infection par virus, et rapport hijackthisRésolu/Fermé

Question

Bonjour, 

cela fait une semaine que je suis infecté et c est de pire en pire, beaucoup de trojant et un virus que avg n arrive pas a supprimer dans le system 32.maintenant l ordi rame et plante meme il est inutilisable... voici mon rapport hijackthis merci pour votre aide:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:13:46, on 27/05/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17023)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AVG\AVG9\avgchsvx.exe
C:\Program Files\AVG\AVG9\avgrsx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\AVG\AVG9\avgwdsvc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AVG\AVG9\avgnsx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\AVG\AVG9\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIEDE.EXE
C:\Program Files\DNA\btdna.exe
C:\Spybot\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWSaidhost.exe
C:\Roboform\RoboTaskBarIcon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\hijackthis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://neufportail.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Claire\ssqmfyk.exe \s
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: (no name) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - (no file)
O3 - Toolbar: (no name) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - (no file)
O3 - Toolbar: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - (no file)
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Roboformoboform.dll
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [nwiz] C:\Program Files\NVIDIA Corporation
View
wiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - HKLM\..\Run: [raidhost.exe] raidhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [EPSON SX100 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIEDE.EXE /FU "C:\WINDOWS\TEMP\E_S68.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Spybot\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [RoboForm] "C:\Roboform\RoboTaskBarIcon.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Barre RoboForm - file://C:\Roboform\RoboFormComShowToolbar.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Roboform\RoboFormComSavePass.html
O8 - Extra context menu item: Personnaliser le menu - file://C:\Roboform\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Remplir le formulaire - file://C:\Roboform\RoboFormComFillForms.html
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Free download manger\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Free download manger\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\Free download manger\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\Free download manger\Free Download Manager\dlfvideo.htm
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Roboform\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Roboform\RoboFormComFillForms.html
O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Roboform\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Roboform\RoboFormComSavePass.html
O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Roboform\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Roboform\RoboFormComShowToolbar.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://appldnld.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.systemrequirementslab.com/srl_bin/sysreqlab_srl.cab
O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://www3.snapfish.fr/SnapfishActivia.cab
O16 - DPF: {40F576AD-8680-4F9E-9490-99D069CD665F} (System Requirements Lab Class) - http://srtest-cdn.systemrequirementslab.com.s3.amazonaws.com/bin/sysreqlabdetect.cab
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.extrafilm.fr/ImageUploader5.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {7C5D062A-7A1E-4A46-A02B-A928084CBD66} (MLauncherNew Class) - http://legendofares.netgame.com/download/MusaLauncherNew.cab
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
O16 - DPF: {99CAAA27-FA0C-4FA4-B88A-4AB1CC7A17FE} (MGLaunch_v1004 Class) - http://www.netgame.com/mplugin/mglaunch_USAv1005.cab
O16 - DPF: {AA07EBD2-EBDD-4BD6-9F8F-114BD513492C} (NeffyLauncherCtl Class) - http://disteng.nefficient.com/disteng/neffy/NeffyLauncher.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game04.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://signin3.valueactive.eu/Register/Branding/olr3313/OCX/v1018/flashax.cab
O16 - DPF: {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} (Flash Casino Helper Object) - https://bellerock.gameassists.co.uk/freeplayfrench/FlashAX2.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgwdsvc.exe
O23 - Service: Service Google Update (gupdate1c9ecd4db0abf0a) (gupdate1c9ecd4db0abf0a) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

Utilisateur anonyme · Answer

bonjour 

Suppression avec AD-R :

Télécharge AD-R (de C_XX ) sur ton bureau :

http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe

/!\ Déconnecte-toi et ferme toutes applications en cours, désactive ton antivirus le temps de la manipulation/!\

* Exécute AD-R.
* Au menu principal clique sur le bouton "Nettoyer".
* Poste le rapport qui apparaît à la fin.
(Le rapport est sauvegardé aussi sous Ad-Report-CLEAN[1].txt)


ENSUITE 


Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Une fois le téléchargement achevé, place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit « exécuter en tant que administrateur »

Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur ce lien :

http://www.cijoint.fr/index.php
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

slygirl · Answer

Voici mon rapport pour ADR je continu avec ZHPDIAG.

.
======= RAPPORT D'AD-REMOVER 2.0.0.0,D | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 19/05/10 à 19:20
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 20:58:53 le 27/05/2010 | Mode normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft Windows XP Édition familiale (Service Pack 2 - X86)
Nom du PC: DUPAYAGE-RXM6XX
Utilisateur actuel: Claire
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
.

(!) -- Fichiers temporaires supprimés.
.
HKCU\Software\MGS\Thumper\Casino\GoldenRiviera
.
.
============== SCAN ADDITIONNEL ==============
.
.
* Internet Explorer Version 7.0.5730.13 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
========================================
.
C:\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Ad-Remover\Backup: 13 Fichier(s)
.
C:\Ad-Report-CLEAN[1].txt - 1875 Octet(s)
.
Fin à: 21:07:53, 27/05/2010
.
============== E.O.F - CLEAN[1] ==============

slygirl · Answer

Voila le lien pour ZHPDIAG, merci de me tenir au courant :)

http://www.cijoint.fr/cjlink.php?file=cj201005/cijuxRM0H5.txt

Utilisateur anonyme · Answer

* Télécharge UsbFix sur ton bureau .

http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe­


(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe,carte SD etc...) susceptible d'avoir été infectées sans les ouvrir

* Double clic sur "UsbFix.exe" présent sur ton bureau .

* Choisis l'option F pour français et tape sur [entrée] .

* Choisis l'option 1 ( Recherche ) et tape sur [entrée] .

* Laisse travailler l'outil.

* Ensuite poste le rapport UsbFix.txt qui apparaitra.

* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

* Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html

slygirl · Answer

Voici le rapport Usbfix :


############################## | UsbFix V6.115 |

User : Claire (Administrateurs) # DUPAYAGE-RXM6XX
Update on 27/05/2010 by El Desaparecido , C_XX & Chimay8
Start at: 21:44:25 | 27/05/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) Dual  CPU  E2140  @ 1.60GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 7.0.5730.13
Windows Firewall Status : Enabled
AV : AVG Anti-Virus Free 9.0 [ Enabled | Updated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 74,52 Go (3,3 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 3,76 Go (1,66 Go free) [HP V165W] # FAT32

################## | Elements infectieux |

C:\WINDOWS\Microsoft.exe  
C:\WINDOWS\raidhost.exe  
C:\DOCUME~1\Claire\LOCALS~1\Temp\0479197.exe  
F:\autorun.inf  

################## | Registre |

[HKLM\software\microsoft\windows nt\currentversion\winlogon] "Taskman"  

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{78b9ba88-c1e4-11dd-9804-00196638f2ab}
Shell\AutoRun\command =eyt.exe 
Shell\open\Command =eyt.exe 

HKCU\..\..\Explorer\MountPoints2\{b1f7d972-073b-11de-8771-00196638f2ab}
Shell\AutoRun\command =F:\DPFMate.exe 

HKCU\..\..\Explorer\MountPoints2\{bb63d2f4-282a-11de-87cf-00196638f2ab}
Shell\Auto\command =F:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{d8d77948-5581-11dd-966f-00196638f2ab}
Shell\Auto\command =cmd /C launch.bat
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL cmd /C launch.bat

################## | Vaccin |


################## | ! Fin du rapport # UsbFix V6.115 ! |

Utilisateur anonyme · Answer

pourquoi a tu la version 4.7 de messenger ? 

désinstalle Spybot - Search & Destroy  qui alourdis le système est va fortement gêner la désinfection 

Suppression

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe......) susceptibles d'avoir été infectés sans les ouvrir

(1) Double clic sur le raccourci UsbFix présent sur ton bureau

(2) Choisi l option 2 ( Suppression )

Ton bureau disparaitra et le pc redémarrera .

Au redémarrage , UsbFix scannera ton pc , laisse travailler l outil.

Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

slygirl · Answer

Pour msn, je ne sais pas il faut que je prenne une version plus recente?
Sinon voici le nouveau rapport USBFIX


############################## | UsbFix V6.115 |

User : Claire (Administrateurs) # DUPAYAGE-RXM6XX
Update on 27/05/2010 by El Desaparecido , C_XX & Chimay8
Start at: 21:56:12 | 27/05/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) Dual  CPU  E2140  @ 1.60GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 7.0.5730.13
Windows Firewall Status : Enabled
AV : AVG Anti-Virus Free 9.0 [ Enabled | Updated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 74,52 Go (3,27 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 3,76 Go (1,66 Go free) [HP V165W] # FAT32

################## | Elements infectieux |

Supprimé ! C:\WINDOWS\Microsoft.exe 
Supprimé ! C:\WINDOWSaidhost.exe 
Supprimé ! C:\DOCUME~1\Claire\LOCALS~1\Temp\551.exe 
Supprimé ! C:\DOCUME~1\Claire\LOCALS~1\Temp\0479197.exe 
Supprimé ! C:\DOCUME~1\Claire\LOCALS~1\Temp\450649.exe 
Supprimé ! C:\Recycler\S-1-5-21-329068152-1275210071-725345543-1004 
F:\autorun.inf -> fichier appelé : "F:\Memory\Driversaidhost.exe" ( Présent ! )  
Supprimé ! F:\Memory\Driversaidhost.exe 
Supprimé ! F:\autorun.inf 
Supprimé ! C:\System Volume Information\_restore{B8C93718-94C5-4C4A-9325-976BBBAC6551}\RP892\A0237289.exe 
Supprimé ! C:\System Volume Information\_restore{B8C93718-94C5-4C4A-9325-976BBBAC6551}\RP892\A0237316.exe 
Supprimé ! C:\Documents and Settings\Claire\dvs.exe 
Supprimé ! C:\Documents and Settings\Claire\friem.exe 
Supprimé ! C:\Documents and Settings\Claire\veeraug.exe 
Supprimé ! C:\Documents and Settings\Claire\Local Settings\Temporary Internet Files\Content.IE5\FX2P6DUR\192[1].exe 
Supprimé ! C:\System Volume Information\_restore{B8C93718-94C5-4C4A-9325-976BBBAC6551}\RP892\A0237289.exe 
Supprimé ! C:\System Volume Information\_restore{B8C93718-94C5-4C4A-9325-976BBBAC6551}\RP892\A0237316.exe 

################## | Registre |


################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{78b9ba88-c1e4-11dd-9804-00196638f2ab}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{b1f7d972-073b-11de-8771-00196638f2ab}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{bb63d2f4-282a-11de-87cf-00196638f2ab}\Shell\Auto\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{d8d77948-5581-11dd-966f-00196638f2ab}\Shell\Auto\Command  

################## | Listing des fichiers présent |

[27/05/2010 21:07|--a------|2001] C:\Ad-Report-CLEAN[1].txt 
[16/01/2008 23:29|--a------|0] C:\AUTOEXEC.BAT 
[27/05/2010 12:29|-rahs----|216] C:\boot.ini 
[30/08/2002 14:00|-rahs----|4952] C:\Bootfont.bin 
[16/01/2008 23:29|--a------|0] C:\CONFIG.SYS 
[16/01/2008 23:29|-rahs----|0] C:\IO.SYS 
[16/01/2008 23:29|-rahs----|0] C:\MSDOS.SYS 
[17/01/2008 00:30|-rahs----|47564] C:\NTDETECT.COM 
[17/01/2008 00:30|-rahs----|251712] C:
tldr 
[?|?|?] C:\pagefile.sys 
[27/05/2010 22:21|--a------|3011] C:\UsbFix.txt 
[27/05/2010 21:55|--a------|1622] F:\BOOTEX.LOG 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# F:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 

################## | Upload | 

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_DUPAYAGE-RXM6XX.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.115 ! |

slygirl · Answer

Oki je fais, sinon niveau virus vous pensez que je suis clean?

Utilisateur anonyme · Answer

non pas fini 

Téléchargez MalwareByte's Anti-Malware

http://www.malwarebytes.org/mbam/program/mbam-setup.exe

. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Rends toi dans l'onglet rapport/log
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller


Si tu as besoin d'aide regarde ces tutoriels :
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

slygirl · Answer

voila pfiou ce fut long mais j y suis arrivée! lol!  Je vous montre le rapport:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4149

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

28/05/2010 00:12:15
mbam-log-2010-05-28 (00-12-15).txt

Type d'examen: Examen complet (C:\|F:\|)
Elément(s) analysé(s): 205827
Temps écoulé: 1 heure(s), 29 minute(s), 41 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cbssreg (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\passthru (Rootkit.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\All Users\Documents\Settings\cbss.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers
disvvan.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\secupdat.dat (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Documents and Settings\Claire\secupdat.dat (Worm.Autorun) -> Quarantined and deleted successfully.

Qu est ce que vous en penser?Bon sur ce je vous dit bonne nuit et vraiment merci pour votre aide!!!!Je repasserai demain!

Utilisateur anonyme · Answer

ton rapport ne montre rien de bon 

---> Télécharge ComboFix.exe de sUBs sur ton Bureau :   

http://download.bleepingcomputer.com/sUBs/ComboFix.exe   

/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\   

---> Double-clique sur Combofix.exe   
Un "pop-up" va apparaître qui dit que "ComboFix est utilisé à vos risques et avec aucune garantie...".   
Accepte en cliquant sur "Oui"   

---> Mets-le en langue française F   
Tape sur la touche 1 (Yes) pour démarrer le scan.   

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\   

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.   

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu   

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\   

Note : Le rapport se trouve également là : C:\ComboFix.txt

slygirl · Answer

bonjour, 

j ai un autre probleme, la j ecrit d un autre poste, l ordinateur infecté ne peut plus se connecter a internet, je ne peut donc plus telecharger de logiciel, comment je peut faire? 
il m affiche une page blanche avec travailler hors connection d adresse 

res://ieframe.dll/dnserror.htm#

slygirl · Answer

Personne pour m'aider?:(

slygirl · Answer

J'ai réglé le probleme d'internet, voici le rapport de combo fix , qu'en pensez vous?

ComboFix 10-05-28.01 - Claire 28/05/2010  20:24:16.1.2 - x86
Microsoft Windows XP Édition familiale  5.1.2600.2.1252.33.1036.18.2047.1412 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\Claire\Bureau\ComboFix.exe
AV: AVG Anti-Virus Free *On-access scanning enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users.\documents\settings
C:\Documents and Settings\Claire\Application Data\bywsf.exe

.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-04-28 au 2010-05-28  ))))))))))))))))))))))))))))))))))))
.

2010-05-28 15:20:58 . 2010-05-28 18:03:35	--------	d-----w-	C:\Documents and Settings\Claire\Application Data\MSN6
2010-05-28 15:20:58 . 2010-05-28 15:20:58	--------	d-----w-	C:\Documents and Settings\All Users\Application Data\MSN6
2010-05-27 20:38:03 . 2010-05-27 20:38:03	--------	d-----w-	C:\Documents and Settings\Claire\Application Data\Malwarebytes
2010-05-27 20:37:49 . 2010-04-29 13:39:38	38224	----a-w-	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2010-05-27 20:37:48 . 2010-05-27 20:37:48	--------	d-----w-	C:\Documents and Settings\All Users\Application Data\Malwarebytes
2010-05-27 20:37:47 . 2010-05-27 20:37:52	--------	d-----w-	C:\Program Files\Malwarebytes' Anti-Malware
2010-05-27 20:37:47 . 2010-04-29 13:39:26	20952	----a-w-	C:\WINDOWS\system32\drivers\mbam.sys
2010-05-27 20:21:35 . 2010-05-27 20:21:36	956289	----a-w-	C:\UsbFix_Upload_Me_DUPAYAGE-RXM6XX.zip
2010-05-27 19:43:40 . 2010-05-27 20:21:36	--------	d-----w-	C:\UsbFix
2010-05-27 19:32:23 . 2010-05-27 19:35:29	--------	d-----w-	C:\Program Files\ZHPDiag
2010-05-27 18:58:48 . 2010-05-27 19:07:47	--------	d-----w-	C:\Ad-Remover
2010-05-27 18:10:57 . 2010-05-27 18:42:51	--------	d-----w-	C:\hijackthis
2010-05-26 21:01:35 . 2010-05-27 18:04:36	--------	d-----w-	C:\Roboform
2010-05-26 18:45:57 . 2010-05-26 19:56:39	--------	d-----w-	C:\WINDOWS\BDOSCAN8
2010-05-26 13:30:52 . 2010-05-26 13:30:52	503808	----a-w-	C:\Documents and Settings\Claire\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-5b1aa4f1-n\msvcp71.dll
2010-05-26 13:30:52 . 2010-05-26 13:30:52	499712	----a-w-	C:\Documents and Settings\Claire\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-5b1aa4f1-n\jmc.dll
2010-05-26 13:30:52 . 2010-05-26 13:30:52	348160	----a-w-	C:\Documents and Settings\Claire\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-5b1aa4f1-n\msvcr71.dll
2010-05-26 13:30:51 . 2010-05-26 13:30:51	61440	----a-w-	C:\Documents and Settings\Claire\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-476d637b-n\decora-sse.dll
2010-05-26 13:30:51 . 2010-05-26 13:30:51	12800	----a-w-	C:\Documents and Settings\Claire\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-476d637b-n\decora-d3d.dll
2010-05-20 19:29:30 . 2010-05-20 19:29:30	8463808	----a-w-	C:\Documents and Settings\Claire\Application Data\Azureus	mp\AZU4965660820325361223.tmp\Vuze_4.4.0.4_win32.exe
2010-05-19 14:40:59 . 2010-05-19 14:40:59	--------	d-----w-	C:\WINDOWS\system32\wbem\Repository
2010-05-04 11:23:53 . 2008-07-31 08:41:52	68616	----a-w-	C:\WINDOWS\system32\XAPOFX1_1.dll
2010-05-04 11:23:53 . 2008-07-31 08:40:32	509448	----a-w-	C:\WINDOWS\system32\XAudio2_2.dll
2010-05-04 11:23:48 . 2008-07-31 08:41:54	238088	----a-w-	C:\WINDOWS\system32\xactengine3_2.dll
2010-05-04 11:23:42 . 2008-07-10 09:01:00	467984	----a-w-	C:\WINDOWS\system32\d3dx10_39.dll
2010-05-04 11:23:42 . 2008-07-10 09:00:58	1493528	----a-w-	C:\WINDOWS\system32\D3DCompiler_39.dll
2010-05-04 11:23:35 . 2008-07-10 09:00:58	3851784	----a-w-	C:\WINDOWS\system32\D3DX9_39.dll

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-28 18:22:53 . 2009-06-01 20:06:59	--------	d-----w-	C:\Documents and Settings\Claire\Application Data\DNA
2010-05-28 18:02:51 . 2009-06-01 20:06:59	--------	d-----w-	C:\Program Files\DNA
2010-05-27 20:37:56 . 2008-01-16 23:34:44	--------	d-----w-	C:\Documents and Settings\Claire\Application Data\Free Download Manager
2010-05-27 20:35:25 . 2008-01-16 23:36:41	--------	d-----w-	C:\Program Files\Windows Live
2010-05-27 19:51:07 . 2008-01-16 23:49:32	--------	d-----w-	C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2010-05-20 20:11:41 . 2009-02-01 20:52:26	--------	d-----w-	C:\Documents and Settings\Claire\Application Data\Azureus
2010-05-20 10:37:10 . 2010-02-24 08:09:26	--------	d-----w-	C:\Documents and Settings\All Users\Application Data\avg9
2010-05-16 17:18:50 . 2010-05-16 17:18:50	5	----a-w-	C:\WINDOWS\system32\YoItzVlad22222x.tmp
2010-05-16 17:18:48 . 2010-05-16 17:18:48	5	----a-w-	C:\WINDOWS\system32\qwdijxxixojdxf.tmp
2010-05-15 17:19:23 . 2009-06-07 10:30:27	--------	d-----w-	C:\Program Files\Google
2010-05-03 15:36:07 . 2008-01-16 21:36:36	--------	d--h--w-	C:\Program Files\InstallShield Installation Information
2010-05-01 10:56:55 . 2009-01-10 11:35:18	--------	d-----w-	C:\Documents and Settings\All Users\Application Data\PMB Files
2010-04-21 06:41:26 . 2010-02-24 08:10:08	242896	----a-w-	C:\WINDOWS\system32\drivers\avgtdix.sys
2010-04-19 10:43:21 . 2010-04-19 10:43:21	503808	----a-w-	C:\Documents and Settings\Claire\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-5e3b78c4-n\msvcp71.dll
2010-04-19 10:43:21 . 2010-04-19 10:43:21	499712	----a-w-	C:\Documents and Settings\Claire\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-5e3b78c4-n\jmc.dll
2010-04-19 10:43:21 . 2010-04-19 10:43:21	348160	----a-w-	C:\Documents and Settings\Claire\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-5e3b78c4-n\msvcr71.dll
2010-04-19 10:43:19 . 2010-04-19 10:43:19	61440	----a-w-	C:\Documents and Settings\Claire\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-4be9744f-n\decora-sse.dll
2010-04-19 10:43:19 . 2010-04-19 10:43:19	12800	----a-w-	C:\Documents and Settings\Claire\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-4be9744f-n\decora-d3d.dll
2010-04-19 10:43:08 . 2008-05-06 19:13:42	--------	d-----w-	C:\Program Files\Java
2010-04-12 15:29:19 . 2010-04-19 10:43:10	411368	----a-w-	C:\WINDOWS\system32\deployJava1.dll
2010-03-28 09:45:43 . 2002-08-30 12:00:00	763632	----a-w-	C:\WINDOWS\system32\perfh00C.dat
2010-03-28 09:45:43 . 2002-08-30 12:00:00	145594	----a-w-	C:\WINDOWS\system32\perfc00C.dat
2010-03-15 12:28:43 . 2010-03-15 12:28:43	12464	----a-w-	C:\WINDOWS\system32\avgrsstx.dll
2010-03-15 12:28:43 . 2010-02-24 08:09:59	29512	----a-w-	C:\WINDOWS\system32\drivers\avgmfx86.sys
2010-03-15 12:28:03 . 2010-02-24 08:10:01	216200	----a-w-	C:\WINDOWS\system32\drivers\avgldx86.sys
2010-03-11 12:34:41 . 2006-06-23 12:28:30	832512	----a-w-	C:\WINDOWS\system32\wininet.dll
2010-03-11 12:34:32 . 2004-08-19 23:09:27	78336	----a-w-	C:\WINDOWS\system32\ieencode.dll
2010-03-11 12:34:30 . 2002-08-30 12:00:00	17408	----a-w-	C:\WINDOWS\system32\corpol.dll
2010-03-09 11:10:23 . 2002-08-30 12:00:00	430080	----a-w-	C:\WINDOWS\system32\vbscript.dll
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BitTorrent DNA"="C:\Program Files\DNA\btdna.exe" [2009-11-13 11:51:36 323392]
"RoboForm"="C:\Roboform\RoboTaskBarIcon.exe" [2010-05-27 10:41:25 160328]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Smapp"="C:\Program Files\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 07:57:30 143360]
"SkyTel"="SkyTel.EXE" [2006-05-16 10:04:26 2879488]
"RTHDCPL"="RTHDCPL.EXE" [2007-02-26 07:03:02 16125440]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 15:10:28 35696]
"SunJavaUpdateSched"="C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 09:43:18 248040]
"nwiz"="C:\Program Files\NVIDIA Corporation
View
wiz.exe" [2009-08-05 22:39:00 1657376]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2009-08-06 08:44:34 86016]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2009-08-06 08:44:34 13877248]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 23:09:51 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\avgrsstarter]
2010-03-15 12:28:43	12464	----a-w-	C:\WINDOWS\system32\avgrsstx.dll

R1 AvgLdx86;AVG Free AVI Loader Driver x86;C:\WINDOWS\system32\drivers\avgldx86.sys [24/02/2010 10:10:01 216200]
R1 AvgTdiX;AVG Free Network Redirector;C:\WINDOWS\system32\drivers\avgtdix.sys [24/02/2010 10:10:08 242896]
R2 avg9wd;AVG Free WatchDog;C:\Program Files\AVG\AVG9\avgwdsvc.exe [15/03/2010 14:28:39 308064]
S2 gupdate1c9ecd4db0abf0a;Service Google Update (gupdate1c9ecd4db0abf0a);C:\Program Files\Google\Update\GoogleUpdate.exe [14/06/2009 11:45:29 133104]
S3 bssdkbmh;bssdkbmh;\??\C:\WINDOWS\System32\Drivers\bssdkbmh.sys --> C:\WINDOWS\System32\Drivers\bssdkbmh.sys [?]
S3 efipgriy;efipgriy;\??\C:\WINDOWS\System32\Drivers\efipgriy.sys --> C:\WINDOWS\System32\Drivers\efipgriy.sys [?]
S3 fgmhmffs;fgmhmffs;\??\C:\WINDOWS\System32\Drivers\fgmhmffs.sys --> C:\WINDOWS\System32\Drivers\fgmhmffs.sys [?]
S3 hcqfxqwg;hcqfxqwg;\??\C:\WINDOWS\System32\Drivers\hcqfxqwg.sys --> C:\WINDOWS\System32\Drivers\hcqfxqwg.sys [?]
S3 hynltelj;hynltelj;\??\C:\WINDOWS\System32\Drivers\hynltelj.sys --> C:\WINDOWS\System32\Drivers\hynltelj.sys [?]
S3 isofdfzl;isofdfzl;\??\C:\WINDOWS\System32\Drivers\isofdfzl.sys --> C:\WINDOWS\System32\Drivers\isofdfzl.sys [?]
S3 lsgbadhx;lsgbadhx;\??\C:\WINDOWS\System32\Drivers\lsgbadhx.sys --> C:\WINDOWS\System32\Drivers\lsgbadhx.sys [?]
S3 mlajabft;mlajabft;\??\C:\WINDOWS\System32\Drivers\mlajabft.sys --> C:\WINDOWS\System32\Drivers\mlajabft.sys [?]
S3 nenum13E;nenum13E;\??\C:\DOCUME~1\Claire\LOCALS~1\Temp
enum13E.sys --> C:\DOCUME~1\Claire\LOCALS~1\Temp
enum13E.sys [?]
S3 npggsvc;nProtect GameGuard Service;C:\WINDOWS\system32\GameMon.des -service --> C:\WINDOWS\system32\GameMon.des -service [?]
S3 sajrfwvs;sajrfwvs;\??\C:\WINDOWS\System32\Drivers\sajrfwvs.sys --> C:\WINDOWS\System32\Drivers\sajrfwvs.sys [?]
S3 sdingpix;sdingpix;\??\C:\WINDOWS\System32\Drivers\sdingpix.sys --> C:\WINDOWS\System32\Drivers\sdingpix.sys [?]
S3 sfwgeneo;sfwgeneo;\??\C:\WINDOWS\System32\Drivers\sfwgeneo.sys --> C:\WINDOWS\System32\Drivers\sfwgeneo.sys [?]
S3 SPC220NC;Philips SPC220NC Webcam;C:\WINDOWS\system32\DRIVERS\SPC220NC.SYS --> C:\WINDOWS\system32\DRIVERS\SPC220NC.SYS [?]
S3 uxdahbth;uxdahbth;\??\C:\WINDOWS\System32\Drivers\uxdahbth.sys --> C:\WINDOWS\System32\Drivers\uxdahbth.sys [?]
S3 vsyxoakk;vsyxoakk;\??\C:\WINDOWS\System32\Drivers\vsyxoakk.sys --> C:\WINDOWS\System32\Drivers\vsyxoakk.sys [?]
S3 XDva020;XDva020;\??\C:\WINDOWS\system32\XDva020.sys --> C:\WINDOWS\system32\XDva020.sys [?]
S3 XDva090;XDva090;\??\C:\WINDOWS\system32\XDva090.sys --> C:\WINDOWS\system32\XDva090.sys [?]
S3 XDva164;XDva164;\??\C:\WINDOWS\system32\XDva164.sys --> C:\WINDOWS\system32\XDva164.sys [?]
S3 XDva190;XDva190;\??\C:\WINDOWS\system32\XDva190.sys --> C:\WINDOWS\system32\XDva190.sys [?]
S3 XDva248;XDva248;\??\C:\WINDOWS\system32\XDva248.sys --> C:\WINDOWS\system32\XDva248.sys [?]
S3 XDva273;XDva273;\??\C:\WINDOWS\system32\XDva273.sys --> C:\WINDOWS\system32\XDva273.sys [?]
S3 yeczluow;yeczluow;\??\C:\WINDOWS\System32\Drivers\yeczluow.sys --> C:\WINDOWS\System32\Drivers\yeczluow.sys [?]
S3 ypxpffja;ypxpffja;\??\C:\WINDOWS\System32\Drivers\ypxpffja.sys --> C:\WINDOWS\System32\Drivers\ypxpffja.sys [?]
S3 zonpziho;zonpziho;\??\C:\WINDOWS\System32\Drivers\zonpziho.sys --> C:\WINDOWS\System32\Drivers\zonpziho.sys [?]
.
Contenu du dossier 'Tâches planifiées'

2010-05-28 C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job
- C:\Program Files\Google\Update\GoogleUpdate.exe [2009-06-14 09:45:29 . 2009-06-14 09:45:21]

2010-05-28 C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job
- C:\Program Files\Google\Update\GoogleUpdate.exe [2009-06-14 09:45:29 . 2009-06-14 09:45:21]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.sfr.fr/fr/adsl.jsp
uInternet Settings,ProxyOverride = *.local
IE: Barre RoboForm - file://C:\Roboform\RoboFormComShowToolbar.html
IE: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
IE: Enregistrer le formulaire - file://C:\Roboform\RoboFormComSavePass.html
IE: Personnaliser le menu - file://C:\Roboform\RoboFormComCustomizeIEMenu.html
IE: Remplir le formulaire - file://C:\Roboform\RoboFormComFillForms.html
IE: Tout télécharger avec Free Download Manager - file://C:\Free download manger\Free Download Manager\dlall.htm
IE: Télécharger avec Free Download Manager - file://C:\Free download manger\Free Download Manager\dllink.htm
IE: Télécharger la sélection avec Free Download Manager - file://C:\Free download manger\Free Download Manager\dlselected.htm
IE: Télécharger la vidéo avec Free Download Manager - file://C:\Free download manger\Free Download Manager\dlfvideo.htm
DPF: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab
DPF: {AA07EBD2-EBDD-4BD6-9F8F-114BD513492C} - hxxp://disteng.nefficient.com/disteng/neffy/NeffyLauncher.cab
DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game04.zylom.com/activex/zylomgamesplayer.cab
DPF: {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} - hxxps://bellerock.gameassists.co.uk/freeplayfrench/FlashAX2.cab
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-MsnMsgr - C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
HKLM-Run-raidhost.exe - raidhost.exe
Notify-AtiExtEvent - (no file)
MSConfigStartUp-Microsoft - Microsoft.exe

Utilisateur anonyme · Answer

ton rapport nes pas complet 


il est écris sa a la fin 

- - End Of File - -

slygirl · Answer

alors j ai refait une analyse et cette fois elle est complete, la voici:

ComboFix 10-05-28.01 - Claire 28/05/2010  21:01:58.2.2 - x86
Microsoft Windows XP Édition familiale  5.1.2600.2.1252.33.1036.18.2047.1506 [GMT 2:00]
Lancé depuis: c:\documents and settings\Claire\Bureau\ComboFix.exe
AV: AVG Anti-Virus Free *On-access scanning enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Exécution préalable -------
.
c:\documents and settings\All Users.\documents\settings
c:\documents and settings\Claire\Application Data\bywsf.exe

.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-04-28 au 2010-05-28  ))))))))))))))))))))))))))))))))))))
.

2010-05-28 18:43 . 2010-05-28 18:43	--------	d-----w-	C:\Msn
2010-05-28 15:20 . 2010-05-28 18:03	--------	d-----w-	c:\documents and settings\Claire\Application Data\MSN6
2010-05-28 15:20 . 2010-05-28 15:20	--------	d-----w-	c:\documents and settings\All Users\Application Data\MSN6
2010-05-27 20:38 . 2010-05-27 20:38	--------	d-----w-	c:\documents and settings\Claire\Application Data\Malwarebytes
2010-05-27 20:37 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-05-27 20:37 . 2010-05-27 20:37	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2010-05-27 20:37 . 2010-05-27 20:37	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-05-27 20:37 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-05-27 20:21 . 2010-05-27 20:21	956289	----a-w-	C:\UsbFix_Upload_Me_DUPAYAGE-RXM6XX.zip
2010-05-27 19:43 . 2010-05-27 20:21	--------	d-----w-	C:\UsbFix
2010-05-27 19:32 . 2010-05-27 19:35	--------	d-----w-	c:\program files\ZHPDiag
2010-05-27 18:58 . 2010-05-27 19:07	--------	d-----w-	C:\Ad-Remover
2010-05-27 18:10 . 2010-05-27 18:42	--------	d-----w-	C:\hijackthis
2010-05-26 21:01 . 2010-05-27 18:04	--------	d-----w-	C:\Roboform
2010-05-26 18:45 . 2010-05-26 19:56	--------	d-----w-	c:\windows\BDOSCAN8
2010-05-26 13:30 . 2010-05-26 13:30	503808	----a-w-	c:\documents and settings\Claire\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-5b1aa4f1-n\msvcp71.dll
2010-05-26 13:30 . 2010-05-26 13:30	499712	----a-w-	c:\documents and settings\Claire\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-5b1aa4f1-n\jmc.dll
2010-05-26 13:30 . 2010-05-26 13:30	348160	----a-w-	c:\documents and settings\Claire\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-5b1aa4f1-n\msvcr71.dll
2010-05-26 13:30 . 2010-05-26 13:30	61440	----a-w-	c:\documents and settings\Claire\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-476d637b-n\decora-sse.dll
2010-05-26 13:30 . 2010-05-26 13:30	12800	----a-w-	c:\documents and settings\Claire\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-476d637b-n\decora-d3d.dll
2010-05-20 19:29 . 2010-05-20 19:29	8463808	----a-w-	c:\documents and settings\Claire\Application Data\Azureus	mp\AZU4965660820325361223.tmp\Vuze_4.4.0.4_win32.exe
2010-05-19 14:40 . 2010-05-19 14:40	--------	d-----w-	c:\windows\system32\wbem\Repository
2010-05-04 11:23 . 2008-07-31 08:41	68616	----a-w-	c:\windows\system32\XAPOFX1_1.dll
2010-05-04 11:23 . 2008-07-31 08:40	509448	----a-w-	c:\windows\system32\XAudio2_2.dll
2010-05-04 11:23 . 2008-07-31 08:41	238088	----a-w-	c:\windows\system32\xactengine3_2.dll
2010-05-04 11:23 . 2008-07-10 09:01	467984	----a-w-	c:\windows\system32\d3dx10_39.dll
2010-05-04 11:23 . 2008-07-10 09:00	1493528	----a-w-	c:\windows\system32\D3DCompiler_39.dll
2010-05-04 11:23 . 2008-07-10 09:00	3851784	----a-w-	c:\windows\system32\D3DX9_39.dll

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-28 19:02 . 2009-06-01 20:06	--------	d-----w-	c:\documents and settings\Claire\Application Data\DNA
2010-05-28 18:47 . 2008-01-16 23:36	--------	d-----w-	c:\program files\Windows Live
2010-05-28 18:32 . 2009-06-01 20:06	--------	d-----w-	c:\program files\DNA
2010-05-27 20:37 . 2008-01-16 23:34	--------	d-----w-	c:\documents and settings\Claire\Application Data\Free Download Manager
2010-05-27 19:51 . 2008-01-16 23:49	--------	d-----w-	c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-05-20 20:11 . 2009-02-01 20:52	--------	d-----w-	c:\documents and settings\Claire\Application Data\Azureus
2010-05-20 10:37 . 2010-02-24 08:09	--------	d-----w-	c:\documents and settings\All Users\Application Data\avg9
2010-05-16 17:18 . 2010-05-16 17:18	5	----a-w-	c:\windows\system32\YoItzVlad22222x.tmp
2010-05-16 17:18 . 2010-05-16 17:18	5	----a-w-	c:\windows\system32\qwdijxxixojdxf.tmp
2010-05-15 17:19 . 2009-06-07 10:30	--------	d-----w-	c:\program files\Google
2010-05-03 15:36 . 2008-01-16 21:36	--------	d--h--w-	c:\program files\InstallShield Installation Information
2010-05-01 10:56 . 2009-01-10 11:35	--------	d-----w-	c:\documents and settings\All Users\Application Data\PMB Files
2010-04-21 06:41 . 2010-02-24 08:10	242896	----a-w-	c:\windows\system32\drivers\avgtdix.sys
2010-04-19 10:43 . 2010-04-19 10:43	503808	----a-w-	c:\documents and settings\Claire\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-5e3b78c4-n\msvcp71.dll
2010-04-19 10:43 . 2010-04-19 10:43	499712	----a-w-	c:\documents and settings\Claire\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-5e3b78c4-n\jmc.dll
2010-04-19 10:43 . 2010-04-19 10:43	348160	----a-w-	c:\documents and settings\Claire\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-5e3b78c4-n\msvcr71.dll
2010-04-19 10:43 . 2010-04-19 10:43	61440	----a-w-	c:\documents and settings\Claire\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-4be9744f-n\decora-sse.dll
2010-04-19 10:43 . 2010-04-19 10:43	12800	----a-w-	c:\documents and settings\Claire\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-4be9744f-n\decora-d3d.dll
2010-04-19 10:43 . 2008-05-06 19:13	--------	d-----w-	c:\program files\Java
2010-04-16 20:12 . 2010-04-16 20:12	48464	----a-w-	c:\windows\system32\sirenacm.dll
2010-04-12 15:29 . 2010-04-19 10:43	411368	----a-w-	c:\windows\system32\deployJava1.dll
2010-03-28 09:45 . 2002-08-30 12:00	763632	----a-w-	c:\windows\system32\perfh00C.dat
2010-03-28 09:45 . 2002-08-30 12:00	145594	----a-w-	c:\windows\system32\perfc00C.dat
2010-03-15 12:28 . 2010-03-15 12:28	12464	----a-w-	c:\windows\system32\avgrsstx.dll
2010-03-15 12:28 . 2010-02-24 08:09	29512	----a-w-	c:\windows\system32\drivers\avgmfx86.sys
2010-03-15 12:28 . 2010-02-24 08:10	216200	----a-w-	c:\windows\system32\drivers\avgldx86.sys
2010-03-11 12:34 . 2006-06-23 12:28	832512	----a-w-	c:\windows\system32\wininet.dll
2010-03-11 12:34 . 2004-08-19 23:09	78336	----a-w-	c:\windows\system32\ieencode.dll
2010-03-11 12:34 . 2002-08-30 12:00	17408	----a-w-	c:\windows\system32\corpol.dll
2010-03-09 11:10 . 2002-08-30 12:00	430080	----a-w-	c:\windows\system32\vbscript.dll
.

(((((((((((((((((((((((((((((   SnapShot@2010-05-28_18.28.19   )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-05-28 18:32 . 2010-05-28 18:32	16384              c:\windows\Temp\Perflib_Perfdata_ac.dat
+ 2010-05-28 18:47 . 2010-05-28 18:47	27136              c:\windows\Installer\def5a.msi
+ 2010-05-28 18:47 . 2010-05-28 18:47	83456              c:\windows\Installer\def50.msi
+ 2010-05-28 18:47 . 2010-05-28 18:47	58880              c:\windows\Installer\def4b.msi
+ 2010-05-28 18:47 . 2010-05-28 18:47	61272              c:\windows\Installer\{B3B487E7-6171-4376-9074-B28082CEB504}\IconWlc.exe
+ 2010-05-28 18:47 . 2010-05-28 18:47	80395              c:\windows\Installer\{445B183D-F4F1-45C8-B9DB-F11355CA657B}\MsblIco.Exe
+ 2010-05-28 18:47 . 2010-05-28 18:47	429056              c:\windows\Installer\def60.msi
+ 2010-05-28 18:47 . 2010-05-28 18:47	149504              c:\windows\Installer\def55.msi
+ 2010-05-28 18:46 . 2010-05-28 18:46	107008              c:\windows\Installer\def46.msi
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2010-04-16 3872080]
"BitTorrent DNA"="c:\program files\DNA\btdna.exe" [2009-11-13 323392]
"RoboForm"="c:oboform\RoboTaskBarIcon.exe" [2010-05-27 160328]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Smapp"="c:\program files\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 143360]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"RTHDCPL"="RTHDCPL.EXE" [2007-02-26 16125440]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]
"nwiz"="c:\program files\NVIDIA Corporation
View
wiz.exe" [2009-08-05 1657376]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-08-06 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-08-06 13877248]
"raidhost.exe"="raidhost.exe" [BU]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\AtiExtEvent]
 [BU]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\avgrsstarter]
2010-03-15 12:28	12464	----a-w-	c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft.exe]
Microsoft.exe [BU]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\DNA\btdna.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [24/02/2010 10:10 216200]
R1 AvgTdiX;AVG Free Network Redirector;c:\windows\system32\drivers\avgtdix.sys [24/02/2010 10:10 242896]
R2 avg9wd;AVG Free WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [15/03/2010 14:28 308064]
S2 gupdate1c9ecd4db0abf0a;Service Google Update (gupdate1c9ecd4db0abf0a);c:\program files\Google\Update\GoogleUpdate.exe [14/06/2009 11:45 133104]
S3 bssdkbmh;bssdkbmh;\??\c:\windows\System32\Drivers\bssdkbmh.sys --> c:\windows\System32\Drivers\bssdkbmh.sys [?]
S3 efipgriy;efipgriy;\??\c:\windows\System32\Drivers\efipgriy.sys --> c:\windows\System32\Drivers\efipgriy.sys [?]
S3 fgmhmffs;fgmhmffs;\??\c:\windows\System32\Drivers\fgmhmffs.sys --> c:\windows\System32\Drivers\fgmhmffs.sys [?]
S3 hcqfxqwg;hcqfxqwg;\??\c:\windows\System32\Drivers\hcqfxqwg.sys --> c:\windows\System32\Drivers\hcqfxqwg.sys [?]
S3 hynltelj;hynltelj;\??\c:\windows\System32\Drivers\hynltelj.sys --> c:\windows\System32\Drivers\hynltelj.sys [?]
S3 isofdfzl;isofdfzl;\??\c:\windows\System32\Drivers\isofdfzl.sys --> c:\windows\System32\Drivers\isofdfzl.sys [?]
S3 lsgbadhx;lsgbadhx;\??\c:\windows\System32\Drivers\lsgbadhx.sys --> c:\windows\System32\Drivers\lsgbadhx.sys [?]
S3 mlajabft;mlajabft;\??\c:\windows\System32\Drivers\mlajabft.sys --> c:\windows\System32\Drivers\mlajabft.sys [?]
S3 nenum13E;nenum13E;\??\c:\docume~1\Claire\LOCALS~1\Temp
enum13E.sys --> c:\docume~1\Claire\LOCALS~1\Temp
enum13E.sys [?]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
S3 sajrfwvs;sajrfwvs;\??\c:\windows\System32\Drivers\sajrfwvs.sys --> c:\windows\System32\Drivers\sajrfwvs.sys [?]
S3 sdingpix;sdingpix;\??\c:\windows\System32\Drivers\sdingpix.sys --> c:\windows\System32\Drivers\sdingpix.sys [?]
S3 sfwgeneo;sfwgeneo;\??\c:\windows\System32\Drivers\sfwgeneo.sys --> c:\windows\System32\Drivers\sfwgeneo.sys [?]
S3 SPC220NC;Philips SPC220NC Webcam;c:\windows\system32\DRIVERS\SPC220NC.SYS --> c:\windows\system32\DRIVERS\SPC220NC.SYS [?]
S3 uxdahbth;uxdahbth;\??\c:\windows\System32\Drivers\uxdahbth.sys --> c:\windows\System32\Drivers\uxdahbth.sys [?]
S3 vsyxoakk;vsyxoakk;\??\c:\windows\System32\Drivers\vsyxoakk.sys --> c:\windows\System32\Drivers\vsyxoakk.sys [?]
S3 XDva020;XDva020;\??\c:\windows\system32\XDva020.sys --> c:\windows\system32\XDva020.sys [?]
S3 XDva090;XDva090;\??\c:\windows\system32\XDva090.sys --> c:\windows\system32\XDva090.sys [?]
S3 XDva164;XDva164;\??\c:\windows\system32\XDva164.sys --> c:\windows\system32\XDva164.sys [?]
S3 XDva190;XDva190;\??\c:\windows\system32\XDva190.sys --> c:\windows\system32\XDva190.sys [?]
S3 XDva248;XDva248;\??\c:\windows\system32\XDva248.sys --> c:\windows\system32\XDva248.sys [?]
S3 XDva273;XDva273;\??\c:\windows\system32\XDva273.sys --> c:\windows\system32\XDva273.sys [?]
S3 yeczluow;yeczluow;\??\c:\windows\System32\Drivers\yeczluow.sys --> c:\windows\System32\Drivers\yeczluow.sys [?]
S3 ypxpffja;ypxpffja;\??\c:\windows\System32\Drivers\ypxpffja.sys --> c:\windows\System32\Drivers\ypxpffja.sys [?]
S3 zonpziho;zonpziho;\??\c:\windows\System32\Drivers\zonpziho.sys --> c:\windows\System32\Drivers\zonpziho.sys [?]
.
Contenu du dossier 'Tâches planifiées'

2010-05-28 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-06-14 09:45]

2010-05-28 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-06-14 09:45]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.sfr.fr/fr/adsl.jsp
uInternet Settings,ProxyOverride = *.local
IE: Barre RoboForm - file://c:oboform\RoboFormComShowToolbar.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
IE: Enregistrer le formulaire - file://c:oboform\RoboFormComSavePass.html
IE: Personnaliser le menu - file://c:oboform\RoboFormComCustomizeIEMenu.html
IE: Remplir le formulaire - file://c:oboform\RoboFormComFillForms.html
IE: Tout télécharger avec Free Download Manager - file://c:\free download manger\Free Download Manager\dlall.htm
IE: Télécharger avec Free Download Manager - file://c:\free download manger\Free Download Manager\dllink.htm
IE: Télécharger la sélection avec Free Download Manager - file://c:\free download manger\Free Download Manager\dlselected.htm
IE: Télécharger la vidéo avec Free Download Manager - file://c:\free download manger\Free Download Manager\dlfvideo.htm
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {AA07EBD2-EBDD-4BD6-9F8F-114BD513492C} - hxxp://disteng.nefficient.com/disteng/neffy/NeffyLauncher.cab
DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game04.zylom.com/activex/zylomgamesplayer.cab
DPF: {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} - hxxps://bellerock.gameassists.co.uk/freeplayfrench/FlashAX2.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-28 21:08
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services
pggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø*€|ÿÿÿÿ*€|ù*9~*]
"C040110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(3928)
c:\progra~1\WINDOW~2\wmpband.dll
.
Heure de fin: 2010-05-28  21:11:07
ComboFix-quarantined-files.txt  2010-05-28 19:11

Avant-CF: 3 421 040 640 octets libres
Après-CF: 3 393 232 896 octets libres

- - End Of File - - EA1C2E66BF23F60999758747A89498A3


merci!

Utilisateur anonyme · Answer

comment va ton PC ?

slygirl · Answer

Pour l instant je constate rien, il ne rame plus, ca a l air clean mais comment en etre sur?

Utilisateur anonyme · Answer

refais un ZHPDIAG pour contrôle  est poste le rapport

slygirl · Answer

voila le rapport :

http://www.cijoint.fr/cjlink.php?file=cj201005/cijR1NK4w0.txt

Utilisateur anonyme · Answer

fais un scan avec ton antivirus est dis moi si il trouve quelque chose

ensuite on passeras a la fin de la désinfection

Slygirl · Answer

Bonjour,

Je vien de finir l'analyse AVG, il a trouvé 13 infections qu'il a supprimé : 2 chevaux de troie : SHeur3.AABX et le reste se sont des Blackdoor.Generic12.BOZG ou  BOXJ tous placé dans le systeme/volum information.

Merci de me tenir au courant.

Utilisateur anonyme · Answer

bonjour Lamer01, sur rapport combofix, il y a ceci : ital>[HKEY_LOCAL_MACHINE\System\ControlSet001\Services pggsvc] "ImagePath"="c:\windows\system32\GameMon.des -service" @++

Utilisateur anonyme · Answer

Double clique sur ZHPFix qui présent sur ton bureau 

 Clique sur l'icône représentant un H vert 

 Copie puis colle le texte suivant dans le cadre jaune de ZHPFix : 





O64 - Services: CurCS - (.not file.) - nenum13E (nenum13E) .(.Pas de propriÃ©taire - Pas de description.) - LEGACY_NENUM13E  
MBRFix 



 Clique sur le bouton Tous puis sur Nettoyer 

 Copie/colle le rapport qui apparaîtra à la fin 


ENSUITE 


Télécharge : Gmer (by Przemyslaw Gmerek    


Dezippe gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.    

Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)    

Ensuite    

sur les lignes rouge:    

Services:cliques droit delete service    
Process:cliques droit kill process    
Adl ,file:cliques droit delete files

Slygirl · Answer

Je suis dégoutée....ca fait 2 heures que Gmer scaner (par contre pas encore apparu de ligne rouge) pi d'un coup l'ordi a redem et il me dit que windows a recupérer une erreur sérieuse....que dois je faire?un nouveau scan?:/

Utilisateur anonyme · Answer

bonjour,
si je peux me permettre :

as tu passé zhpfix avec la ligne à fixer comme te l'a décrit Lamer01 ?

Double clique sur ZHPFix qui présent sur ton bureau 

Clique sur l'icône représentant un H vert 

Copie puis colle le texte suivant dans le cadre jaune de ZHPFix : 

O64 - Services: CurCS - (.not file.) - nenum13E (nenum13E) .(.Pas de propriÃ©taire - Pas de description.) - LEGACY_NENUM13E 
MBRFix 

Clique sur le bouton Tous puis sur Nettoyer 

Copie/colle le rapport qui apparaîtra à la fin 

si oui, relance Combofix, laiss travaille l'outil, colle le contenu de son rapport entièrement sur ton prochain message

Merci

slygirl · Answer

Je vien de me rendre compte justement que j'avai pas vu le début je suis parti direct sur gmer....donc la je fai ZHPFIX je vous colle le rapport en ensuite je fai Gmer?

slygirl · Answer

J'ai un probleme il me dai impossible de ..........il doit etre utiliser par un autre processus....

slygirl · Answer

C'est bon voila le rapport zhpfix :

ZHPFix v1.12.3102  by Nicolas Coolman - Rapport de suppression du 29/05/2010 13:17:10
Fichier d'export Registre : 
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Préférences navigateur :
(Néant)

Dossier :
(Néant)

Fichier :
(Néant)

Logiciel :
(Néant)

Script Registre :
(Néant)

Master Boot Record :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 0
Fichier : 0
Logiciel : 0
Master Boot Record : 0
Préférences navigateur : 0
Autre : 0


End of the scan

Utilisateur anonyme · Answer

OK.

- Télécharge OTM (OldTimer) sur ton Bureau ==> http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
- Clique  "OTMoveIt3.exe"  afin de le lancer.
- Copie (Ctrl+C) le texte suivant en gras ci-dessous :

---------------------------------------------------------------------------------
:reg
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services
pggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service" 

:files

:commands
[purity]
[emptytemp]
[Reboot]
----------------------------------------------------------------------------------


- Colle (Ctrl+V) le texte précédemment copié dans le cadre: Paste Instructions for Items to be Moved.

- Clique maintenant sur le bouton MoveIt!

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log

Utilisateur anonyme · Answer

repasse un autre zhp, héberge le rapport sur cijoint, colle le lien fourni sur ton prochain message

merci

slygirl · Answer

Euh je fai koi en premier?

Utilisateur anonyme · Answer

juste zhpdiag  :-)

Slygirl · Answer

Voici le rapport :

http://www.cijoint.fr/cjlink.php?file=cj201005/cijS9PyOJT.txt

Utilisateur anonyme · Answer

il y a encore quelque brocole à faire  :-) 

plus de trace de rootkit  :-)

* Télécharge JavaRa.zip de Paul McLain et Fred de Vries. 

http://raproducts.org/click/click.php?id=1 

* Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). 
* Double-clique sur le répertoire JavaRa. 
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). 
* Choisis Français puis clique sur Select. 
* Clique sur Recherche de mises à jour. 
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher. 
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes. 
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions. 
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK. 
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse. 
* Ferme l'application. 

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.

Utilisateur anonyme · Answer

;-)  

vérifie bien que java est à jour en te rednant sur ce site :  

https://www.java.com/fr/download/  

relance MBAM, vide sa quarantaine,   
refais une mise à jour, lance un scan rapide de ton pc, colle le rapport sur ton prochain message    

merci 

P.S :  

Lamer01, si tu veux prends la suite, pas de soucis, il ne reste plus grande choses pour términe, j'ai d'autres topics en cours  :-)

Slygirl · Answer

C'est quoi MBAM o_O ?

Slygirl · Answer

lol j ai trouver je fai le scan ^^

Slygirl · Answer

Voila le rapport de MBAM ^^

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4153

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

29/05/2010 14:31:09
mbam-log-2010-05-29 (14-31-09).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 121971
Temps écoulé: 6 minute(s), 29 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Utilisateur anonyme · Answer

ok, on va tout finaliser :-)


si tu as déjà Ccleaner sur ton pc, suis juste les indication là dessus, sinon, télécharge le :

. télécharges Ccleaner à partir de cette adresse et enregistres le sur le bureau

https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/ 

.double-cliques sur le fichier pour lancer l'installation 
.sur la fenêtre de l'installation langage bien choisir français et OK 
.cliques sur suivant 
.lis la licence et j'accepte 
.cliques sur suivant 
.la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner 
.cliques sur installer 
.cliques sur fermer 
.double-cliques sur l'icône de Ccleaner pour l'ouvrir 
.une fois ouvert tu cliques sur option et puis avancé 
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures 
.cliques sur nettoyeur 
.cliques sur windows et dans la colonne avancé 
.coches la première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la 
.cliques sur analyse une fois l'analyse terminé 
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien 
.cliques maintenant sur registre et puis sur rechercher les erreurs 
.laisses tout cochées et cliques sur réparrer les erreurs sélectionnées 
.il te demande de sauvegarder OUI 
.tu lui donnes un nom pour pouvoir la retrouver et enregistre 
.cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK 
.il supprime et fermer tu vérifies en relançant rechercher les erreurs 
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch 
.tu peux fermer Ccleaner


*	Pour supprimer les outils de désinfection avec ZHP :

Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et windows 7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique sur le A rouge (Nettoyeur de Tools).

Clique sur Nettoyer.

Fais redémarrer l'ordi pour terminer le nettoyage.



*	Désactivation, puis Réactivation de la restauration système après désinfection :
Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés : 
Pour XP :          https://www.commentcamarche.net/faq/5097-virus-system-volume-information



fais une mise à jour de ton antivirus, lance un scan complet de ton pc, tiens moi au courant du résultat  :-)

slygirl · Answer

Yaou je viens de finir le scan et il a rien trouve :) vous pensez que c'est bon alors? moi ce qui em fai peur par contre c'est la clef usb qui je pense est la fautive....je l'avai mi lors du logiciel usbfix, vous pensez que je puisse la mettre san crainte? merci pour votre aide en tout cas :)

Utilisateur anonyme · Answer

avant tout, crée un nouveau point de restauratio système :  

https://www.commentcamarche.net/informatique/windows/147-restaurer-windows-avec-les-points-de-restauration/ 

puis, je pense que si tu as brancher ta clé usb pendant le scan avec Usbfix, il n'y pas de rique, essaie et tu m'en donneras des nouvelles   :-)

slygirl · Answer

Oki j'ai crée un point de restauration, sinon pour ma clef j'essaira plus tard...ca me fait peur lol quels sont vos conseils pour eviter au max d'etre infecter? j'avai rien eu depui au moins 3 ans, je fai tres attention et je fai ccleaner apres chaque navigation...mais la je pense que je l'ai chopé au bureau, voila comment on est remercié de prendre du travail a la maison^^ mon ordi la bas ne fonctionne plus depuis avant hier, selon l'informaticien c'est a cause d'un virus qui n'est pas encore detecté par les anti virus....alors il m'avai dit de faire :executer: msgonfig et decocher microsoft.exe dans le demarage...mais meme en faisant ca, ca n'a pas mieu fonctionné....

Là il a l'air d'aller vraiment mieux, il ne rame plus ni rien, c'etait des coriaces ceux la quand meme !

En tout cas je vous remercie beaucoup, j'etais desespéré à l'idée de le formater....

Utilisateur anonyme · Answer

en faite, tu as du avoir une infection sur ton pc, surement en le transitant de ton bureau puis que'on trouve ceci :



Extrait rapport usbfix :

################## | Elements infectieux | 

Supprimé ! C:\WINDOWS\Microsoft.exe 
Supprimé ! C:\WINDOWS\raidhost.exe 
Supprimé ! C:\DOCUME~1\Claire\LOCALS~1\Temp\551.exe 
Supprimé ! C:\DOCUME~1\Claire\LOCALS~1\Temp\0479197.exe 
Supprimé ! C:\DOCUME~1\Claire\LOCALS~1\Temp\450649.exe 
Supprimé ! C:\Recycler\S-1-5-21-329068152-1275210071-725345543-1004 
F:\autorun.inf -> fichier appelé : "F:\Memory\Drivers\raidhost.exe" ( Présent ! ) 
Supprimé ! F:\Memory\Drivers\raidhost.exe 
Supprimé ! F:\autorun.inf 
Supprimé ! C:\System Volume Information\_restore{B8C93718-94C5-4C4A-9325-976BBBAC6551}\RP892\A0237289.exe 
Supprimé ! C:\System Volume Information\_restore{B8C93718-94C5-4C4A-9325-976BBBAC6551}\RP892\A0237316.exe 
Supprimé ! C:\Documents and Settings\Claire\dvs.exe 
Supprimé ! C:\Documents and Settings\Claire\friem.exe 
Supprimé ! C:\Documents and Settings\Claire\veeraug.exe 
Supprimé ! C:\Documents and Settings\Claire\Local Settings\Temporary Internet Files\Content.IE5\FX2P6DUR\192[1].exe 
Supprimé ! C:\System Volume Information\_restore{B8C93718-94C5-4C4A-9325-976BBBAC6551}\RP892\A0237289.exe 
Supprimé ! C:\System Volume Information\_restore{B8C93718-94C5-4C4A-9325-976BBBAC6551}\RP892\A0237316.exe 

puis une infection qui installe un rootkit .....

c'est un cercle sans fin après, si on arrive à l'arrêter, tout va bien, sinon, le reformatage avec Killdisk, puis réinstallation  :-)

si tu n'as plus de soucis, il ne me reste plus qu'à te souhaiter un bon surf et une bonne soirée  ;-)

slygirl · Answer

Merci encore, juste une derniere question niveau antivirus gratuit Avg est correct ou il y a mieu?

Utilisateur anonyme · Answer

avg 9, avira 10 'en anglais pour l'instant), avast 5 

ce sont des antivirus gratuits et pérformant,  mais le meilleur reste celui qui se trouve entre la chaise et le clavier  ;-)

slygirl · Answer

Merci de m'avoir consacrer du temps, je vous souhaite une bonne soirée :)

Utilisateur anonyme · Answer

Bonjour,
Merci également à Lamer01  :-)

bon surf et bonne journée  :-)

Infection par virus, et rapport hijackthis

48 réponses

Discussions similaires

Newsletters