Virus Spam

Question

Bonjour,   

Je vous expose mon probleme :  
Il semblerait que j'ai un virus, mon antivirus AntiVir detecte un certain wloduc.exe et wsr.exe. De plus j'ai des spams recurrents sortant de Internet Explorer ( sachant que je n'utilise que chrome et Firefox )  


Je suis sous Windows XP, et voici mon rapport Hijackthis :  


Logfile of Trend Micro HijackThis v2.0.2  
Scan saved at 23:37:30, on 14/06/2010  
Platform: Windows XP SP3 (WinNT 5.01.2600)  
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)  
Boot mode: Normal  

Running processes:  
C:\WINDOWS\System32\smss.exe  
C:\WINDOWS\system32\winlogon.exe  
C:\WINDOWS\system32\services.exe  
C:\WINDOWS\system32\lsass.exe  
C:\WINDOWS\system32
vsvc32.exe  
C:\WINDOWS\system32\svchost.exe  
C:\WINDOWS\System32\svchost.exe  
C:\WINDOWS\system32\spoolsv.exe  
C:\Program Files\Avira\AntiVir Desktop\sched.exe  
C:\WINDOWS\Explorer.EXE  
C:\WINDOWS\ehome\ehtray.exe  
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe  
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe  
C:\Program Files\iTunes\iTunesHelper.exe  
C:\WINDOWS\system32\ctfmon.exe  
C:\Program Files
euf telecom
euf Box\Wizard\QuickAccess.exe  
C:\Program Files\Skype\Phone\Skype.exe  
C:\Program Files\Logitech\SetPoint\SetPoint.exe  
C:\Program Files\Fichiers communs\Logitech\KhalShared\KHALMNPR.EXE  
C:\Program Files\Skype\Plugin Manager\skypePM.exe  
C:\Program Files\Avira\AntiVir Desktop\avguard.exe  
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe  
C:\Program Files\AskBarDis\bar\bin\AskService.exe  
C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe  
C:\Program Files\Bonjour\mDNSResponder.exe  
C:\WINDOWS\eHome\ehRecvr.exe  
C:\WINDOWS\eHome\ehSched.exe  
C:\Program Files\LogMeIn Hamachi\hamachi-2.exe  
C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE  
C:\Program Files\Java\jre6\bin\jqs.exe  
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe  
C:\WINDOWS\system32\svchost.exe  
C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe  
C:\Program Files\iPod\bin\iPodService.exe  
C:\WINDOWS\system32\dllhost.exe  
C:\WINDOWS\eHome\ehmsas.exe  
C:\Program Files\Windows Live\Messenger\msnmsgr.exe  
C:\Program Files\Windows Live\Contacts\wlcomm.exe  
C:\WINDOWS\system32undll32.exe  
C:\WINDOWS\system32\SNDVOL32.EXE  
C:\Program Files\Mozilla Firefox\firefox.exe  
C:\Documents and Settings\Melhiw\Local Settings\Application Data\Google\Chrome\Application\chrome.exe  
C:\WINDOWS\Wloduc.exe  
C:\Documents and Settings\Melhiw\Local Settings\Application Data\Google\Chrome\Application\chrome.exe  
C:\Documents and Settings\Melhiw\Local Settings\Application Data\Google\Chrome\Application\chrome.exe  
C:\Documents and Settings\Melhiw\Local Settings\Application Data\Google\Chrome\Application\chrome.exe  
D:\Jeux\Paradise Online\°~ Paradise Online~°.exe  
C:\Program Files\Internet Explorer\iexplore.exe  
C:\Program Files\Teamspeak2_RC2\TeamSpeak.exe  
C:\DOCUME~1\Melhiw\LOCALS~1\Temp\Wsr.exe  
C:\Documents and Settings\Melhiw\Local Settings\Application Data\Google\Chrome\Application\chrome.exe  
C:\Documents and Settings\Melhiw\Local Settings\Application Data\Google\Chrome\Application\chrome.exe  
C:\Documents and Settings\Melhiw\Local Settings\Application Data\Google\Chrome\Application\chrome.exe  
D:\Downloads\HiJackThis.exe  
C:\Program Files\Avira\AntiVir Desktop\GUARDGUI.EXE  

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2567681  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=10611&gct=&gc=1&q=  
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=10611&gct=&gc=1&q=  
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=10611&gct=&gc=1&q=%s  
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local  
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens  
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn2\yt.dll  
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Program Files\AskSearch\bin\DefaultSearch.dll  
R3 - URLSearchHook: Messenger Plus Live France Toolbar - {59994074-c06d-4a75-9768-49e5a8c21264} - C:\Program Files\Messenger_Plus_Live_France	bMes1.dll  
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn2\yt.dll  
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll  
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll  
O2 - BHO: Messenger Plus Live France Toolbar - {59994074-c06d-4a75-9768-49e5a8c21264} - C:\Program Files\Messenger_Plus_Live_France	bMes1.dll  
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)  
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll  
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll  
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll  
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files\Yahoo!\Companion\Installs\cpn2\YTSingleInstance.dll  
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn2\yt.dll  
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll  
O3 - Toolbar: Messenger Plus Live France Toolbar - {59994074-c06d-4a75-9768-49e5a8c21264} - C:\Program Files\Messenger_Plus_Live_France	bMes1.dll  
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe  
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min  
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE  
O4 - HKLM\..\Run: [HDAudDeck] C:\Program Files\VIAudioi\HDADeck\HDeck.exe 1  
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"  
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k  
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet  
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit  
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup  
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon  
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon  
O4 - HKLM\..\Run: [LogMeIn Hamachi Ui] "C:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start  
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe  
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime  
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"  
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe  
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"  
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"  
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe  
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Melhiw\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c  
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet  
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background  
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun  
O4 - HKCU\..\Run: [Configuration de la neuf Box] C:\Program Files
euf telecom
euf Box\Wizard\QuickAccess.exe  
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized  
O4 - HKCU\..\Run: [M5T8QL3YW3] C:\DOCUME~1\Melhiw\LOCALS~1\Temp\Wsr.exe  
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe -p  
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')  
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')  
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')  
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')  
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe  
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000  
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL  
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe  
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe  
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe  
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe  
O15 - Trusted Zone: *.line6.net  
O16 - DPF: {40F576AD-8680-4F9E-9490-99D069CD665F} (System Requirements Lab Class) - http://srtest-cdn.systemrequirementslab.com.s3.amazonaws.com/bin/sysreqlabdetect.cab  
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab  
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab  
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL  
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe  
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe  
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe  
O23 - Service: ASKService - Unknown owner - C:\Program Files\AskBarDis\bar\bin\AskService.exe  
O23 - Service: ASKUpgrade - Unknown owner - C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe  
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe  
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Program Files\LogMeIn Hamachi\hamachi-2.exe  
O23 - Service: Inkjet Printer/Scanner Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE  
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe  
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe  
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe  
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe  
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe  
O23 - Service: Yahoo! Updater (YahooAUService) - Yahoo! Inc. - C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe

dédétraqué · Answer

Salut Melhiw


Il y a bien infection et on va faire un diagnostique plus complet :

Télécharge RSIT (de random/random) sur le bureau ici :
http://images.malwareremoval.com/random/RSIT.exe

- Double clique sur RSIT.exe qui est sur le bureau
- Clique sur Continue dans la fenêtre
- RSIT téléchargera HijackThis si il n'est pas présent où détecté, alors il faudra accepter la licence
- Poste le contenue des deux rapports, log.txt et info.txt(réduit dans la barre des tâches) à la fin de l'analyse

Utilise cjoint.com pour poster en lien tes rapports :
https://www.cjoint.com/

- Clique sur Parcourir pour aller chercher le rapport C:\rsit\log.txt
- Clique sur Ouvrir ensuite sur Créer le lien Cjoint

- Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.

Et fais la même chose avec l'autre rapport C:\rsit\info.txt


@++  :)

Melhiw · Answer

Salut dédétraqué,
Merci pour ta reponse rapide !

Alors voila, mes rapports :
info :  http://cjoint.com/data/gpaIs2ClBr.htm

et 

log :  http://cjoint.com/data/gpaKkUEaTT.htm

Voila, voila.
Merci d'avance pour les reponses.

A bientot

dédétraqué · Answer

Salut Melhiw


Via Ajout/Suppression de programmes désinstalle Vuze Toolbar 

Supprime si encore présent : C:\Program Files\AskBarDis


* Télécharge UsbFix (de El Desaparecido et C_XX) sur le bureau ici :

https://www.ionos.fr/?affiliate_id=77097

/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

- Double-clique sur l'icône Usbfix située sur ton Bureau.
- Dans la nouvelle fenêtre, clique sur le bouton :

« Suppression »

/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, caméra, etc...) susceptible d'avoir été infectées sans les ouvrir

- puis clique sur OK
- Laisse travailler l'outil.
- Redémarre le PC et poste le rapport qui apparaît à la fin, le rapport se trouve sur C:\ UsbFix.txt


@++    :)

Melhiw · Answer

Resalut Détraqué !

J'ai un probléme, USBfix, ne se lance pas oO. je double click, et rien ne se passe.
Sinon concernant la suite de la procédure, un iPhone est il succeptible d'avoir été infecté ?

Merci d'avance !

dédétraqué · Answer

Salut Melhiw


Télécharge le de nouveau voir si le même souci


@++   :)

Melhiw · Answer

Resalut Dédétraqué !

Je l'avais deja retéléchargé pour voir, ca n'a pas marché. Je viens de le retélécharger apres ta reponse, et toujours rien =/ .


Merci d'avance !
A bientot

dédétraqué · Answer

Salut Melhiw


Télécharge combofix.exe (de sUBs) sur le bureau :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Important Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
https://forum.pcastuces.com/default.asp
https://www.bleepingcomputer.com/forums/t/114351/how-to-temporarily-disable-your-anti-virus-firewall-and-anti-malware-programs/

==> Sauvegarde ton travail et ferme toutes les fenêtres actives, il peut y avoir un redémarrage du PC. Ne lance aucun programme tant que Combofix n'est pas fini. <==

Double clique sur combofix.exe, clique sur OUI et valide par Entrée 

Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Combofix est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure


@++   :)

Melhiw · Answer

Resalut dédétraqué,

Petit incident, lorsque combofix a reboot mon PC, certain programme se sont apprêté à s'ouvrir automatiquement ( comme msn ou skype ) je me suis empressé de les fermer, mais j'espère que ça n'a pas empêcher le bon fonctionnement de combofix ! (J'ai quand meme vu un message qui disait qu'il avait supprimé quelque chose qui semblait être le virus qui m'embêter, c'est encourageant ! )

Voila le rapport :

ComboFix 10-06-14.02 - Melhiw 15/06/2010 1:57.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1022.501 [GMT 2:00]
Lancé depuis: c:\documents and settings\Melhiw\Bureau\Desinfection\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\docume~1\Melhiw\LOCALS~1\Temp\install_flash_player.exe
c:\program files\AskSearch\bin\DefaultSearch.dll
c:\recycler\S-1-5-21-9483426702-5265160830-132701226-6839\recycle.exe
c:\windows\system32\sshnas21.dll
c:\windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
c:\windows\Wloduc.exe

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SSHNAS
-------\Service_SSHNAS

((((((((((((((((((((((((((((( Fichiers créés du 2010-05-15 au 2010-06-15 ))))))))))))))))))))))))))))))))))))
.

2010-06-14 23:02 . 2010-06-14 23:02 -------- d-----w- C:\UsbFix
2010-06-14 22:32 . 2010-06-14 22:32 -------- d-----w- c:\program files\trend micro
2010-06-14 22:32 . 2010-06-14 22:32 -------- d-----w- C:\rsit
2010-06-14 00:52 . 2010-06-13 21:44 15880 ----a-w- c:\windows\system32\lsdelete.exe
2010-06-13 21:44 . 2010-06-13 21:43 64288 ----a-w- c:\windows\system32\drivers\Lbd.sys
2010-06-13 21:44 . 2010-06-13 21:44 95024 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
2010-06-13 21:34 . 2010-06-13 21:34 -------- dc-h--w- c:\documents and settings\All Users\Application Data\{52AC600B-5800-407E-99FF-83CD0669760B}
2010-06-13 21:34 . 2010-06-13 21:44 -------- d-----w- c:\documents and settings\All Users\Application Data\Lavasoft
2010-06-13 21:34 . 2010-06-13 21:34 -------- d-----w- c:\program files\Lavasoft
2010-06-12 00:50 . 2010-06-12 00:50 -------- d-----w- c:\documents and settings\Melhiw\Application Data\Ubisoft
2010-06-12 00:50 . 2010-06-12 00:50 -------- d-----w- c:\documents and settings\All Users\Application Data\Ubisoft
2010-06-11 22:47 . 2010-06-11 22:47 -------- d-----w- c:\program files\Ubisoft
2010-06-11 22:47 . 2009-09-04 15:44 515416 ----a-w- c:\windows\system32\XAudio2_5.dll
2010-06-11 22:47 . 2009-09-04 15:44 238936 ----a-w- c:\windows\system32\xactengine3_5.dll
2010-06-11 22:47 . 2009-09-04 15:29 5501792 ----a-w- c:\windows\system32\d3dcsx_42.dll
2010-06-11 22:47 . 2009-09-04 15:29 1974616 ----a-w- c:\windows\system32\D3DCompiler_42.dll
2010-06-11 22:47 . 2009-09-04 15:29 453456 ----a-w- c:\windows\system32\d3dx10_42.dll
2010-06-11 22:47 . 2009-09-04 15:29 235344 ----a-w- c:\windows\system32\d3dx11_42.dll
2010-06-11 22:47 . 2009-09-04 15:29 1892184 ----a-w- c:\windows\system32\D3DX9_42.dll
2010-06-11 22:47 . 2009-03-09 13:27 453456 ----a-w- c:\windows\system32\d3dx10_41.dll
2010-06-11 22:47 . 2009-03-09 13:27 1846632 ----a-w- c:\windows\system32\D3DCompiler_41.dll
2010-06-11 22:46 . 2009-09-04 15:44 69464 ----a-w- c:\windows\system32\XAPOFX1_3.dll
2010-06-11 22:46 . 2009-03-16 12:18 517448 ----a-w- c:\windows\system32\XAudio2_4.dll
2010-06-11 22:46 . 2009-03-09 13:27 4178264 ----a-w- c:\windows\system32\D3DX9_41.dll
2010-06-11 22:46 . 2009-03-16 12:18 235352 ----a-w- c:\windows\system32\xactengine3_4.dll
2010-06-11 22:46 . 2009-03-16 12:18 22360 ----a-w- c:\windows\system32\X3DAudio1_6.dll
2010-06-11 22:46 . 2008-10-15 04:22 2036576 ----a-w- c:\windows\system32\D3DCompiler_40.dll
2010-06-11 22:46 . 2008-10-15 04:22 452440 ----a-w- c:\windows\system32\d3dx10_40.dll
2010-06-11 22:46 . 2008-10-15 04:22 4379984 ----a-w- c:\windows\system32\D3DX9_40.dll
2010-06-11 22:46 . 2008-10-27 08:04 514384 ----a-w- c:\windows\system32\XAudio2_3.dll
2010-06-11 22:46 . 2008-10-27 08:04 235856 ----a-w- c:\windows\system32\xactengine3_3.dll
2010-06-11 22:46 . 2008-10-27 08:04 70992 ----a-w- c:\windows\system32\XAPOFX1_2.dll
2010-06-11 22:46 . 2008-10-27 08:04 23376 ----a-w- c:\windows\system32\X3DAudio1_5.dll
2010-06-10 18:33 . 2010-06-10 18:33 -------- d-----w- c:\program files\Fichiers communs\Digidesign
2010-06-08 17:57 . 2008-04-14 01:33 21504 -c--a-w- c:\windows\system32\dllcache\hidserv.dll
2010-06-08 17:57 . 2008-04-14 01:33 21504 ----a-w- c:\windows\system32\hidserv.dll
2010-06-08 17:57 . 2008-04-14 01:05 14720 -c--a-w- c:\windows\system32\dllcache\kbdhid.sys
2010-06-08 17:57 . 2008-04-14 01:05 14720 ----a-w- c:\windows\system32\drivers\kbdhid.sys
2010-06-06 10:47 . 2010-06-06 10:47 -------- d-----w- c:\program files\Fichiers communs\Java
2010-06-06 10:46 . 2010-04-12 15:29 411368 ----a-w- c:\windows\system32\deployJava1.dll
2010-06-04 21:09 . 2010-06-04 21:09 98304 ----a-w- c:\windows\system32\CmdLineExt.dll
2010-05-20 20:27 . 2010-05-20 20:27 -------- d-----w- c:\program files\directx

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-15 00:03 . 2009-11-04 16:59 -------- d-----w- c:\documents and settings\Melhiw\Application Data\Skype
2010-06-14 23:57 . 2009-11-11 21:41 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2010-06-14 23:51 . 2009-11-04 17:01 -------- d-----w- c:\documents and settings\Melhiw\Application Data\skypePM
2010-06-14 22:53 . 2009-11-07 16:54 -------- d-----w- c:\program files\AskBarDis
2010-06-13 21:34 . 2009-11-05 00:17 -------- d-----w- c:\documents and settings\Melhiw\Application Data\vlc
2010-06-12 21:32 . 2010-04-07 21:00 -------- d-----w- c:\program files\Messenger_Plus_Live_France
2010-06-11 23:20 . 2009-11-04 16:01 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-06-11 01:16 . 2010-01-12 15:03 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-06-11 01:09 . 2006-03-24 12:00 96118 ----a-w- c:\windows\system32\perfc00C.dat
2010-06-11 01:09 . 2006-03-24 12:00 534382 ----a-w- c:\windows\system32\perfh00C.dat
2010-06-10 18:33 . 2010-02-13 23:26 -------- d-----w- c:\program files\Vstplugins
2010-06-10 16:20 . 2009-11-07 16:55 -------- d-----w- c:\documents and settings\Melhiw\Application Data\Azureus
2010-06-09 23:01 . 2010-02-20 22:19 -------- d-----w- c:\documents and settings\All Users\Application Data\CanonIJPLM
2010-06-07 14:40 . 2009-11-07 16:54 -------- d-----w- c:\program files\Vuze
2010-06-06 10:47 . 2010-06-06 10:47 503808 ----a-w- c:\documents and settings\Melhiw\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-5962af4f-n\msvcp71.dll
2010-06-06 10:47 . 2010-06-06 10:47 499712 ----a-w- c:\documents and settings\Melhiw\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-5962af4f-n\jmc.dll
2010-06-06 10:47 . 2010-06-06 10:47 348160 ----a-w- c:\documents and settings\Melhiw\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-5962af4f-n\msvcr71.dll
2010-06-06 10:47 . 2010-06-06 10:47 61440 ----a-w- c:\documents and settings\Melhiw\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-31f45c84-n\decora-sse.dll
2010-06-06 10:47 . 2010-06-06 10:47 12800 ----a-w- c:\documents and settings\Melhiw\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-31f45c84-n\decora-d3d.dll
2010-06-06 10:46 . 2009-11-07 16:29 -------- d-----w- c:\program files\Java
2010-06-05 11:33 . 2009-11-05 20:58 -------- d-----w- c:\documents and settings\Melhiw\Application Data\dvdcss
2010-06-05 06:50 . 2010-06-05 06:50 348160 ----a-w- c:\documents and settings\Melhiw\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-4d2f486c-n\msvcr71.dll
2010-06-05 06:50 . 2010-06-05 06:50 503808 ----a-w- c:\documents and settings\Melhiw\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-4d2f486c-n\msvcp71.dll
2010-06-05 06:50 . 2010-06-05 06:50 499712 ----a-w- c:\documents and settings\Melhiw\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-4d2f486c-n\jmc.dll
2010-06-04 15:28 . 2009-11-05 00:08 -------- d-----w- c:\documents and settings\Melhiw\Application Data\DiskAid
2010-05-02 08:08 . 2006-03-24 12:00 1851392 ----a-w- c:\windows\system32\win32k.sys
2010-04-30 23:28 . 2010-04-30 23:28 -------- d-----w- c:\program files\7-Zip
2010-04-27 22:27 . 2009-11-04 16:05 -------- d-----w- c:\documents and settings\All Users\Application Data\Yahoo! Companion
2010-04-26 19:23 . 2010-04-26 19:23 -------- d-----w- c:\program files\DigiDNA
2010-04-20 05:30 . 2006-03-24 12:00 285696 ----a-w- c:\windows\system32\atmfd.dll
2010-04-16 16:07 . 2006-03-24 12:00 671232 ----a-w- c:\windows\system32\wininet.dll
2010-04-16 16:07 . 2006-03-24 12:00 81920 ----a-w- c:\windows\system32\ieencode.dll
2010-04-12 16:48 . 2010-04-12 16:48 85504 ----a-w- c:\documents and settings\Melhiw\Application Data\SystemRequirementsLab\srlproxy_cyri_4.1.71.0A.dll
2010-04-06 03:12 . 2010-06-13 00:03 114360 ----a-w- c:\documents and settings\Melhiw\Application Data\Mozilla\Firefox\Profiles\154esbgj.default\extensions\{81BF1D23-5F17-408D-AC6B-BD6DF7CAF670}\components\XpcomOpusConnector.dll
2010-04-01 05:38 . 2010-04-01 05:38 73000 ----a-w- c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 9.1.0.79\SetupAdmin.exe
2010-03-21 14:24 . 2010-03-21 14:24 51996 ---ha-w- c:\windows\system32\mlfcache.dat
2010-03-17 18:50 . 2010-03-17 22:27 608256 ----a-w- C:\blackra1n.exe
2010-03-17 08:08 . 2010-04-07 21:00 52224 ----a-w- c:\documents and settings\Melhiw\Application Data\Mozilla\Firefox\Profiles\154esbgj.default\extensions\{59994074-c06d-4a75-9768-49e5a8c21264}\components\FFExternalAlert.dll
2010-03-17 08:08 . 2010-04-07 21:00 101376 ----a-w- c:\documents and settings\Melhiw\Application Data\Mozilla\Firefox\Profiles\154esbgj.default\extensions\{59994074-c06d-4a75-9768-49e5a8c21264}\components\RadioWMPCore.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{59994074-c06d-4a75-9768-49e5a8c21264}"= "c:\program files\Messenger_Plus_Live_France\tbMes1.dll" [2010-06-12 2515552]

[HKEY_CLASSES_ROOT\clsid\{59994074-c06d-4a75-9768-49e5a8c21264}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{59994074-c06d-4a75-9768-49e5a8c21264}]
2010-06-12 21:32 2515552 ----a-w- c:\program files\Messenger_Plus_Live_France\tbMes1.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{59994074-c06d-4a75-9768-49e5a8c21264}"= "c:\program files\Messenger_Plus_Live_France\tbMes1.dll" [2010-06-12 2515552]

[HKEY_CLASSES_ROOT\clsid\{59994074-c06d-4a75-9768-49e5a8c21264}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{59994074-C06D-4A75-9768-49E5A8C21264}"= "c:\program files\Messenger_Plus_Live_France\tbMes1.dll" [2010-06-12 2515552]

[HKEY_CLASSES_ROOT\clsid\{59994074-c06d-4a75-9768-49e5a8c21264}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\documents and settings\Melhiw\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2009-11-04 135664]
"Messenger (Yahoo!)"="c:\program files\Yahoo!\Messenger\YahooMessenger.exe" [2009-05-26 4351216]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2009-10-30 369200]
"Configuration de la neuf Box"="c:\program files\neuf telecom\neuf Box\Wizard\QuickAccess.exe" [2005-12-13 389120]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-10-09 25623336]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-04-11 56080]
"HDAudDeck"="c:\program files\VIAudioi\HDADeck\HDeck.exe" [2006-07-04 679936]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-11-20 110184]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-11-20 12669544]
"CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2008-03-10 689488]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2008-03-17 1848648]
"LogMeIn Hamachi Ui"="c:\program files\LogMeIn Hamachi\hamachi-2-ui.exe" [2010-03-30 1820040]
"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2010-02-17 177472]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-03-17 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-03-25 142120]
"NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2009-11-4 692224]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Vuze\\Azureus.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Jeux\\Worms World Party\\wwp.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Opera\\opera.exe"=
"d:\\Jeux\\Lotr\\game.dat"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"d:\\Jeux\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\XR_3DA.exe"=
"d:\\Jeux\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\dedicated\\XR_3DA.exe"=
"c:\\Program Files\\Ubisoft\\Ubisoft Game Launcher\\UbisoftGameLauncher.exe"=
"d:\\Jeux\\Assassins Creed II\\AssassinsCreedIIGame.exe"=
"d:\\Jeux\\Assassins Creed II\\AssassinsCreedII.exe"=
"d:\\Jeux\\Assassins Creed II\\UPlayBrowser.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [13/06/2010 23:44 64288]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [08/11/2009 16:57 691696]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [04/11/2009 02:13 108289]
R2 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine;c:\program files\LogMeIn Hamachi\hamachi-2.exe [30/03/2010 11:16 1107336]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [05/02/2010 11:03 1352320]
R3 L6DP;L6DP;c:\windows\system32\drivers\l6dp.sys [29/09/2006 18:05 29312]
R3 L6TPortB;Service - Line 6 TonePort UX2;c:\windows\system32\drivers\L6TPortB.sys [29/09/2006 18:01 472832]
S3 QCEmerald;QuickCam Web Logitech;c:\windows\system32\drivers\OVCE.sys [14/11/2009 00:12 31872]
.
Contenu du dossier 'Tâches planifiées'

2010-06-14 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-02-05 21:42]

2010-05-25 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2009-11-30 c:\windows\Tasks\Driver Robot.job
- c:\program files\Driver Robot\1.1.0.14\DriverRobot.exe [2009-11-04 12:53]

2010-06-14 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-343818398-1563985344-682003330-1003Core.job
- c:\documents and settings\Melhiw\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-11-04 16:06]

2010-06-14 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-343818398-1563985344-682003330-1003UA.job
- c:\documents and settings\Melhiw\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-11-04 16:06]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2567681
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://toolbar.ask.com/toolbarv/askRedirect?o=10611&gct=&gc=1&q=%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
Trusted Zone: line6.net
FF - ProfilePath - c:\documents and settings\Melhiw\Application Data\Mozilla\Firefox\Profiles\154esbgj.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2567681&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Messenger Plus Live France Customized Web Search
FF - prefs.js: browser.startup.homepage - hxxp://search.conduit.com/?ctid=CT2567681&SearchSource=13
FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2567681&q=
FF - component: c:\documents and settings\Melhiw\Application Data\Mozilla\Firefox\Profiles\154esbgj.default\extensions\{59994074-c06d-4a75-9768-49e5a8c21264}\components\FFExternalAlert.dll
FF - component: c:\documents and settings\Melhiw\Application Data\Mozilla\Firefox\Profiles\154esbgj.default\extensions\{59994074-c06d-4a75-9768-49e5a8c21264}\components\RadioWMPCore.dll
FF - component: c:\documents and settings\Melhiw\Application Data\Mozilla\Firefox\Profiles\154esbgj.default\extensions\{81BF1D23-5F17-408D-AC6B-BD6DF7CAF670}\components\XpcomOpusConnector.dll
FF - plugin: c:\documents and settings\Melhiw\Local Settings\Application Data\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npdeployJava1.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-nwiz - nwiz.exe
HKLM-Run-NWEReboot - (no file)

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-15 02:03
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HDAudDeck = c:\program files\VIAudioi\HDADeck\HDeck.exe 1????????????????????????????????????????????

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll sfsync02.sys atapi.sys spay.sys >>UNKNOWN [0x86788938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf7654f28
\Driver\ACPI -> ACPI.sys @ 0xf73dbcb8
\Driver\atapi -> sfsync02.sys @ 0xf78a0d60
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: Carte Fast Ethernet compatible VIA -> SendCompleteHandler -> NDIS.sys @ 0xf7279bb0
PacketIndicateHandler -> NDIS.sys @ 0xf7286a21
SendHandler -> NDIS.sys @ 0xf726487b
user & kernel MBR OK

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-343818398-1563985344-682003330-1003\Software\SecuROM\License information*]
"datasecu"=hex:50,b8,cc,e7,44,b7,d8,a5,cf,3b,8f,5b,46,75,a7,33,03,9e,23,4e,6d,
0c,dc,6c,ef,a8,85,68,9e,cb,01,64,47,5a,26,4c,01,c9,7c,98,b5,fc,41,0b,15,84,\
"rkeysecu"=hex:b0,d6,e4,28,42,b2,dd,da,98,a9,48,e5,d1,32,53,10
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(448)
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\eHome\ehRecvr.exe
c:\windows\eHome\ehSched.exe
c:\program files\Canon\IJPLM\IJPLMSVC.EXE
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\LightScribe\LSSrvc.exe
c:\program files\Yahoo!\SoftwareUpdate\YahooAUService.exe
c:\windows\ehome\mcrdsvc.exe
c:\program files\iPod\bin\iPodService.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\eHome\ehmsas.exe
c:\windows\system32\dllhost.exe
c:\windows\system32\wscntfy.exe
c:\program files\Lavasoft\Ad-Aware\AAWTray.exe
c:\documents and settings\Melhiw\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
.
**************************************************************************
.
Heure de fin: 2010-06-15 02:09:10 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-06-15 00:08

Avant-CF: 1 275 551 744 octets libres
Après-CF: 2 025 709 568 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect

- - End Of File - - 8AE6C996700EBE6F31F2B769E0453C22

Merci d'avance pour les reponses !!
a Bientot
Melhiw

dédétraqué · Answer

Salut Melhiw


- Clique sur le menu démarrer/Exécuter, tape notepad à l'invite de commande et OK.

- Copie/colle ce qui est en gras ci-dessous dans le Bloc-Notes :

 KillAll::

Folder::
c:\program files\Messenger_Plus_Live_France
c:\program files\AskBarDis

Registry::
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] 
"{59994074-c06d-4a75-9768-49e5a8c21264}"=-
[-HKEY_CLASSES_ROOT\clsid\{59994074-c06d-4a75-9768-49e5a8c21264}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{59994074-c06d-4a75-9768-49e5a8c21264}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] 
"{59994074-c06d-4a75-9768-49e5a8c21264}"=-
[-HKEY_CLASSES_ROOT\clsid\{59994074-c06d-4a75-9768-49e5a8c21264}] 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser] 
"{59994074-C06D-4A75-9768-49E5A8C21264}"=-
[-HKEY_CLASSES_ROOT\clsid\{59994074-c06d-4a75-9768-49e5a8c21264}]

Mbr::

- Enregistre ce fichier sur le bureau (Impératif)

-Nom du fichier : CFScript.txt
-Type du fichier : tous les fichiers

- Clique sur Enregistrer et quitte le Bloc Notes

Important Désactive ton Antivirus et antispyware avant de faire le glisser/déposer

- Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe sur le bureau, comme sur cette capture (l'icône est un lion) :

http://free0.hiboox.com/images/2409/9126d3b136f7db9ab6242ad715b44296.gif

   * Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
     Ne touche à rien tant que le scan n'est pas terminé.
   * Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
   * Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt


@++   :)

Melhiw · Answer

Resalut dédétraqué,

J'ai suivi la procédure que tu m'a donné, voila le rapport :

http://cjoint.com/data/gpr1R2svtr.htm


Merci d'avance.
A bientot
Melhiw

dédétraqué · Answer

Salut Melhiw


Certain logiciels peuvent nuire au bon fonctionnement de Gmer, on va les désactiver :

* Télécharge Defogger (de jpshortstuff) sur ton Bureau :
http://www.jpshortstuff.247fixes.com/Defogger.exe

* Lance le
* Une fenêtre apparait : clique sur "Disable"
* Fais redémarrer l'ordinateur si l'outil te le demande
* Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

-----

Télécharge Gmer et enregistre-le sur ton bureau.
http://www2.gmer.net/download.php

- Déconnecte toi d'internet si possible et ferme tous les programmes, puis lance l'outil.
- Clique sur le bouton "Scan" sur la droite.

- Lorsque le scan est terminé, clic sur "Copy".
- Ouvre le bloc-note et clic sur le Menu Edition / Coller
- Le rapport doit alors apparaître.

- Enregistre le fichier sur ton bureau et copie/colle le contenu ici.


@++  :)

Melhiw · Answer

Salut dédétraqué,

Voila le rapport de gmer :

http://cjoint.com/data/gqmTnV3GzJ.htm


Merci d'avance pour l'aide !
A bientot

dédétraqué · Answer

Salut Melhiw


-Télécharge et installe MalwareByte's Anti-Malware
http://www.malwarebytes.org/mbam/program/mbam-setup.exe

- Mets le à jour

---

- Redémarre en mode sans échec :

Au redémarrage de ton PC tapote sur la touche F8 ou F5, sur l'écran suivant déplace toi avec les flèches de direction et choisis Mode sans échec et choisis ta session habituelle.

---

- Double clique sur le raccourci de MalwareByte's Anti-Malware qui est sur le bureau.
- Sélectionne Exécuter un examen complet si ce n'est pas déjà fait
- clique sur Rechercher

- Une fois le scan terminé, une fenêtre s'ouvre, clique sur  sur OK

- Si MalwareByte's n'a rien détecté, clique sur OK  Un rapport va apparaître ferme-le.

- Si MalwareByte's a détecté des infections, clique sur Afficher les résultats  ensuite sur Supprimer la sélection

- Enregistre le rapport sur ton Bureau comme cela il sera plus facile à retrouver, poste ensuite ce rapport.

Note : Si MalwareByte's  a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur OK

Tutoriel pour MalwareByte's ici : 
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/


@++   :)

Melhiw · Answer

Resalut dédétraqué !!

Voila le rapport de malwarebytes !

http://cjoint.com/data/gqs6ddoT72.htm


Merci encore !

A bientot

dédétraqué · Answer

Salut Melhiw


Cela semble bon, télécharge Usbfix et essai de nouveau :

https://forums.commentcamarche.net/forum/affich-18145194-virus-spam#3


@++   :)

Melhiw · Answer

REsalut dédétraqué,

usbfix a fonctionné, voila le rapport :

http://cjoint.com/data/gralJGo3f2.htm

Merci d'avance,
a bientot

dédétraqué · Answer

Salut Melhiw


On va vérifier si rien de caché :
Faire un scan avec Nod32 en ligne (il faut utiliser Internet Explorer) ici :

https://www.eset.com/int/home/online-scanner/

(coche toutes les cases à chaque fois, sauf les deux dernières a la fin du scan, sinon le rapport est supprimer) 
A la fin, colle le rapport : C:\Program Files\EsetOnlineScanner\log.txt


@++   :)

melhiw · Answer

Resalut dédétraqué !

Bon j'ai eu des soucis de modem et d'internet. Resultats le scan de Nod32 a été imterrompu vers 62% apres 11h de scan ( c'est normal que ca soit si lent ? ) il avait affiché 6 infections, et 6 elements supprimés. Suite a une mauvaise manip avec un fichier PDF qui ma envoyé sur un site, j'ai perdu la page du scan, et je n'ai pas de rapport.

Que dois je faire ? Je relance le scan ? Si oui, est ce que 11h de scan pour 62% est normal  ?  (environ 230Go de données, et une connexion de 2mega )

Merci d'avance, a bientot

dédétraqué · Answer

Salut Melhiw 


J'ai déjà vu des scan encore plus long, chaque PC est différent...

Oui refais le scan, démarre-le avant d'aller au lit comme ça il va moins gêné.


@++   :)

melhiw · Answer

Resalut dedetraqué,

Le scan a été plus rapide que la derniere fois, voila le rapport :

http://cjoint.com/data/gtoq6uO8ho.htm

Apperement il n'a rien trouvé !

Merci d'avance,
a bientot

dédétraqué · Answer

Salut Melhiw 


Ton dernier rapport est propre, mais le premier est bien là aussi et faudrait voir a changer tes habitudes, le téléchargement illéga est le principal facteur d'infection (µTorrent, BitTorrent, eMule, Limewire, etc..)   https://forum.malekal.com/viewtopic.php?t=893&start=

As-tu d'autre souci?


@++   :)

melhiw · Answer

Resalut dédétraqué !

Je prend bien ton conseil en consideration, je ne telechargeai que rarement quelque petite chose mais cela suffit a attirer les problemes, je vais donc arreter.
Je vais proceder a des defragmentations de mes disques pour optimiser tout ca.

Derniere question,  conseillerais tu quelques antivirus ou antispyware etc, ( gratuit ou payant ) qui sont efficace ?

Merci beaucoup
a bientot

dédétraqué · Answer

Salut Melhiw 


Je vais proceder a des defragmentations de mes disques pour optimiser tout ca.
Voir plutôt avec les programmes et services au démarrage :
https://forum.malekal.com/viewtopic.php?t=16583&start=

Je conseil Antivir et MalwareByte's...

Pour des raisons de sécurité et surtout pour garder ton PC propre, on va désactiver la restauration système sur tous les lecteurs :

- Clique droit sur le Poste de travail sur le bureau, dans propriété tu cliques sur l'onglet Restauration système

- Coche la case désactiver la restauration et applique 

Redémarre l'ordinateur et réactive la restauration système.

Tutoriel XP :  http://www.libellules.ch/desactiver_restauration.php


-----


On va faire un ménage des outils téléchargés pour la désinfection, télécharge Tools Cleaner sur le bureau :

http://pc-system.fr/


- Double clique sur ToolsCleaner2.exe sur le bureau
- Clique sur Recherche et laisse le scan agir.
- Clique sur Suppression pour finaliser.
- Tu peux, si tu le souhaites, te servir des Options facultatives.
- Clique sur Quitter pour obtenir le rapport.
- Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
- Si des outils restes après le passage de Tools Cleaner, tu pourras les supprimer manuellement ainsi que tous les rapports qui on été généré lors de la désinfection.


-----


Important de mettre à jour Windows et tes logiciels :
Mettre Windows(catégories critique, Services Pack et Services Release) à jour : http://www.windowsupdate.com/windowsupdate/v6/default.aspx

Faire un scan de vulnérabilités afin de vérifier que tes logiciels soit à jour sans failles de sécurités et mettre à jour :
https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/

Faire un ménage des fichiers inutiles et de la base de registre : 
https://www.malekal.com/tutoriel-ccleaner/

Dis moi quand cela est fais où si tu as des soucis et on passe à la résolution du sujet par la suite.


@++ :)

Virus Spam

23 réponses

Votre réponse

Discussions similaires

Newsletters