dll
2010-05-18 17:50 . 2009-02-03 08:25	253952	----a-w-	c:\windows\system32	mffbcpl.dll
2010-05-18 17:50 . 2010-05-18 17:50	--------	d-----w-	c:\documents and settings\fabien\Application Data\InstallShield
2010-05-16 10:21 . 2009-09-04 15:44	515416	----a-w-	c:\windows\system32\XAudio2_5.dll
2010-05-16 10:21 . 2009-09-04 15:44	238936	----a-w-	c:\windows\system32\xactengine3_5.dll
2010-05-16 10:21 . 2009-09-04 15:29	1974616	----a-w-	c:\windows\system32\D3DCompiler_42.dll
2010-05-16 10:21 . 2009-09-04 15:29	5501792	----a-w-	c:\windows\system32\d3dcsx_42.dll
2010-05-16 10:21 . 2009-09-04 15:29	453456	----a-w-	c:\windows\system32\d3dx10_42.dll
2010-05-16 10:21 . 2009-09-04 15:29	235344	----a-w-	c:\windows\system32\d3dx11_42.dll
2010-05-16 10:21 . 2009-09-04 15:29	1892184	----a-w-	c:\windows\system32\D3DX9_42.dll
2010-05-16 10:19 . 2010-05-16 10:19	--------	d-----w-	c:\program files\Ubisoft
2010-05-04 17:23 . 2010-05-04 17:23	--------	d-----w-	c:\documents and settings\All Users\Application Data\Alwil Software
2010-05-03 16:58 . 2010-05-12 18:32	--------	d-----w-	c:\documents and settings\fabien\Application Data\vlc
2010-04-24 10:17 . 2010-04-24 10:17	--------	d-----w-	c:\documents and settings\fabien\Local Settings\Application Data\Conduit

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-22 10:44 . 2010-05-22 10:44	16	----a-w-	c:\windows\system32\config\systemprofile\Application Data\wpcalv.dat
2010-05-22 10:44 . 2010-05-22 10:55	185344	------w-	c:\windows\system32	rz1.tmp
2010-05-21 21:50 . 2008-08-26 19:33	--------	d-----w-	c:\documents and settings\fabien\Application Data\Azureus
2010-05-21 20:08 . 2010-05-21 20:08	4086216	----a-w-	c:\documents and settings\fabien\Application Data\Games-Attack\flash\GA.exe
2010-05-21 17:42 . 2008-08-24 00:43	--------	d--h--w-	c:\program files\InstallShield Installation Information
2010-05-20 14:05 . 2009-02-09 14:10	1	----a-w-	c:\documents and settings\fabien\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-05-16 17:59 . 2009-04-13 09:07	--------	d-----w-	c:\program files\PowerISO
2010-05-08 08:47 . 2010-02-01 08:32	--------	d-----w-	c:\documents and settings\fabien\Application Data\dvdcss
2010-05-04 17:25 . 2008-08-24 08:14	--------	d-----w-	c:\program files\Alwil Software
2010-05-02 10:06 . 2008-08-24 00:59	18256	----a-w-	c:\documents and settings\fabien\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-05-01 11:57 . 2010-04-03 20:42	--------	d-----w-	c:\program files\Opera
2010-04-14 16:47 . 2008-08-24 08:14	38848	----a-w-	c:\windows\system32\avastSS.scr
2010-04-14 16:47 . 2008-08-24 08:14	153184	----a-w-	c:\windows\system32\aswBoot.exe
2010-04-14 16:35 . 2008-08-24 08:14	46672	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2010-04-14 16:35 . 2008-08-24 08:14	162768	----a-w-	c:\windows\system32\drivers\aswSP.sys
2010-04-14 16:31 . 2008-08-24 08:14	23376	----a-w-	c:\windows\system32\drivers\aswRdr.sys
2010-04-14 16:31 . 2008-08-24 08:14	100432	----a-w-	c:\windows\system32\drivers\aswMon2.sys
2010-04-14 16:31 . 2008-08-24 08:14	94800	----a-w-	c:\windows\system32\drivers\aswmon.sys
2010-04-14 16:31 . 2008-08-24 08:14	19024	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2010-04-14 16:30 . 2008-08-24 08:14	28880	----a-w-	c:\windows\system32\drivers\Aavmker4.sys
2010-04-09 21:26 . 2008-08-24 01:42	--------	d-----w-	c:\program files\World of Warcraft
2010-04-09 21:23 . 2010-04-09 21:23	--------	d-----w-	c:\documents and settings\All Users\Application Data\ATI
2010-04-09 21:22 . 2008-08-24 00:51	--------	d-----w-	c:\program files\ATI Technologies
2010-04-09 21:21 . 2010-04-09 21:21	10134	----a-r-	c:\documents and settings\fabien\Application Data\Microsoft\Installer\{AC2B4022-8F75-6AA5-612F-9598EFD31C9B}\ARPPRODUCTICON.exe
2010-04-09 21:20 . 2010-04-09 21:19	--------	d-----w-	c:\program files\ATI
2010-04-05 08:37 . 2001-08-28 12:00	80508	----a-w-	c:\windows\system32\perfc00C.dat
2010-04-05 08:37 . 2001-08-28 12:00	500482	----a-w-	c:\windows\system32\perfh00C.dat
2010-04-03 19:53 . 2009-08-26 12:27	--------	d-----w-	c:\program files\Google
2010-03-10 06:16 . 2008-04-28 13:57	420352	----a-w-	c:\windows\system32\vbscript.dll
2010-03-03 04:21 . 2007-10-17 02:40	4630016	----a-w-	c:\windows\system32\drivers\ati2mtag.sys
2010-03-03 04:07 . 2009-08-14 02:00	311296	----a-w-	c:\windows\system32\atiiiexx.dll
2010-03-03 04:02 . 2009-08-14 01:21	45056	----a-w-	c:\windows\system32\aticalrt.dll
2010-03-03 04:02 . 2009-08-14 01:20	45056	----a-w-	c:\windows\system32\aticalcl.dll
2010-03-03 04:01 . 2009-08-14 01:19	3641344	----a-w-	c:\windows\system32\aticaldd.dll
2010-03-03 03:44 . 2009-08-14 01:47	14262272	----a-w-	c:\windows\system32\atioglxx.dll
2010-03-03 03:40 . 2009-08-14 02:28	446464	----a-w-	c:\windows\system32\ATIDEMGX.dll
2010-03-03 03:40 . 2007-10-17 01:44	3616096	----a-w-	c:\windows\system32\ati3duag.dll
2010-03-03 03:39 . 2007-10-17 02:04	301056	----a-w-	c:\windows\system32\ati2dvag.dll
2010-03-03 03:24 . 2009-08-14 02:10	208896	----a-w-	c:\windows\system32\atipdlxx.dll
2010-03-03 03:24 . 2007-10-17 01:33	2232320	----a-w-	c:\windows\system32\ativvaxx.dll
2010-03-03 03:24 . 2009-08-14 02:10	155648	----a-w-	c:\windows\system32\Oemdspif.dll
2010-03-03 03:24 . 2009-08-14 02:09	26112	----a-w-	c:\windows\system32\Ati2mdxx.exe
2010-03-03 03:24 . 2009-08-14 01:42	887724	----a-w-	c:\windows\system32\ativva6x.dat
2010-03-03 03:24 . 2009-08-14 01:42	3	----a-w-	c:\windows\system32\ativva5x.dat
2010-03-03 03:24 . 2009-08-14 02:09	43520	----a-w-	c:\windows\system32\ati2edxx.dll
2010-03-03 03:23 . 2009-08-14 02:09	159744	----a-w-	c:\windows\system32\ati2evxx.dll
2010-03-03 03:22 . 2009-08-14 02:08	602112	----a-w-	c:\windows\system32\ati2evxx.exe
2010-03-03 03:21 . 2009-08-14 02:06	53248	----a-w-	c:\windows\system32\ATIDDC.DLL
2010-03-03 03:20 . 2010-04-09 21:19	143360	----a-w-	c:\windows\system32\atiapfxx.exe
2010-03-03 03:16 . 2009-08-14 01:21	565248	----a-w-	c:\windows\system32\atikvmag.dll
2010-03-03 03:15 . 2009-08-14 01:19	184320	----a-w-	c:\windows\system32\atiadlxx.dll
2010-03-03 03:14 . 2009-08-14 01:18	17408	----a-w-	c:\windows\system32\atitvo32.dll
2010-03-03 03:14 . 2009-08-14 01:17	393216	----a-w-	c:\windows\system32\atiok3x2.dll
2010-03-03 03:09 . 2007-10-17 01:11	638976	----a-w-	c:\windows\system32\ati2cqag.dll
2010-03-03 03:07 . 2009-08-14 01:17	53248	----a-w-	c:\windows\system32\drivers\ati2erec.dll
2010-03-03 03:07 . 2009-08-14 01:25	65024	----a-w-	c:\windows\system32\atimpc32.dll
2010-03-03 03:07 . 2009-08-14 01:25	65024	----a-w-	c:\windows\system32\amdpcom32.dll
2010-02-25 19:55 . 2009-07-14 15:09	201875	----a-w-	c:\windows\system32\atiicdxx.dat
2010-02-25 06:17 . 2008-04-28 13:57	916480	----a-w-	c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2008-04-13 10:17	455680	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
.

------- Sigcheck -------

[-] 2008-04-29 . D0D0804FB72AB68A625CF84F73F678FD . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2006-12-18 868352]
"JMB36X IDE Setup"="c:\windows\JM\JMInsIDE.exe" [2006-10-30 36864]
"36X Raid Configurer"="c:\windows\system32\JMRaidSetup.exe" [2006-11-16 1953792]
"AsusStartupHelp"="c:\program files\ASUS\AASP\1.00.15\AsRunHelp.exe" [2006-11-14 363008]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb09.exe" [2006-01-07 176128]
"HPHUPD05"="c:\program files\Hewlett-Packard\{5372B9A6-6E51-4f90-9B40-E0A3B8475C4E}\hphupd05.exe" [2006-01-07 49152]
"HP Component Manager"="c:\program files\HP\hpcoretech\hpcmpmgr.exe" [2004-05-12 241664]
"HPHmon05"="c:\windows\system32\hphmon05.exe" [2006-01-07 491520]
"ProfilerU"="c:\program files\Saitek\SD6\Software\ProfilerU.exe" [2007-10-02 233472]
"SaiMfd"="c:\program files\Saitek\SD6\Software\SaiMfd.exe" [2007-10-02 131072]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-03-02 98304]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-13 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"nltide_3"="advpack.dll" [2009-03-08 128512]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Readereader_sl.exe [2004-12-14 29696]
Moniteur WiFi OLITEC.exe.lnk - c:\program files\OLITEC\Moniteur WiFi OLITEC\Moniteur WiFi OLITEC.exe [2008-8-24 933888]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableCAD"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\Program Files\internet\Free Download Manager\fdm.exe"=
"c:\Program Files\Soulseek-Test\slsk.exe"=
"c:\Program Files\internet\eMule\emule.exe"=
"c:\WINDOWS\system32\dpvsetup.exe"=
"c:\WINDOWS\system32\sessmgr.exe"=
"c:\WINDOWS\system32\PnkBstrA.exe"=
"c:\WINDOWS\system32\PnkBstrB.exe"=
"c:\Program Files\World of Warcraft\Launcher.exe"=
"c:\Program Files\World of Warcraft\WoW-3.1.3.9947-to-3.2.0.10192-frFR-downloader.exe"=
"c:\Program Files\World of Warcraft\WoW-3.2.0.10192-to-3.2.0.10314-frFR-downloader.exe"=
"c:\Program Files\World of Warcraft\WoW-3.2.0.10314-to-3.2.2.10482-frFR-downloader.exe"=
"c:\Program Files\World of Warcraft\WoW-3.2.2.10482-to-3.2.2.10505-frFR-downloader.exe"=
"c:\Program Files\Electronic Arts\EADM\Core.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Opera\opera.exe"=
"i:\l4d\Left 4 Dead\left4dead.exe"=
"i:\rockstar\gtaIV\Rockstar Games Social Club\RGSCLauncher.exe"=
"c:\Program Files\internet\Azureus\Azureus.exe"=
"i:\settlers\Data\Base\_Dbg\Bin\Release\Settlers7R.exe"=
"c:\Program Files\Ubisoft\Ubisoft Game Launcher\UbisoftGameLauncher.exe"=
"i:\settlers\Data\Base\_Dbg\Bin\Release\UPlayBrowser.exe"=
"i:\rockstar\gt4-jeux\Grand Theft Auto IV\LaunchGTAIV.exe"=
"i:\rockstar\gt4-jeux\Grand Theft Auto IV\GTAIV.exe"=
"i:\ass creed2\AssassinsCreedIIGame.exe"=
"i:\ass creed2\AssassinsCreedII.exe"=
"i:\ass creed2\UPlayBrowser.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6112:TCP"= 6112:TCP:blizzard downloader
"6881:TCP"= 6881:TCP:wow2
"3724:UDP"= 3724:UDP:blizzard downloader

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [22/05/2010 00:28 64288]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [24/08/2008 10:14 162768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [24/08/2008 10:14 19024]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [05/02/2010 11:03 1314704]
.
Contenu du dossier 'Tâches planifiées'

2010-05-22 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-02-05 22:26]

2010-05-22 c:\windows\Tasks\HP Usg Daily.job
- c:\program files\Hewlett-Packard\{5372B9A6-6E51-4f90-9B40-E0A3B8475C4E}\pexpress\hphped05.exe [2008-08-25 04:26]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.orange.fr/
uInternet Settings,ProxyServer = http=127.0.0.1:5555
uInternet Settings,ProxyOverride = <local>
Trusted Zone: digital-supply.com
Trusted Zone: download-soft-package.com
Trusted Zone: download-software-package.com
Trusted Zone: get-key-se10.com
Trusted Zone: is-software-download.com
Trusted Zone: digital-supply.com
Trusted Zone: get-key-se10.com
.
- - - - ORPHELINS SUPPRIMES - - - -

URLSearchHooks-{ba14329e-9550-4989-b3f2-9732e92d17cc} - (no file)
WebBrowser-{BA14329E-9550-4989-B3F2-9732E92D17CC} - (no file)
HKCU-Run-fdcbfe - c:\documents and settings\fabien\local settings\application data\fdcbfe.exe
HKCU-Run-cnuyjwgq - c:\documents and settings\fabien\Local Settings\Application Data\chasqxkdp\gqiwhqrtssd.exe
HKCU-Run-Canaveral - c:\windows\system32\sshnas21.dll
HKLM-Run-cnuyjwgq - c:\documents and settings\fabien\Local Settings\Application Data\chasqxkdp\gqiwhqrtssd.exe
HKLM-Explorer_Run-RTHDBPL - c:\documents and settings\fabien\Application Data\SystemProc\lsass.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-22 12:56
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
  RTHDBPL = c:\documents and settings\fabien\Application Data\SystemProc\lsass.exe?????????????????????????????????????????????????????????? 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,88,61,bf,c0,17,52,1b,48,b2,ea,d9,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,88,61,bf,c0,17,52,1b,48,b2,ea,d9,\
"6256FFB019F8FDFBD36745B06F4540E9AEAF222A25"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,88,61,bf,c0,17,52,1b,48,b2,ea,d9,\
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(1176)
c:\windows\system32\devenum32.dll
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\atiadlxx.dll

- - - - - - - > 'Explorer.EXE'(292)
c:\windows\system32\eappprxy.dll
c:\windows\system32\msls31.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\CDBurnerXP\NMSAccessU.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
c:\program files\Lavasoft\Ad-Aware\AAWTray.exe
.
**************************************************************************
.
Heure de fin: 2010-05-22  13:00:59 - La machine a redémarré
ComboFix-quarantined-files.txt  2010-05-22 11:00

Avant-CF: 38 693 818 368 octets libres
Après-CF: 38 903 336 960 octets libres

- - End Of File - - 0FE7A6D9FA3638C1C352AB5357C6C940

flo-91 · Answer

Ok, tu peux poster les rapport RSIT maintenant stp ?

fabulous29 · Answer

Logfile of random's system information tool 1.07 (written by random/random)
Run by fabien at 2010-05-22 15:41:44
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 37 GB (28%) free of 131 GB
Total RAM: 2046 MB (47% free)

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 15:41:49, on 22/05/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Saitek\SD6\Software\ProfilerU.exe
C:\Program Files\Saitek\SD6\Software\SaiMfd.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\OLITEC\Moniteur WiFi OLITEC\Moniteur WiFi OLITEC.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\Alwil Software\Avast5\AvastUI.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\fabien\Bureau\RSIT.exe
C:\Program Files	rend micro\fabien.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5555
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\internet\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [AsusStartupHelp] C:\Program Files\ASUS\AASP\1.00.15\AsRunHelp.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HPHUPD05] C:\Program Files\Hewlett-Packard\{5372B9A6-6E51-4f90-9B40-E0A3B8475C4E}\hphupd05.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\system32\hphmon05.exe
O4 - HKLM\..\Run: [ProfilerU] C:\Program Files\Saitek\SD6\Software\ProfilerU.exe
O4 - HKLM\..\Run: [SaiMfd] C:\Program Files\Saitek\SD6\Software\SaiMfd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Moniteur WiFi OLITEC.exe.lnk = ?
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://*.digital-supply.com
O15 - Trusted Zone: http://*.download-soft-package.com
O15 - Trusted Zone: http://*.download-software-package.com
O15 - Trusted Zone: http://*.get-key-se10.com
O15 - Trusted Zone: http://*.is-software-download.com
O15 - Trusted Zone: http://*.digital-supply.com (HKLM)
O15 - Trusted Zone: http://*.get-key-se10.com (HKLM)
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - https://www.touslesdrivers.com/index.php?v_page=29
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINDOWS\System32	lntsvr.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe

fabulous29 · Answer

======List of files/folders created in the last 1 months======

2010-05-22 13:02:59 ----A---- C:\logcombofix.txt
2010-05-22 13:01:00 ----A---- C:\ComboFix.txt
2010-05-22 12:53:22 ----D---- C:\WINDOWS	emp
2010-05-22 12:53:22 ----A---- C:\WINDOWS\system32\grpconv.exe
2010-05-22 12:48:05 ----D---- C:\papiche.exe
2010-05-22 12:22:20 ----D---- C:\Program Files	rend micro
2010-05-22 12:22:19 ----D---- C:sit
2010-05-22 11:10:40 ----SHD---- C:\WINDOWS\CSC
2010-05-22 11:10:30 ----A---- C:\WINDOWS
tbtlog.txt
2010-05-22 00:45:01 ----A---- C:\WINDOWS\system32\lsdelete.exe
2010-05-22 00:11:22 ----HDC---- C:\Documents and Settings\All Users\Application Data\{52AC600B-5800-407E-99FF-83CD0669760B}
2010-05-22 00:10:17 ----D---- C:\Program Files\Lavasoft
2010-05-22 00:10:17 ----D---- C:\Documents and Settings\All Users\Application Data\Lavasoft
2010-05-21 22:08:33 ----D---- C:\Documents and Settings\fabien\Application Data\Games-Attack
2010-05-21 22:07:23 ----D---- C:\Documents and Settings\All Users\Application Data\Games-Attack
2010-05-21 20:13:27 ----D---- C:\Documents and Settings\fabien\Application Data\Ubisoft
2010-05-21 20:13:27 ----D---- C:\Documents and Settings\All Users\Application Data\Ubisoft
2010-05-18 19:50:48 ----D---- C:\Program Files\Thrustmaster
2010-05-18 19:50:48 ----A---- C:\WINDOWS\system32	mffbdrv.dll
2010-05-18 19:50:48 ----A---- C:\WINDOWS\system32	mffbcpl.dll
2010-05-18 19:50:34 ----D---- C:\Documents and Settings\fabien\Application Data\InstallShield
2010-05-16 12:21:46 ----A---- C:\WINDOWS\system32\XAudio2_5.dll
2010-05-16 12:21:46 ----A---- C:\WINDOWS\system32\xactengine3_5.dll
2010-05-16 12:21:46 ----A---- C:\WINDOWS\system32\D3DCompiler_42.dll
2010-05-16 12:21:42 ----A---- C:\WINDOWS\system32\d3dcsx_42.dll
2010-05-16 12:21:41 ----A---- C:\WINDOWS\system32\D3DX9_42.dll
2010-05-16 12:21:41 ----A---- C:\WINDOWS\system32\d3dx11_42.dll
2010-05-16 12:21:41 ----A---- C:\WINDOWS\system32\d3dx10_42.dll
2010-05-16 12:19:32 ----D---- C:\Program Files\Ubisoft
2010-05-13 00:34:46 ----HDC---- C:\WINDOWS\$NtUninstallKB978542$
2010-05-04 19:23:40 ----D---- C:\Documents and Settings\All Users\Application Data\Alwil Software
2010-05-03 18:58:25 ----D---- C:\Documents and Settings\fabien\Application Data\vlc

======List of files/folders modified in the last 1 months======

2010-05-22 15:41:41 ----D---- C:\WINDOWS\Prefetch
2010-05-22 15:38:58 ----D---- C:\WINDOWS\system32
2010-05-22 13:04:39 ----SD---- C:\WINDOWS\Tasks
2010-05-22 13:01:02 ----D---- C:\WINDOWS\system32\drivers
2010-05-22 13:01:02 ----D---- C:\Qoobox
2010-05-22 13:00:22 ----D---- C:\WINDOWS\ERDNT
2010-05-22 13:00:18 ----D---- C:\WINDOWS\system32\CatRoot2
2010-05-22 12:56:50 ----D---- C:\WINDOWS
2010-05-22 12:56:50 ----A---- C:\WINDOWS\system.ini
2010-05-22 12:53:44 ----D---- C:\WINDOWS\system32\config
2010-05-22 12:53:06 ----D---- C:\WINDOWS\system32\wbem
2010-05-22 12:52:11 ----D---- C:\WINDOWS\AppPatch
2010-05-22 12:52:10 ----D---- C:\Program Files\Fichiers communs
2010-05-22 12:22:20 ----RD---- C:\Program Files
2010-05-22 11:10:52 ----D---- C:\Documents and Settings
2010-05-22 11:07:08 ----A---- C:\WINDOWS\SchedLgU.Txt
2010-05-22 00:29:06 ----HD---- C:\WINDOWS\inf
2010-05-22 00:28:38 ----DC---- C:\WINDOWS\system32\DRVSTORE
2010-05-22 00:11:34 ----SHD---- C:\WINDOWS\Installer
2010-05-22 00:10:11 ----D---- C:\WINDOWS\WinSxS
2010-05-21 23:50:59 ----D---- C:\Documents and Settings\fabien\Application Data\Azureus
2010-05-21 23:20:10 ----RSHDC---- C:\WINDOWS\system32\dllcache
2010-05-21 19:52:30 ----D---- C:\WINDOWS\system32\DirectX
2010-05-21 19:52:06 ----RSD---- C:\WINDOWS\assembly
2010-05-21 19:42:14 ----HD---- C:\Program Files\InstallShield Installation Information
2010-05-18 21:02:51 ----D---- C:\WINDOWS\system32\CatRoot
2010-05-16 19:59:50 ----D---- C:\Program Files\PowerISO
2010-05-13 00:34:47 ----D---- C:\Program Files\Outlook Express
2010-05-12 05:09:28 ----HD---- C:\WINDOWS\$hf_mig$
2010-05-08 10:47:32 ----D---- C:\Documents and Settings\fabien\Application Data\dvdcss
2010-05-04 19:25:28 ----D---- C:\Program Files\Alwil Software
2010-05-02 19:07:25 ----A---- C:\WINDOWS\win.ini
2010-05-02 11:04:51 ----RSD---- C:\WINDOWS\Fonts
2010-05-01 13:57:07 ----D---- C:\Program Files\Opera
2010-04-30 20:51:06 ----A---- C:\WINDOWS\system32\MRT.exe
2010-04-26 15:58:12 ----A---- C:\WINDOWS\PEV.exe

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 Aavmker4;avast! Asynchronous Virus Monitor; C:\WINDOWS\system32\drivers\Aavmker4.sys [2010-04-14 28880]
R1 AmdK8;Pilote de processeur AMD; C:\WINDOWS\system32\DRIVERS\AmdK8.sys [2006-06-18 43520]
R1 AsIO;AsIO; C:\WINDOWS\system32\drivers\AsIO.sys [2006-10-18 12664]
R1 aswSP;aswSP; C:\WINDOWS\system32\drivers\aswSP.sys [2010-04-14 162768]
R1 aswTdi;avast! Network Shield Support; C:\WINDOWS\system32\drivers\aswTdi.sys [2010-04-14 46672]
R1 kbdhid;Pilote HID de clavier; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-13 14720]
R1 SCDEmu;SCDEmu; C:\WINDOWS\system32\drivers\SCDEmu.sys [2009-03-15 56268]
R1 StarOpen;StarOpen; C:\WINDOWS\system32\drivers\StarOpen.sys [2008-09-08 5632]
R2 aswFsBlk;aswFsBlk; C:\WINDOWS\system32\drivers\aswFsBlk.sys [2010-04-14 19024]
R2 aswMon2;avast! Standard Shield Support; C:\WINDOWS\system32\drivers\aswMon2.sys [2010-04-14 100432]
R3 ADIHdAudAddService;ADI UAA Function Driver for High Definition Audio Service; C:\WINDOWS\system32\drivers\ADIHdAud.sys [2007-01-16 293888]
R3 AEAudio;AE Audio Service; C:\WINDOWS\system32\drivers\AEAudio.sys [2006-08-07 93952]
R3 Arp1394;Protocole client ARP 1394; C:\WINDOWS\System32\DRIVERS\arp1394.sys [2008-04-13 60800]
R3 aswRdr;aswRdr; C:\WINDOWS\system32\drivers\aswRdr.sys [2010-04-14 23376]
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2010-03-03 4630016]
R3 catchme;catchme; \??\C:\papiche.exe\catchme.sys []
R3 HdAudAddService;ATI Function Driver for High Definition Audio Service; C:\WINDOWS\system32\drivers\AtiHdAud.sys [2006-12-28 84992]
R3 HDAudBus;Pilote de bus Microsoft UAA pour High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 HidUsb;Pilote de classe HID Microsoft; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 HPZid412;IEEE-1284.4 Driver HPZid412; C:\WINDOWS\system32\DRIVERS\HPZid412.sys [2006-01-07 51088]
R3 HPZipr12;Print Class Driver for IEEE-1284.4 HPZipr12; C:\WINDOWS\system32\DRIVERS\HPZipr12.sys [2006-01-07 16496]
R3 HPZius12;USB to IEEE-1284.4 Translation Driver HPZius12; C:\WINDOWS\system32\DRIVERS\HPZius12.sys [2006-01-07 21744]
R3 mouhid;Pilote HID de souris; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-23 12288]
R3 MTsensor;ATK0110 ACPI UTILITY; C:\WINDOWS\System32\DRIVERS\ASACPI.sys [2004-08-13 5810]
R3 NIC1394;Pilote réseau 1394; C:\WINDOWS\System32\DRIVERS
ic1394.sys [2008-04-13 61824]
R3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\WINDOWS\System32\DRIVERS\NVENETFD.sys [2006-09-11 57856]
R3 nvnetbus;NVIDIA Network Bus Enumerator; C:\WINDOWS\System32\DRIVERS
vnetbus.sys [2006-09-11 19968]
R3 SaiMini;SaiMini; C:\WINDOWS\system32\DRIVERS\SaiMini.sys [2007-10-05 14080]
R3 SaiNtBus;SaiNtBus; C:\WINDOWS\system32\drivers\SaiBus.sys [2007-10-05 35200]
R3 SenFiltService;SenFilt Service; C:\WINDOWS\system32\drivers\Senfilt.sys [2006-03-17 392960]
R3 usbccgp;Pilote parent générique USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
R3 usbehci;Pilote miniport de contrôleur d'hôte amélioré Microsoft USB 2.0; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;Concentrateur USB2; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbohci;Pilote miniport de contrôleur hôte ouvert USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2008-04-13 17152]
R3 usbprint;Classe d'imprimantes USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
R3 USBSTOR;Pilote de stockage de masse USB; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
R3 W8335XP;OLITEC WiFi Card Driver for Windows XP ; C:\WINDOWS\system32\DRIVERS\Mrvw125.sys [2005-12-29 282624]
S3 mbr;mbr; \??\C:\DOCUME~1\fabien\LOCALS~1\Temp\mbr.sys []
S3 PCAMPR5;PCAMPR5 NDIS Protocol Driver; \??\C:\WINDOWS\system32\PCAMPR5.SYS []
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
S4 WS2IFSL;Environnement de prise en charge de Fournisseur de services non-IFS Windows Sockets 2.0; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2002-09-07 12032]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2010-03-03 602112]
R2 avast! Antivirus;avast! Antivirus; C:\Program Files\Alwil Software\Avast5\AvastSvc.exe [2010-04-14 40384]
R2 JavaQuickStarterService;Java Quick Starter; C:\Program Files\Java\jre6\bin\jqs.exe [2009-03-09 152984]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service; C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe [2010-05-22 1314704]
R2 NMSAccessU;NMSAccessU; C:\Program Files\CDBurnerXP\NMSAccessU.exe [2008-06-15 71096]
R3 avast! Mail Scanner;avast! Mail Scanner; C:\Program Files\Alwil Software\Avast5\AvastSvc.exe [2010-04-14 40384]
R3 avast! Web Scanner;avast! Web Scanner; C:\Program Files\Alwil Software\Avast5\AvastSvc.exe [2010-04-14 40384]
S2 ATI Smart;ATI Smart; C:\WINDOWS\system32\ati2sgag.exe [2009-08-13 593920]
S3 aspnet_state;Service d'état ASP.NET; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 Pml Driver HPZ12;Pml Driver HPZ12; C:\WINDOWS\system32\HPZipm12.exe [2004-03-18 65536]
S3 WMPNetworkSvc;Service Partage réseau du Lecteur Windows Media; C:\Program Files\Windows Media Player\WMPNetwk.exe [2006-11-03 918016]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-13 14336]
S4 NetTcpPortSharing;Service de partage de ports Net.Tcp; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------

flo-91 · Answer

Ok, la suite :


>Telecharge malwarebytes ici :


https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

. sur la page cliques sur Télécharger Malwarebyte's Anti-Malware
. enregistres le sur le bureau
/!\Utilisateur de Vista : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »

. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller


Si tu as besoin d'aide regarde ce tutoriel :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

fabulous29 · Answer

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4137

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

24/05/2010 13:32:48
mbam-log-2010-05-24 (13-32-48).txt

Type d'examen: Examen complet (C:\|I:\|J:\|)
Elément(s) analysé(s): 301369
Temps écoulé: 30 minute(s), 31 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 7
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 10

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\get-key-se10.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\is-software-download.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\download-soft-package.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\download-software-package.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\get-key-se10.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\digital-supply.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\digital-supply.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Qoobox\Quarantine\C\Documents and Settings\fabien\Local Settings\Application Data\chasqxkdp\gqiwhqrtssd.exe.vir (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\Nzoqyc.exe.vir (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\wbem\grpconv.exe.vir (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{056DED64-93CE-4B88-99A1-88F3F8BA6851}\RP624\A0076802.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{056DED64-93CE-4B88-99A1-88F3F8BA6851}\RP624\A0079012.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{056DED64-93CE-4B88-99A1-88F3F8BA6851}\RP624\A0079015.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{056DED64-93CE-4B88-99A1-88F3F8BA6851}\RP624\A0079114.dll (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{056DED64-93CE-4B88-99A1-88F3F8BA6851}\RP624\A0079115.dll (Trojan.Tracur) -> Quarantined and deleted successfully.
I:\ass creed2\Assassin's Creed 2 keygen.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
I:\jeux\COD4 Keygen.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.

flo-91 · Answer

Ok, 

Tu vas me virer TOUS les cracks sur ton pc qui sont source de malwares. A lire : 

https://forum.malekal.com/viewtopic.php?t=893&start= 


Puis : 


Télécharges Zhpdiag ici : https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

Une fois le téléchargement achevé, dézippes le fichier obtenu et place ZHPDiag.exe sur ton Bureau. 

Double-clique sur l'icône pour lancer le programme. 

Clique sur Tous pour cocher toutes les cases des options. 

Clique sur la loupe pour lancer l'analyse. 

A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau. 

Ouvre le fichier sauvegardé (ZHPDiag.txt)avec le Bloc-Notes et copie son contenu dans ta réponse. 

Rends toi sur http://www.cijoint.fr clic sur Parcourir, choisis le rapport sur ton bureau et clic sur Créer le lien, 
Un lien te sera généré, postes le dans ta prochaine réponse . 
 *>flo-91<*® 

N'hésitez pas a faire un tour dans la faq du forum ( rubrique astuce ),  
il y a peut être déjà  la solution à votre problème   =)

fabulous29 · Answer

http://www.cijoint.fr/cjlink.php?file=cj201005/cijCWNLtkW.txt

flo-91 · Answer

Ok, fait ceci :


* Lance ZHPFix (via ZHPDiag)
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Copie/colle les lignes suivantes et place les dans ZHPFix :


[HKCU\Software\Games-Attack]
[HKLM\Software\Games-Attack]
O61 - LFC:Last File Created 21/05/2010 - 21:07:23 ---A- C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Games-Attack\Games-Attack.lnk   [505]
O61 - LFC:Last File Created 21/05/2010 - 21:07:23 ---A- C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Games-Attack\Website.url   [54]
O61 - LFC:Last File Created 21/05/2010 - 21:08:33 ---A- C:\Documents And Settings\fabien\Application Data\Games-Attack\flash\GA.exe   [4086216]
O61 - LFC:Last File Created 21/05/2010 - 21:08:33 ---A- C:\Documents And Settings\fabien\Application Data\Games-Attack\flash\IntroAnimation\loading.swf   [3039]
O61 - LFC:Last File Created 21/05/2010 - 21:08:33 ---A- C:\Documents And Settings\fabien\Application Data\Games-Attack\flash\IntroAnimation\opening02.swf   [1417258]



* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse

flo-91 · Answer

Et je vois encore des traces de cracks sur ton pc /!\

Supprime moi ca c'est important si tu ne veux pas etre réinfecté dans 2 jours !

fabulous29 · Answer

ZHPFix v1.12.3102  by Nicolas Coolman - Rapport de suppression du 24/05/2010 17:19:45
Fichier d'export Registre : C:\ZHPExportRegistry-24-05-2010-17-19-45.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
HKCU\Software\Games-Attack  => Clé supprimée avec succès
HKLM\Software\Games-Attack  => Clé supprimée avec succès

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Préférences navigateur :
(Néant)

Dossier :
(Néant)

Fichier :
c:\documents and settings\all users\menu démarrer\programmes\games-attack\games-attack.lnk  => Supprimé et mis en quarantaine
c:\documents and settings\all users\menu démarrer\programmes\games-attack\website.url  => Supprimé et mis en quarantaine
c:\documents and settings\fabien\application data\games-attack\flash\ga.exe  => Supprimé et mis en quarantaine
c:\documents and settings\fabien\application data\games-attack\flash\introanimation\loading.swf  => Supprimé et mis en quarantaine
c:\documents and settings\fabien\application data\games-attack\flash\introanimation\opening02.swf  => Supprimé et mis en quarantaine

Logiciel :
(Néant)

Script Registre :
(Néant)

Master Boot Record :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 2
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 0
Fichier : 5
Logiciel : 0
Master Boot Record : 0
Préférences navigateur : 0
Autre : 0


End of the scan

fabulous29 · Answer

je viens d enlever les cracks dont je me rappelai , comment je peu savoir ou sont ceux que j ai oublier ?

flo-91 · Answer

Facile, tu utilise l'outil "recherche" de windows et tu tape le nom "crack" et puis apres "keygen" et tu les supprime.

Virus pas sympa ... a l aide svp

20 réponses

Discussions similaires

Newsletters