ver, trojan, virus ...?? Fermé

Question

Bonjour, 
J'ai téléchargé hier soir un fichier qui portait le nom d'Adobe_Flash_Player convaincu qu'il s'agissait d'un fichier sérieux.
Une fois passé toutes les autorisations d'usage (administrateur vista), celui ci s'est installé sur le bureau avant de disparaitre à l'ouverture et de changer de nom. (il est devenu fichier caché mais demeure introuvable...)
Par la suite, j'ai subi plusieurs attaques virales en règle.
J'utilise le Ccleaner qui m'indique que mes fichiers temporaires se remplissent régulièrement (sans que j'aille sur internet)
Mon antispywear indique aussi la présence de trojans et de chevaux de troie
Mon antivirus (Antivir) m'alerte régulièrement que des trojans veulent entrer mais ne parvient pas à identifier la source.
J'ai installé findykill et j'ai lancé son programme de désinstallation mais j'ignore si c'est une manip efficace.
S'agit il d'un ver ?
Voila... en gros j'ai besoin de votre aide car je ne sais pas quoi faire et je m'inquiète un peu.
Merci par avance de l'assistance que vous pourrez m'apporter
Fred

Configuration: Windows XP / Internet Explorer 7.0

Utilisateur anonyme · Answer

Bonjour, on va voir ce que t'as !

# Télécharge ZHPDiag ( de Nicolas coolman ).ici ftp://zebulon.fr/ZHPDiag%201.25.14.exe

# Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher Créer une icône sur le bureau )

# Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau

# Clique sur l'icône en forme de dossier avec une loupe Analyse détaillée MD5 , puis laisse l'outil scanner.

# Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

# Rend toi sur Cijoint ici http://www.cijoint.fr/

# Clique sur Parcourir dans la partie Joindre un fichier[...]

# Séléctionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

# Clique ensuite sur "Créer le lien cjoint et copie/colle le dans ton prochain message

/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, " exécuter en tant qu'Administrateur /!\

Randall · Answer

Le fichier ZHPDiag ne peut pas être exécuté.

l'installation semble avoir échoué.

Je recommence

Randall · Answer

J'ai mis en route un scan de bitDefender antivirus scanner... est utile ? 
Cela ne risque t il pas d'entrer en conflit avec antivir ?

Utilisateur anonyme · Answer

En fin de désinfection, oui c'est utile, mais pas maintenant, tu arrive à l'installer ??

Randall · Answer

J'ai tenté l'opération. cependant cela se bloque et s'arrête au milieu du scan

Randall · Answer

Je recommence

Randall · Answer

non... le diagnostic ne répond pas et se bloque

Randall · Answer

dois je télécharger un autre outil ? genre anti malware ?

Utilisateur anonyme · Answer

J'ai pas envie d'y passer 20 ans^^

Désactive les logiciels de protection (Antivirus, Antispywares) puis :

Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.

Installe la console de récupération comme cela est conseillé

Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.

Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

Randall · Answer

Ah... suspense !! Le scan ZHP vient de se relancer... mais l'ordi rame un peu... 
(et C.Cleaner est en nettoyage permanent... )

Utilisateur anonyme · Answer

Bon, arrête ZHPDiag et Ccleaner et fais ComboFix stp

Randall · Answer

OK... je fais tout ça et je te tiens au courant... merci pour ton aide précieuse et désolé de te faire perdre du temps...

randall · Answer

voici le rapport 
http://www.cijoint.fr/cjlink.php?file=cj201006/cijjSzqsmY.txt

Randall · Answer

Je procède toujours à l'utilisation de Combo Fix ? Même si le rapport de ZHP a été édité ???

Randall · Answer

Et est ce que je peux faire ça en étant hors ligne internet ?

Randall · Answer

J'ai fait ce qu'on m'a dit... ça a été efficace sur une partie mais j'ai pas l'impression que cela n'empèche un programme de télécharger en permanence des cookies et des pages web car lorsque je lance le ccleaner, il trouve tjs qq chose à vider même si je ne vais pas sur internet.... Est ce normal?
Merci

Utilisateur anonyme · Answer

Fais ComboFix point FINAL !

Randall · Answer

Ok, c'est fait. 
le rapport n'a pas pu s'afficher.

Randall · Answer

Dans ce cas, merci pour ton aide... puisque je suppose que c'est fini.

Utilisateur anonyme · Answer

La : C:\Combofix.txt

Randall · Answer

Le dossier est vide

Randall · Answer

voici le rapport d'Antivir hier soir : Avira AntiVir Personal Date de création du fichier de rapport : samedi 5 juin 2010 15:56 La recherche porte sur 2189644 souches de virus. Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus Numéro de série : 0000149996-ADJIE-0000001 Plateforme : Windows Vista Version de Windows : (Service Pack 1) [6.0.6001] Mode Boot : Démarré normalement Identifiant : SYSTEM Nom de l'ordinateur : ORDIDEFRÉDO Informations de version : BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00 AVSCAN.EXE : 9.0.3.10 466689 Bytes 20/11/2009 08:51:48 AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02 LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11 LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 08:51:48 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 08:51:48 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 10:47:53 VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 07:23:36 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 09:09:04 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 23:47:55 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02/06/2010 16:39:08 VBASE007.VDF : 7.10.7.219 2048 Bytes 02/06/2010 16:39:08 VBASE008.VDF : 7.10.7.220 2048 Bytes 02/06/2010 16:39:08 VBASE009.VDF : 7.10.7.221 2048 Bytes 02/06/2010 16:39:08 VBASE010.VDF : 7.10.7.222 2048 Bytes 02/06/2010 16:39:09 VBASE011.VDF : 7.10.7.223 2048 Bytes 02/06/2010 16:39:10 VBASE012.VDF : 7.10.7.224 2048 Bytes 02/06/2010 16:39:10 VBASE013.VDF : 7.10.7.225 2048 Bytes 02/06/2010 16:39:10 VBASE014.VDF : 7.10.7.226 2048 Bytes 02/06/2010 16:39:10 VBASE015.VDF : 7.10.7.227 2048 Bytes 02/06/2010 16:39:10 VBASE016.VDF : 7.10.7.228 2048 Bytes 02/06/2010 16:39:10 VBASE017.VDF : 7.10.7.229 2048 Bytes 02/06/2010 16:39:10 VBASE018.VDF : 7.10.7.230 2048 Bytes 02/06/2010 16:39:10 VBASE019.VDF : 7.10.7.231 2048 Bytes 02/06/2010 16:39:11 VBASE020.VDF : 7.10.7.232 2048 Bytes 02/06/2010 16:39:11 VBASE021.VDF : 7.10.7.233 2048 Bytes 02/06/2010 16:39:11 VBASE022.VDF : 7.10.7.234 2048 Bytes 02/06/2010 16:39:11 VBASE023.VDF : 7.10.7.235 2048 Bytes 02/06/2010 16:39:11 VBASE024.VDF : 7.10.7.236 2048 Bytes 02/06/2010 16:39:11 VBASE025.VDF : 7.10.7.237 2048 Bytes 02/06/2010 16:39:12 VBASE026.VDF : 7.10.7.238 2048 Bytes 02/06/2010 16:39:12 VBASE027.VDF : 7.10.7.239 2048 Bytes 02/06/2010 16:39:12 VBASE028.VDF : 7.10.7.240 2048 Bytes 02/06/2010 16:39:12 VBASE029.VDF : 7.10.7.241 2048 Bytes 02/06/2010 16:39:12 VBASE030.VDF : 7.10.7.242 2048 Bytes 02/06/2010 16:39:12 VBASE031.VDF : 7.10.7.251 73728 Bytes 04/06/2010 20:21:20 Version du moteur : 8.2.2.6 AEVDF.DLL : 8.1.2.0 106868 Bytes 24/04/2010 06:43:40 AESCRIPT.DLL : 8.1.3.31 1352058 Bytes 03/06/2010 16:39:52 AESCN.DLL : 8.1.6.1 127347 Bytes 12/05/2010 16:58:38 AESBX.DLL : 8.1.3.1 254324 Bytes 24/04/2010 06:43:40 AERDL.DLL : 8.1.4.6 541043 Bytes 16/04/2010 23:48:01 AEPACK.DLL : 8.2.1.1 426358 Bytes 20/03/2010 08:47:12 AEOFFICE.DLL : 8.1.1.0 201081 Bytes 12/05/2010 16:58:38 AEHEUR.DLL : 8.1.1.33 2724214 Bytes 04/06/2010 20:21:32 AEHELP.DLL : 8.1.11.5 242038 Bytes 03/06/2010 16:39:17 AEGEN.DLL : 8.1.3.10 377205 Bytes 03/06/2010 16:39:16 AEEMU.DLL : 8.1.2.0 393588 Bytes 24/04/2010 06:43:34 AECORE.DLL : 8.1.15.3 192886 Bytes 12/05/2010 16:58:37 AEBB.DLL : 8.1.1.0 53618 Bytes 24/04/2010 06:43:33 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30 AVPREF.DLL : 9.0.3.0 44289 Bytes 27/09/2009 15:10:49 AVREP.DLL : 8.0.0.7 159784 Bytes 18/02/2010 00:09:39 AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42 AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57 NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 13/07/2009 10:42:28 RCTEXT.DLL : 9.0.73.0 88321 Bytes 20/11/2009 08:51:46 Configuration pour la recherche actuelle : Nom de la tâche...............................: Contrôle intégral du système Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp Documentation.................................: bas Action principale.............................: interactif Action secondaire.............................: ignorer Recherche sur les secteurs d'amorçage maître..: marche Recherche sur les secteurs d'amorçage.........: marche Secteurs d'amorçage...........................: C:, D:, Recherche dans les programmes actifs..........: marche Recherche en cours sur l'enregistrement.......: marche Recherche de Rootkits.........................: marche Contrôle d'intégrité de fichiers système......: arrêt Fichier mode de recherche.....................: Tous les fichiers Recherche sur les archives....................: marche Limiter la profondeur de récursivité..........: 20 Archive Smart Extensions......................: marche Heuristique de macrovirus.....................: marche Heuristique fichier...........................: moyen Catégories de dangers divergentes.............: +SPR, Début de la recherche : samedi 5 juin 2010 15:56 La recherche d'objets cachés commence. '107564' objets ont été contrôlés, '0' objets cachés ont été trouvés. La recherche sur les processus démarrés commence : Processus de recherche 'mbam.exe' - '1' module(s) sont contrôlés Processus de recherche 'SearchFilterHost.exe' - '1' module(s) sont contrôlés Processus de recherche 'GoogleToolbarNotifier.exe' - '1' module(s) sont contrôlés Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés Processus de recherche 'SearchProtocolHost.exe' - '1' module(s) sont contrôlés Processus de recherche 'mbam-setup-1.46.tmp' - '1' module(s) sont contrôlés Processus de recherche 'mbam-setup-1.46.exe' - '1' module(s) sont contrôlés Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés Processus de recherche 'wmpnetwk.exe' - '1' module(s) sont contrôlés Processus de recherche 'wmpnscfg.exe' - '1' module(s) sont contrôlés Processus de recherche 'CCleaner.exe' - '1' module(s) sont contrôlés Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés Processus de recherche 'conime.exe' - '1' module(s) sont contrôlés Processus de recherche 'HPHC_Service.exe' - '1' module(s) sont contrôlés Processus de recherche 'hpqwmiex.exe' - '1' module(s) sont contrôlés Processus de recherche 'SearchIndexer.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'PnkBstrA.exe' - '1' module(s) sont contrôlés Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'dwm.exe' - '1' module(s) sont contrôlés Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'SLsvc.exe' - '1' module(s) sont contrôlés Processus de recherche 'audiodg.exe' - '0' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés Processus de recherche 'services.exe' - '1' module(s) sont contrôlés Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés '43' processus ont été contrôlés avec '43' modules La recherche sur les secteurs d'amorçage maître commence : Secteur d'amorçage maître HD0 [INFO] Aucun virus trouvé ! La recherche sur les secteurs d'amorçage commence : Secteur d'amorçage 'C:\' [INFO] Aucun virus trouvé ! Secteur d'amorçage 'D:\' [INFO] Aucun virus trouvé ! La recherche sur les renvois aux fichiers exécutables (registre) commence : Le registre a été contrôlé ( '55' fichiers). La recherche sur les fichiers sélectionnés commence : Recherche débutant dans 'C:\' C:\pagefile.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! [REMARQUE] Ce fichier est un fichier système Windows. [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche. C:\Windows emp\TMP0000002C77F924D0F773CA76 [RESULTAT] Contient le cheval de Troie TR/Dropper.Gen2 Recherche débutant dans 'D:\' Début de la désinfection : C:\Windows emp\TMP0000002C77F924D0F773CA76 [RESULTAT] Contient le cheval de Troie TR/Dropper.Gen2 [AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004 [AVERTISSEMENT] Impossible de trouver le fichier source. [REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK. [AVERTISSEMENT] Erreur dans la bibliothèque ARK [REMARQUE] Le fichier a été repéré pour une suppression après un redémarrage. Fin de la recherche : samedi 5 juin 2010 19:02 Temps nécessaire: 3:05:06 Heure(s) La recherche a été effectuée intégralement 21791 Les répertoires ont été contrôlés 336687 Des fichiers ont été contrôlés 1 Des virus ou programmes indésirables ont été trouvés 0 Des fichiers ont été classés comme suspects 0 Des fichiers ont été supprimés 0 Des virus ou programmes indésirables ont été réparés 0 Les fichiers ont été déplacés dans la quarantaine 0 Les fichiers ont été renommés 1 Impossible de contrôler des fichiers 336685 Fichiers non infectés 1503 Les archives ont été contrôlées 2 Avertissements 2 Consignes 107564 Des objets ont été contrôlés lors du Rootkitscan 0 Des objets cachés ont été trouvés

Utilisateur anonyme · Answer

C'est un document texte, il se trouve dans C:\ et il y a un document texte appelé Combofix !

Poste le rapport ici !!!

Randall · Answer

J'ai trouvé le dossier C\combofix... 
Le dossier est vide
Il n'y a pas de document dans le dossier en question...

Utilisateur anonyme · Answer

PAS DANS C:\Combofix dans C:\ tout court,
Il y a un document texte appelé Combofix qui est dans C:\

Randall · Answer

ComboFix 10-06-03.01 - Fredo 05/06/2010  14:34:37.1.1 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium   6.0.6001.1.1252.33.1036.18.1013.449 [GMT 2:00]
Lancé depuis: c:\users\Fredo\Desktop\Desktop\Desktop\Desktop\Desktop\Desktop\Desktop\Desktop\ComboFix.exe
AV: Norton Internet Security *On-access scanning enabled* (Outdated) {E10A9785-9598-4754-B552-92431C1C35F8}
FW: Norton Internet Security *disabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}
SP: AVG Anti-Spyware *enabled* (Outdated) {48F2E28D-ED66-4646-9C11-B3055B0AF604}
SP: Norton Internet Security *enabled* (Outdated) {CBB7EE13-8244-4DAB-8B55-D5C7AA91E59A}
SP: SUPERAntiSpyware *disabled* (Updated) {222A897C-5018-402e-943F-7E7AC8560DA7}
SP: Windows Defender *disabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\INSTALL.LOG
c:\users\Fredo\AppData\Local\ebriieul.dat
c:\users\Fredo\AppData\Local\ebriieul_nav.dat
c:\users\Fredo\AppData\Local\ebriieul_navps.dat
c:\windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job

.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-05-05 au 2010-06-05  ))))))))))))))))))))))))))))))))))))
.

2010-06-05 11:00 . 2010-06-05 11:28	--------	d-----w-	c:\program files\ZHPDiag
2010-06-05 09:24 . 2010-06-05 09:24	870	----a-w-	C:\FindyKill_Upload_Me_ordidefrédo.zip
2010-06-05 07:25 . 2010-06-05 09:24	--------	d-----w-	C:\FyK
2010-06-05 07:13 . 2010-06-05 10:23	--------	d-----w-	c:\program files	rend micro
2010-06-05 07:13 . 2010-06-05 07:28	--------	d-----w-	C:sit
2010-06-05 06:38 . 2010-06-05 12:01	--------	d-----w-	c:\programdata\BitDefender
2010-06-05 06:38 . 2010-06-05 06:40	--------	d-----w-	c:\users\Fredo\AppData\Roaming\BitDefender
2010-06-05 06:38 . 2010-06-05 06:38	--------	d-----w-	c:\program files\BitDefender
2010-06-05 06:35 . 2010-06-05 12:01	--------	d-----w-	c:\program files\Common Files\BitDefender
2010-05-29 13:11 . 2010-05-29 13:11	501872	----a-w-	c:\programdata\Google\Google Toolbar\Update\gtbC2B9.tmp.exe
2010-05-25 17:09 . 2010-04-23 13:55	2048	----a-w-	c:\windows\system32	zres.dll
2010-05-24 19:56 . 2010-05-24 19:56	--------	d-----w-	C:\Acrobat3
2010-05-21 14:53 . 2010-05-21 14:53	63488	----a-w-	c:\users\Fredo\AppData\Roaming\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10006.dll
2010-05-12 12:48 . 2010-01-29 16:21	738304	----a-w-	c:\windows\system32\inetcomm.dll
2010-05-07 16:24 . 2010-05-07 16:24	--------	d-----w-	C:\Valve

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-05 12:37 . 2006-11-02 15:48	669566	----a-w-	c:\windows\system32\perfh00C.dat
2010-06-05 12:37 . 2006-11-02 15:48	123556	----a-w-	c:\windows\system32\perfc00C.dat
2010-06-05 09:24 . 2010-06-05 09:24	870	----a-w-	C:\FindyKill_Upload_Me_ordidefrédo.zip
2010-06-05 07:02 . 2008-08-16 14:48	--------	d-----w-	c:\program files\Windows Live
2010-06-03 08:00 . 2008-12-24 09:26	--------	d-----w-	c:\program files\SUPERAntiSpyware
2010-05-29 21:01 . 2007-11-01 12:39	43520	----a-w-	c:\windows\system32\CmdLineExt03.dll
2010-05-21 14:53 . 2009-03-26 11:35	117760	----a-w-	c:\users\Fredo\AppData\Roaming\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2010-05-18 15:47 . 2006-12-20 05:17	--------	d--h--w-	c:\program files\InstallShield Installation Information
2010-05-13 01:03 . 2006-11-02 11:18	--------	d-----w-	c:\program files\Windows Mail
2010-05-12 09:21 . 2009-10-03 09:12	221568	------w-	c:\windows\system32\MpSigStub.exe
2010-04-27 22:26 . 2010-04-26 15:20	--------	d-----w-	c:\program files\WON
2010-04-09 06:51 . 2010-04-09 06:51	653576	----a-w-	c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2010-03-09 16:28 . 2010-03-31 10:00	833024	----a-w-	c:\windows\system32\wininet.dll
2010-03-09 16:25 . 2010-03-31 10:00	78336	----a-w-	c:\windows\system32\ieencode.dll
2010-03-09 14:01 . 2010-03-31 10:00	26624	----a-w-	c:\windows\system32\ieUnatt.exe
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-09-03 39408]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-11-15 815104]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2006-11-06 98304]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2006-11-06 106496]
"Persistence"="c:\windows\system32\igfxpers.exe" [2006-11-06 81920]
"QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2006-12-02 167936]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152]
"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2006-12-04 46704]
"WAWifiMessage"="c:\program files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe" [2006-10-18 317152]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2006-10-18 472800]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0\bin\jusched.exe" [2006-12-20 77824]
"Monitor"="c:\windows\PixArt\PAC207\Monitor.exe" [2006-11-03 319488]
"DXM6Patch_981116"="c:\windows\p_981116.exe" [1998-11-30 497376]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-02-07 98304]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Google Quick Search Box"="c:\program files\Google\Quick Search Box\GoogleQuickSearchBox.exe" [2009-09-03 122368]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"TkBellExe"="c:\program files\Common Files\Real\Update_OBealsched.exe" [2009-03-29 198160]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Launcher"="c:\windows\SMINST\launcher.exe" [2006-11-07 44128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
"UacDisableNotify"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\!SASWinLogon]
2009-09-17 11:03	548352	----a-w-	c:\program files\SUPERAntiSpyware\SASWINLO.DLL

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]
@="FSFilter System Recovery"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

R0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2009-09-18 721904]
R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 135664]
R3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\windows\system32\DRIVERS\fbxusb32.sys [2004-10-20 21344]
R3 kbeepm;kbeepm;c:\users\Fredo\AppData\Local\Temp\kbeepm.sys [x]
R3 PAC207;PC Camera;c:\windows\system32\DRIVERS\PFC027.SYS [2007-05-29 508160]
R3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [2010-02-21 12872]
S1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\SASDIFSV.SYS [2010-02-21 12872]
S1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.sys [2010-06-03 67656]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-07-13 108289]

.
Contenu du dossier 'Tâches planifiées'

2010-06-05 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 10:19]

2010-06-05 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 10:19]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=71&bd=PRESARIO&pf=laptop
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll/cmsidewiki.html
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-msnmsgr - c:\program files\Windows Live\Messenger\msnmsgr.exe
SafeBoot-dmboot.sys
SafeBoot-dmio.sys
SafeBoot-dmload.sys
SafeBoot-dmadmin
SafeBoot-dmserver
SafeBoot-SRService
AddRemove-Adobe Flash Player ActiveX - c:\windows\system32\Macromed\Flash\uninstall_activeX.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-05 14:44
Windows 6.0.6001 Service Pack 1 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Heure de fin: 2010-06-05  14:49:09
ComboFix-quarantined-files.txt  2010-06-05 12:49

Avant-CF: 16 733 696 000 octets libres
Après-CF: 16 441 614 336 octets libres

- - End Of File - - B81B29477C400815E530B42FFFAA4A72

Utilisateur anonyme · Answer

Ok, 

    * Télécharge Navilog1 et enregistre le sur le Bureau. 
    * Double-clique sur le raccourci de Navilog1 présent sur le Bureau. (Sous Vista, il faut cliquer droit sur le raccourci de Navilog1 et choisir Exécuter en tant qu'administrateur) 
    * Choisi la langue désirée. 
    * Arrivé au menu principal, choisi l'option 1 et valider. 
    * Patiente le temps du scan. Navilog1 devra redémarrer le PC. 
    * Patiente jusqu'au message : *** Scan terminé le ..... *** 
    * Le rapport sera en outre sauvegardé à la racine du disque (cleannavi.txt).  
Si je désinfecte votre machine, c'est pour au moins un bout de temps, je vous désinfecterais pas si vous bousiller votre machine toutes les 5 minutes !

Randall · Answer

Voici le rapport ( par contre le pc n'a pas redémarré)
Fix Navipromo version 4.0.8 commencé le 06/06/2010  9:43:17,24

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:
avilog1

Mise à jour le 09.03.2010 à 18h00 par IL-MAFIOSO

Microsoft® Windows Vista(TM) Édition Familiale Premium  ( v6.0.6001 ) Service Pack 1
X86-based PC ( Multiprocessor Free : Intel(R) Celeron(R) M CPU        440  @ 1.86GHz )
BIOS : Ver 1.00PARTTBL
USER : Fredo ( Administrator )
BOOT : Normal boot

Antivirus : Norton Internet Security 2007 (Activated)
Firewall  : Norton Internet Security 2007 (Not Activated)

C:\ (Local Disk) - NTFS - Total:69 Go (Free:18 Go)
D:\ (Local Disk) - NTFS - Total:5 Go (Free:0 Go)
E:\ (CD or DVD)


Recherche executée en mode normal 


[b]Aucune Infection Navipromo/Egdaccess trouvée/b



*** Scan terminé 06/06/2010  9:43:58,37 ***

Utilisateur anonyme · Answer

Ok, c'est du bon, pour vérification

- Télécharge HiJackThis de Merijn sur ton bureau. http://www.trendsecure.com/portal/fr/_download/HJTInstall.exe
- Double-clic sur HijackThis
- Génère un rapport en suivant ces indications :
- Exécute le et clique sur Do a scan and save log file.
- Le rapport s'ouvre sur le Bloc-Note
- Colle le rapport ici, pour cela :
- Menu Edition / Selectionner Tout
- Menu Edition / copier
- Ici dans un nouveau message : clic droit / coller
Aide :N'hésite pas à consulter l'aide HiJackThis https://www.malekal.com/tutoriel-hijackthis/

Randall · Answer

visiblement cela s'annonce bien. Voici le rapport en question

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:54:32, on 06/06/2010
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18444)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32	askeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\HP\QuickPlay\QPService.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Java\jre1.6.0\bin\jusched.exe
C:\Windows\PixArt\Pac207\Monitor.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Common Files\Real\Update_OBealsched.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\ehome\ehmsas.exe
C:\PROGRA~1\HEWLET~1\Shared\HPQTOA~1.EXE
C:\Windows\system32\conime.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Google\Google Toolbar\GoogleToolbarUser_32.exe
C:\Windows\system32\Macromed\Flash\FlashUtil9f.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr?cobrand=compaq-notebook.msn.com&ocid=HPDHP&pc=CPNTDF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [HP Health Check Scheduler] C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [WAWifiMessage] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [Monitor] C:\Windows\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\Windows\p_981116.exe /Q:A
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Google Quick Search Box] "C:\Program Files\Google\Quick Search Box\GoogleQuickSearchBox.exe"  /autorun
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll/cmsidewiki.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: AddFiltr - Unknown owner - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe (file missing)
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Roxio\Roxio MyDVD Basic v9\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

Randall · Answer

Hum... je ne sais pas comment supprimer la toolbar google... je ne sais pas faire.
Je vais suivre ta recommandation pour toolscleaner2

Le pc semble stable. pas d'attaque virale depuis hier... 
Franchement, MERCI, Tu es trop fort...!!!
Il me reste un disque externe à vérifier... quelle manip dois je suivre pour ça ?

Utilisateur anonyme · Answer

Utilisation de l'outil ZHPFix : 

* Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 

MBRFix 
[HKCU\Software\V71IQL7HI7]  
[HKCU\Software\XML]  
[HKCU\Software\M5T8QL3YW3] 
O4 - HKCU\..\Run: [M5T8QL3YW3] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Fredo\AppData\Local\Temp\Qtl.exe      
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job      
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job    
[MD5.2B3B592C534D7845CFBCC1D830B85B6D] - (.Pas de propriétaire - Pas de description.) -- C:\Users\Fredo\AppData\Local\Temp\Qtl.exe   [169984   
[HKCU\Software\M5T8QL3YW3]      
[HKCU\Software\XML]  
O43 - CFD:Common File Directory ----D- C:\Program Files\TryMedia        
O44 - LFC:[MD5.54F92C7156806A09C188E9205E146265] - 05/06/2010 - 10:24:31 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\FyK.txt   [1837]  
O44 - LFC:[MD5.991995ECE4E1C4322771DF85ADA2D040] - 05/06/2010 - 10:24:20 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\FindyKill_Upload_Me_ordidefrédo.zip   [870 
O64 - Services: CurCS - (.not file.) - 1713d92f (1713d92f)  .(.Pas de propriétaire - Pas de description.) - LEGACY_1713D92F  
O64 - Services: CurCS - (.not file.) - 75ac03f8 (75ac03f8)  .(.Pas de propriétaire - Pas de description.) - LEGACY_75AC03F8  
O64 - Services: CurCS - (.not file.) - fc82a641 (fc82a641)  .(.Pas de propriétaire - Pas de description.) - LEGACY_FC82A641 




Puis Lance ZHPFix depuis le raccourci du bureau . 

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent . 

Vérifie : 
- que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. 
- que les lignes soient disposées les unes en dessous des autres . 

* Puis clique sur le bouton [ OK ] . 
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . 

Ne touche plus à rien ! 

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !! 


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées . 

* Enfin clique sur le bouton [ Nettoyer ] . 


-> laisse travailler l'outil et ne touche à rien ... 


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le ( redémarre en mode normal ) ! 

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ... 

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt ) 

  

Si je désinfecte votre machine, c'est pour au moins un bout de temps, je vous désinfecterais pas si vous bousiller votre machine toutes les 5 minutes !

Utilisateur anonyme · Answer

Fais ça Randall : https://forums.commentcamarche.net/forum/affich-18036056-ver-trojan-virus?page=2#33

Randall · Answer

Voici le rapport ZHPFix v1.12.3104 by Nicolas Coolman - Rapport de suppression du 06/06/2010 10:33:58 Fichier d'export Registre : C:\ZHPExportRegistry-06-06-2010-10-33-58.txt Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html Contact : nicolascoolman@yahoo.fr Processus mémoire : C:\Users\Fredo\AppData\Local\Temp\Qtl.exe [169984 => Fichier absent Module mémoire : (Néant) Clé du Registre : HKCU\Software\V71IQL7HI7 => Clé supprimée avec succès HKCU\Software\XML => Clé absente HKCU\Software\M5T8QL3YW3 => Clé absente O64 - Services: CurCS - (.not file.) - 1713d92f (1713d92f) .(.Pas de propriétaire - Pas de description.) - LEGACY_1713D92F => Clé supprimée avec succès O64 - Services: CurCS - (.not file.) - 75ac03f8 (75ac03f8) .(.Pas de propriétaire - Pas de description.) - LEGACY_75AC03F8 => Clé supprimée avec succès O64 - Services: CurCS - (.not file.) - fc82a641 (fc82a641) .(.Pas de propriétaire - Pas de description.) - LEGACY_FC82A641 => Clé supprimée avec succès Valeur du Registre : O4 - HKCU\..\Run: [M5T8QL3YW3] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Fredo\AppData\Local\Temp\Qtl.exe => Valeur absente Elément de données du Registre : (Néant) Préférences navigateur : (Néant) Dossier : C:\Program Files\TryMedia => Supprimé et mis en quarantaine Fichier : c:\users\fredo\appdata\local emp\qtl.exe => Fichier absent c:\windows asks\{35dc3473-a719-4d14-b7c1-fd326ca84a0c}.job => Fichier absent c:\windows asks\{8c3fdd81-7ae0-4605-a46a-2488b179f2a3}.job => Fichier absent c:\fyk.txt => Supprimé et mis en quarantaine c:\findykill_upload_me_ordidefrédo.zip => Supprimé et mis en quarantaine Logiciel : (Néant) Script Registre : (Néant) Master Boot Record : Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x844B91F8]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\atapi -> 0x844b91f8 Warning: possible MBR rootkit infection ! user & kernel MBR OK Use "Recovery Console" command "fixmbr" to clear infection ! Resultat après le fix : Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK Autre : (Néant) Récapitulatif : Processus mémoire : 1 Module mémoire : 0 Clé du Registre : 6 Valeur du Registre : 1 Elément de données du Registre : 0 Dossier : 1 Fichier : 5 Logiciel : 0 Master Boot Record : 19 Préférences navigateur : 0 Autre : 0 End of the scan

Utilisateur anonyme · Answer

Bon, maintenant,

Télécharge ce fichier sur ton bureau : http://sd-1.archive-host.com/membres/up/54129686243115553/CFScript.txt
(Si le fichier s'ouvre sur le navigateur, faire un clic droit puis enregistrer la cible du lien sous).

Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif

Combofix se lance, laisse toi guider..

Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

randall · Answer

Voici le rapport ComboFix 10-06-05.01 - Fredo 06/06/2010 11:01:38.2.1 - x86 Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6001.1.1252.33.1036.18.1013.377 [GMT 2:00] Lancé depuis: c:\users\Fredo\Desktop\Desktop\Desktop\Desktop\Desktop\Desktop\Desktop\Desktop\ComboFix.exe Commutateurs utilisés :: c:\users\Fredo\Desktop\Desktop\Desktop\Desktop\Desktop\Desktop\Desktop\Desktop\CFScript.txt AV: Norton Internet Security *On-access scanning enabled* (Outdated) {E10A9785-9598-4754-B552-92431C1C35F8} FW: Norton Internet Security *disabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220} SP: AVG Anti-Spyware *enabled* (Outdated) {48F2E28D-ED66-4646-9C11-B3055B0AF604} SP: Norton Internet Security *enabled* (Outdated) {CBB7EE13-8244-4DAB-8B55-D5C7AA91E59A} SP: SUPERAntiSpyware *disabled* (Updated) {222A897C-5018-402e-943F-7E7AC8560DA7} SP: Windows Defender *disabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46} . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . . ((((((((((((((((((((((((((((((((((((((( Pilotes/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Service_kbeepm ((((((((((((((((((((((((((((( Fichiers créés du 2010-05-06 au 2010-06-06 )))))))))))))))))))))))))))))))))))) . 2010-06-06 09:10 . 2010-06-06 09:14 -------- d-----w- c:\users\Fredo\AppData\Local emp 2010-06-06 09:10 . 2010-06-06 09:10 -------- d-----w- c:\users\Public\AppData\Local emp 2010-06-06 09:10 . 2010-06-06 09:10 -------- d-----w- c:\users\Default\AppData\Local emp 2010-06-06 07:42 . 2010-06-06 07:43 -------- d---a-w- C:\Navilog1 2010-06-05 14:00 . 2010-06-05 14:00 -------- d-----w- c:\users\Fredo\AppData\Roaming\Malwarebytes 2010-06-05 13:57 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-06-05 13:57 . 2010-06-05 13:57 -------- d-----w- c:\programdata\Malwarebytes 2010-06-05 13:57 . 2010-06-05 13:57 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware 2010-06-05 13:57 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-06-05 11:00 . 2010-06-06 08:33 -------- d-----w- c:\program files\ZHPDiag 2010-06-05 07:25 . 2010-06-05 09:24 -------- d-----w- C:\FyK 2010-06-05 07:13 . 2010-06-06 07:53 -------- d-----w- c:\program files rend micro 2010-06-05 07:13 . 2010-06-05 07:28 -------- d-----w- C: sit 2010-06-05 06:38 . 2010-06-05 12:01 -------- d-----w- c:\programdata\BitDefender 2010-06-05 06:38 . 2010-06-05 06:40 -------- d-----w- c:\users\Fredo\AppData\Roaming\BitDefender 2010-06-05 06:38 . 2010-06-05 06:38 -------- d-----w- c:\program files\BitDefender 2010-06-05 06:35 . 2010-06-05 12:01 -------- d-----w- c:\program files\Common Files\BitDefender 2010-05-25 17:09 . 2010-04-23 13:55 2048 ----a-w- c:\windows\system32 zres.dll 2010-05-24 19:56 . 2010-05-24 19:56 -------- d-----w- C:\Acrobat3 2010-05-12 12:48 . 2010-01-29 16:21 738304 ----a-w- c:\windows\system32\inetcomm.dll 2010-05-07 16:24 . 2010-05-07 16:24 -------- d-----w- C:\Valve . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2010-06-06 08:59 . 2006-11-02 15:48 669566 ----a-w- c:\windows\system32\perfh00C.dat 2010-06-06 08:59 . 2006-11-02 15:48 123556 ----a-w- c:\windows\system32\perfc00C.dat 2010-06-05 07:02 . 2008-08-16 14:48 -------- d-----w- c:\program files\Windows Live 2010-06-03 08:00 . 2008-12-24 09:26 -------- d-----w- c:\program files\SUPERAntiSpyware 2010-05-29 21:01 . 2007-11-01 12:39 43520 ----a-w- c:\windows\system32\CmdLineExt03.dll 2010-05-29 13:11 . 2010-05-29 13:11 501872 ----a-w- c:\programdata\Google\Google Toolbar\Update\gtbC2B9.tmp.exe 2010-05-21 14:53 . 2010-05-21 14:53 63488 ----a-w- c:\users\Fredo\AppData\Roaming\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10006.dll 2010-05-21 14:53 . 2009-03-26 11:35 117760 ----a-w- c:\users\Fredo\AppData\Roaming\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL 2010-05-18 15:47 . 2006-12-20 05:17 -------- d--h--w- c:\program files\InstallShield Installation Information 2010-05-13 01:03 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail 2010-05-12 09:21 . 2009-10-03 09:12 221568 ------w- c:\windows\system32\MpSigStub.exe 2010-04-27 22:26 . 2010-04-26 15:20 -------- d-----w- c:\program files\WON 2010-04-09 06:51 . 2010-04-09 06:51 653576 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll 2010-03-09 16:28 . 2010-03-31 10:00 833024 ----a-w- c:\windows\system32\wininet.dll 2010-03-09 16:25 . 2010-03-31 10:00 78336 ----a-w- c:\windows\system32\ieencode.dll 2010-03-09 14:01 . 2010-03-31 10:00 26624 ----a-w- c:\windows\system32\ieUnatt.exe . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-09-03 39408] "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240] "ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184] "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-11-15 815104] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2006-11-06 98304] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2006-11-06 106496] "Persistence"="c:\windows\system32\igfxpers.exe" [2006-11-06 81920] "QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2006-12-02 167936] "HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152] "HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2006-12-04 46704] "WAWifiMessage"="c:\program files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe" [2006-10-18 317152] "hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2006-10-18 472800] "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0\bin\jusched.exe" [2006-12-20 77824] "Monitor"="c:\windows\PixArt\PAC207\Monitor.exe" [2006-11-03 319488] "DXM6Patch_981116"="c:\windows\p_981116.exe" [1998-11-30 497376] "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-02-07 98304] "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "Google Quick Search Box"="c:\program files\Google\Quick Search Box\GoogleQuickSearchBox.exe" [2009-09-03 122368] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696] "TkBellExe"="c:\program files\Common Files\Real\Update_OB ealsched.exe" [2009-03-29 198160] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] "Launcher"="c:\windows\SMINST\launcher.exe" [2006-11-07 44128] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "EnableUIADesktopToggle"= 0 (0x0) "UacDisableNotify"= 0 (0x0) [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\!SASWinLogon] 2009-09-17 11:03 548352 ----a-w- c:\program files\SUPERAntiSpyware\SASWINLO.DLL [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys] @="FSFilter System Recovery" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend] @="Service" [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 135664] R3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\windows\system32\DRIVERS\fbxusb32.sys [2004-10-20 21344] R3 PAC207;PC Camera;c:\windows\system32\DRIVERS\PFC027.SYS [2007-05-29 508160] R3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [2010-02-21 12872] S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2009-09-18 721904] S1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\SASDIFSV.SYS [2010-02-21 12872] S1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.sys [2010-06-03 67656] S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-07-13 108289] . Contenu du dossier 'Tâches planifiées' 2010-06-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 10:19] 2010-06-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 10:19] . . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.google.fr/ mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=71&bd=PRESARIO&pf=laptop IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000 IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll/cmsidewiki.html . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-06-06 11:13 Windows 6.0.6001 Service Pack 1 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x844B91F8]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\Disk -> CLASSPNP.SYS @ 0x869aa322 \Driver\ACPI -> acpi.sys @ 0x807afd4c \Driver\atapi -> 0x844b91f8 IoDeviceObjectType ->\Device\Harddisk0\DR0 ->Warning: possible MBR rootkit infection ! user & kernel MBR OK ************************************************************************** . --------------------- CLES DE REGISTRE BLOQUEES --------------------- [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . ------------------------ Autres processus actifs ------------------------ . c:\program files\Avira\AntiVir Desktop\avguard.exe c:\windows\system32\PnkBstrA.exe c:\windows\system32\DRIVERS\xaudio.exe c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe c:\windows\system32\conime.exe c:\progra~1\HEWLET~1\Shared\HPQTOA~1.EXE c:\windows\ehome\ehmsas.exe c:\program files\Hewlett-Packard\HP Health Check\hphc_service.exe . ************************************************************************** . Heure de fin: 2010-06-06 11:22:06 - La machine a redémarré ComboFix-quarantined-files.txt 2010-06-06 09:22 ComboFix2.txt 2010-06-05 12:49 Avant-CF: 19 800 576 000 octets libres Après-CF: 19 512 016 896 octets libres - - End Of File - - BF6118DA51D3BF17D7991D4A65B0282B

Utilisateur anonyme · Answer

On dirais que tu as encore MBR....

Tu l'as mal fait, tu as bien déposé le CFScript téléchargé SUR Combofix ????

http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif

randall · Answer

Oui, j'ai suivi ton conseil à la ligne mais un message d'erreur est apparu au début de l'opération. Puis l'ordi a redémarré avant de lancer Combofix

Utilisateur anonyme · Answer

J'ai écrit de la m****
Télécharge celui-la et fais pareil sauf que tu renomme CFScript_110 en CFScript

http://sd-1.archive-host.com/membres/up/54129686243115553/CFScript_110.txt

Randall · Answer

l'opération est en cours. 
Un message est apparu avant le redémarrage de la machine : 
Warning!
CD emulation drivers are running on this machine.
Combofix needs to temporarily disable them.

J'ai mis ok et combofix s'est lancé
Dès que j'ai le rapport, je le poste

Utilisateur anonyme · Answer

Ok, c'est normal, moi aussi quand je fais des tests il me fait cette erreur !

randall · Answer

Ouf... voici le rapport

ComboFix 10-06-05.02 - Fredo 06/06/2010  13:28:07.3.1 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium   6.0.6001.1.1252.33.1036.18.1013.407 [GMT 2:00]
Lancé depuis: c:\users\Fredo\Desktop\Desktop\Desktop\Desktop\Desktop\Desktop\Desktop\Desktop\ComboFix.exe
Commutateurs utilisés :: c:\users\Fredo\Desktop\Desktop\Desktop\Desktop\Desktop\Desktop\Desktop\Desktop\CFScript.txt
AV: Norton Internet Security *On-access scanning enabled* (Outdated) {E10A9785-9598-4754-B552-92431C1C35F8}
FW: Norton Internet Security *disabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}
SP: AVG Anti-Spyware *enabled* (Outdated) {48F2E28D-ED66-4646-9C11-B3055B0AF604}
SP: Norton Internet Security *enabled* (Outdated) {CBB7EE13-8244-4DAB-8B55-D5C7AA91E59A}
SP: SUPERAntiSpyware *disabled* (Updated) {222A897C-5018-402e-943F-7E7AC8560DA7}
SP: Windows Defender *disabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((   Fichiers créés du 2010-05-06 au 2010-06-06  ))))))))))))))))))))))))))))))))))))
.

2010-06-06 11:36 . 2010-06-06 11:38	--------	d-----w-	c:\users\Fredo\AppData\Local	emp
2010-06-06 11:36 . 2010-06-06 11:36	--------	d-----w-	c:\users\Public\AppData\Local	emp
2010-06-06 11:36 . 2010-06-06 11:36	--------	d-----w-	c:\users\Default\AppData\Local	emp
2010-06-06 07:42 . 2010-06-06 07:43	--------	d---a-w-	C:\Navilog1
2010-06-05 14:00 . 2010-06-05 14:00	--------	d-----w-	c:\users\Fredo\AppData\Roaming\Malwarebytes
2010-06-05 13:57 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-06-05 13:57 . 2010-06-05 13:57	--------	d-----w-	c:\programdata\Malwarebytes
2010-06-05 13:57 . 2010-06-05 13:57	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-06-05 13:57 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-06-05 11:00 . 2010-06-06 08:33	--------	d-----w-	c:\program files\ZHPDiag
2010-06-05 07:25 . 2010-06-05 09:24	--------	d-----w-	C:\FyK
2010-06-05 07:13 . 2010-06-06 07:53	--------	d-----w-	c:\program files	rend micro
2010-06-05 07:13 . 2010-06-05 07:28	--------	d-----w-	C:sit
2010-06-05 06:38 . 2010-06-05 12:01	--------	d-----w-	c:\programdata\BitDefender
2010-06-05 06:38 . 2010-06-05 06:40	--------	d-----w-	c:\users\Fredo\AppData\Roaming\BitDefender
2010-06-05 06:38 . 2010-06-05 06:38	--------	d-----w-	c:\program files\BitDefender
2010-06-05 06:35 . 2010-06-05 12:01	--------	d-----w-	c:\program files\Common Files\BitDefender
2010-05-25 17:09 . 2010-04-23 13:55	2048	----a-w-	c:\windows\system32	zres.dll
2010-05-24 19:56 . 2010-05-24 19:56	--------	d-----w-	C:\Acrobat3
2010-05-12 12:48 . 2010-01-29 16:21	738304	----a-w-	c:\windows\system32\inetcomm.dll
2010-05-07 16:24 . 2010-05-07 16:24	--------	d-----w-	C:\Valve

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-06 11:24 . 2006-11-02 15:48	669566	----a-w-	c:\windows\system32\perfh00C.dat
2010-06-06 11:24 . 2006-11-02 15:48	123556	----a-w-	c:\windows\system32\perfc00C.dat
2010-06-05 07:02 . 2008-08-16 14:48	--------	d-----w-	c:\program files\Windows Live
2010-06-03 08:00 . 2008-12-24 09:26	--------	d-----w-	c:\program files\SUPERAntiSpyware
2010-05-29 21:01 . 2007-11-01 12:39	43520	----a-w-	c:\windows\system32\CmdLineExt03.dll
2010-05-29 13:11 . 2010-05-29 13:11	501872	----a-w-	c:\programdata\Google\Google Toolbar\Update\gtbC2B9.tmp.exe
2010-05-21 14:53 . 2010-05-21 14:53	63488	----a-w-	c:\users\Fredo\AppData\Roaming\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10006.dll
2010-05-21 14:53 . 2009-03-26 11:35	117760	----a-w-	c:\users\Fredo\AppData\Roaming\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2010-05-18 15:47 . 2006-12-20 05:17	--------	d--h--w-	c:\program files\InstallShield Installation Information
2010-05-13 01:03 . 2006-11-02 11:18	--------	d-----w-	c:\program files\Windows Mail
2010-05-12 09:21 . 2009-10-03 09:12	221568	------w-	c:\windows\system32\MpSigStub.exe
2010-04-27 22:26 . 2010-04-26 15:20	--------	d-----w-	c:\program files\WON
2010-04-09 06:51 . 2010-04-09 06:51	653576	----a-w-	c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2010-03-09 16:28 . 2010-03-31 10:00	833024	----a-w-	c:\windows\system32\wininet.dll
2010-03-09 16:25 . 2010-03-31 10:00	78336	----a-w-	c:\windows\system32\ieencode.dll
2010-03-09 14:01 . 2010-03-31 10:00	26624	----a-w-	c:\windows\system32\ieUnatt.exe
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-09-03 39408]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-11-15 815104]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2006-11-06 98304]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2006-11-06 106496]
"Persistence"="c:\windows\system32\igfxpers.exe" [2006-11-06 81920]
"QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2006-12-02 167936]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152]
"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2006-12-04 46704]
"WAWifiMessage"="c:\program files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe" [2006-10-18 317152]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2006-10-18 472800]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0\bin\jusched.exe" [2006-12-20 77824]
"Monitor"="c:\windows\PixArt\PAC207\Monitor.exe" [2006-11-03 319488]
"DXM6Patch_981116"="c:\windows\p_981116.exe" [1998-11-30 497376]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-02-07 98304]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Google Quick Search Box"="c:\program files\Google\Quick Search Box\GoogleQuickSearchBox.exe" [2009-09-03 122368]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"TkBellExe"="c:\program files\Common Files\Real\Update_OBealsched.exe" [2009-03-29 198160]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Launcher"="c:\windows\SMINST\launcher.exe" [2006-11-07 44128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
"UacDisableNotify"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\!SASWinLogon]
2009-09-17 11:03	548352	----a-w-	c:\program files\SUPERAntiSpyware\SASWINLO.DLL

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]
@="FSFilter System Recovery"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 135664]
R3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\windows\system32\DRIVERS\fbxusb32.sys [2004-10-20 21344]
R3 PAC207;PC Camera;c:\windows\system32\DRIVERS\PFC027.SYS [2007-05-29 508160]
R3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [2010-02-21 12872]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2009-09-18 721904]
S1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\SASDIFSV.SYS [2010-02-21 12872]
S1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.sys [2010-06-03 67656]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-07-13 108289]

.
Contenu du dossier 'Tâches planifiées'

2010-06-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 10:19]

2010-06-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 10:19]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=71&bd=PRESARIO&pf=laptop
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll/cmsidewiki.html
.

**************************************************************************
Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\DRIVERS\xaudio.exe
c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe
c:\windows\system32\conime.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\progra~1\HEWLET~1\Shared\HPQTOA~1.EXE
c:\windows\ehome\ehmsas.exe
c:\program files\Hewlett-Packard\HP Health Check\hphc_service.exe
c:\windows\servicing\TrustedInstaller.exe
.
**************************************************************************
.
Heure de fin: 2010-06-06  13:48:33 - La machine a redémarré
ComboFix-quarantined-files.txt  2010-06-06 11:48
ComboFix2.txt  2010-06-06 09:22
ComboFix3.txt  2010-06-05 12:49

Avant-CF: 18 187 948 032 octets libres
Après-CF: 18 157 645 824 octets libres

- - End Of File - - E16430B2BEC595C9680B875D77D7C27B

Utilisateur anonyme · Answer

Bon, ça na pas l'air d'avoir fonctionner mais bon...

On va se réoccuper de MBR....

Utilisation de l'outil ZHPFix :

* Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

MBRFix 



Puis Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie :
- que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
- que les lignes soient disposées les unes en dessous des autres .

* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide .

Ne touche plus à rien !

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

* Enfin clique sur le bouton [ Nettoyer ] .


-> laisse travailler l'outil et ne touche à rien ...


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le ( redémarre en mode normal ) !

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )

randall · Answer

Voici le rapport de l'opération :

ZHPFix v1.12.3104 by Nicolas Coolman - Rapport de suppression du 06/06/2010 14:30:40
Fichier d'export Registre :
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Préférences navigateur :
(Néant)

Dossier :
(Néant)

Fichier :
(Néant)

Logiciel :
(Néant)

Script Registre :
(Néant)

Master Boot Record :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x844B91F8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x844b91f8
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !

Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Autre :
(Néant)

Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 0
Fichier : 0
Logiciel : 0
Master Boot Record : 19
Préférences navigateur : 0
Autre : 0

End of the scan

Utilisateur anonyme · Answer

Refait exactement la même chose stp

https://forums.commentcamarche.net/forum/affich-18036056-ver-trojan-virus?page=3#45

Et reposte le rapport !

randall · Answer

Ok... J'ai refait la mm opération. Voici le rapport

ZHPFix v1.12.3104 by Nicolas Coolman - Rapport de suppression du 06/06/2010 14:41:38
Fichier d'export Registre :
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Préférences navigateur :
(Néant)

Dossier :
(Néant)

Fichier :
(Néant)

Logiciel :
(Néant)

Script Registre :
(Néant)

Master Boot Record :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x844B91F8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x844b91f8
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !

Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Autre :
(Néant)

Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 0
Fichier : 0
Logiciel : 0
Master Boot Record : 19
Préférences navigateur : 0
Autre : 0

End of the scan

Utilisateur anonyme · Answer

Pas normal.....

Bon, je ne sais pas si ça marche pour Vista, mais

Télécharge Recherche-Fix.zip sur ton bureau
Dézippe-le (en faisant clique-droit, extraire ici sur l'archive)
Ça va donné un fichier avec mbr et Recherche-Fix.bat dedans
Lance Recherche-Fix option 1, patiente, un rapport s'ouvrira
Poste le sur le forum.

randall · Answer

Combien de temps doit on patienter car j'ai réalisé l'opération il y a déjà plusieurs minutes mais il ne se passe rien.
Dois je recommencer selon toi ?

Utilisateur anonyme · Answer

Attend, encore 5 min, pendant ce temps, puisque c'est mon prog, je vais faire quelque chose !

Utilisateur anonyme · Answer

Si ça ne marche pas, essaye une édition Vista (non testé !) : http://sd-2.archive-host.com/membres/up/114965130517871122/Recherche-Fix_Vista.zip

Utilisateur anonyme · Answer

T'en ai ou ???

randall · Answer

Il ne se passe rien. J'ai renouvelé l'opération et rien...

randall · Answer

Le fichier de commande s'ouvre. propose de valider 1 ou 2 et puis rien

Utilisateur anonyme · Answer

Aucune fenêtre s'ouvre ????

Va voir là : "C:\" et c'est le fichier texte "Recherche-Fix.txt"

randall · Answer

aucun fichier portant ce nom dans c

Utilisateur anonyme · Answer

Bon, va dans le dossier Recherche-Fix qui est sur ton bureau, copie-colle le fichier MBR du dossier sur ton bureau ! Exécute-le, puis va dans C:\ et poste le contenu du fichier "mbr.log"

randall · Answer

C'est un fichier texte ? Il s'est ouvert dans le bureau mais n'apparaît pas dans C. Voici son contenu : 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: error reading MBR 
kernel: MBR read successfully

Utilisateur anonyme · Answer

Soit ZHPDiag déconne, soit Recherche-fix a fais son boulot


Télécharge ce fichier sur ton bureau : http://sd-1.archive-host.com/membres/up/54129686243115553/CFScript.txt
(Si le fichier s'ouvre sur le navigateur, faire un clic droit puis enregistrer la cible du lien sous).

Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif

Combofix se lance, laisse toi guider..

Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

randall · Answer

Voici le rapport.
La machine semble stable.
ComboFix 10-06-05.02 - Fredo 06/06/2010 15:59:22.4.1 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6001.1.1252.33.1036.18.1013.400 [GMT 2:00]
Lancé depuis: c:\users\Fredo\Desktop\Desktop\Desktop\Desktop\Desktop\Desktop\Desktop\Desktop\ComboFix.exe
Commutateurs utilisés :: c:\users\Fredo\Desktop\Desktop\Desktop\Desktop\Desktop\Desktop\Desktop\Desktop\CFScript.txt
AV: Norton Internet Security *On-access scanning enabled* (Outdated) {E10A9785-9598-4754-B552-92431C1C35F8}
FW: Norton Internet Security *disabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}
SP: AVG Anti-Spyware *enabled* (Outdated) {48F2E28D-ED66-4646-9C11-B3055B0AF604}
SP: Norton Internet Security *enabled* (Outdated) {CBB7EE13-8244-4DAB-8B55-D5C7AA91E59A}
SP: SUPERAntiSpyware *disabled* (Updated) {222A897C-5018-402e-943F-7E7AC8560DA7}
SP: Windows Defender *disabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((( Fichiers créés du 2010-05-06 au 2010-06-06 ))))))))))))))))))))))))))))))))))))
.

2010-06-06 14:09 . 2010-06-06 14:09 -------- d-----w- c:\users\Public\AppData\Local\temp
2010-06-06 14:09 . 2010-06-06 14:09 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-06-06 11:36 . 2010-06-06 14:12 -------- d-----w- c:\users\Fredo\AppData\Local\temp
2010-06-06 07:42 . 2010-06-06 07:43 -------- d---a-w- C:\Navilog1
2010-06-05 14:00 . 2010-06-05 14:00 -------- d-----w- c:\users\Fredo\AppData\Roaming\Malwarebytes
2010-06-05 13:57 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-06-05 13:57 . 2010-06-05 13:57 -------- d-----w- c:\programdata\Malwarebytes
2010-06-05 13:57 . 2010-06-05 13:57 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-06-05 13:57 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-06-05 11:00 . 2010-06-06 12:41 -------- d-----w- c:\program files\ZHPDiag
2010-06-05 07:25 . 2010-06-05 09:24 -------- d-----w- C:\FyK
2010-06-05 07:13 . 2010-06-06 07:53 -------- d-----w- c:\program files\trend micro
2010-06-05 07:13 . 2010-06-05 07:28 -------- d-----w- C:\rsit
2010-06-05 06:38 . 2010-06-05 12:01 -------- d-----w- c:\programdata\BitDefender
2010-06-05 06:38 . 2010-06-05 06:40 -------- d-----w- c:\users\Fredo\AppData\Roaming\BitDefender
2010-06-05 06:38 . 2010-06-05 06:38 -------- d-----w- c:\program files\BitDefender
2010-06-05 06:35 . 2010-06-05 12:01 -------- d-----w- c:\program files\Common Files\BitDefender
2010-05-25 17:09 . 2010-04-23 13:55 2048 ----a-w- c:\windows\system32\tzres.dll
2010-05-24 19:56 . 2010-05-24 19:56 -------- d-----w- C:\Acrobat3
2010-05-12 12:48 . 2010-01-29 16:21 738304 ----a-w- c:\windows\system32\inetcomm.dll
2010-05-07 16:24 . 2010-05-07 16:24 -------- d-----w- C:\Valve

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-06 11:45 . 2006-11-02 15:48 669566 ----a-w- c:\windows\system32\perfh00C.dat
2010-06-06 11:45 . 2006-11-02 15:48 123556 ----a-w- c:\windows\system32\perfc00C.dat
2010-06-05 07:02 . 2008-08-16 14:48 -------- d-----w- c:\program files\Windows Live
2010-06-03 08:00 . 2008-12-24 09:26 -------- d-----w- c:\program files\SUPERAntiSpyware
2010-05-29 21:01 . 2007-11-01 12:39 43520 ----a-w- c:\windows\system32\CmdLineExt03.dll
2010-05-29 13:11 . 2010-05-29 13:11 501872 ----a-w- c:\programdata\Google\Google Toolbar\Update\gtbC2B9.tmp.exe
2010-05-21 14:53 . 2010-05-21 14:53 63488 ----a-w- c:\users\Fredo\AppData\Roaming\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10006.dll
2010-05-21 14:53 . 2009-03-26 11:35 117760 ----a-w- c:\users\Fredo\AppData\Roaming\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2010-05-18 15:47 . 2006-12-20 05:17 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-05-13 01:03 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-05-12 09:21 . 2009-10-03 09:12 221568 ------w- c:\windows\system32\MpSigStub.exe
2010-04-27 22:26 . 2010-04-26 15:20 -------- d-----w- c:\program files\WON
2010-04-09 06:51 . 2010-04-09 06:51 653576 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2010-03-09 16:28 . 2010-03-31 10:00 833024 ----a-w- c:\windows\system32\wininet.dll
2010-03-09 16:25 . 2010-03-31 10:00 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-03-09 14:01 . 2010-03-31 10:00 26624 ----a-w- c:\windows\system32\ieUnatt.exe
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-09-03 39408]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-11-15 815104]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2006-11-06 98304]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2006-11-06 106496]
"Persistence"="c:\windows\system32\igfxpers.exe" [2006-11-06 81920]
"QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2006-12-02 167936]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152]
"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2006-12-04 46704]
"WAWifiMessage"="c:\program files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe" [2006-10-18 317152]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2006-10-18 472800]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0\bin\jusched.exe" [2006-12-20 77824]
"Monitor"="c:\windows\PixArt\PAC207\Monitor.exe" [2006-11-03 319488]
"DXM6Patch_981116"="c:\windows\p_981116.exe" [1998-11-30 497376]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-02-07 98304]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Google Quick Search Box"="c:\program files\Google\Quick Search Box\GoogleQuickSearchBox.exe" [2009-09-03 122368]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2009-03-29 198160]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Launcher"="c:\windows\SMINST\launcher.exe" [2006-11-07 44128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
"UacDisableNotify"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-17 11:03 548352 ----a-w- c:\program files\SUPERAntiSpyware\SASWINLO.DLL

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]
@="FSFilter System Recovery"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 135664]
R3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\windows\system32\DRIVERS\fbxusb32.sys [2004-10-20 21344]
R3 PAC207;PC Camera;c:\windows\system32\DRIVERS\PFC027.SYS [2007-05-29 508160]
R3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [2010-02-21 12872]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2009-09-18 721904]
S1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\SASDIFSV.SYS [2010-02-21 12872]
S1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.sys [2010-06-03 67656]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-07-13 108289]

.
Contenu du dossier 'Tâches planifiées'

2010-06-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 10:19]

2010-06-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 10:19]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=71&bd=PRESARIO&pf=laptop
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll/cmsidewiki.html
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-06 16:12
Windows 6.0.6001 Service Pack 1 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x844B91F8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0x869aa322
\Driver\ACPI -> acpi.sys @ 0x807b1d4c
\Driver\atapi -> 0x844b91f8
IoDeviceObjectType ->\Device\Harddisk0\DR0 ->Warning: possible MBR rootkit infection !
user & kernel MBR OK

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\DRIVERS\xaudio.exe
c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe
c:\windows\system32\conime.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\ehome\ehmsas.exe
c:\progra~1\HEWLET~1\Shared\HPQTOA~1.EXE
c:\program files\Hewlett-Packard\HP Health Check\hphc_service.exe
c:\windows\servicing\TrustedInstaller.exe
.
**************************************************************************
.
Heure de fin: 2010-06-06 16:20:04 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-06-06 14:20
ComboFix2.txt 2010-06-06 11:48
ComboFix3.txt 2010-06-06 09:22
ComboFix4.txt 2010-06-05 12:49

Avant-CF: 18 073 022 464 octets libres
Après-CF: 18 043 867 136 octets libres

- - End Of File - - 0C4DBF7E2513AAAD1A9EF637FECA166D

Utilisateur anonyme · Answer

Bizarre, il n'as toujours pas fait ce que je veux et mbr est revenu !

Télécharge GMER à partir de ce lien : http://www.gmer.net#files - clic sur "Download EXE" et télécharge le fichier sur ton bureau.
Voir le tutorial GMER, ça peut peut-être t'aider : https://www.malekal.com/tutorial-gmer/

Désactive tes logiciels de protection (antivirus, antispyware etc) et ferme tous les programmes ouverts.
Double-clic sur le fichier GMER téléchargé.
IMPORTANT: Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
Clic sur l'onglet "rootkit"
Laisse tout coché.
Clic sur Scan
Lorsque le scan est terminé, clic sur "Copy"

Ouvre le bloc-note et clic sur le Menu Edition / Coller
Le rapport doit alors apparaître.
Enregistre le fichier sur ton bureau et copie/colle le contenu ici.

randall · Answer

Le scan (très long) n'a pas abouti. L'ordi a redémarré et aucun rapport n'a été réalisé (à ma connaissance)
Tout de suite après, il était impossible d'entrer dans le poste de travail... puis les icones ont disparu du bureau et l'ordi a planté.
J'ai tout éteint et redemarré.

randall · Answer

Dois je renouveler l'opération ?

randall · Answer

J'ai refait un scan. L'ordi redemarre mais le rapport ne s'affiche pas

Utilisateur anonyme · Answer

Fais ça stp : 

Télécharge Recherche-Fix Vista.zip sur ton bureau  
Dézippe-le (en faisant clique-droit, extraire ici sur l'archive)  
Ça va donné un fichier avec mbr et Recherche-Fix.bat dedans  
Lance Recherche-Fix option 1, patiente, un rapport s'ouvrira  
Poste le sur le forum. 
Si je désinfecte votre machine, c'est pour au moins un bout de temps, je vous désinfecterais pas si vous bousiller votre machine toutes les 5 minutes !

randall · Answer

Salut loicdem. Content de te revoir. ;-) Ce dossier fix vista.zip doit être ouvert en tant qu'administrateur pour se mettre en route visiblement (c'est ce que j'ai fait ap 2 tentatives et ouf... ça fonctionne !). Voici le rapport. Cordialement Le volume dans le lecteur C s'appelle DISQUE DUR Le num'ro de s'rie du volume est 39A2-2A93 R'pertoire de C:\Program Files 08/06/2010 22:48 . 08/06/2010 22:48 .. 29/01/2008 17:04 ABBYY FineReader 6.0 Sprint 05/09/2009 12:01 Adobe 04/06/2009 20:38 Avira 05/06/2010 08:38 BitDefender 05/10/2008 18:24 Br'al 11/07/2008 20:43 Byteswarm 18/12/2008 18:04 CCleaner 09/06/2010 14:44 Common Files 20/12/2006 07:05 CONEXANT 23/02/2008 22:52 DivX 29/01/2008 17:02 EPSON 31/01/2010 12:19 Google 18/12/2008 15:44 Grisoft 24/12/2008 12:14 Hewlett-Packard 20/12/2006 07:47 HP 01/04/2010 23:24 Internet Explorer 20/12/2006 08:00 Java 10/07/2008 23:12 LG PC Suite II 05/06/2010 15:57 Malwarebytes' Anti-Malware 17/08/2008 12:14 Microsoft CAPICOM 2.1.0.2 02/11/2006 14:37 Microsoft Games 23/02/2008 23:07 Microsoft Office 17/10/2009 03:04 Microsoft Works 23/02/2008 23:06 Microsoft.NET 12/03/2010 04:23 Movie Maker 23/02/2008 22:57 MSBuild 16/03/2008 18:54 MSXML 4.0 16/10/2008 12:01 PC Camera 09/06/2010 14:45 QuickTime 22/12/2007 22:11 Real 02/11/2006 14:37 Reference Assemblies 19/12/2009 01:09 RegCleaner 20/12/2006 07:27 Roxio 09/06/2010 14:44 SUPERAntiSpyware 20/12/2006 07:05 Synaptics 06/06/2010 09:53 trend micro 11/03/2008 21:24 Ubi Soft 04/11/2007 17:02 Universalis 8 23/02/2008 22:29 VideoLAN 25/12/2008 18:26 Windows Calendar 25/12/2008 18:26 Windows Collaboration 25/12/2008 18:26 Windows Defender 25/12/2008 18:26 Windows Journal 05/06/2010 09:02 Windows Live 13/05/2010 03:03 Windows Mail 02/11/2009 04:18 Windows Media Player 24/11/2005 22:19 Windows NT 25/12/2008 18:26 Windows Photo Gallery 25/12/2008 18:26 Windows Sidebar 17/07/2008 15:14 WinRAR 28/04/2010 00:26 WON 04/10/2008 10:19 Woonoz 10/06/2010 09:01 ZHPDiag 0 fichier(s) 0 octets 55 R'p(s) 19ÿ878ÿ305ÿ792 octets libres Le volume dans le lecteur C s'appelle DISQUE DUR Le num'ro de s'rie du volume est 39A2-2A93 R'pertoire de C:\Program Files\fichiers communs Le volume dans le lecteur C s'appelle DISQUE DUR Le num'ro de s'rie du volume est 39A2-2A93 R'pertoire de C:\Program Files\common files 09/06/2010 14:44 . 09/06/2010 14:44 .. 05/09/2009 12:02 Adobe 05/06/2010 14:01 BitDefender 23/02/2008 23:07 DESIGNER 16/10/2008 11:59 InstallShield 20/12/2006 08:00 Java 04/06/2009 20:36 microsoft shared 16/10/2008 12:01 PAC207 23/02/2008 22:51 PX Storage Engine 29/03/2009 03:59 Real 20/12/2006 07:24 Roxio Shared 02/11/2006 13:18 Services 20/12/2006 07:25 Sonic Shared 02/11/2006 13:18 SpeechEngines 20/12/2006 07:27 SureThing Shared 19/02/2008 16:11 Symantec Shared 25/12/2008 18:26 System 29/03/2009 05:27 xing shared 0 fichier(s) 0 octets 19 R'p(s) 19ÿ878ÿ301ÿ696 octets libres Le volume dans le lecteur C s'appelle DISQUE DUR Le num'ro de s'rie du volume est 39A2-2A93 R'pertoire de C:\ c:\Users\Fredo\Desktop\Desktop\Desktop\Desktop\Desktop\Desktop\Desktop\Desktop\Documents\aswclear.exe ====== Supression des fichiers temporaires ====== Fichier supprim' - C:\Users\Fredo\AppData\Local\Temp\3rsypnfi.dll Fichier supprim' - C:\Users\Fredo\AppData\Local\Temp\3rsypnfi.err Fichier supprim' - C:\Users\Fredo\AppData\Local\Temp\3rsypnfi.out Fichier supprim' - C:\Users\Fredo\AppData\Local\Temp\dqopdy4j.dll Fichier supprim' - C:\Users\Fredo\AppData\Local\Temp\dqopdy4j.err Fichier supprim' - C:\Users\Fredo\AppData\Local\Temp\dqopdy4j.out Fichier supprim' - C:\Users\Fredo\AppData\Local\Temp\e4lcxy1s.err Fichier supprim' - C:\Users\Fredo\AppData\Local\Temp\e4lcxy1s.out Fichier supprim' - C:\Users\Fredo\AppData\Local\Temp\Fredo.bmp Fichier supprim' - C:\Users\Fredo\AppData\Local\Temp\GLB1A2B.EXE Fichier supprim' - C:\Users\Fredo\AppData\Local\Temp\GoogleQuickSearchBox.log Fichier supprim' - C:\Users\Fredo\AppData\Local\Temp\SSUPDATE.EXE Fichier supprim' - C:\Users\Fredo\AppData\Local\Temp\wmplog00.sqm Fichier supprim' - C:\Users\Fredo\AppData\Local\Temp\wmsetup.log Fichier supprim' - C:\Users\Fredo\AppData\Local\Temp\VBE\MSForms.exd ====== Scan MBR (Master Boot Record) ====== ====== Scan MBR (Master Boot Record) Après Fix ====== ====== Scan Terminé, merci d'avoir utiliser Recherche-Fix By Loicdem ======

randall · Answer

Salut Loicdem.

Un copain est venu cet ap.midi chez moi et je crois que le souci est réglé.

Je voulais tout d'abord te remercier pour ton aide très précieuse et rassurante.

En outre, comme tu as géré mon souci depuis le début, je pensais que peut-être tu voudrais jetter un coup d'oeil pour vérifier si tu es d'accord avec le bilan et pour me confirmer que, selon toi aussi, il n'y a plus de de pblm...

Enfin, tu voudras bien me dire comment je peux te remercier pour le temps que tu as passé sur cette affaire.

Cordialement

Fred

Utilisateur anonyme · Answer

Yo,

Refait un ZHPDiag

Randall · Answer

Voici le rapport : 

qu'en penses tu ?
http://www.cijoint.fr/cjlink.php?file=cj201006/cijA1nQ1lI.txt

Utilisateur anonyme · Answer

Prend le fichier "MBR" du dossier "Recherche-Fix Vista " et met le sur ton bureau !

Puis fais démarrer, exécuter et tape : "%userprofile%\Desktop\mbr" -f et fais entrée !

Puis, double clique sur MBR et poste le rapport appelé MBR.log qui est sur ton bureau !

Randall · Answer

"Démarrer", exécuter... dans la barre de tâche ou dans le dossier "Recherche fix Vista" ? 

Aïe... Je ne trouve pas le "exécuter"

Randall · Answer

J'ai restauré la commande "exécuter" à partir de la barre de taches.

j'ai tapé ce qui est indiqué mais un message d'erreur apparait : 
Windows ne trouve pas C:Users\Fredo\Deskop\mbr
vérifiez que vous avez entré le nom correct puis réessayez

Utilisateur anonyme · Answer

"C:Users\Fredo\Deskop\mbr "

DeskTop pas Deskop !!!!!

Encore désolé du temps...

Ver, trojan, virus ...??

72 réponses

Discussions similaires