Plusieurs Troyans détectés Résolu/Fermé

Question

Bonjour à tous,

Je me doute que vous êtes en train de suivre la coupe du monde lol mais j'espère quand meme pouvoir avoir votre aide, et je vous en remercie d'avance.

Plusieurs troyans ont été détectés sur mon pc, après un scan avira suivi d'un scan malwarebyte, et donc je voulais voir avec vous s'il est possible qu'on voit ca ensemble pour nettoyer tout ca (ils n'ont pas l'air bien méchants mais sont apparement toujours la) 

Merci.
Bonne soirée



Configuration: Windows XP / Internet Explorer 8.0

jfkpresident · Answer

Hello,

On va tout d'abord faire un petit diagnostique de ta machine :


    Télécharge ZhpDiag de Nicolas Coolman .
  
    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe(clic droit ,"éxécuter en tant qu'administrateur" pour Vista).

    Une fois installé le programme s'ouvre automatiquement .

    Clique sur la loupe pour lancer l'analyse.

    A la fin de l'analyse, clique sur la "disquette" (enregistrer sous..) .

    Rend toi sur ce site : http://www.cijoint.fr/index.php
     
    Clique sur parcourir et sélectionne le fichier ZhpDiag.txt .

    Un lien va etre créer ,poste ce lien dans ta prochaine réponse.

bobosawyer · Answer

Merci de ta réponse,

Ok je fais tout ca et je te poste le lien

bobosawyer · Answer

Voila le lien 

http://www.cijoint.fr/cjlink.php?file=cj201006/cijIrurJqU.txt

jfkpresident · Answer

Wouah ,ton systeme est bien infecté !

Télécharge OTM de OldTimer sur ton Bureau en cliquant sur ce lien :

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

Double-clique sur OTMoveIt3.exe pour le lancer.

Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans le cadre de gauche de OTMoveIt : "Paste instructions for item to be moved".





:Reg
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"rsvp"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"Logman"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"CmSTP"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"Spool"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"ClipSrv"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"rsvp"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"Logman"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"CmSTP"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"Spool"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"ClipSrv"=-

:files
c:\windows\system\spoolsv.exe
c:\windows\system\mstsc.exe
c:\windows\system32\drivers\mqtgsvc.exe
c:\windows\system\clipsrv.exe
c:\docume~1\bobo\locals~1\applic~1\mstinit.exe
c:\windows\systemsvp.exe
c:\program files\mstinit.exe
c:\windows\system\ieudinit.exe
c:\documents and settings\bobo\locals~1	emp\mstsc.exe
c:\windows\logman.exe
c:\program files\micros~1\cmstp.exe
c:\docume~1\bobo\locals~1\applic~1\sessmgr.exe
c:\program files\micros~1\spoolsv.exe
c:\program files\micros~1\clipsrv.exe
c:\windows\system\dllhst3g.exe
c:\program files\micros~1\comrepl.exe
c:\windows\system32\drivers\cmstp.exe
c:\windows\system32\drivers\logman.exe
c:\windows\clipsrv.exe
c:\windows\comrepl.exe
c:\windows\mstsc.exe

:commands
[emptytemp]
[start explorer]
[reboot]



Clique sur "MoveIt!" pour lancer la suppression.

Le résultat apparaitra dans le cadre "Results".

Clique sur "Exit" pour fermer.

Poste le rapport situé dans C:\_OTMoveIt\MovedFiles sous le nom xxxxxx_xxxxxxxxxx.log .

Il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

bobosawyer · Answer

J'ai fait ce que tu as dit, j'ai copié puis collé les commandes dans la colonne de gauche, j'ai ensuite cliqué sur "moveit" mais ca a redémarré automatiquement le pc je n'ai pas eu de résultats ni de rapport... 
Je vais retenter et je te dis ca ensuite

jfkpresident · Answer

Regarde ici : C:\_OTMoveIt\MovedFiles si tu trouve le rapport .

bobosawyer · Answer

Nen j'ai refait la même opération et la même chose s'est passée, j'ai vérifié à cet emplacement et pareil, je ne pense pas que l'opération se lance à peine je clique sur moveit que le pc redémare sur écran bleu

jfkpresident · Answer

Ok ,on va changer de technique :

Télécharges ComboFix à partir d'un de ces liens :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
https://forospyware.com
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Et important, enregistre le sur le bureau.

Avant d'utiliser ComboFix :

? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
la protection en temps réel de ton Antivirus et de tes Antispywares,
qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.


Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt,.
est automatiquement sauvegardé et rangé à C:\Combofix.txt)

? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares,
avant de te reconnecter à internet.

? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

bobosawyer · Answer

Ok, merci du suivi, je ne suis pas chez moi actuellement je fais ca demain et je te poste la suite, je me demandais si le pc ne redémarrait pas à cause de l'une des commandes que tu m'as demandé de copier, la dernière ligne 

" [start explorer] 
[reboot]"

Enfin je me demandais juste

Je fais la suite demain
Bonne soirée

jfkpresident · Answer

Ok ,j'attend le rapport combofix .

bobosawyer · Answer

Salut, j'ai effectué le scan combofix, mais je n'arrive pas à poster le rapport, ca charge dans le vide ...

bobosawyer · Answer

ComboFix 10-06-15.03 - Bobo 16/06/2010  14:21:34.1.2 - x86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.2047.1755 [GMT 4,5:30]
Lancé depuis: c:\documents and settings\Bobo\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Bobo\Local Settings\Application Data\cisvc.exe
c:\documents and settings\Bobo\Local Settings\Application Data\ieudinit.exe
c:\documents and settings\Bobo\Local Settings\Application Data\Microsoft\mstsc.exe
c:\documents and settings\Bobo\Local Settings\Application Data\mstinit.exe
c:\documents and settings\Bobo\Local Settings\Application Data\mstsc.exe
c:\documents and settings\Bobo\Local Settings\Application Data\sessmgr.exe
c:\documents and settings\LocalService\Application Data 
c:\windows\comrepl.exe
c:\windows\ieudinit.exe
c:\windows\logman.exe
c:\windows\mqtgsvc.exe
c:\windows\mstsc.exe
c:\windows\system\cisvc.exe
c:\windows\system\clipsrv.exe
c:\windows\system\dllhst3g.exe
c:\windows\system\ieudinit.exe
c:\windows\system\logman.exe
c:\windows\systemsvp.exe
c:\windows\system\sessmgr.exe
c:\windows\system\spoolsv.exe
c:\windows\system32\drivers\cmstp.exe
c:\windows\system32\drivers\logman.exe
c:\windows\system32\drivers\mqtgsvc.exe

.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-05-16 au 2010-06-16  ))))))))))))))))))))))))))))))))))))
.

2010-06-15 16:49 . 2010-06-15 16:49	--------	d-----w-	C:\_OTM
2010-06-15 15:55 . 2010-06-15 10:41	372736	----a-w-	c:\windows\system\mstsc.exe
2010-06-15 15:53 . 2010-06-15 15:57	--------	d-----w-	c:\program files\ZHPDiag
2010-06-15 14:02 . 2010-06-15 14:02	--------	d-----w-	c:\documents and settings\Bobo\Application Data \Malwarebytes
2010-06-15 14:02 . 2010-04-29 11:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-06-15 14:02 . 2010-06-15 14:02	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-06-15 14:02 . 2010-06-15 14:02	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2010-06-15 14:02 . 2010-04-29 11:09	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-06-15 13:55 . 2010-02-27 16:16	3691384	----a-w-	c:\documents and settings\Bobo\Application Data \Simply Super Software\Trojan Remover\mss1.exe
2010-06-15 13:53 . 2010-06-15 10:41	372736	----a-w-	c:\windows\clipsrv.exe
2010-06-15 13:52 . 2010-06-15 13:57	--------	d---a-w-	c:\documents and settings\All Users\Application Data\TEMP
2010-06-15 13:46 . 2010-06-15 13:46	--------	d-----w-	c:\documents and settings\Bobo\Application Data \Simply Super Software
2010-06-15 13:46 . 2006-06-19 07:31	69632	----a-w-	c:\windows\system32\ztvcabinet.dll
2010-06-15 13:46 . 2006-05-25 10:22	162304	----a-w-	c:\windows\system32\ztvunrar36.dll
2010-06-15 13:46 . 2005-08-25 20:20	77312	----a-w-	c:\windows\system32\ztvunace26.dll
2010-06-15 13:46 . 2003-02-02 14:36	153088	----a-w-	c:\windows\system32\UNRAR3.dll
2010-06-15 13:46 . 2002-03-05 19:30	75264	----a-w-	c:\windows\system32\unacev2.dll
2010-06-15 13:46 . 2010-06-15 13:46	--------	d-----w-	c:\program files\Trojan Remover
2010-06-15 13:46 . 2010-06-15 13:46	--------	d-----w-	c:\documents and settings\All Users\Application Data\Simply Super Software
2010-06-15 13:40 . 2010-06-15 13:40	--------	d-----r-	c:\documents and settings\LocalService\Favoris
2010-06-15 13:40 . 2010-06-15 13:40	--------	d-sh--w-	c:\documents and settings\LocalService\IETldCache
2010-06-15 13:25 . 2010-06-15 13:24	56816	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-06-15 10:56 . 2009-03-30 06:02	96104	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-06-15 10:56 . 2009-02-13 07:58	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2010-06-15 10:56 . 2009-02-13 07:47	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2010-06-15 10:56 . 2010-06-15 10:56	--------	d-----w-	c:\documents and settings\All Users\Application Data\Avira
2010-06-13 20:28 . 2009-09-04 12:59	453456	----a-w-	c:\windows\system32\d3dx10_42.dll
2010-06-11 14:01 . 2010-05-06 10:33	743424	------w-	c:\windows\system32\dllcache\iedvtool.dll
2010-06-10 16:46 . 2010-06-10 16:49	--------	d-----w-	c:\documents and settings\Bobo\Local Settings\Application Data\Yahoo
2010-06-10 16:42 . 2010-06-10 16:46	--------	d-----w-	c:\documents and settings\All Users\Application Data\Yahoo! Companion
2010-06-10 16:42 . 2010-06-10 16:42	--------	d-----w-	c:\documents and settings\All Users\Application Data\Yahoo!
2010-06-10 16:42 . 2010-06-01 05:55	607544	----a-w-	c:\documents and settings\All Users\Application Data\Yahoo!\YUpdater\yupdater.exe
2010-06-10 16:41 . 2010-06-11 06:38	--------	d-----w-	c:\windows\SxsCaPendDel
2010-06-10 16:39 . 2010-06-10 16:42	--------	d-----w-	c:\program files\Yahoo!
2010-06-08 14:08 . 2008-04-13 12:09	5504	----a-w-	c:\windows\system32\drivers\MSTEE.sys
2010-06-08 14:08 . 2008-04-13 12:16	10880	----a-w-	c:\windows\system32\drivers\NdisIP.sys
2010-06-08 14:08 . 2008-04-13 11:16	11136	----a-w-	c:\windows\system32\drivers\SLIP.sys
2010-06-08 14:08 . 2008-04-13 11:16	15232	----a-w-	c:\windows\system32\drivers\StreamIP.sys
2010-06-08 14:08 . 2008-04-13 12:16	19200	----a-w-	c:\windows\system32\drivers\WSTCODEC.SYS
2010-06-08 14:08 . 2008-04-13 12:16	85248	----a-w-	c:\windows\system32\drivers\NABTSFEC.sys
2010-06-08 14:08 . 2008-04-13 12:16	17024	----a-w-	c:\windows\system32\drivers\CCDECODE.sys
2010-06-08 14:08 . 2008-04-13 12:15	60032	----a-w-	c:\windows\system32\drivers\USBAUDIO.sys
2010-06-08 14:08 . 2008-04-13 20:03	54784	----a-w-	c:\windows\system32\vfwwdm32.dll
2010-06-08 14:08 . 2008-04-13 12:16	121984	----a-w-	c:\windows\system32\drivers\usbvideo.sys
2010-06-06 07:57 . 2010-06-06 07:57	--------	d-sh--w-	c:\documents and settings\Bobo\IECompatCache
2010-06-02 16:34 . 2010-06-02 16:34	--------	d-----w-	c:\documents and settings\Bobo\Local Settings\Application Data\Google
2010-06-02 16:26 . 2010-06-02 16:26	--------	d-----w-	c:\program files\Fichiers communs\Adobe
2010-06-02 16:24 . 2010-06-02 16:24	--------	d-----w-	c:\program files\Google
2010-06-02 16:24 . 2010-06-13 17:02	--------	d-----w-	c:\documents and settings\Bobo\Local Settings\Application Data\Adobe
2010-06-01 14:33 . 2010-06-01 14:33	--------	d-----w-	c:\documents and settings\All Users\Application Data\Messenger Plus!
2010-06-01 14:32 . 2010-06-01 14:32	--------	d-----w-	c:\program files\Messenger Plus! Live
2010-06-01 14:29 . 2009-08-06 14:53	274288	----a-w-	c:\windows\system32\mucltui.dll
2010-06-01 14:29 . 2009-08-06 14:53	215920	----a-w-	c:\windows\system32\muweb.dll
2010-05-31 19:51 . 2010-06-16 09:42	--------	d-----w-	c:\documents and settings\Bobo\Tracing
2010-05-31 19:02 . 2010-05-31 19:02	--------	d-----w-	c:\program files\Microsoft
2010-05-31 19:02 . 2010-05-31 19:02	--------	d-----w-	c:\program files\Windows Live SkyDrive
2010-05-31 19:01 . 2010-05-31 19:02	--------	d-----w-	c:\program files\Windows Live
2010-05-31 18:57 . 2010-05-31 18:57	--------	d-----w-	c:\program files\Fichiers communs\Windows Live
2010-05-31 14:01 . 2010-06-13 17:00	--------	d-----w-	c:\documents and settings\All Users\Application Data\Electronic Arts
2010-05-31 14:01 . 2010-05-31 14:01	--------	d-----w-	C:\ProgramData
2010-05-30 17:24 . 2010-05-30 17:24	--------	d-----w-	c:\windows\system32\KB905474
2010-05-30 17:22 . 2010-06-11 20:31	--------	d-----w-	c:\windows\ie8updates
2010-05-30 13:12 . 2010-05-30 13:18	--------	d-----w-	c:\program files\Electronic Arts
2010-05-30 07:35 . 2010-01-01 07:58	353792	------w-	c:\windows\system32\dllcache\srv.sys
2010-05-30 07:35 . 2010-02-16 19:00	2192128	------w-	c:\windows\system32\dllcache
toskrnl.exe
2010-05-30 07:35 . 2010-02-16 19:00	2148352	------w-	c:\windows\system32\dllcache
tkrnlmp.exe
2010-05-30 07:35 . 2010-02-16 19:00	2068992	------w-	c:\windows\system32\dllcache
tkrnlpa.exe
2010-05-30 07:35 . 2010-02-16 19:00	2026496	------w-	c:\windows\system32\dllcache
tkrpamp.exe
2010-05-30 07:34 . 2010-02-24 11:57	457216	------w-	c:\windows\system32\dllcache\mrxsmb.sys
2010-05-30 07:34 . 2009-11-21 15:58	471552	------w-	c:\windows\system32\dllcache\aclayers.dll
2010-05-30 07:34 . 2009-10-15 16:32	81920	------w-	c:\windows\system32\dllcache\fontsub.dll
2010-05-30 07:34 . 2009-10-15 16:32	119808	------w-	c:\windows\system32\dllcache	2embed.dll
2010-05-30 07:33 . 2009-06-21 21:47	153088	------w-	c:\windows\system32\dllcache	riedit.dll
2010-05-30 07:33 . 2009-10-23 15:28	3558912	------w-	c:\windows\system32\dllcache\moviemk.exe
2010-05-30 07:33 . 2009-07-31 04:25	1447424	------w-	c:\windows\system32\dllcache\msxml6.dll
2010-05-30 07:33 . 2009-07-31 04:25	1172480	------w-	c:\windows\system32\dllcache\msxml3.dll
2010-05-30 07:32 . 2010-02-12 10:03	293376	------w-	c:\windows\system32\browserchoice.exe
2010-05-30 07:32 . 2010-05-06 10:33	55296	------w-	c:\windows\system32\dllcache\msfeedsbs.dll
2010-05-30 07:32 . 2010-05-06 10:33	1985536	------w-	c:\windows\system32\dllcache\iertutil.dll
2010-05-30 07:32 . 2010-05-06 10:33	247808	------w-	c:\windows\system32\dllcache\ieproxy.dll
2010-05-30 07:32 . 2010-05-06 10:33	12800	------w-	c:\windows\system32\dllcache\xpshims.dll
2010-05-30 07:32 . 2010-05-06 10:33	599040	------w-	c:\windows\system32\dllcache\msfeeds.dll
2010-05-29 15:53 . 2006-09-28 11:35	2414360	----a-w-	c:\windows\system32\d3dx9_31.dll
2010-05-29 15:48 . 2010-05-29 15:48	--------	d-----w-	c:\program files\Activision
2010-05-29 15:38 . 2010-05-29 15:38	--------	d-sh--w-	c:\documents and settings\Bobo\PrivacIE
2010-05-29 15:20 . 2010-06-12 03:42	--------	d-----w-	c:\program files\DAEMON Tools Pro
2010-05-29 15:11 . 2010-05-29 15:11	--------	d-sh--w-	c:\documents and settings\Bobo\IETldCache
2010-05-29 15:08 . 2010-06-13 15:27	691696	----a-w-	c:\windows\system32\drivers\sptd.sys
2010-05-29 14:18 . 2010-05-29 14:18	--------	d--h--w-	c:\windows\msdownld.tmp
2010-05-29 14:17 . 2010-05-29 14:18	--------	dc-h--w-	c:\windows\ie8
2010-05-29 14:14 . 2010-05-29 14:14	--------	d-----w-	c:\program files\VideoLAN
2010-05-29 14:13 . 2010-05-29 14:13	--------	d-----w-	c:\program files\Avira
2010-05-29 13:22 . 2008-10-10 00:22	452440	----a-w-	c:\windows\system32\d3dx10_40.dll
2010-05-29 13:22 . 2008-10-10 00:22	4379984	----a-w-	c:\windows\system32\D3DX9_40.dll
2010-05-29 13:22 . 2008-10-10 00:22	2036576	----a-w-	c:\windows\system32\D3DCompiler_40.dll
2010-05-23 16:24 . 2009-05-25 10:51	142336	----a-w-	c:\windows\system32\drivers\Rtenicxp.sys
2010-05-23 16:24 . 2009-03-03 15:48	73728	----a-w-	c:\windows\system32\RtNicProp32.dll
2010-05-23 16:21 . 2010-05-23 16:21	--------	d-----w-	c:\windows\system32\Lang
2010-05-23 16:18 . 2010-04-03 22:55	6432128	----a-w-	c:\windows\system32
v4_disp.dll
2010-05-23 16:16 . 2010-05-23 16:16	--------	d-----w-	c:\windows\system32\drivers\system32
2010-05-23 16:16 . 2010-05-23 16:16	--------	d-----w-	c:\windows\system32\drivers\INF
2010-05-23 16:15 . 2004-08-13 06:26	5810	----a-w-	c:\windows\system32\drivers\ASACPI.sys
2010-05-23 16:15 . 2010-05-23 16:16	--------	dc----w-	c:\windows\system32\DRVSTORE
2010-05-23 16:15 . 2010-05-23 16:15	--------	d-----w-	c:\program files\Intel
2010-05-23 16:15 . 2008-08-19 06:26	53248	----a-w-	c:\windows\system32\CSVer.dll
2010-05-23 16:15 . 2010-05-23 16:15	--------	d-----w-	C:\Intel
2010-05-23 16:14 . 2010-06-02 07:06	12912	----a-w-	c:\documents and settings\Bobo\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-05-23 14:18 . 2001-08-23 17:34	12288	----a-w-	c:\windows\system32\drivers\mouhid.sys

bobosawyer · Answer

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-14 04:31 . 2010-06-13 15:27	--------	d-----w-	c:\program files\DAEMON Tools Lite
2010-06-13 17:02 . 2010-06-12 17:03	--------	d-----w-	c:\program files\Fichiers communs\Adobe AIR
2010-06-13 17:02 . 2010-06-12 17:03	53632	----a-w-	c:\documents and settings\Default User\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2010-06-13 15:45 . 2010-06-08 14:23	0	----a-w-	c:\windows\system32\drivers\lvuvc.hs
2010-06-13 15:27 . 2010-06-11 18:06	--------	d-----w-	c:\documents and settings\All Users\Application Data\DAEMON Tools Lite
2010-06-11 20:31 . 2010-06-11 20:31	--------	d-----w-	c:\program files\Microsoft CAPICOM 2.1.0.2
2010-06-11 20:30 . 2008-04-14 08:00	80748	----a-w-	c:\windows\system32\perfc00C.dat
2010-06-11 20:30 . 2008-04-14 08:00	500900	----a-w-	c:\windows\system32\perfh00C.dat
2010-06-11 18:32 . 2010-06-11 18:20	--------	d-----w-	c:\program files\Codemasters
2010-06-11 18:20 . 2010-05-23 16:18	--------	d--h--w-	c:\program files\InstallShield Installation Information
2010-06-08 14:25 . 2010-06-08 14:21	--------	d-----w-	c:\documents and settings\All Users\Application Data\Logishrd
2010-06-08 14:23 . 2010-06-08 14:21	--------	d-----w-	c:\program files\Fichiers communs\LogiShrd
2010-06-08 14:21 . 2010-06-08 14:21	--------	d-----w-	c:\documents and settings\All Users\Application Data\Logitech
2010-06-08 14:21 . 2010-06-08 14:21	--------	d-----w-	c:\program files\Logitech
2010-06-01 22:46 . 2010-06-01 22:46	--------	d-----w-	c:\program files\MSBuild
2010-06-01 22:46 . 2010-06-01 22:46	--------	d-----w-	c:\program files\Reference Assemblies
2010-05-23 16:20 . 2010-05-23 16:19	--------	d-----w-	c:\program files\NVIDIA Corporation
2010-04-03 22:55 . 2010-05-23 16:18	4075520	----a-w-	c:\windows\system32
vcuda.dll
2010-04-03 22:55 . 2010-05-23 16:18	227944	----a-w-	c:\windows\system32
vcodins.dll
2010-04-03 22:55 . 2010-05-23 16:18	227944	----a-w-	c:\windows\system32
vcod.dll
2010-04-03 22:55 . 2010-05-23 16:18	2183470	----a-w-	c:\windows\system32
vdata.bin
2010-04-03 22:55 . 2010-05-23 16:18	11647592	----a-w-	c:\windows\system32
vcompiler.dll
2010-04-03 22:55 . 2010-05-23 16:18	1097728	----a-w-	c:\windows\system32
vapi.dll
2010-04-03 14:53 . 2010-04-03 14:53	278120	----a-w-	c:\windows\system32
vmccs.dll
2010-04-03 14:53 . 2010-04-03 14:53	154216	----a-w-	c:\windows\system32
vsvc32.exe
2010-04-03 14:53 . 2010-04-03 14:53	145000	----a-w-	c:\windows\system32
vcolor.exe
2010-04-03 14:53 . 2010-04-03 14:53	13670504	----a-w-	c:\windows\system32
vcpl.dll
2010-04-03 14:53 . 2010-04-03 14:53	110696	----a-w-	c:\windows\system32
vmctray.dll
2010-04-03 14:53 . 2010-04-03 14:53	229376	----a-w-	c:\windows\system32
vrszhc.dll
2010-04-03 14:53 . 2010-04-03 14:53	126976	----a-w-	c:\windows\system32
vrszht.dll
.

------- Sigcheck -------

[-] 2009-04-09 . DF70435F3D17C40D5CB15E6DC918342E . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers	cpip.sys
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-06-02 39408]
"Messenger (Yahoo!)"="c:\progra~1\Yahoo!\Messenger\YahooMessenger.exe" [2010-06-01 5252408]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2010-04-01 357696]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2009-05-21 17881600]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-04-03 13670504]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-04-03 110696]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]
"LogitechCommunicationsManager"="c:\program files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe" [2007-07-25 563984]
"LogitechQuickCamRibbon"="c:\program files\Logitech\QuickCam\Quickcam.exe" [2007-07-25 2027792]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"TrojanScanner"="c:\program files\Trojan Remover\Trjscan.exe" [2010-02-27 1165192]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_2"="shell32" [X]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"CmSTP"="c:\docume~1\Bobo\APPLIC~1\cmstp.exe" [2010-06-15 372736]
"Logman"="c:\docume~1\Bobo\APPLIC~1\logman.exe" [2010-06-15 372736]
"Mstsc"="c:\windows\System\mstsc.exe" [2010-06-15 372736]
"ComRepl"="c:\docume~1\Bobo\APPLIC~1\comrepl.exe" [2010-06-15 372736]

[HKEY_USERS\.DEFAULT\software\microsoft\windows\Currentversion\policies\explorer\Run]
"CmSTP"="c:\docume~1\Bobo\APPLIC~1\cmstp.exe" [2010-06-15 372736]
"Spool"="c:\docume~1\Bobo\APPLIC~1\MICROS~1\spoolsv.exe" [2010-06-15 372736]
"ClipSrv"="c:\docume~1\Bobo\APPLIC~1\MICROS~1\clipsrv.exe" [2010-06-15 372736]
"MqtgSVC"="c:\docume~1\Bobo\APPLIC~1\MICROS~1\mqtgsvc.exe" [2010-06-15 372736]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Activision\Prototype\prototypef.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Yahoo!\Messenger\YahooMessenger.exe"=
"c:\Program Files\Codemasters\OF Dragon Rising\OFDR.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [15/06/2010 15:26 108289]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [29/05/2010 19:38 691696]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [23/05/2010 20:48 1684736]
.
Contenu du dossier 'Tâches planifiées'

2010-06-16 c:\windows\Tasks\User_Feed_Synchronization-{ACC71DCF-44F3-4081-8A52-18B555D66B06}.job
- c:\windows\system32\msfeedssync.exe [2009-04-09 00:01]

2010-06-16 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2010-05-30 17:48]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.yahoo.fr/
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-EA Core - c:\program files\Electronic Arts\EADM\Core.exe
HKLM-Run-nwiz - nwiz.exe
HKLM-Explorer_Run-ClipSrv - c:\windows\System\clipsrv.exe
HKLM-Explorer_Run-IEudinit - c:\windows\ieudinit.exe
HKLM-Explorer_Run-Cisvc - c:\windows\System\cisvc.exe
HKU-Default-Explorer_Run-rsvp - c:\windows\Systemsvp.exe
HKU-Default-Explorer_Run-Logman - c:\windows\logman.exe
HKU-Default-Explorer_Run-SessMgr - c:\docume~1\Bobo\LOCALS~1\APPLIC~1\sessmgr.exe
HKU-Default-Explorer_Run-Mstsc - c:\docume~1\Bobo\LOCALS~1\APPLIC~1\mstsc.exe
AddRemove-Avira AntiVir Desktop - c:\program files\Avira\AntiVir Desktop\setup.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-16 14:23
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2010-06-16  14:24:06
ComboFix-quarantined-files.txt  2010-06-16 09:54

Avant-CF: 439 367 102 464 octets libres
Après-CF: 439 860 801 536 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect /noexecute=alwaysoff

- - End Of File - - 6160BB46B43592CE75E8AA5E538553DA

bobosawyer · Answer

Voila en deux parties c'est passé ...
J'espère que ca ne sera pas embettant pour toi à la lecture

jfkpresident · Answer

Je regarde ton log et je te donne la suite d'ici peu .

bobosawyer · Answer

Bonsoir,  

Je voulais juste t'informer que je viens de me rendre compte d'un truc, en fait je sais d'où est venu ce virus (qui a surement persmis aux autres d'etre la par la suite) puisque je le retrouve dans mon pc portable également, donc il doit aussi être dans doute dans mon disque dur externe vu que je l'ai connecté aux deux pc infectés maintenant. 
Donc quand on aura fini avec ce pc, si ca ne te dérange pas biensur, si on pourrait faire un scan du pc portable et du disque externe ca serait cool.

Encore merci

jfkpresident · Answer

Donc quand on aura fini avec ce pc, si ca ne te dérange pas biensur, si on pourrait faire un scan du pc portable et du disque externe ca serait cool. 

Pas de soucis ;)

> Ferme tout tes navigateurs (donc copie ou imprime les instructions avant)
- Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie/colle dedans les lignes suivantes :

           


File::
c:\windows\system\mstsc.exe       
c:\windows\clipsrv.exe       
Reg::
[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]       
"CmSTP"=-
"Logman"=-
"Mstsc"=-
"ComRepl"=-
[HKEY_USERS\.DEFAULT\software\microsoft\windows\Currentversion\policies\explorer\Run]  
"CmSTP"=-
"Spool"=-
"ClipSrv"=-
"MqtgSVC"=-


- Enregistre ce fichier sous le nom CFScript
- Fait un glisser/déposer de ce fichier CFScrïpt sur le fichier ComboFix.exe comme sur cette image. (Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris.) Combofix va démarrer.
- Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
- Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
- Ne touche à rien tant que le scan n'est pas terminé sinon le PC peut planter !
- Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Note : Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt 

======================================================

Ensuite fait ceci :

Il va falloir analyser un ou des fichier(s) suspect(s) !

Il se peut qu'il se trouvent dans les " dossiers cachés " du systeme.
Il faut donc les rendre visibles pour le scan.

Pour afficher les dossiers et fichiers cachés:

Panneau de configuration > Options des dossiers > onglet Affichage.

Coche Afficher les fichiers et dossiers cachés,
Décoche Masquer les extensions de fichiers connus
Décoche Masquer les fichiers protégés du Système.
Un message de mise en garde va apparaitre. Clique sur OK pour confirmer ton choix.
Les fichiers et dossiers cachés du système apparaitront alors dans l'explorateur Windows en transparence. 

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ces fichiers : c:\windows\system32\KB905474\wgasetup.exe 
c:\windows\system32\drivers\lvuvc.hs       

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

bobosawyer · Answer

J'ai fait la première partie des opérations, en lançant combofix avec le fichier texte, le scan vient de se finir je te poste donc le rapport par contre, il m'a demandé si je voulais accepter d'installer la nouvelle version, j'ai dit oui, le pc a redémmaré et il ne m'a pas proposé de choisir entre les options 1 et 2, je vais donc essayer de le relancer pour voir ....

Si le poste ne tient pas je le mets en plusieurs parties et je fais la suite.


ComboFix 10-06-15.04 - Bobo 16/06/2010  23:43:56.2.2 - x86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.2047.1590 [GMT 4,5:30]
Lancé depuis: c:\documents and settings\Bobo\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Bobo\Bureau\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

FILE ::
"c:\windows\clipsrv.exe"
"c:\windows\system\mstsc.exe"
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\clipsrv.exe

.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-05-16 au 2010-06-16  ))))))))))))))))))))))))))))))))))))
.

2010-06-16 19:05 . 2010-06-16 19:05	--------	d-----w-	c:\windows\system32\xircom
2010-06-16 19:05 . 2010-06-16 19:05	--------	d-----w-	c:\windows\system32\wbem\snmp
2010-06-16 19:05 . 2010-06-16 19:05	--------	d-----w-	c:\program files\microsoft frontpage
2010-06-15 16:49 . 2010-06-15 16:49	--------	d-----w-	C:\_OTM
2010-06-15 15:53 . 2010-06-15 15:57	--------	d-----w-	c:\program files\ZHPDiag
2010-06-15 14:02 . 2010-06-15 14:02	--------	d-----w-	c:\documents and settings\Bobo\Application Data \Malwarebytes
2010-06-15 14:02 . 2010-04-29 11:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-06-15 14:02 . 2010-06-15 14:02	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-06-15 14:02 . 2010-06-15 14:02	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2010-06-15 14:02 . 2010-04-29 11:09	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-06-15 13:55 . 2010-02-27 16:16	3691384	----a-w-	c:\documents and settings\Bobo\Application Data \Simply Super Software\Trojan Remover\mss1.exe
2010-06-15 13:52 . 2010-06-15 13:57	--------	d---a-w-	c:\documents and settings\All Users\Application Data\TEMP
2010-06-15 13:46 . 2010-06-15 13:46	--------	d-----w-	c:\documents and settings\Bobo\Application Data \Simply Super Software
2010-06-15 13:46 . 2006-06-19 07:31	69632	----a-w-	c:\windows\system32\ztvcabinet.dll
2010-06-15 13:46 . 2006-05-25 10:22	162304	----a-w-	c:\windows\system32\ztvunrar36.dll
2010-06-15 13:46 . 2005-08-25 20:20	77312	----a-w-	c:\windows\system32\ztvunace26.dll
2010-06-15 13:46 . 2003-02-02 14:36	153088	----a-w-	c:\windows\system32\UNRAR3.dll
2010-06-15 13:46 . 2002-03-05 19:30	75264	----a-w-	c:\windows\system32\unacev2.dll
2010-06-15 13:46 . 2010-06-15 13:46	--------	d-----w-	c:\program files\Trojan Remover
2010-06-15 13:46 . 2010-06-15 13:46	--------	d-----w-	c:\documents and settings\All Users\Application Data\Simply Super Software
2010-06-15 13:40 . 2010-06-15 13:40	--------	d-----r-	c:\documents and settings\LocalService\Favoris
2010-06-15 13:40 . 2010-06-15 13:40	--------	d-sh--w-	c:\documents and settings\LocalService\IETldCache
2010-06-15 13:25 . 2010-06-15 13:24	56816	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-06-15 10:56 . 2009-03-30 06:02	96104	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-06-15 10:56 . 2009-02-13 07:58	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2010-06-15 10:56 . 2009-02-13 07:47	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2010-06-15 10:56 . 2010-06-15 10:56	--------	d-----w-	c:\documents and settings\All Users\Application Data\Avira
2010-06-13 20:28 . 2009-09-04 12:59	453456	----a-w-	c:\windows\system32\d3dx10_42.dll
2010-06-11 14:01 . 2010-05-06 10:33	743424	------w-	c:\windows\system32\dllcache\iedvtool.dll
2010-06-10 16:46 . 2010-06-10 16:49	--------	d-----w-	c:\documents and settings\Bobo\Local Settings\Application Data\Yahoo
2010-06-10 16:42 . 2010-06-10 16:46	--------	d-----w-	c:\documents and settings\All Users\Application Data\Yahoo! Companion
2010-06-10 16:42 . 2010-06-10 16:42	--------	d-----w-	c:\documents and settings\All Users\Application Data\Yahoo!
2010-06-10 16:42 . 2010-06-01 05:55	607544	----a-w-	c:\documents and settings\All Users\Application Data\Yahoo!\YUpdater\yupdater.exe
2010-06-10 16:41 . 2010-06-11 06:38	--------	d-----w-	c:\windows\SxsCaPendDel
2010-06-10 16:39 . 2010-06-10 16:42	--------	d-----w-	c:\program files\Yahoo!
2010-06-08 14:08 . 2008-04-13 12:09	5504	----a-w-	c:\windows\system32\drivers\MSTEE.sys
2010-06-08 14:08 . 2008-04-13 12:16	10880	----a-w-	c:\windows\system32\drivers\NdisIP.sys
2010-06-08 14:08 . 2008-04-13 11:16	11136	----a-w-	c:\windows\system32\drivers\SLIP.sys
2010-06-08 14:08 . 2008-04-13 11:16	15232	----a-w-	c:\windows\system32\drivers\StreamIP.sys
2010-06-08 14:08 . 2008-04-13 12:16	19200	----a-w-	c:\windows\system32\drivers\WSTCODEC.SYS
2010-06-08 14:08 . 2008-04-13 12:16	85248	----a-w-	c:\windows\system32\drivers\NABTSFEC.sys
2010-06-08 14:08 . 2008-04-13 12:16	17024	----a-w-	c:\windows\system32\drivers\CCDECODE.sys
2010-06-08 14:08 . 2008-04-13 12:15	60032	----a-w-	c:\windows\system32\drivers\USBAUDIO.sys
2010-06-08 14:08 . 2008-04-13 20:03	54784	----a-w-	c:\windows\system32\vfwwdm32.dll
2010-06-08 14:08 . 2008-04-13 12:16	121984	----a-w-	c:\windows\system32\drivers\usbvideo.sys
2010-06-06 07:57 . 2010-06-06 07:57	--------	d-sh--w-	c:\documents and settings\Bobo\IECompatCache
2010-06-02 16:34 . 2010-06-02 16:34	--------	d-----w-	c:\documents and settings\Bobo\Local Settings\Application Data\Google
2010-06-02 16:26 . 2010-06-02 16:26	--------	d-----w-	c:\program files\Fichiers communs\Adobe
2010-06-02 16:24 . 2010-06-02 16:24	--------	d-----w-	c:\program files\Google
2010-06-02 16:24 . 2010-06-13 17:02	--------	d-----w-	c:\documents and settings\Bobo\Local Settings\Application Data\Adobe
2010-06-01 14:33 . 2010-06-01 14:33	--------	d-----w-	c:\documents and settings\All Users\Application Data\Messenger Plus!
2010-06-01 14:32 . 2010-06-01 14:32	--------	d-----w-	c:\program files\Messenger Plus! Live
2010-06-01 14:29 . 2009-08-06 14:53	274288	----a-w-	c:\windows\system32\mucltui.dll
2010-06-01 14:29 . 2009-08-06 14:53	215920	----a-w-	c:\windows\system32\muweb.dll
2010-05-31 19:51 . 2010-06-16 19:12	--------	d-----w-	c:\documents and settings\Bobo\Tracing
2010-05-31 19:02 . 2010-05-31 19:02	--------	d-----w-	c:\program files\Microsoft
2010-05-31 19:02 . 2010-05-31 19:02	--------	d-----w-	c:\program files\Windows Live SkyDrive
2010-05-31 19:01 . 2010-05-31 19:02	--------	d-----w-	c:\program files\Windows Live
2010-05-31 18:57 . 2010-05-31 18:57	--------	d-----w-	c:\program files\Fichiers communs\Windows Live
2010-05-31 14:01 . 2010-06-13 17:00	--------	d-----w-	c:\documents and settings\All Users\Application Data\Electronic Arts
2010-05-31 14:01 . 2010-05-31 14:01	--------	d-----w-	C:\ProgramData
2010-05-30 17:24 . 2010-05-30 17:24	--------	d-----w-	c:\windows\system32\KB905474
2010-05-30 17:22 . 2010-06-11 20:31	--------	d-----w-	c:\windows\ie8updates
2010-05-30 13:12 . 2010-05-30 13:18	--------	d-----w-	c:\program files\Electronic Arts
2010-05-30 07:35 . 2010-01-01 07:58	353792	------w-	c:\windows\system32\dllcache\srv.sys
2010-05-30 07:35 . 2010-02-16 19:00	2192128	------w-	c:\windows\system32\dllcache
toskrnl.exe
2010-05-30 07:35 . 2010-02-16 19:00	2148352	------w-	c:\windows\system32\dllcache
tkrnlmp.exe
2010-05-30 07:35 . 2010-02-16 19:00	2068992	------w-	c:\windows\system32\dllcache
tkrnlpa.exe
2010-05-30 07:35 . 2010-02-16 19:00	2026496	------w-	c:\windows\system32\dllcache
tkrpamp.exe
2010-05-30 07:34 . 2010-02-24 11:57	457216	------w-	c:\windows\system32\dllcache\mrxsmb.sys
2010-05-30 07:34 . 2009-11-21 15:58	471552	------w-	c:\windows\system32\dllcache\aclayers.dll
2010-05-30 07:34 . 2009-10-15 16:32	81920	------w-	c:\windows\system32\dllcache\fontsub.dll
2010-05-30 07:34 . 2009-10-15 16:32	119808	------w-	c:\windows\system32\dllcache	2embed.dll
2010-05-30 07:33 . 2009-06-21 21:47	153088	------w-	c:\windows\system32\dllcache	riedit.dll
2010-05-30 07:33 . 2009-10-23 15:28	3558912	------w-	c:\windows\system32\dllcache\moviemk.exe
2010-05-30 07:33 . 2009-07-31 04:25	1447424	------w-	c:\windows\system32\dllcache\msxml6.dll
2010-05-30 07:33 . 2009-07-31 04:25	1172480	------w-	c:\windows\system32\dllcache\msxml3.dll
2010-05-30 07:32 . 2010-02-12 10:03	293376	------w-	c:\windows\system32\browserchoice.exe
2010-05-30 07:32 . 2010-05-06 10:33	55296	------w-	c:\windows\system32\dllcache\msfeedsbs.dll
2010-05-30 07:32 . 2010-05-06 10:33	1985536	------w-	c:\windows\system32\dllcache\iertutil.dll
2010-05-30 07:32 . 2010-05-06 10:33	247808	------w-	c:\windows\system32\dllcache\ieproxy.dll
2010-05-30 07:32 . 2010-05-06 10:33	12800	------w-	c:\windows\system32\dllcache\xpshims.dll
2010-05-30 07:32 . 2010-05-06 10:33	599040	------w-	c:\windows\system32\dllcache\msfeeds.dll
2010-05-29 15:53 . 2006-09-28 11:35	2414360	----a-w-	c:\windows\system32\d3dx9_31.dll
2010-05-29 15:48 . 2010-05-29 15:48	--------	d-----w-	c:\program files\Activision
2010-05-29 15:38 . 2010-05-29 15:38	--------	d-sh--w-	c:\documents and settings\Bobo\PrivacIE
2010-05-29 15:20 . 2010-06-12 03:42	--------	d-----w-	c:\program files\DAEMON Tools Pro
2010-05-29 15:11 . 2010-05-29 15:11	--------	d-sh--w-	c:\documents and settings\Bobo\IETldCache
2010-05-29 15:08 . 2010-06-13 15:27	691696	----a-w-	c:\windows\system32\drivers\sptd.sys
2010-05-29 14:18 . 2010-05-29 14:18	--------	d--h--w-	c:\windows\msdownld.tmp
2010-05-29 14:17 . 2010-05-29 14:18	--------	dc-h--w-	c:\windows\ie8
2010-05-29 14:14 . 2010-05-29 14:14	--------	d-----w-	c:\program files\VideoLAN
2010-05-29 14:13 . 2010-05-29 14:13	--------	d-----w-	c:\program files\Avira
2010-05-29 13:22 . 2008-10-10 00:22	452440	----a-w-	c:\windows\system32\d3dx10_40.dll
2010-05-29 13:22 . 2008-10-10 00:22	4379984	----a-w-	c:\windows\system32\D3DX9_40.dll
2010-05-29 13:22 . 2008-10-10 00:22	2036576	----a-w-	c:\windows\system32\D3DCompiler_40.dll
2010-05-23 16:24 . 2009-05-25 10:51	142336	----a-w-	c:\windows\system32\drivers\Rtenicxp.sys
2010-05-23 16:24 . 2009-03-03 15:48	73728	----a-w-	c:\windows\system32\RtNicProp32.dll
2010-05-23 16:21 . 2010-05-23 16:21	--------	d-----w-	c:\windows\system32\Lang
2010-05-23 16:18 . 2010-04-03 22:55	6432128	----a-w-	c:\windows\system32
v4_disp.dll
2010-05-23 16:16 . 2010-05-23 16:16	--------	d-----w-	c:\windows\system32\drivers\system32
2010-05-23 16:16 . 2010-05-23 16:16	--------	d-----w-	c:\windows\system32\drivers\INF
2010-05-23 16:15 . 2004-08-13 06:26	5810	----a-w-	c:\windows\system32\drivers\ASACPI.sys
2010-05-23 16:15 . 2010-05-23 16:16	--------	dc----w-	c:\windows\system32\DRVSTORE
2010-05-23 16:15 . 2010-05-23 16:15	--------	d-----w-	c:\program files\Intel
2010-05-23 16:15 . 2008-08-19 06:26	53248	----a-w-	c:\windows\system32\CSVer.dll
2010-05-23 16:15 . 2010-05-23 16:15	--------	d-----w-	C:\Intel
2010-05-23 16:14 . 2010-06-02 07:06	12912	----a-w-	c:\documents and settings\Bobo\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-05-23 14:18 . 2001-08-23 17:34	12288	----a-w-	c:\windows\system32\drivers\mouhid.sys

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-14 04:31 . 2010-06-13 15:27	--------	d-----w-	c:\program files\DAEMON Tools Lite
2010-06-13 17:02 . 2010-06-12 17:03	--------	d-----w-	c:\program files\Fichiers communs\Adobe AIR
2010-06-13 17:02 . 2010-06-12 17:03	53632	----a-w-	c:\documents and settings\Default User\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2010-06-13 15:45 . 2010-06-08 14:23	0	----a-w-	c:\windows\system32\drivers\lvuvc.hs
2010-06-13 15:27 . 2010-06-11 18:06	--------	d-----w-	c:\documents and settings\All Users\Application Data\DAEMON Tools Lite
2010-06-11 20:31 . 2010-06-11 20:31	--------	d-----w-	c:\program files\Microsoft CAPICOM 2.1.0.2
2010-06-11 20:30 . 2008-04-14 08:00	80748	----a-w-	c:\windows\system32\perfc00C.dat
2010-06-11 20:30 . 2008-04-14 08:00	500900	----a-w-	c:\windows\system32\perfh00C.dat
2010-06-11 18:32 . 2010-06-11 18:20	--------	d-----w-	c:\program files\Codemasters
2010-06-11 18:20 . 2010-05-23 16:18	--------	d--h--w-	c:\program files\InstallShield Installation Information
2010-06-08 14:25 . 2010-06-08 14:21	--------	d-----w-	c:\documents and settings\All Users\Application Data\Logishrd
2010-06-08 14:23 . 2010-06-08 14:21	--------	d-----w-	c:\program files\Fichiers communs\LogiShrd
2010-06-08 14:21 . 2010-06-08 14:21	--------	d-----w-	c:\documents and settings\All Users\Application Data\Logitech
2010-06-08 14:21 . 2010-06-08 14:21	--------	d-----w-	c:\program files\Logitech
2010-06-01 22:46 . 2010-06-01 22:46	--------	d-----w-	c:\program files\MSBuild
2010-06-01 22:46 . 2010-06-01 22:46	--------	d-----w-	c:\program files\Reference Assemblies
2010-05-23 16:20 . 2010-05-23 16:19	--------	d-----w-	c:\program files\NVIDIA Corporation
2010-04-03 22:55 . 2010-05-23 16:18	4075520	----a-w-	c:\windows\system32
vcuda.dll
2010-04-03 22:55 . 2010-05-23 16:18	227944	----a-w-	c:\windows\system32
vcodins.dll
2010-04-03 22:55 . 2010-05-23 16:18	227944	----a-w-	c:\windows\system32
vcod.dll
2010-04-03 22:55 . 2010-05-23 16:18	2183470	----a-w-	c:\windows\system32
vdata.bin
2010-04-03 22:55 . 2010-05-23 16:18	11647592	----a-w-	c:\windows\system32
vcompiler.dll
2010-04-03 22:55 . 2010-05-23 16:18	1097728	----a-w-	c:\windows\system32
vapi.dll
2010-04-03 14:53 . 2010-04-03 14:53	278120	----a-w-	c:\windows\system32
vmccs.dll
2010-04-03 14:53 . 2010-04-03 14:53	154216	----a-w-	c:\windows\system32
vsvc32.exe
2010-04-03 14:53 . 2010-04-03 14:53	145000	----a-w-	c:\windows\system32
vcolor.exe
2010-04-03 14:53 . 2010-04-03 14:53	13670504	----a-w-	c:\windows\system32
vcpl.dll
2010-04-03 14:53 . 2010-04-03 14:53	110696	----a-w-	c:\windows\system32
vmctray.dll
2010-04-03 14:53 . 2010-04-03 14:53	229376	----a-w-	c:\windows\system32
vrszhc.dll
2010-04-03 14:53 . 2010-04-03 14:53	126976	----a-w-	c:\windows\system32
vrszht.dll
.

------- Sigcheck -------

[-] 2009-04-09 . DF70435F3D17C40D5CB15E6DC918342E . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers	cpip.sys
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-06-02 39408]
"Messenger (Yahoo!)"="c:\progra~1\Yahoo!\Messenger\YahooMessenger.exe" [2010-06-01 5252408]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2010-04-01 357696]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2009-05-21 17881600]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-04-03 13670504]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-04-03 110696]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]
"LogitechCommunicationsManager"="c:\program files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe" [2007-07-25 563984]
"LogitechQuickCamRibbon"="c:\program files\Logitech\QuickCam\Quickcam.exe" [2007-07-25 2027792]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"TrojanScanner"="c:\program files\Trojan Remover\Trjscan.exe" [2010-02-27 1165192]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_2"="shell32" [X]

[HKEY_USERS\.DEFAULT\software\microsoft\windows\Currentversion\policies\explorer\Run]
"ClipSrv"="c:\docume~1\Bobo\APPLIC~1\MICROS~1\clipsrv.exe" [2010-06-15 372736]
"MqtgSVC"="c:\docume~1\Bobo\APPLIC~1\MICROS~1\mqtgsvc.exe" [2010-06-15 372736]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Activision\Prototype\prototypef.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Yahoo!\Messenger\YahooMessenger.exe"=
"c:\Program Files\Codemasters\OF Dragon Rising\OFDR.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [15/06/2010 15:26 108289]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [29/05/2010 19:38 691696]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [23/05/2010 20:48 1684736]
.
Contenu du dossier 'Tâches planifiées'

2010-06-16 c:\windows\Tasks\User_Feed_Synchronization-{ACC71DCF-44F3-4081-8A52-18B555D66B06}.job
- c:\windows\system32\msfeedssync.exe [2009-04-09 00:01]

2010-06-16 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2010-05-30 17:48]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.yahoo.fr/
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
.
- - - - ORPHELINS SUPPRIMES - - - -

HKU-Default-Explorer_Run-CmSTP - c:\docume~1\Bobo\APPLIC~1\cmstp.exe
HKU-Default-Explorer_Run-Spool - c:\docume~1\Bobo\APPLIC~1\MICROS~1\spoolsv.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-16 23:46
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2010-06-16  23:46:36
ComboFix-quarantined-files.txt  2010-06-16 19:16
ComboFix2.txt  2010-06-16 09:54

Avant-CF: 439 826 722 816 octets libres
Après-CF: 439 845 990 400 octets libres

- - End Of File - - 6B99F3A0C9F3D79AD71E35074DF6CE20

bobosawyer · Answer

J'ai fait les scans avec virustotal , par contre je ne sais pas trop si c'est le bon rapport que je vais te donner (désolé si c'est pas le cas) mais par contre pour le 2e fichier "c:\windows\system32\drivers\lvuvc.hs" quand je lui envoie, il dit que rien n'a été transmis 

"0 bytes size received / Se ha recibido un archivo vacio "

donc je ne peux pas l'annalyser ?

Merci



Rapport 
Antivirus Version Dernière mise à jour Résultat 
a-squared 4.5.0.41 2009.10.07 - 
AhnLab-V3 5.0.0.2 2009.10.06 - 
AntiVir 7.9.1.33 2009.10.07 - 
Antiy-AVL 2.0.3.7 2009.10.05 - 
Authentium 5.1.2.4 2009.10.07 - 
Avast 4.8.1351.0 2009.10.06 - 
AVG 8.5.0.420 2009.10.04 - 
BitDefender 7.2 2009.10.07 - 
CAT-QuickHeal 10.00 2009.10.07 - 
ClamAV 0.94.1 2009.10.07 - 
Comodo 2525 2009.10.07 - 
DrWeb 5.0.0.12182 2009.10.06 - 
eSafe 7.0.17.0 2009.10.06 - 
eTrust-Vet 35.1.7055 2009.10.07 - 
F-Prot 4.5.1.85 2009.10.06 - 
F-Secure 8.0.14470.0 2009.10.07 - 
Fortinet 3.120.0.0 2009.10.07 - 
GData 19 2009.10.07 - 
Ikarus T3.1.1.72.0 2009.10.07 - 
Jiangmin 11.0.800 2009.10.07 - 
K7AntiVirus 7.10.863 2009.10.06 - 
Kaspersky 7.0.0.125 2009.10.07 - 
McAfee 5763 2009.10.06 - 
McAfee+Artemis 5763 2009.10.06 - 
McAfee-GW-Edition 6.8.5 2009.10.07 - 
Microsoft 1.5101 2009.10.07 - 
NOD32 4486 2009.10.07 - 
Norman 6.01.09 2009.10.06 - 
nProtect 2009.1.8.0 2009.10.07 - 
Panda 10.0.2.2 2009.10.06 - 
PCTools 4.4.2.0 2009.10.06 - 
Prevx 3.0 2009.10.07 - 
Rising 21.49.22.00 2009.09.30 - 
Sophos 4.45.0 2009.10.07 - 
Sunbelt 3.2.1858.2 2009.10.07 - 
Symantec 1.4.4.12 2009.10.07 - 
TheHacker 6.5.0.2.032 2009.10.06 - 
TrendMicro 8.950.0.1094 2009.10.07 - 
VBA32 3.12.10.11 2009.10.05 - 
ViRobot 2009.10.7.1973 2009.10.07 - 
VirusBuster 4.6.5.0 2009.10.06 - 
Information additionnelle 
File size: 454024 bytes 
MD5   : 4b8276e4a943d0828dab352117d3a8aa 
SHA1  : a9b55405eeac3d0c7a53e08d4b32cc241ef0de97 
SHA256: 28b9b8fbcc012fc16f30cf1a5b1d9de600ffb30bc213777e5bd32673ac8c620a 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1338F
timedatestamp.....: 0x49B7410A (Wed Mar 11 05:41:46 2009)
machinetype.......: 0x14C (Intel I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5A82E 0x5AA00 6.71 839a84f9e2048a87bf64a6fc630ecb9b
.data 0x5C000 0xC178 0x7800 4.71 59e53451189eb911f63310bed006fe40
.rsrc 0x69000 0x5000 0x4C00 5.00 a38b377d70adc932d325cacf64a4b381
.reloc 0x6E000 0x5FE6 0x6000 4.97 cbc708b39bb6659ea65de5c3795aacbf

( 13 imports )

> advapi32.dll: RegCloseKey, RegSetValueExW, RegCreateKeyExW, DeregisterEventSource, ReportEventW, RegisterEventSourceW, FreeSid, CheckTokenMembership, DuplicateToken, AllocateAndInitializeSid, GetTokenInformation, OpenProcessToken, CreateProcessAsUserW, DuplicateTokenEx, RevertToSelf, ImpersonateLoggedOnUser, RegQueryInfoKeyW, RegEnumValueW, OpenThreadToken, GetLengthSid, CopySid, LookupAccountNameW, RegCreateKeyExA, RegSetValueExA, RegOpenKeyExW, RegQueryValueExW, RegQueryValueExA, RegOpenKeyExA
> comctl32.dll: PropertySheetW, CreatePropertySheetPageW
> comdlg32.dll: CommDlgExtendedError, PrintDlgA
> crypt32.dll: CryptUnprotectData
> gdi32.dll: StartPage, StartDocA, SetMapMode, GetDeviceCaps, GetStockObject, SetBkMode, SetTextColor, CreateFontA, GetTextFaceA, GetTextMetricsW, SelectObject, DeleteObject, CreateSolidBrush, EndDoc, EndPage, DeleteDC
> kernel32.dll: SetEndOfFile, CreateMutexW, GetLocalTime, SystemTimeToFileTime, GetSystemDirectoryW, CreateEventW, ResetEvent, Sleep, CreateProcessW, LoadLibraryW, VirtualProtect, WaitForSingleObject, InitializeCriticalSectionAndSpinCount, DeviceIoControl, DosDateTimeToFileTime, LocalFileTimeToFileTime, SetFileTime, ReleaseMutex, GetComputerNameW, CompareFileTime, TryEnterCriticalSection, GetExitCodeProcess, GetCurrentProcess, GetProcessHeap, DeleteFileA, MoveFileA, LocalAlloc, GetTempPathA, GetCurrentDirectoryW, CreateMutexA, HeapAlloc, GetVersion, HeapFree, GetSystemDirectoryA, FindFirstFileA, ReadProcessMemory, FlushFileBuffers, CreateFileA, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, SetStdHandle, LCMapStringW, LCMapStringA, GetStringTypeW, GetStringTypeA, WTSGetActiveConsoleSessionId, GetCurrentProcessId, ProcessIdToSessionId, CompareStringW, RemoveDirectoryW, DeleteFileW, MoveFileExW, FindFirstFileW, CopyFileW, FindNextFileW, FindClose, CreateDirectoryW, GetFileAttributesW, SetFileAttributesW, LocalFree, GetModuleFileNameW, FormatMessageW, CreateThread, CreateFileW, GetFileSize, ReadFile, WaitForMultipleObjects, GetLastError, GetModuleHandleW, OpenEventW, SetEvent, CloseHandle, GetVersionExA, GetStartupInfoW, RtlUnwind, SetUnhandledExceptionFilter, GetProcAddress, GetModuleHandleA, ExitProcess, WriteFile, GetStdHandle, GetModuleFileNameA, FreeEnvironmentStringsA, MultiByteToWideChar, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, GetCommandLineA, GetCommandLineW, SetHandleCount, GetFileType, GetStartupInfoA, DeleteCriticalSection, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, SetLastError, GetCurrentThreadId, InterlockedDecrement, GetCurrentThread, HeapDestroy, HeapCreate, VirtualFree, QueryPerformanceCounter, GetTickCount, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, IsDebuggerPresent, HeapSize, LeaveCriticalSection, EnterCriticalSection, VirtualAlloc, HeapReAlloc, FreeLibrary, LoadLibraryA, InitializeCriticalSection, GetCPInfo, GetACP, GetOEMCP, IsValidCodePage, RaiseException, SetFilePointer, WideCharToMultiByte, GetConsoleCP, GetConsoleMode, GetLocaleInfoA, GetUserDefaultLCID
> ole32.dll: CoCreateInstance, CoUninitialize, CoSetProxyBlanket, CoInitialize, CoCreateGuid, StringFromGUID2, CLSIDFromProgID
> oleaut32.dll: -, -, -, -, -, -, -
> shell32.dll: ShellExecuteA
> user32.dll: GetParent, ShowWindow, GetDlgItem, SetTimer, DrawMenuBar, PostMessageW, GetSystemMenu, EnableWindow, SetWindowTextW, SendMessageW, KillTimer, LoadStringW, SetWindowLongW, EnableMenuItem, CheckDlgButton, GetDesktopWindow, LoadStringA, GetSysColor, MessageBoxW, GetDC, GetClientRect, MapWindowPoints, MoveWindow, ReleaseDC, GetWindowLongW, GetDlgCtrlID, SetCursor, CallWindowProcW, FillRect, DrawTextW, DrawFocusRect, LoadCursorW, DestroyCursor, SetDlgItemTextA, IsWindow, IsDlgButtonChecked, SetDlgItemTextW, GetWindowRect, GetSystemMetrics, SetWindowPos
> userenv.dll: CreateEnvironmentBlock, DestroyEnvironmentBlock
> version.dll: VerQueryValueW, GetFileVersionInfoSizeW, GetFileVersionInfoW
> wtsapi32.dll: WTSQueryUserToken, WTSEnumerateSessionsW, WTSFreeMemory

( 0 exports )
 
TrID  : File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) 
ThreatExpert: https://www.symantec.com?md5=4b8276e4a943d0828dab352117d3a8aa 
ssdeep: 6144:uESQdtRrH8+qbavdj2jJSVkh+x3840aCOusOkTBksi3Kjqccgg2J0:uES8HpqevJ2jCkhqFC5MWsqbY0 
PEiD  : - 
RDS   : NSRL Reference Data Set

bobosawyer · Answer

J'ai refait un scan Avira ce matin, et toujours pas mal d'infections détectées (8 ce matin),  en fait la protection de mon antivirus a été désactivée, je n'ai plus de protection maintenant donc ca vient surement de la.

Bonne journée

bobosawyer · Answer

Bonsoir, 

Je voulais t'informer de la situation, j'ai fait un scan Avira puis un scan malwarebyte et aucuns nusible n'a été déctecté, tu penses que j'en suis débarassé?

Merci

jfkpresident · Answer

Tu peux me coller le dernier rapport d'Antivir ?

bobosawyer · Answer

Ok je mets le rapport mais je ne sais pas si je vais l'avoir Avira ne marche plus très bien depuis le virus

bobosawyer · Answer

Voila le rapport, en fait le problème avec Avira c'est que la protection est désactivée (je ne peux que faire des scans) et que je ne peux pas le désinstaller proprement (mais on verra ca après)

Le rapport




Avira AntiVir Personal
Date de création du fichier de rapport : jeudi 17 juin 2010  19:49

La recherche porte sur 2223370 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série         : 0000149996-ADJIE-0000001
Plateforme              : Windows XP
Version de Windows      : (Service Pack 3)  [5.1.2600]
Mode Boot               : Démarré normalement
Identifiant             : SYSTEM
Nom de l'ordinateur     : BORIS

Informations de version :
BUILD.DAT               : 9.0.0.75      21698 Bytes  22/01/2010 23:14:00
AVSCAN.EXE              : 9.0.3.10     466689 Bytes  15/06/2010 13:24:46
AVSCAN.DLL              : 9.0.3.0       49409 Bytes  03/03/2009 06:51:02
LUKE.DLL                : 9.0.3.2      209665 Bytes  20/02/2009 08:05:11
LUKERES.DLL             : 9.0.2.0       13569 Bytes  03/03/2009 06:51:31
VBASE000.VDF            : 7.10.0.0   19875328 Bytes  06/11/2009 13:24:45
VBASE001.VDF            : 7.10.1.0    1372672 Bytes  19/11/2009 13:24:45
VBASE002.VDF            : 7.10.3.1    3143680 Bytes  20/01/2010 13:24:45
VBASE003.VDF            : 7.10.3.75    996864 Bytes  26/01/2010 13:24:45
VBASE004.VDF            : 7.10.4.203   1579008 Bytes  05/03/2010 13:24:45
VBASE005.VDF            : 7.10.6.82   2494464 Bytes  15/04/2010 13:24:45
VBASE006.VDF            : 7.10.7.218   2294784 Bytes  02/06/2010 13:24:45
VBASE007.VDF            : 7.10.7.219      2048 Bytes  02/06/2010 13:24:45
VBASE008.VDF            : 7.10.7.220      2048 Bytes  02/06/2010 13:24:45
VBASE009.VDF            : 7.10.7.221      2048 Bytes  02/06/2010 13:24:45
VBASE010.VDF            : 7.10.7.222      2048 Bytes  02/06/2010 13:24:45
VBASE011.VDF            : 7.10.7.223      2048 Bytes  02/06/2010 13:24:45
VBASE012.VDF            : 7.10.7.224      2048 Bytes  02/06/2010 13:24:45
VBASE013.VDF            : 7.10.8.37    270336 Bytes  10/06/2010 13:24:45
VBASE014.VDF            : 7.10.8.69    138752 Bytes  14/06/2010 13:24:45
VBASE015.VDF            : 7.10.8.102    130560 Bytes  16/06/2010 15:19:23
VBASE016.VDF            : 7.10.8.103      2048 Bytes  16/06/2010 15:19:23
VBASE017.VDF            : 7.10.8.104      2048 Bytes  16/06/2010 15:19:23
VBASE018.VDF            : 7.10.8.105      2048 Bytes  16/06/2010 15:19:23
VBASE019.VDF            : 7.10.8.106      2048 Bytes  16/06/2010 15:19:23
VBASE020.VDF            : 7.10.8.107      2048 Bytes  16/06/2010 15:19:23
VBASE021.VDF            : 7.10.8.108      2048 Bytes  16/06/2010 15:19:23
VBASE022.VDF            : 7.10.8.109      2048 Bytes  16/06/2010 15:19:23
VBASE023.VDF            : 7.10.8.110      2048 Bytes  16/06/2010 15:19:23
VBASE024.VDF            : 7.10.8.111      2048 Bytes  16/06/2010 15:19:23
VBASE025.VDF            : 7.10.8.112      2048 Bytes  16/06/2010 15:19:23
VBASE026.VDF            : 7.10.8.113      2048 Bytes  16/06/2010 15:19:23
VBASE027.VDF            : 7.10.8.114      2048 Bytes  16/06/2010 15:19:23
VBASE028.VDF            : 7.10.8.115      2048 Bytes  16/06/2010 15:19:23
VBASE029.VDF            : 7.10.8.116      2048 Bytes  16/06/2010 15:19:23
VBASE030.VDF            : 7.10.8.117      2048 Bytes  16/06/2010 15:19:24
VBASE031.VDF            : 7.10.8.122     43008 Bytes  17/06/2010 15:19:24
Version du moteur       : 8.2.2.6  
AEVDF.DLL               : 8.1.2.0      106868 Bytes  15/06/2010 13:24:46
AESCRIPT.DLL            : 8.1.3.31    1352058 Bytes  15/06/2010 13:24:46
AESCN.DLL               : 8.1.6.1      127347 Bytes  15/06/2010 13:24:46
AESBX.DLL               : 8.1.3.1      254324 Bytes  15/06/2010 13:24:46
AERDL.DLL               : 8.1.4.6      541043 Bytes  15/06/2010 13:24:46
AEPACK.DLL              : 8.2.1.1      426358 Bytes  15/06/2010 13:24:45
AEOFFICE.DLL            : 8.1.1.0      201081 Bytes  15/06/2010 13:24:45
AEHEUR.DLL              : 8.1.1.33    2724214 Bytes  15/06/2010 13:24:45
AEHELP.DLL              : 8.1.11.5     242038 Bytes  15/06/2010 13:24:45
AEGEN.DLL               : 8.1.3.10     377205 Bytes  15/06/2010 13:24:45
AEEMU.DLL               : 8.1.2.0      393588 Bytes  15/06/2010 13:24:45
AECORE.DLL              : 8.1.15.3     192886 Bytes  15/06/2010 13:24:45
AEBB.DLL                : 8.1.1.0       53618 Bytes  15/06/2010 13:24:45
AVWINLL.DLL             : 9.0.0.3       18177 Bytes  12/12/2008 05:17:30
AVPREF.DLL              : 9.0.3.0       44289 Bytes  15/06/2010 13:24:46
AVREP.DLL               : 8.0.0.7      159784 Bytes  15/06/2010 13:24:46
AVREG.DLL               : 9.0.0.0       36609 Bytes  07/11/2008 11:54:42
AVARKT.DLL              : 9.0.0.3      292609 Bytes  24/03/2009 11:35:22
AVEVTLOG.DLL            : 9.0.0.7      167169 Bytes  30/01/2009 07:06:37
SQLITE3.DLL             : 3.6.1.0      326401 Bytes  28/01/2009 11:33:49
SMTPLIB.DLL             : 9.2.0.25      28417 Bytes  02/02/2009 04:50:57
NETNT.DLL               : 9.0.0.0       11521 Bytes  07/11/2008 12:10:59
RCIMAGE.DLL             : 9.0.0.25    2438913 Bytes  15/06/2010 13:24:44
RCTEXT.DLL              : 9.0.73.0      88321 Bytes  15/06/2010 13:24:44

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, 
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +JOKE,

Début de la recherche : jeudi 17 juin 2010  19:49

La recherche d'objets cachés commence.
'22887' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'msfeedssync.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'COCIManager.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Ymsgr_tray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiprvse.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LVComSer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'YahooAUService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LVComSer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'DTLite.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Quickcam.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Communications_Helper.exe' - '1' module(s) sont contrôlés
Processus de recherche 'reader_sl.exe' - '1' module(s) sont contrôlés
Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RTHDCPL.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LVPrcSrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'42' processus ont été contrôlés avec '42' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
    [INFO]      Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
    [INFO]      Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '51' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE]  Ce fichier est un fichier système Windows.
    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\WINDOWS\system32\drivers\sptd.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !


Fin de la recherche : jeudi 17 juin 2010  20:01
Temps nécessaire: 11:43 Minute(s)

La recherche a été effectuée intégralement

   3056 Les répertoires ont été contrôlés
  66201 Des fichiers ont été contrôlés
      0 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      0 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      2 Impossible de contrôler des fichiers
  66199 Fichiers non infectés
    754 Les archives ont été contrôlées
      2 Avertissements
      1 Consignes
  22887 Des objets ont été contrôlés lors du Rootkitscan
      0 Des objets cachés ont été trouvés

jfkpresident · Answer

On continu:

Il va falloir analyser un ou des fichier(s) suspect(s) !

Il se peut qu'il se trouvent dans les " dossiers cachés " du systeme.
Il faut donc les rendre visibles pour le scan.

Pour afficher les dossiers et fichiers cachés:

Panneau de configuration > Options des dossiers > onglet Affichage.

Coche Afficher les fichiers et dossiers cachés,
Décoche Masquer les extensions de fichiers connus
Décoche Masquer les fichiers protégés du Système.
Un message de mise en garde va apparaitre. Clique sur OK pour confirmer ton choix.
Les fichiers et dossiers cachés du système apparaitront alors dans l'explorateur Windows en transparence. 

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\WINDOWS\system32\drivers\sptd.sys 

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

=========================

* Télécharge et install UsbFix par El Desaparecido , C_XX & Chimay8 

 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

* Double clic sur le raccourci UsbFix présent sur ton bureau .

* Au menu principal choisis l'option " F " pour français et tape sur [entrée] . 

* Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée] 

* Laisse travailler l'outil.

* Ensuite post le rapport UsbFix.txt qui apparaitra.

* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
          Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
          Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


* Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html

bobosawyer · Answer

Je te remercie de me consacrer de ton temps, je fais ca et je poste les rapports

bobosawyer · Answer

Voila, j'ai fait le scan avec virus total, mais comme la dernière fois, rien n'est transmis, aucune annalyse est faire.

J'ai ensuite effectué un scan usbfix sans avoir ouvert le disque externe et voila le rapport


############################## | UsbFix 7.011 | [Recherche]

Utilisateur: Bobo (Administrateur) # BORIS [ ]
Mis à jour le 17/06/2010 par El Desaparecido / C_XX
Lancé à 00:22:49 | 18/06/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Core(TM)2 Duo CPU E6750 @ 2.66GHz
CPU 2: Intel(R) Core(TM)2 Duo CPU E6750 @ 2.66GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Activé
Antivirus: AntiVir Desktop 9.0.1.32 [(!) Disabled | Updated]
RAM -> 2047 Mo 
C:\ (%systemdrive%) -> Disque fixe # 466 Go (410 Go libre(s) - 88%) [] # NTFS
D:\ -> CD-ROM
E:\ -> CD-ROM
F:\ -> Disque fixe # 298 Go (90 Go libre(s) - 30%) [Bobo] # NTFS

################## | Éléments infectieux |

Présent! F:\$Recycle.Bin\S-1-5-21-2979869613-2463247688-2764712212-1001
Présent! F:\$Recycle.Bin\S-1-5-21-465083332-3389747475-3249533832-1000
Présent! F:\Recycler\S-1-5-21-1275210071-1957994488-839522115-1003
Présent! F:\Recycler\S-1-5-21-1844237615-1644491937-839522115-500
Présent! F:\Recycler\S-1-5-21-2033252833-3100663085-220357947-1006
Présent! F:\Recycler\S-1-5-21-394390664-3753601070-2778586314-1006
Présent! F:\Recycler\S-1-5-21-73586283-2049760794-682003330-1003
Présent! F:\Recycler\S-1-5-21-789336058-813497703-839522115-1003
Présent! F:\Recycler\S-1-5-21-823518204-842925246-839522115-1003

################## | Registre |

Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

################## | Mountpoints2 |


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |

jfkpresident · Answer

Apparement VirusTotal est indisponible pour le moment ,essaie a cette adresse :

Rends toi sur Virusscan. Jotti
- Clic en haut à droite sur "Parcourir", navigue dans les dossiers et sélectionne ce fichier : C:\WINDOWS\system32\drivers\sptd.sys

- Clic sur submit toujours en haut à droite
- Le scan va se lancer, ça va prendre un petit instant
- En bas, tu as le résultat du scan, copie/colle le résultat complet du scan ici - ATTENTION de bien prendre le résultat du scan de ton fichier (le nom du fichier apparaît en haut) et non le scan fait avant le tiens!
 Tutoriel

===================================
 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

* Double clic sur le raccourci UsbFix présent sur ton bureau

* Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

* Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]  

* Ton bureau disparaitra et le pc redémarrera .

* Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

* Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

bobosawyer · Answer

J'ai fait un scan sur virusscan.jotti et le même resultat, "fichier vide" pas de fichier transmis.

J'ai aussi fait la suppression avec usbfix (par contre le pc n'a pas redémmaré comme tu avait indiqué), voila le rapport


############################## | UsbFix 7.011 | [Suppression]

Utilisateur: Bobo (Administrateur) # BORIS [ ]
Mis à jour le 17/06/2010 par El Desaparecido / C_XX
Lancé à 23:49:19 | 18/06/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Core(TM)2 Duo CPU E6750 @ 2.66GHz
CPU 2: Intel(R) Core(TM)2 Duo CPU E6750 @ 2.66GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Activé
Antivirus: AntiVir Desktop 9.0.1.32 [(!) Disabled | Updated]
RAM -> 2047 Mo 
C:\ (%systemdrive%) -> Disque fixe # 466 Go (410 Go libre(s) - 88%) [] # NTFS
D:\ -> CD-ROM
E:\ -> CD-ROM
F:\ -> Disque fixe # 298 Go (90 Go libre(s) - 30%) [Bobo] # NTFS

################## | Éléments infectieux |

Supprimé! F:\$Recycle.Bin\S-1-5-21-2979869613-2463247688-2764712212-1001
Supprimé! F:\$Recycle.Bin\S-1-5-21-465083332-3389747475-3249533832-1000
Supprimé! F:\Recycler\S-1-5-21-1275210071-1957994488-839522115-1003
Supprimé! F:\Recycler\S-1-5-21-1844237615-1644491937-839522115-500
Supprimé! F:\Recycler\S-1-5-21-2033252833-3100663085-220357947-1006
Supprimé! F:\Recycler\S-1-5-21-394390664-3753601070-2778586314-1006
Supprimé! F:\Recycler\S-1-5-21-73586283-2049760794-682003330-1003
Supprimé! F:\Recycler\S-1-5-21-789336058-813497703-839522115-1003
Supprimé! F:\Recycler\S-1-5-21-823518204-842925246-839522115-1003

################## | Registre |

Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

################## | Mountpoints2 |


################## | Listing |

[02/06/2010 - 03:16:28 | D ] 	C:\7eafbbef30242a26ed4457dc04f6c3
[10/05/2010 - 06:42:33 | A | 0] 	C:\AUTOEXEC.BAT
[10/05/2010 - 06:38:26 | A | 233] 	C:\Boot.bak
[16/06/2010 - 14:20:31 | RASH | 303] 	C:\boot.ini
[14/04/2008 - 12:30:00 | RASH | 4952] 	C:\Bootfont.bin
[16/06/2010 - 14:20:31 | RASHD ] 	C:\cmdcons
[03/08/2004 - 23:00:08 | A | 263488] 	C:\cmldr
[16/06/2010 - 23:58:01 | D ] 	C:\ComboFix
[16/06/2010 - 23:57:59 | A | 18334] 	C:\ComboFix.txt
[10/05/2010 - 06:42:33 | A | 0] 	C:\CONFIG.SYS
[11/05/2010 - 06:18:15 | D ] 	C:\Documents and Settings
[23/05/2010 - 20:45:39 | D ] 	C:\Intel
[10/05/2010 - 06:42:33 | RASH | 0] 	C:\IO.SYS
[10/05/2010 - 06:42:33 | RASH | 0] 	C:\MSDOS.SYS
[14/04/2008 - 12:30:00 | RASH | 47564] 	C:\NTDETECT.COM
[14/04/2008 - 12:30:00 | RASH | 252240] 	C:
tldr
[23/05/2010 - 20:48:51 | D ] 	C:\NVIDIA
[18/06/2010 - 23:41:17 | ASH | 1610612736] 	C:\pagefile.sys
[16/06/2010 - 23:35:25 | RD ] 	C:\Program Files
[31/05/2010 - 18:31:37 | D ] 	C:\ProgramData
[16/06/2010 - 23:58:00 | D ] 	C:\Qoobox
[18/06/2010 - 23:53:37 | SHD ] 	C:\RECYCLER
[29/05/2010 - 20:23:40 | D ] 	C:\Root
[10/05/2010 - 06:46:53 | SHD ] 	C:\System Volume Information
[18/06/2010 - 23:53:37 | D ] 	C:\UsbFix
[18/06/2010 - 23:53:39 | A | 1756] 	C:\UsbFix.txt
[16/06/2010 - 23:58:00 | D ] 	C:\WINDOWS
[15/06/2010 - 21:19:02 | D ] 	C:\_OTM
[18/06/2010 - 23:49:51 | SHD ] 	F:\$RECYCLE.BIN
[04/11/2009 - 18:43:29 | D ] 	F:\Documents de base
[15/06/2010 - 17:40:43 | D ] 	F:\Fichiers
[18/06/2010 - 23:53:37 | SHD ] 	F:\RECYCLER
[29/05/2010 - 20:18:03 | SHD ] 	F:\System Volume Information

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
F:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | E.O.F |



Le disque externe est clean maintenant tu penses?

bobosawyer · Answer

Dernier rapport usbfix après suppression


############################## | UsbFix 7.011 | [Recherche]

Utilisateur: Bobo (Administrateur) # BORIS [ ]
Mis à jour le 17/06/2010 par El Desaparecido / C_XX
Lancé à 00:16:14 | 19/06/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Core(TM)2 Duo CPU E6750 @ 2.66GHz
CPU 2: Intel(R) Core(TM)2 Duo CPU E6750 @ 2.66GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Activé
Antivirus: AntiVir Desktop 9.0.1.32 [(!) Disabled | Updated]
RAM -> 2047 Mo 
C:\ (%systemdrive%) -> Disque fixe # 466 Go (403 Go libre(s) - 86%) [] # NTFS
D:\ -> CD-ROM
E:\ -> CD-ROM

################## | Éléments infectieux |

Présent! C:\Recycler\S-1-5-21-73586283-2049760794-682003330-1003

################## | Registre |


################## | Mountpoints2 |


################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | E.O.F |

jfkpresident · Answer

Salut ,

As tu installé une webcam récemment ? (Logitech) .

bobosawyer · Answer

Oui effectivement

jfkpresident · Answer

Tu penses que je peux me servir du disque externe il te parait clean maintenant? 

Oui puisqu'il a été désinfecté et vacciné par la meme occasion -;)

Peut tu me recoller un nouveau rapport Zhpdiag afin de faire le point .

jfkpresident · Answer

Peux tu utiliser le lien Cijoint pour me coller le rapport de Zhpdiag .

bobosawyer · Answer

Voila le lien 

http://www.cijoint.fr/cjlink.php?file=cj201006/cijcnjepkp.txt

jfkpresident · Answer

On recommence avec Combofix :

> Ferme tout tes navigateurs (donc copie ou imprime les instructions avant)
- Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie/colle dedans les lignes suivantes :

           
File::
C:\DOCUME~1\Bobo\APPLIC~1\MICROS~1\clipsrv.exe   
C:\DOCUME~1\Bobo\APPLIC~1\MICROS~1\mqtgsvc.exe   
c:\program files\micros~1\clipsrv.exe
Reg::
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"ClipSrv"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"ClipSrv"=-


- Enregistre ce fichier sous le nom CFScript
- Fait un glisser/déposer de ce fichier CFScrïpt sur le fichier ComboFix.exe comme sur cette image. (Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris.) Combofix va démarrer.
- Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
- Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
- Ne touche à rien tant que le scan n'est pas terminé sinon le PC peut planter !
- Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Note : Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

bobosawyer · Answer

Voila le dernier rapport Combofix



ComboFix 10-06-18.03 - Bobo 19/06/2010  21:00:25.4.2 - x86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.2047.1605 [GMT 4,5:30]
Lancé depuis: c:\documents and settings\Bobo\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Bobo\Bureau\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

FILE ::
"c:\docume~1\Bobo\APPLIC~1\MICROS~1\clipsrv.exe"
"c:\docume~1\Bobo\APPLIC~1\MICROS~1\mqtgsvc.exe"
"c:\program files\micros~1\clipsrv.exe"
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\docume~1\Bobo\APPLIC~1\MICROS~1\clipsrv.exe
c:\docume~1\Bobo\APPLIC~1\MICROS~1\mqtgsvc.exe

.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-05-19 au 2010-06-19  ))))))))))))))))))))))))))))))))))))
.

2010-06-19 11:48 . 2010-06-19 11:48	--------	d-----w-	c:\program files\directx
2010-06-19 11:42 . 2010-06-19 11:42	--------	d-----w-	c:\documents and settings\Bobo\Application Data \Yahoo!
2010-06-17 19:51 . 2010-06-18 20:09	--------	d-----w-	C:\UsbFix
2010-06-16 19:05 . 2010-06-16 19:05	--------	d-----w-	c:\windows\system32\xircom
2010-06-16 19:05 . 2010-06-16 19:05	--------	d-----w-	c:\windows\system32\wbem\snmp
2010-06-16 19:05 . 2010-06-16 19:05	--------	d-----w-	c:\program files\microsoft frontpage
2010-06-15 16:49 . 2010-06-15 16:49	--------	d-----w-	C:\_OTM
2010-06-15 15:53 . 2010-06-19 11:41	--------	d-----w-	c:\program files\ZHPDiag
2010-06-15 14:02 . 2010-06-15 14:02	--------	d-----w-	c:\documents and settings\Bobo\Application Data \Malwarebytes
2010-06-15 14:02 . 2010-04-29 11:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-06-15 14:02 . 2010-06-15 14:02	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-06-15 14:02 . 2010-06-15 14:02	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2010-06-15 14:02 . 2010-04-29 11:09	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-06-15 13:55 . 2010-02-27 16:16	3691384	----a-w-	c:\documents and settings\Bobo\Application Data \Simply Super Software\Trojan Remover\mss1.exe
2010-06-15 13:52 . 2010-06-15 13:57	--------	d---a-w-	c:\documents and settings\All Users\Application Data\TEMP
2010-06-15 13:46 . 2010-06-15 13:46	--------	d-----w-	c:\documents and settings\Bobo\Application Data \Simply Super Software
2010-06-15 13:46 . 2006-06-19 07:31	69632	----a-w-	c:\windows\system32\ztvcabinet.dll
2010-06-15 13:46 . 2006-05-25 10:22	162304	----a-w-	c:\windows\system32\ztvunrar36.dll
2010-06-15 13:46 . 2005-08-25 20:20	77312	----a-w-	c:\windows\system32\ztvunace26.dll
2010-06-15 13:46 . 2003-02-02 14:36	153088	----a-w-	c:\windows\system32\UNRAR3.dll
2010-06-15 13:46 . 2002-03-05 19:30	75264	----a-w-	c:\windows\system32\unacev2.dll
2010-06-15 13:46 . 2010-06-15 13:46	--------	d-----w-	c:\program files\Trojan Remover
2010-06-15 13:46 . 2010-06-15 13:46	--------	d-----w-	c:\documents and settings\All Users\Application Data\Simply Super Software
2010-06-15 13:40 . 2010-06-15 13:40	--------	d-----r-	c:\documents and settings\LocalService\Favoris
2010-06-15 13:40 . 2010-06-15 13:40	--------	d-sh--w-	c:\documents and settings\LocalService\IETldCache
2010-06-15 13:25 . 2010-06-15 13:24	56816	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-06-15 10:56 . 2009-03-30 06:02	96104	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-06-15 10:56 . 2009-02-13 07:58	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2010-06-15 10:56 . 2009-02-13 07:47	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2010-06-15 10:56 . 2010-06-15 10:56	--------	d-----w-	c:\documents and settings\All Users\Application Data\Avira
2010-06-13 20:28 . 2009-09-04 12:59	453456	----a-w-	c:\windows\system32\d3dx10_42.dll
2010-06-13 15:27 . 2010-06-14 04:31	--------	d-----w-	c:\program files\DAEMON Tools Lite
2010-06-12 17:03 . 2010-06-13 17:02	--------	d-----w-	c:\program files\Fichiers communs\Adobe AIR
2010-06-11 20:31 . 2010-06-11 20:31	--------	d-----w-	c:\program files\Microsoft CAPICOM 2.1.0.2
2010-06-11 18:20 . 2010-06-11 18:32	--------	d-----w-	c:\program files\Codemasters
2010-06-11 18:06 . 2010-06-13 15:27	--------	d-----w-	c:\documents and settings\All Users\Application Data\DAEMON Tools Lite
2010-06-11 14:01 . 2010-05-06 10:33	743424	------w-	c:\windows\system32\dllcache\iedvtool.dll
2010-06-10 16:46 . 2010-06-10 16:49	--------	d-----w-	c:\documents and settings\Bobo\Local Settings\Application Data\Yahoo
2010-06-10 16:42 . 2010-06-10 16:42	--------	d-----w-	c:\documents and settings\All Users\Application Data\Yahoo!
2010-06-10 16:42 . 2010-06-01 05:55	607544	----a-w-	c:\documents and settings\All Users\Application Data\Yahoo!\YUpdater\yupdater.exe
2010-06-10 16:41 . 2010-06-11 06:38	--------	d-----w-	c:\windows\SxsCaPendDel
2010-06-10 16:39 . 2010-06-19 11:59	--------	d-----w-	c:\program files\Yahoo!
2010-06-08 14:08 . 2008-04-13 12:09	5504	----a-w-	c:\windows\system32\drivers\MSTEE.sys
2010-06-08 14:08 . 2008-04-13 12:16	10880	----a-w-	c:\windows\system32\drivers\NdisIP.sys
2010-06-08 14:08 . 2008-04-13 11:16	11136	----a-w-	c:\windows\system32\drivers\SLIP.sys
2010-06-08 14:08 . 2008-04-13 11:16	15232	----a-w-	c:\windows\system32\drivers\StreamIP.sys
2010-06-08 14:08 . 2008-04-13 12:16	19200	----a-w-	c:\windows\system32\drivers\WSTCODEC.SYS
2010-06-08 14:08 . 2008-04-13 12:16	85248	----a-w-	c:\windows\system32\drivers\NABTSFEC.sys
2010-06-08 14:08 . 2008-04-13 12:16	17024	----a-w-	c:\windows\system32\drivers\CCDECODE.sys
2010-06-08 14:08 . 2008-04-13 12:15	60032	----a-w-	c:\windows\system32\drivers\USBAUDIO.sys
2010-06-08 14:08 . 2008-04-13 20:03	54784	----a-w-	c:\windows\system32\vfwwdm32.dll
2010-06-08 14:08 . 2008-04-13 12:16	121984	----a-w-	c:\windows\system32\drivers\usbvideo.sys
2010-06-06 07:57 . 2010-06-06 07:57	--------	d-sh--w-	c:\documents and settings\Bobo\IECompatCache
2010-06-02 16:34 . 2010-06-19 11:42	--------	d-----w-	c:\documents and settings\Bobo\Local Settings\Application Data\Google
2010-06-02 16:26 . 2010-06-02 16:26	--------	d-----w-	c:\program files\Fichiers communs\Adobe
2010-06-02 16:24 . 2010-06-19 11:42	--------	d-----w-	c:\program files\Google
2010-06-02 16:24 . 2010-06-13 17:02	--------	d-----w-	c:\documents and settings\Bobo\Local Settings\Application Data\Adobe
2010-06-01 14:33 . 2010-06-01 14:33	--------	d-----w-	c:\documents and settings\All Users\Application Data\Messenger Plus!
2010-06-01 14:32 . 2010-06-01 14:32	--------	d-----w-	c:\program files\Messenger Plus! Live
2010-06-01 14:29 . 2009-08-06 14:53	274288	----a-w-	c:\windows\system32\mucltui.dll
2010-06-01 14:29 . 2009-08-06 14:53	215920	----a-w-	c:\windows\system32\muweb.dll
2010-05-31 19:51 . 2010-06-19 12:00	--------	d-----w-	c:\documents and settings\Bobo\Tracing
2010-05-31 19:02 . 2010-05-31 19:02	--------	d-----w-	c:\program files\Microsoft
2010-05-31 19:02 . 2010-05-31 19:02	--------	d-----w-	c:\program files\Windows Live SkyDrive
2010-05-31 19:01 . 2010-05-31 19:02	--------	d-----w-	c:\program files\Windows Live
2010-05-31 18:57 . 2010-05-31 18:57	--------	d-----w-	c:\program files\Fichiers communs\Windows Live
2010-05-31 14:01 . 2010-06-13 17:00	--------	d-----w-	c:\documents and settings\All Users\Application Data\Electronic Arts
2010-05-31 14:01 . 2010-05-31 14:01	--------	d-----w-	C:\ProgramData
2010-05-30 17:24 . 2010-05-30 17:24	--------	d-----w-	c:\windows\system32\KB905474
2010-05-30 17:22 . 2010-06-11 20:31	--------	d-----w-	c:\windows\ie8updates
2010-05-30 13:12 . 2010-05-30 13:18	--------	d-----w-	c:\program files\Electronic Arts
2010-05-30 07:35 . 2010-01-01 07:58	353792	------w-	c:\windows\system32\dllcache\srv.sys
2010-05-30 07:35 . 2010-02-16 19:00	2192128	------w-	c:\windows\system32\dllcache
toskrnl.exe
2010-05-30 07:35 . 2010-02-16 19:00	2148352	------w-	c:\windows\system32\dllcache
tkrnlmp.exe
2010-05-30 07:35 . 2010-02-16 19:00	2068992	------w-	c:\windows\system32\dllcache
tkrnlpa.exe
2010-05-30 07:35 . 2010-02-16 19:00	2026496	------w-	c:\windows\system32\dllcache
tkrpamp.exe
2010-05-30 07:34 . 2010-02-24 11:57	457216	------w-	c:\windows\system32\dllcache\mrxsmb.sys
2010-05-30 07:34 . 2009-11-21 15:58	471552	------w-	c:\windows\system32\dllcache\aclayers.dll
2010-05-30 07:34 . 2009-10-15 16:32	81920	------w-	c:\windows\system32\dllcache\fontsub.dll
2010-05-30 07:34 . 2009-10-15 16:32	119808	------w-	c:\windows\system32\dllcache	2embed.dll
2010-05-30 07:33 . 2009-06-21 21:47	153088	------w-	c:\windows\system32\dllcache	riedit.dll
2010-05-30 07:33 . 2009-10-23 15:28	3558912	------w-	c:\windows\system32\dllcache\moviemk.exe
2010-05-30 07:33 . 2009-07-31 04:25	1447424	------w-	c:\windows\system32\dllcache\msxml6.dll
2010-05-30 07:33 . 2009-07-31 04:25	1172480	------w-	c:\windows\system32\dllcache\msxml3.dll
2010-05-30 07:32 . 2010-02-12 10:03	293376	------w-	c:\windows\system32\browserchoice.exe
2010-05-30 07:32 . 2010-05-06 10:33	55296	------w-	c:\windows\system32\dllcache\msfeedsbs.dll
2010-05-30 07:32 . 2010-05-06 10:33	1985536	------w-	c:\windows\system32\dllcache\iertutil.dll
2010-05-30 07:32 . 2010-05-06 10:33	247808	------w-	c:\windows\system32\dllcache\ieproxy.dll
2010-05-30 07:32 . 2010-05-06 10:33	12800	------w-	c:\windows\system32\dllcache\xpshims.dll
2010-05-30 07:32 . 2010-05-06 10:33	599040	------w-	c:\windows\system32\dllcache\msfeeds.dll
2010-05-29 15:53 . 2006-09-28 11:35	2414360	----a-w-	c:\windows\system32\d3dx9_31.dll
2010-05-29 15:48 . 2010-05-29 15:48	--------	d-----w-	c:\program files\Activision
2010-05-29 15:38 . 2010-05-29 15:38	--------	d-sh--w-	c:\documents and settings\Bobo\PrivacIE
2010-05-29 15:20 . 2010-06-12 03:42	--------	d-----w-	c:\program files\DAEMON Tools Pro
2010-05-29 15:11 . 2010-05-29 15:11	--------	d-sh--w-	c:\documents and settings\Bobo\IETldCache
2010-05-29 15:08 . 2010-06-13 15:27	691696	----a-w-	c:\windows\system32\drivers\sptd.sys
2010-05-29 14:18 . 2010-05-29 14:18	--------	d--h--w-	c:\windows\msdownld.tmp
2010-05-29 14:17 . 2010-05-29 14:18	--------	dc-h--w-	c:\windows\ie8
2010-05-29 14:14 . 2010-05-29 14:14	--------	d-----w-	c:\program files\VideoLAN
2010-05-29 14:13 . 2010-05-29 14:13	--------	d-----w-	c:\program files\Avira
2010-05-29 13:22 . 2008-10-10 00:22	452440	----a-w-	c:\windows\system32\d3dx10_40.dll
2010-05-29 13:22 . 2008-10-10 00:22	4379984	----a-w-	c:\windows\system32\D3DX9_40.dll
2010-05-29 13:22 . 2008-10-10 00:22	2036576	----a-w-	c:\windows\system32\D3DCompiler_40.dll
2010-05-23 16:24 . 2009-05-25 10:51	142336	----a-w-	c:\windows\system32\drivers\Rtenicxp.sys
2010-05-23 16:24 . 2009-03-03 15:48	73728	----a-w-	c:\windows\system32\RtNicProp32.dll
2010-05-23 16:21 . 2010-05-23 16:21	--------	d-----w-	c:\windows\system32\Lang
2010-05-23 16:18 . 2010-04-03 22:55	6432128	----a-w-	c:\windows\system32
v4_disp.dll
2010-05-23 16:16 . 2010-05-23 16:16	--------	d-----w-	c:\windows\system32\drivers\system32
2010-05-23 16:16 . 2010-05-23 16:16	--------	d-----w-	c:\windows\system32\drivers\INF
2010-05-23 16:15 . 2004-08-13 06:26	5810	----a-w-	c:\windows\system32\drivers\ASACPI.sys
2010-05-23 16:15 . 2010-05-23 16:16	--------	dc----w-	c:\windows\system32\DRVSTORE
2010-05-23 16:15 . 2010-05-23 16:15	--------	d-----w-	c:\program files\Intel
2010-05-23 16:15 . 2008-08-19 06:26	53248	----a-w-	c:\windows\system32\CSVer.dll
2010-05-23 16:15 . 2010-05-23 16:15	--------	d-----w-	C:\Intel
2010-05-23 16:14 . 2010-06-02 07:06	12912	----a-w-	c:\documents and settings\Bobo\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-05-23 14:18 . 2001-08-23 17:34	12288	----a-w-	c:\windows\system32\drivers\mouhid.sys

bobosawyer · Answer

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-13 15:45 . 2010-06-08 14:23	0	----a-w-	c:\windows\system32\drivers\lvuvc.hs
2010-06-11 20:30 . 2008-04-14 08:00	80748	----a-w-	c:\windows\system32\perfc00C.dat
2010-06-11 20:30 . 2008-04-14 08:00	500900	----a-w-	c:\windows\system32\perfh00C.dat
2010-06-11 18:20 . 2010-05-23 16:18	--------	d--h--w-	c:\program files\InstallShield Installation Information
2010-06-08 14:25 . 2010-06-08 14:21	--------	d-----w-	c:\documents and settings\All Users\Application Data\Logishrd
2010-06-08 14:23 . 2010-06-08 14:21	--------	d-----w-	c:\program files\Fichiers communs\LogiShrd
2010-06-08 14:21 . 2010-06-08 14:21	--------	d-----w-	c:\documents and settings\All Users\Application Data\Logitech
2010-06-08 14:21 . 2010-06-08 14:21	--------	d-----w-	c:\program files\Logitech
2010-06-01 22:46 . 2010-06-01 22:46	--------	d-----w-	c:\program files\MSBuild
2010-06-01 22:46 . 2010-06-01 22:46	--------	d-----w-	c:\program files\Reference Assemblies
2010-05-23 16:20 . 2010-05-23 16:19	--------	d-----w-	c:\program files\NVIDIA Corporation
2010-04-03 22:55 . 2010-05-23 16:18	4075520	----a-w-	c:\windows\system32
vcuda.dll
2010-04-03 22:55 . 2010-05-23 16:18	227944	----a-w-	c:\windows\system32
vcodins.dll
2010-04-03 22:55 . 2010-05-23 16:18	227944	----a-w-	c:\windows\system32
vcod.dll
2010-04-03 22:55 . 2010-05-23 16:18	2183470	----a-w-	c:\windows\system32
vdata.bin
2010-04-03 22:55 . 2010-05-23 16:18	11647592	----a-w-	c:\windows\system32
vcompiler.dll
2010-04-03 22:55 . 2010-05-23 16:18	1097728	----a-w-	c:\windows\system32
vapi.dll
2010-04-03 14:53 . 2010-04-03 14:53	278120	----a-w-	c:\windows\system32
vmccs.dll
2010-04-03 14:53 . 2010-04-03 14:53	154216	----a-w-	c:\windows\system32
vsvc32.exe
2010-04-03 14:53 . 2010-04-03 14:53	145000	----a-w-	c:\windows\system32
vcolor.exe
2010-04-03 14:53 . 2010-04-03 14:53	13670504	----a-w-	c:\windows\system32
vcpl.dll
2010-04-03 14:53 . 2010-04-03 14:53	110696	----a-w-	c:\windows\system32
vmctray.dll
2010-04-03 14:53 . 2010-04-03 14:53	229376	----a-w-	c:\windows\system32
vrszhc.dll
2010-04-03 14:53 . 2010-04-03 14:53	126976	----a-w-	c:\windows\system32
vrszht.dll
.

------- Sigcheck -------

[-] 2009-04-09 . DF70435F3D17C40D5CB15E6DC918342E . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers	cpip.sys
.
(((((((((((((((((((((((((((((   SnapShot@2010-06-16_09.53.28   )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-06-19 11:13 . 2010-06-19 11:23	231888              c:\windows\system32\Macromed\Flash\FlashUtil10h_Plugin.exe
+ 2010-06-19 11:13 . 2010-06-19 11:23	5612496              c:\windows\system32\Macromed\Flash\NPSWF32.dll
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
"Messenger (Yahoo!)"="c:\progra~1\Yahoo!\Messenger\YahooMessenger.exe" [2010-06-01 5252408]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2010-04-01 357696]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2009-05-21 17881600]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-04-03 13670504]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-04-03 110696]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]
"LogitechCommunicationsManager"="c:\program files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe" [2007-07-25 563984]
"LogitechQuickCamRibbon"="c:\program files\Logitech\QuickCam\Quickcam.exe" [2007-07-25 2027792]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"TrojanScanner"="c:\program files\Trojan Remover\Trjscan.exe" [2010-02-27 1165192]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_2"="shell32" [X]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Activision\Prototype\prototypef.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Yahoo!\Messenger\YahooMessenger.exe"=
"c:\Program Files\Codemasters\OF Dragon Rising\OFDR.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [15/06/2010 15:26 108289]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [29/05/2010 19:38 691696]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [23/05/2010 20:48 1684736]
.
Contenu du dossier 'Tâches planifiées'

2010-06-19 c:\windows\Tasks\User_Feed_Synchronization-{ACC71DCF-44F3-4081-8A52-18B555D66B06}.job
- c:\windows\system32\msfeedssync.exe [2009-04-09 00:01]

2010-06-19 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2010-05-30 17:48]
.
.
------- Examen supplémentaire -------
.
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
.
- - - - ORPHELINS SUPPRIMES - - - -

HKU-Default-Explorer_Run-ClipSrv - c:\docume~1\Bobo\APPLIC~1\MICROS~1\clipsrv.exe
HKU-Default-Explorer_Run-MqtgSVC - c:\docume~1\Bobo\APPLIC~1\MICROS~1\mqtgsvc.exe



**************************************************************************
Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 

**************************************************************************
.
Heure de fin: 2010-06-19  21:02:54
ComboFix-quarantined-files.txt  2010-06-19 16:32
ComboFix2.txt  2010-06-16 19:27
ComboFix3.txt  2010-06-16 19:16
ComboFix4.txt  2010-06-16 09:54

Avant-CF: 432 266 756 096 octets libres
Après-CF: 432 350 793 728 octets libres

- - End Of File - - CE5D437F537019A751B71374177FD091

jfkpresident · Answer

Maintenant recolle moi un nouveau rapport ZhpDiag pour vérifier si toutes les suppressions ont bien eu lieu .

bobosawyer · Answer

Voila le lien du dernier rapport zhpdiag

http://www.cijoint.fr/cjlink.php?file=cj201006/cijEBUeLsu.txt

jfkpresident · Answer

C'est beaucoup mieux .

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.

1/Double Clique sur l'icone ZhpFix .

2/ZhpFix va s'ouvrir ,clique sur "OK".

3/Coche ces cases (et pas d'autres !):

[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified       


4/Pour finir clique sur "Nettoyer" .


5/colle le rapport obtenu .

Ensuite redémarre ton pc et dis moi comment se comporte ton antivirus ainsi que ton pc ?

bobosawyer · Answer

Je viens de faire le nettoyage Zhpfix 
voici le rapport, je redémmare mon pc et je te dis ca

ZHPFix v1.12.3108  by Nicolas Coolman - Rapport de suppression du 19/06/2010 23:15:56
Fichier d'export Registre : C:\ZHPExportRegistry-19-06-2010-23-15-56.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
(Néant)

Elément de données du Registre :
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified  => Donnée supprimée avec succès

Préférences navigateur :
(Néant)

Dossier :
(Néant)

Fichier :
(Néant)

Logiciel :
(Néant)

Script Registre :
(Néant)

Master Boot Record :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 1
Dossier : 0
Fichier : 0
Logiciel : 0
Master Boot Record : 0
Préférences navigateur : 0
Autre : 0


End of the scan

jfkpresident · Answer

As tu essayer "clic droit" sur l'icone Avira (parapluie rouge) dans la barre de tache puis clique sur "activer Antivir guard" .

jfkpresident · Answer

POste moi un rapport Zhpdiag de ton portable .

bobosawyer · Answer

Voila le rapport Zhpdiag du portable

http://www.cijoint.fr/cjlink.php?file=cj201006/cijWcvX5oC.txt

jfkpresident · Answer

Le portable est bien infecté également !

Télécharges AD-Remover sur ton bureau :


    /!\ Déconnectes toi et fermes toutes applications en cours

    ? Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( C:\Program files )
    ? Double clique sur l'icône Ad-removersituée sur ton bureau
    ? Au menu principal choisi l'option "Scanner"
    ? Postes le rapport qui apparait à la fin .

    ( le rapport est sauvegardé aussi sous C:\Ad-report(date).log )

    (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note :

    "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

bobosawyer · Answer

Voila le rapport ADR 

======= RAPPORT D'AD-REMOVER 2.0.0.1,C | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 17/06/10 à 18:00
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 19:47:48 le 20/06/2010, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86) 
Marie, MARIE ( ) 
 
============== RECHERCHE ==============




============== SCAN ADDITIONNEL ==============

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Show_ToolBar: yes
Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 2 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 2 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 20/06/2010 (446 Octet(s)) 

Fin à: 19:51:50, 20/06/2010 
 
============== E.O.F ==============

jfkpresident · Answer

Télécharges ComboFix à partir d'un de ces liens :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
https://forospyware.com
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Et important, enregistre le sur le bureau.

Avant d'utiliser ComboFix :

? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
la protection en temps réel de ton Antivirus et de tes Antispywares,
qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.


Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt,.
est automatiquement sauvegardé et rangé à C:\Combofix.txt)

? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares,
avant de te reconnecter à internet.

? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

bobosawyer · Answer

Voila le rapport combofix

http://www.cijoint.fr/cjlink.php?file=cj201006/cijJR4IcPL.txt

jfkpresident · Answer

Combofix a bien bossé .

Recolle moi un nouveau log ZhpDiag et me dire comment va le pc ?

bobosawyer · Answer

Voila le dernier rapport ZhpDiag, le pc parait clean, plus de messages d'erreurs, c'est vrai que ca a été plus efficace et rapide cette fois ci

http://www.cijoint.fr/cjlink.php?file=cj201006/cijEUz9N5K.txt

jfkpresident · Answer

Il reste des traces de Norton Antivirus sur ton portable ,désinstalle le correctement avec cet outil : http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924

===============

Installe Ccleaner sur tes deux pc (a moins que tu l'ai déja) et vide tes fichiers temporaires,cache .....

Nettoyeurs (de fichiers inutiles) et autres :

*Ccleaner (gratuit)
Téléchargement :
https://www.01net.com/
Tuto :
https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

Lors de l'installation, [décoche] l'option qui t'installerait la barre Yahoo !

==============

Pour supprimer les outils utilisés (sur chaque pc) :

==*Nettoyage des outils*==
Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Relance ZHPFix sur ton Bureau.

Clique sur le A rouge (Nettoyeur de Tools).

Clique sur Nettoyer.

Fais redémarrer l'ordi pour terminer le nettoyage. 

===============

un peu de lecture afin de ne pas revenir ici

VoiloO ,si tu as des questions n'hésites pas .

bobosawyer · Answer

Je te remercie pour tout ce que tu as fait jusqu'à présent, les 2 pc ont l'air clean maintenant ainsi que le disque externe
Juste une question, sur mon pc, depuis les opérations je n'arrive plus à ouvrir pas mal de videos sur internet, pas toutes mais par exemples celles d'eurosport ne s'ouvrent pas, je voulais savoir d'après toi d'ou ca peut venir, Java? directx? 
De plus j'ai des soucis d'installation avec Java, quand je veux l'installer je télécharge le fichier et j'ai toujours un message d'erreur me disant qu'il y a eu un problème lors de la décompression donc le téléchargement et l'installation s'arretent tout seul

jfkpresident · Answer

Tout d'abord tu va mettre ta console Java a jour : https://www.java.com/fr/download/manual.jsp

Si ça ne fonctionne pas ,dis le moi .

jfkpresident · Answer

Essaie d'utiliser JavaRa pour les mises a jour .

Donne moi des nouvelles .

Plusieurs Troyans détectés

55 réponses

Discussions similaires