PC multi-infecté! Merci de m'aider!! Résolu

Question

Bonjour, 

Voilà j'ai téléchargé il y a environ 2 semaines un controle activeX sur un site banal, et depuis, lorsque je surf sur le net des pages s'ouvrent toutes seules. J'avais fait un scan avec  Avira antivir, qui m'avait trouvé 5-6 virus, que j'ai pu supprimé. Depuis, quand je redémarre, il me met un message d'erreur RUNDLL "fichier htql.ano introuvable". Mais ça ne gêne pas le fonctionnement du pc. Mais le problème des fenetres qui s'ouvrent seules persiste. Un nouveau scan avira ne trouve rien. J'ai fait un scan avec panda, qui me trouve 27 fichiers infectés!!!

Voici les rapports:

Panda:
;***********************************************************************************************************************************************************************************
ANALYSIS: 2010-07-17 08:07:05
PROTECTIONS: 1
MALWARE: 21
SUSPECTS: 0
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description                                  Version                       Active    Updated
;===================================================================================================================================================================================
AntiVir Desktop                              9.0.1.32                      Yes       Yes
;===================================================================================================================================================================================
MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location
;===================================================================================================================================================================================
00139061  Cookie/Doubleclick                 TrackingCookie      No        0         Yes            No           c:\documents and settings\yann\local settings	emp\cookies\yann@doubleclick[1].txt
00139061  Cookie/Doubleclick                 TrackingCookie      No        0         Yes            No           c:\documents and settings\yann\cookies\yann@doubleclick[1].txt
00139064  Cookie/Atlas DMT                   TrackingCookie      No        0         Yes            No           c:\documents and settings\yann\cookies\yann@atdmt[1].txt
00145393  Cookie/Tradedoubler                TrackingCookie      No        0         Yes            No           c:\documents and settings\yann\cookies\yann@tradedoubler[2].txt
00145393  Cookie/Tradedoubler                TrackingCookie      No        0         Yes            No           c:\documents and settings\yann\cookies\yann@tradedoubler[1].txt
00145405  Cookie/RealMedia                   TrackingCookie      No        0         Yes            No           c:\documents and settings\yann\cookies\yann@247realmedia[1].txt
00145457  Cookie/FastClick                   TrackingCookie      No        0         Yes            No           c:\documents and settings\yann\cookies\yann@fastclick[2].txt
00145738  Cookie/Mediaplex                   TrackingCookie      No        0         Yes            No           c:\documents and settings\yann\local settings	emp\cookies\yann@mediaplex[1].txt
00145738  Cookie/Mediaplex                   TrackingCookie      No        0         Yes            No           c:\documents and settings\yann\cookies\yann@mediaplex[2].txt
00147806  Cookie/7search                     TrackingCookie      No        0         Yes            No           c:\documents and settings\yann\cookies\yann@7search[2].txt
00167704  Cookie/Xiti                        TrackingCookie      No        0         Yes            No           c:\documents and settings\yann\cookies\yann@xiti[1].txt
00167753  Cookie/Statcounter                 TrackingCookie      No        0         Yes            No           c:\documents and settings\yann\cookies\yann@statcounter[1].txt
00168056  Cookie/YieldManager                TrackingCookie      No        0         Yes            No           c:\documents and settings\yann\cookies\yann@ad.yieldmanager[1].txt
00168061  Cookie/Apmebf                      TrackingCookie      No        0         Yes            No           c:\documents and settings\yann\cookies\yann@apmebf[2].txt
00168090  Cookie/Serving-sys                 TrackingCookie      No        0         Yes            No           c:\documents and settings\yann\cookies\yann@serving-sys[2].txt
00168093  Cookie/Serving-sys                 TrackingCookie      No        0         Yes            No           c:\documents and settings\yann\cookies\yann@bs.serving-sys[2].txt
00168106  Cookie/Weborama                    TrackingCookie      No        0         Yes            No           c:\documents and settings\yann\local settings	emp\cookies\yann@weborama[1].txt
00168106  Cookie/Weborama                    TrackingCookie      No        0         Yes            No           c:\documents and settings\yann\cookies\yann@weborama[1].txt
00168109  Cookie/Adtech                      TrackingCookie      No        0         Yes            No           c:\documents and settings\yann\cookies\yann@adtech[2].txt
00168116  Cookie/Comclick                    TrackingCookie      No        0         Yes            No           c:\documents and settings\yann\cookies\yann@fl01.ct2.comclick[2].txt
00170554  Cookie/Overture                    TrackingCookie      No        0         Yes            No           c:\documents and settings\yann\local settings	emp\cookies\yann@overture[1].txt
00173520  Cookie/Bluestreak                  TrackingCookie      No        0         Yes            No           c:\documents and settings\yann\cookies\yann@bluestreak[2].txt
00207936  Cookie/Adviva                      TrackingCookie      No        0         Yes            No           c:\documents and settings\yann\cookies\yann@adviva[2].txt
01078226  Application/MonacoGoldCasino       HackTools           No        0         Yes            No           c:\program files\everest poker\cstart-tmp.exe
06775597  Generic Malware                    Virus/Trojan        No        0         Yes            No           c:\documents and settings\yann\local settings	emp\e.exe
;===================================================================================================================================================================================
SUSPECTS
Sent      Location
;===================================================================================================================================================================================
;===================================================================================================================================================================================
VULNERABILITIES
Id        Severity       Description
;===================================================================================================================================================================================
214076    HIGH           MS09-059
;===================================================================================================================================================================================

Avira:
Ne trouve rien

Sur panda, il me troubvait une vulnérabilité, et m'envoyait sur windows update pour télécharger une mise a jour, mais impossible de le faire.
J'espère que vous pourrez m'aider, car je suis vraiment nul en informatique...
Merci d'avance!
Configuration: Windows XP / Internet Explorer 8.0

fred08700 · Answer

bonjour

fais ceci , c'est un diagnostique du pc

&#9679 Télécharges ZHPDiag ( de Nicolas coolman ).

	&#9679 Double clique sur le fichier d'installation, puis installes le avec les paramètres par défaut ( N'oublies pas de cocher " Créer une icône sur le bureau " )

	&#9679 Lances ZHPDiag en double cliquant sur l'icône présente sur ton bureau

	&#9679 Cliques sur la loupe en haut à gauche, puis laisse l'outil scanner.

	&#9679 Une fois le scan terminé, cliques sur l'icône en forme de disquette et enregistres le fichier sur ton bureau.

	&#9679 Rends toi sur www.cjoint.com

	&#9679 Cliques sur " Parcourir " dans la partie " Joindre un fichier[...] "

	&#9679 Séléctionnes le rapport ZHPdiag.txt qui se trouve sur ton bureau

	&#9679 Cliques ensuite sur " Créer le lien cjoint " et copie/colle le dans ton prochain message

sherred · Answer

rassure toi panda n'a trouvé que 1 Malware 
le reste ne sont que des cookies 

Télécharge ZHPDiag (de Nicolas Coolman).
 https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Rend toi sur Cijoint  
http://www.cijoint.fr/
et indique l'emplacement du rapport à l'aide du bouton "Parcourir..." Ensuite Clique sur "Cliquez ici pour déposer le fichier" 
* Un lien sera généré, copie  et colle-le dans ta prochaine réponse.

poolsniper · Answer

Bonjour fred et merci de ton aide.
J'ai fait le scan, masi par contre impossible d'utiliser le site cjoint.com, j'ai fait la manoeuvre mais il y a un probleme internet explorer...

fred08700 · Answer

re

bizarre , chez moi , il fonctionne :http://www.cijoint.fr/

refais une tentative

poolsniper · Answer

multiples tentatives toujours vaines...   

Pas d'autres sites dans ce genre qui pourrait fonctionner?  

edit: peut-etre dois-je m'inscrire? 

edit2: multiplessssss tentatives, toujours "internet explorer ne peut ouvrir cette page"...

poolsniper · Answer

c'est incroyable, je réessaye à maintes reprises, et a chaque fois "internet explorer ne peut ouvrir cette page"!!!

fred08700 · Answer

essais ceci 

https://www.terafiles.net/

poolsniper · Answer

encore merci fred!
j'ai essayé terafiles, mais la progression ne se lance pas... Je crois que je vais devoir m'inscrire...

poolsniper · Answer

bon toujours pas de progression... Je commence a deprimer!

fred08700 · Answer

les rapports ZHPdiag sont trops longs pour etre mis directement sur CCM.  

Postes-les moi par MP en plusieurs fois  


Chaque difficulté  rencontrée  doit être  l'occasion d'un nouveau progrès.   
   
[Pierre de Coubertin]

poolsniper · Answer

Meme chose avec le dernier lien que tu m'as donné: Internet explorer ne peut afficher cette page....

poolsniper · Answer

plus ça va et plus je dois réduire la taille des mp. Pourtant aucun message ne me dis que c'est trop gros, c'est jsute que quand je clique sur valider rien ne se passe....
je continue de réduire on va voir...

fred08700 · Answer

on vois déja avec ce que j'ai 

Tu as deux antivirus : Panda Antivirus et antivir ==> supprimes en un des deux 
regardes ici : https://www.commentcamarche.net/faq/7367-desinstaller-proprement-liens-et-astuces 

Sherred : ceci peut-il bloquer IE ? 

F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe htql.ano hvnqx 
 

je mets le peut du rapport ZHPdiag : http://www.cijoint.fr/cjlink.php?file=cj201007/cijKfiPAWx.txt

Chaque difficulté  rencontrée  doit être  l'occasion d'un nouveau progrès.  
  
[Pierre de Coubertin]

poolsniper · Answer

panda désinstallé

sherred · Answer

Utilisation de l'outil ZHPFix : 

* Copie le tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 

F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe htql.ano hvnqx 


Puis Lance ZHPFix depuis le raccourci du bureau . 

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent . 

Vérifie : 
- que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. 
- que les lignes soient disposées les unes en dessous des autres . 

* Puis clique sur le bouton [ OK ] . 
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . 

Ne touche plus à rien ! 

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !! 


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées . 

* Enfin clique sur le bouton [ Nettoyer ] . 


-> laisse travailler l'outil et ne touche à rien ... 


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le ( redémarre en mode normal ) ! 

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ... 

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )  

Quand les bornes sont franchies, il n'y a plus de limite 
Ce que j'ai écrit, je l'ai écrit

poolsniper · Answer

Merci sherred. Voilà le rapport (ça a pris 2 secondes):
Rapport de ZHPFix v1.12.3124 par Nicolas Coolman, Update du 18/07/2010
Fichier d'export Registre : C:\ZHPExportRegistry-20-07-2010-15-26-51.txt
Run by yann at 20/07/2010 15:26:51
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Valeur du Registre ==========
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe htql.ano hvnqx  => Valeur absente

========== Elément de données du Registre ==========
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe htql.ano hvnqx  => Donnée supprimée avec succès


========== Récapitulatif ==========
1 : Valeur du Registre
1 : Elément de données du Registre


End of the scan

sherred · Answer

télécharge Malwarebyte's ici http://www.malwarebytes.org/mbam/program/mbam-setup.exe
le programme va se mettre automatiquement a jour. 

Une fois a jour, le programme va se lancer; click sur l'onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression". 

Click maintenant sur l'onglet recherche et coche la case : "executer un examen rapide". 

Puis click sur "rechercher". 

Laisse le scanner le pc... 

Si des éléments on été trouvés > click sur supprimer la sélection. 

si il t'es demandé de redémarrer > click sur "yes". 

A la fin un rapport va s'ouvrir; sauvegarde le de manière a le retrouver en vu de le poster sur le forum. 

Copie et colle le rapport stp. 

PS : les rapport sont aussi rangé dans l onglet rapport/log

poolsniper · Answer

Scan effectué et virus effacés je crois

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4331

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

20/07/2010 15:58:42
mbam-log-2010-07-20 (15-58-42).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 141257
Temps écoulé: 9 minute(s), 45 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\yann\Local Settings\Temp\e.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Documents and Settings\yann\Bureau\explorer.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

sherred · Answer

comment se comporte ton pc ?

poolsniper · Answer

pour l'instant normalement, pas de fenetre internet qui s'ouvre toute seule. mais déjà avant ça ne le faisait pas tout le temps. Par contre je ne peux toujours pas utiliser cijoint.com

fred08700 · Answer

Re

désolé pour le silence , j'ai du m'absenter

Poolsniper , je te laisse entre les mains de Sherred, entre de bonnes mains -)

mais je suis l'évolution !

Petite suggestion :  changer de navigateur 

Installer firefox , vous pourrez exporter vos favoris de Internet Explorer. 

Installer ces deux extensions 
wot permet de naviguer et d'acheter sur Internet en toute sécurité.  
adblocks qui est un bloqueur de pubs

poolsniper · Answer

Pas de problème fred. Et merci pour tes conseils!!

poolsniper · Answer

et du coup concernant les virus c'est réglé?
et si c'est le cas, il faut que je supprime ZHPdiag et malwarebytes' ?

fred08700 · Answer

re

As-tu installé firefox et essayé de te connecter à : http://www.cijoint.fr/

poolsniper · Answer

re fred
désolé pour le retard....
J'ai installé firefox avec toutes les options que tu m'as recommandé, mais je ne peux toujours pas envoyer mon fichier sur cijoint......

fred08700 · Answer

on va essayer RSIT . Tu pourras poster les deux rapports séparément (log et info) par copié/collé directement sur le forum 

&#9679 Télécharges Random's System Information Tool (RSIT)  de Random/Random, et enregistres le sur ton Bureau.  

sous windows 7 ==> regarder ici  

  &#9679 Double clique sur RSIT.exe pour lancer l'outil.  

  &#9679 Cliques sur "Continue" à l'écran Disclaimer.  

  &#9679 Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu s'il te le demande) et tu devras accepter la licence.  

  &#9679 Une fois le scan terminé, deux rapports vont apparaître : poste les dans deux messages séparés stp  

 * Tutoriel illustré pour t'aider   

 


Chaque difficulté  rencontrée  doit être  l'occasion d'un nouveau progrès.  
  
[Pierre de Coubertin]

poolsniper · Answer

bonjour fred.
Encore merci de t'occuper de mon cas.
J'ai utilisé RSIT, mais je ne peux pas poster les rapports sur le forum, quand je clique sur valider il n'y a aucune réaction.

poolsniper · Answer

Je viens d'essayer cijoint et ça fonctionne!!
Voici les rapports:
http://www.cijoint.fr/cjlink.php?file=cj201007/cijf4eoe9f.txt    (info)
http://www.cijoint.fr/cjlink.php?file=cj201007/cijSPBbNbe.txt   (log)

fred08700 · Answer

salut 

je regardes 

Chaque difficulté  rencontrée  doit être  l'occasion d'un nouveau progrès.  
  
[Pierre de Coubertin]

fred08700 · Answer

Bien

* Les programmes Everestpoker sont considérés comme néfastes , supprimes le

* Va dans ajout/suppression de programmes et désinstalles toutes tes versions de java et de Adobe reader et installes celle-ci

java
adobe ==> décoches McAfee 

* Désinstalles Panda antivirus (toujours présent)

*  Refais un scan RSIT ou ZHPdiag , on fixera ensuite plusieurs lignes

poolsniper · Answer

Everest poker néfaste??? Bizarre...pourtant des tas de gens l'utilisent sans problème..
Mais bon si c'est ce qu'il faut tant pis je le désinstalle....
Je fais tout ça tout de suite

fred08700 · Answer

regardes ici pour everest : https://www.mywot.com/fr/scorecard/everestpoker.com

poolsniper · Answer

Quelques questions:
-je désinstalle juste adobe reader, pas photoshop ni shockwave ni flash player?
-pour java, je désinstalle aussi J2SE?

fred08700 · Answer

re

désinstalles adobé reader et acrobat
pour java , désinstalles tout

poolsniper · Answer

adobe est en cours d'installation, le reste est fait. En attendant encore (!!) une question: dans les modules complémentaires de Firefox, j'ai un Javaquickstarter, je le laisse ou je le désinstalle?

fred08700 · Answer

Je pars bosser et ne serai de retour que vers 22h00.

Si Sherred passe par là , bien lui en prendra s'il veut avancer un peu

Bon courage

poolsniper · Answer

Merci, bon courage a toi.

poolsniper · Answer

Scan RSIT effectué, je n'ai eu qu'un seul rapport (le log).
Voici le lien: http://www.cijoint.fr/cjlink.php?file=cj201007/cijzpcIwgE.txt

sherred · Answer

pour info
https://www.commentcamarche.net/faq/15645-supprimer-les-anciennes-versions-de-java-avec-javara

poolsniper · Answer

Salut sherred. Tout-a-l'heure, alors que meme pas connecté sur internet, j'ai eu une alerte trojan par avira qui a géré la chose (refus de l'accès). Dans le doute j'ai fait un scan complet, il m'a retrouvé un trojan. Le rapport: Avira AntiVir Personal Date de création du fichier de rapport : mercredi 21 juillet 2010 12:15 La recherche porte sur 2395531 souches de virus. Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus Numéro de série : 0000149996-ADJIE-0000001 Plateforme : Windows XP Version de Windows : (Service Pack 3) [5.1.2600] Mode Boot : Démarré normalement Identifiant : SYSTEM Nom de l'ordinateur : PETER Informations de version : BUILD.DAT : 9.0.0.77 21698 Bytes 09/06/2010 12:01:00 AVSCAN.EXE : 9.0.3.10 466689 Bytes 19/11/2009 20:18:31 AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02 LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11 LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 20:18:31 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 20:18:31 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 19:47:06 VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 17:55:29 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 11:49:39 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 16:07:21 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02/06/2010 14:43:34 VBASE007.VDF : 7.10.7.219 2048 Bytes 02/06/2010 14:43:34 VBASE008.VDF : 7.10.7.220 2048 Bytes 02/06/2010 14:43:35 VBASE009.VDF : 7.10.7.221 2048 Bytes 02/06/2010 14:43:35 VBASE010.VDF : 7.10.7.222 2048 Bytes 02/06/2010 14:43:35 VBASE011.VDF : 7.10.7.223 2048 Bytes 02/06/2010 14:43:35 VBASE012.VDF : 7.10.7.224 2048 Bytes 02/06/2010 14:43:35 VBASE013.VDF : 7.10.8.37 270336 Bytes 10/06/2010 06:26:04 VBASE014.VDF : 7.10.8.69 138752 Bytes 14/06/2010 04:15:03 VBASE015.VDF : 7.10.8.102 130560 Bytes 16/06/2010 08:17:52 VBASE016.VDF : 7.10.8.135 152064 Bytes 21/06/2010 16:41:57 VBASE017.VDF : 7.10.8.163 432128 Bytes 23/06/2010 16:43:13 VBASE018.VDF : 7.10.8.194 133632 Bytes 27/06/2010 16:18:10 VBASE019.VDF : 7.10.8.220 134656 Bytes 29/06/2010 16:18:10 VBASE020.VDF : 7.10.8.252 171520 Bytes 04/07/2010 08:36:49 VBASE021.VDF : 7.10.9.19 131072 Bytes 06/07/2010 08:47:55 VBASE022.VDF : 7.10.9.36 297472 Bytes 07/07/2010 08:48:06 VBASE023.VDF : 7.10.9.60 150016 Bytes 11/07/2010 11:29:55 VBASE024.VDF : 7.10.9.79 113152 Bytes 13/07/2010 12:03:17 VBASE025.VDF : 7.10.9.99 158720 Bytes 16/07/2010 13:35:42 VBASE026.VDF : 7.10.9.133 630784 Bytes 20/07/2010 08:17:46 VBASE027.VDF : 7.10.9.134 2048 Bytes 20/07/2010 08:17:47 VBASE028.VDF : 7.10.9.135 2048 Bytes 20/07/2010 08:17:47 VBASE029.VDF : 7.10.9.136 2048 Bytes 20/07/2010 08:17:47 VBASE030.VDF : 7.10.9.137 2048 Bytes 20/07/2010 08:17:47 VBASE031.VDF : 7.10.9.139 15872 Bytes 21/07/2010 08:17:47 Version du moteur : 8.2.4.22 AEVDF.DLL : 8.1.2.0 106868 Bytes 24/04/2010 09:24:13 AESCRIPT.DLL : 8.1.3.41 1364346 Bytes 21/07/2010 08:18:05 AESCN.DLL : 8.1.6.1 127347 Bytes 13/05/2010 09:11:01 AESBX.DLL : 8.1.3.1 254324 Bytes 24/04/2010 09:24:14 AERDL.DLL : 8.1.8.2 614772 Bytes 21/07/2010 08:18:03 AEPACK.DLL : 8.2.3.2 471414 Bytes 21/07/2010 08:18:01 AEOFFICE.DLL : 8.1.1.7 201081 Bytes 21/07/2010 08:17:59 AEHEUR.DLL : 8.1.2.6 2793846 Bytes 21/07/2010 08:17:59 AEHELP.DLL : 8.1.13.2 242039 Bytes 21/07/2010 08:17:51 AEGEN.DLL : 8.1.3.15 385396 Bytes 21/07/2010 08:17:50 AEEMU.DLL : 8.1.2.0 393588 Bytes 24/04/2010 09:24:12 AECORE.DLL : 8.1.16.2 192887 Bytes 21/07/2010 08:17:48 AEBB.DLL : 8.1.1.0 53618 Bytes 24/04/2010 09:24:11 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30 AVPREF.DLL : 9.0.3.0 44289 Bytes 26/09/2009 09:37:03 AVREP.DLL : 8.0.0.7 159784 Bytes 17/02/2010 18:50:39 AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42 AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57 NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 14/07/2009 17:59:08 RCTEXT.DLL : 9.0.73.0 88321 Bytes 19/11/2009 20:18:30 Configuration pour la recherche actuelle : Nom de la tâche...............................: Contrôle intégral du système Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp Documentation.................................: bas Action principale.............................: interactif Action secondaire.............................: ignorer Recherche sur les secteurs d'amorçage maître..: marche Recherche sur les secteurs d'amorçage.........: marche Secteurs d'amorçage...........................: C:, D:, Recherche dans les programmes actifs..........: marche Recherche en cours sur l'enregistrement.......: marche Recherche de Rootkits.........................: marche Contrôle d'intégrité de fichiers système......: arrêt Fichier mode de recherche.....................: Tous les fichiers Recherche sur les archives....................: marche Limiter la profondeur de récursivité..........: 20 Archive Smart Extensions......................: marche Heuristique de macrovirus.....................: marche Heuristique fichier...........................: moyen Catégories de dangers divergentes.............: +APPL,+PCK,+SPR, Début de la recherche : mercredi 21 juillet 2010 12:15 La recherche d'objets cachés commence. '70027' objets ont été contrôlés, '0' objets cachés ont été trouvés. La recherche sur les processus démarrés commence : Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés Processus de recherche 'COCIManager.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés Processus de recherche 'CLSched.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés Processus de recherche 'LVComSer.exe' - '1' module(s) sont contrôlés Processus de recherche 'LVComSer.exe' - '1' module(s) sont contrôlés Processus de recherche 'CLMLServer.exe' - '1' module(s) sont contrôlés Processus de recherche 'CLCapSvc.exe' - '1' module(s) sont contrôlés Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés Processus de recherche 'MemCheck.exe' - '1' module(s) sont contrôlés Processus de recherche 'MediaServerService.exe' - '1' module(s) sont contrôlés Processus de recherche 'ZDWlan.exe' - '1' module(s) sont contrôlés Processus de recherche 'MMonitor.exe' - '1' module(s) sont contrôlés Processus de recherche 'GoogleToolbarNotifier.exe' - '1' module(s) sont contrôlés Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés Processus de recherche 'qttask.exe' - '1' module(s) sont contrôlés Processus de recherche 'Communications_Helper.exe' - '1' module(s) sont contrôlés Processus de recherche 'Quickcam.exe' - '1' module(s) sont contrôlés Processus de recherche 'E_FATIAGE.EXE' - '1' module(s) sont contrôlés Processus de recherche 'point32.exe' - '1' module(s) sont contrôlés Processus de recherche 'type32.exe' - '1' module(s) sont contrôlés Processus de recherche 'PCMService.exe' - '1' module(s) sont contrôlés Processus de recherche 'MediaSync.exe' - '1' module(s) sont contrôlés Processus de recherche 'AspireService.exe' - '1' module(s) sont contrôlés Processus de recherche 'SysMonitor.exe' - '1' module(s) sont contrôlés Processus de recherche 'PDVDServ.exe' - '1' module(s) sont contrôlés Processus de recherche 'soundman.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés Processus de recherche 'LVPrcSrv.exe' - '1' module(s) sont contrôlés Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés Processus de recherche 'services.exe' - '1' module(s) sont contrôlés Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés '50' processus ont été contrôlés avec '50' modules La recherche sur les secteurs d'amorçage maître commence : Secteur d'amorçage maître HD0 [INFO] Aucun virus trouvé ! Secteur d'amorçage maître HD1 [INFO] Aucun virus trouvé ! Secteur d'amorçage maître HD2 [INFO] Aucun virus trouvé ! Secteur d'amorçage maître HD3 [INFO] Aucun virus trouvé ! Secteur d'amorçage maître HD4 [INFO] Aucun virus trouvé ! La recherche sur les secteurs d'amorçage commence : Secteur d'amorçage 'C:\' [INFO] Aucun virus trouvé ! Secteur d'amorçage 'D:\' [INFO] Aucun virus trouvé ! La recherche sur les renvois aux fichiers exécutables (registre) commence : Le registre a été contrôlé ( '70' fichiers). La recherche sur les fichiers sélectionnés commence : Recherche débutant dans 'C:\' C:\hiberfil.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! [REMARQUE] Ce fichier est un fichier système Windows. [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche. C:\pagefile.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! [REMARQUE] Ce fichier est un fichier système Windows. [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche. C:\System Volume Information\_restore{C8FEF6CF-7413-44C4-93B7-CB60650EEAA5}\RP752\A0114039.exe [RESULTAT] Contient le cheval de Troie TR/Trash.Gen Recherche débutant dans 'D:\' Début de la désinfection : C:\System Volume Information\_restore{C8FEF6CF-7413-44C4-93B7-CB60650EEAA5}\RP752\A0114039.exe [RESULTAT] Contient le cheval de Troie TR/Trash.Gen [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c77d721.qua' ! Fin de la recherche : mercredi 21 juillet 2010 13:16 Temps nécessaire: 1:00:27 Heure(s) La recherche a été effectuée intégralement 9273 Les répertoires ont été contrôlés 315360 Des fichiers ont été contrôlés 1 Des virus ou programmes indésirables ont été trouvés 0 Des fichiers ont été classés comme suspects 0 Des fichiers ont été supprimés 0 Des virus ou programmes indésirables ont été réparés 1 Les fichiers ont été déplacés dans la quarantaine 0 Les fichiers ont été renommés 2 Impossible de contrôler des fichiers 315357 Fichiers non infectés 7273 Les archives ont été contrôlées 2 Avertissements 3 Consignes 70027 Des objets ont été contrôlés lors du Rootkitscan 0 Des objets cachés ont été trouvés

poolsniper · Answer

En attendant qu'on reprenne la désinfection de mon put*** de PC, encore 2 questions:
-je dois désinstaller internet explorer?
-pui-je consulter mes comptes bancaires en ligne en toute sécurité malgré mes virus/trojan?

sherred · Answer

je regarde tes rapports

sherred · Answer

essai de réinitialiser les paramètres d'internet Explorer.
Pour cela, Choisis le menu "Outils -> Options Internet". Clique sur l'onglet "Avancé". Puis clique sur le bouton "Réinitialiser". Clique encore une fois sur le bouton "Réinitialiser". Clique sur le bouton "Fermer". Clique sur le bouton "OK". Puis relance Internet Explorer.

pour avira il a trouver un virus dans la Restauration 
c'est normale


                      Désactive la Restauration du système
1 
Dans la barre des tâches de Windows, cliquez sur Démarrer.
2 
Cliquez avec le bouton droit de la souris sur Poste de travail puis cliquez sur Propriétés.
3 
Dans l'onglet Restauration du système, sélectionnez Désactiver la Restauration du système ou Désactiver la Restauration du système sur tous les lecteurs.
Si vous ne voyez pas l'onglet Restauration du système, vous n'êtes pas connecté sous Windows comme Administrateur.
4 
Cliquez sur Appliquer. 
5 
Lorsque le message de confirmation apparaît, cliquez sur Oui.

6 
Cliquez sur OK.
-----------------------------------
	 	réActive la Restauration du système
1 
Dans la barre des tâches de Windows, cliquez sur Démarrer.
2 
Cliquez avec le bouton droit de la souris sur Poste de travail puis cliquez sur Propriétés.
3 
Dans l'onglet Restauration du système, désélectionnez Désactiver la Restauration du système ou Désactiver la Restauration du système sur tous les lecteurs.
Si vous ne voyez pas l'onglet Restauration du système, vous n'êtes pas connecté sous Windows comme Administrateur.
4 
Cliquez sur Appliquer. 
5 
Lorsque le message de confirmation apparaît, cliquez sur Oui.

6 
Cliquez sur ok


********************************************

poolsniper · Answer

Salut sherred.Désolé je m'étais absenté.
J'ai fait ce que tu m'as dit concernant la restauration du système.
J'ai également fait la manipulation sur internet explorer, mais maintenant je suis sur Mozilla.

fred08700 · Answer

bonsoir à vous deux -)

Sherred , ok pour Javara , je l'ai même en canneds , mais chaque fois que je le poste , mon message est refusé !

Poolsniper , ne désinstalles pas Internet Explorer , car certains sites , comme Windows Update , ne s'ouvre qu'avec IE

Pas de problème pour la consultation de tes comptes , plus d'infections dans le dernier rapport RSIT

Suis ce chemin : C:\Program Files	rend micro\yann.exe    
et double clique sur yann.exe 
A l'ouverture d'hijackthis: 
&#9679 cliques sur " do a scan only " et coches les lignes suivantes , si elles sont encores la :


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - Global Startup: Acer Empowering Technology.lnk = ?
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')    => Microsoft®Windows NT
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')    => Microsoft®Windows NT
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')    => Microsoft®Windows NT
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')    => Microsoft®Windows NT
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime    => Apple®Quick Time
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"    => Adobe®Reader
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe    => Microsoft®NT CTF Loader
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"    => Google®Toolbar
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - https://www.systemrequirementslab.com/cyri    => System Requirements Lab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab    => Microsoft MSN Photo Upload Tool
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://3dlifeplayer.dl.3dvia.com/player/install/installer.exe    => Virtools WebPlayer
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} (get_atlcom Class) - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab    => Adobe Platform getPlusPlus
O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx2.hotmail.com/mail/w4/pr01/photouploadcontrol/MSNPUpld.cab    => Windows Live Hotmail

		

&#9679 cliques sur  "fixchecked" , valides et redémarres ton pc		
 
********************************************

Utilisation de ZHPfix

* Fais un copié des lignes en gras suivantes 

----------------------------------------------------------
2010-07-16 21:15:57 ----D---- C:\Program Files\Panda Security    


----------------------------------------------------------

* Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag- écusson vert-)
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Le texte que tu as copié sera présent 
* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse

********************************************

Essais de poster un nouveau scan ZHPdiag ou fais un Nouveau RSIT

poolsniper · Answer

Bonsoir fred.

Voici le rapport ZHPfix:
Rapport de ZHPFix v1.12.3124 par Nicolas Coolman, Update du 18/07/2010
Fichier d'export Registre : 
Run by yann at 21/07/2010 23:07:11
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Autre ==========
2010-07-16 21:15:57 ----D---- C:\Program Files\Panda Security  => Format Non supporté


========== Récapitulatif ==========
1 : Autre


End of the scan


Je fais un ZHPdiag maintenant

poolsniper · Answer

ZHPdiag effectué mais impossible de le mettre sur ci-joint ou de te l'envoyer par mp...
du coup voila pour le RSIT: http://www.cijoint.fr/cjlink.php?file=cj201007/cije7i8ooQ.txt

j'ai suppriméle fichier panda security.

fred08700 · Answer

bonjour

C'est bon pour moi , le rapport est propre ==> comment va le pc ?

Utilise ce programme pour optimiser ton ordinateur : 

* Télécharge CCleaner version slim. 
* Installe le puis lance le. 
* va dans " options" ==> "avancés" et décoches " effacer uniquement ------24 heures"
* Clique sur Nettoyeur => Analyse => Lancer le nettoyage, puis sur OK dans la fenêtre qui s'affiche. 
* Enfin, clique sur Registre => corrige toutes les erreurs et recommence jusqu'à ce que CCleaner ne trouve plus d'erreurs. 

Tu peux garder ce programme et l'utiliser régulièrement (une fois par mois). 

----------------------------------------------------------------------

Refais un scan rapide avec malwarebytes et poste le rapport

poolsniper · Answer

Bonjour fred.

Ccleaner est en train de travailler.

Concernant le PC, c'est toujours pareil: des fenetres internet s'ouvrent toutes seules parfois.

fred08700 · Answer

salut

Quelles genres de fenêtres ? 

ce problème est-il présent avec IE et Firefox ?

poolsniper · Answer

des sites internets divers et variés (avant c'était parfois des sites X, mais ça fait quelques jours que ça ne s'est plus reproduit).
Ca se produit sous IE et aussi sous Firefox.

J'ai fait Ccleaner, beaucoup d'erreurs corrigées, mais il y en a une qui réapparait toujours: Extension de fichiers inutilisée	{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}	HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

Voici le rapport Malware:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4331

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

22/07/2010 10:22:27
mbam-log-2010-07-22 (10-22-27).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 129641
Temps écoulé: 6 minute(s), 30 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

sherred · Answer

bonjour poolsniper  bonjour fred08700

regarde si tu a encore quelque chose la dedans C:\Program Files\Panda Security  

et si tu trouve SMCLpav  qui doit faire partie de panda "Panda désinstallation"

fred08700 · Answer

re Le problème est là ; le rapport ne montre plus rien -) ZHPdiag aurait peut-être été plus précis. Et je te fais passer d'autres outils sans un symptôme ou trace préalable , je vais me faire taper sur les doigts ==> tant pis ! ● Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) Déconnecte toi et ferme toutes les applications en cours ● Double-clique sur l'icône AD-Remover ● Au menu principal, clique sur "Nettoyer" ● Confirme le lancement de l'analyse et laisse l'outil travailler ● Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt ) (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. els de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

poolsniper · Answer

J'ai oublié de vous dire: quand je démarre le PC, je n'ai plus le message d'erreur "rundll htql.ano introuvable".
Mais je ne trouve plus Explorer sur mon bureau (??)

Voila le rapport:
======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 21/07/10 à 14:00
Contact: AdRemover.contact[AT]gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 10:43:26 le 22/07/2010, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86) 
yann@PETER ( ) 
 
============== ACTION(S) ==============


0,Dossier supprimé: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Everest Poker

(!) -- Fichiers temporaires supprimés.


0,Clé supprimée: HKCU\Software\Grand Virtual


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.7 (fr)] **

-- C:\Documents and Settings\yann\Application Data\Mozilla\FireFox\Profiles\483p1xl3.default\Prefs.js --
browser.startup.homepage, hxxp://www.neufportail.fr/
browser.startup.homepage_override.mstone, rv:1.9.2.7

========================================

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 0 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 22/07/2010 (636 Octet(s)) 

Fin à: 10:46:56, 22/07/2010 
 
============== E.O.F ==============

fred08700 · Answer

re

OK pour AD-remover
relances le et clique sur désinstaller

pour Internet explorer:

Cliquez sur bouton droit de la souris sur le bureau ( là ou vous trouvez toutes vos icones)
Cliquez sur propriétés
Choisissez Bureau
Cliquez sur Personnalisation du bureau
Et vous COCHEZ SUR : internet explorer puis OK


2eme méthode :
Cliquez sur Démarrer
Cliquez bouton droit sur n'importe quel vide vous aurez une option unique : Propriétés
Cliquez sur propriétés
Cliquez sur personnaliser
Cochez sur internet en choisissant aussi Internet Explorer qui était masquée puis OK puis appliquer et le OK
Vous avez Explorer sur l menu Démarrage glisser un raccourci par le bouton droit sur le bureau

poolsniper · Answer

ad désinstallé
par contre je comprends pas l'intéret de la manoeuvre avec IE sachant que j'utilise désormais firefox? Du coup je ne l'ai pas fait.
Peut-etre qu'on s'est mal compris, je cherchais explorer tout court. Mais c'est bon je l'ai remis sur le bureau.
Dois-je désinstaller les autres choses que vous m'avez fait installé (a part ccleaner)?
Et est-ce fini? (il y a encore des fenetres qui s'ouvrent sans rien demandé mais bon c pas la mort...)

sherred · Answer

télécharge SpywareBlaster  qui va t'aider à completer la protection de ton navigateur
https://www.01net.com/outils/telecharger/windows/Securite/anti-spyware/fiches/tele28872.html
Lancer SpywareBlaster, sélection de l'onglet Updates

"puis cliquer sur Check for Updates
pour la mise à jour des définitions comportant une base de données
de signatures des contrôles AvtiveX hostiles connus"

Après le téléchargement, cliquer sur Enable Protection for All Unprotected Items 
Ou lors d'une premier installation sans mise à jour de la base des définitions,
cliquer sur Protection Status  puis sur Enable All Protection ,
Un fois que cela est fini vous allez voir 0 items have protections disabled

poolsniper · Answer

Ok c'est fait.

fred08700 · Answer

salut Sherred -)

poolsniper : Tu dois garder CCleaner et Malwarebytes et les utiliser régulièrement

Et est-ce fini? (il y a encore des fenetres qui s'ouvrent sans rien demandé mais bon c pas la mort...)
Ben non, si des fenêtres s'ouvrent , c'est que quelques choses trainent et qui ne se voient pas avec RSIT

POUr ZHPdiag , prends-tu bien le rapport ZHPdiag.txt avec CI-joint.fr

poolsniper · Answer

oui je prends bien le rapport ZHPdiag.txt, mais ça ne fonctionne tjs pas.
Je peux pas te l'envoyer par mail par exemple?ou tu veux que je réessaye par mp?

sherred · Answer

https://www.commentcamarche.net/image-son/photo/25189-partage-de-photos-8-services-simples-et-gratuits/

poolsniper · Answer

j'ai essayé de m'inscrire sur un autre site de partage de fichiers, mais dès que j'essaye de mettre le fichier en ligne, échec.
C'est un peu "relou" !!!

fred08700 · Answer

salut

je t'ai envoyé mon mail avant midi en MP . As-tu essayé ?

poolsniper · Answer

Bonjour Sherred, bonjour Fred.

Désolé je n'avais pas vu vos messages hier.

Bon, la situation ne se débloque pas, on dirait que le(s) virus que j'ai est(sont) très intelligent et m'empêche de poster mon rapport ZHPdiag.

@Fred: j'ai tenté de te l'envoyer par mail en pièce jointe, mais on me dit que ça dépasse la taille limite de 20 Mo (or en .txt il fait 80 Ko, j'ai essayé de le mettre en Word en changeant de nom et meme résultat or il fait 190 Ko)

@Sherred: je me suis inscrit sur ton forum, mais impossible de poster mon rapport...

Que faire??

En plus je viens d'avoir un message de Antivir qui n'a pas pu effectuer sa mise a jour,je poste le rapport dans mon prochain message.

poolsniper · Answer

Evidemment ça ne marche pas...

poolsniper · Answer

Ca y est j'ai mis le rapport d'update d'Antivir sur cijoint: http://www.cijoint.fr/cjlink.php?file=cj201007/cijwgvABZg.txt

fred08700 · Answer

salut

c'est bizarre que tu puisses tout poster sauf ZHP !

désinstalles ZHP, via ajout/suppression de programmes

passe CCleaner

Réinstalles ZHPdiag et essais de poster sur un des deux sites

http://ww38.toofiles.com/fr/documents-upload.html
http://www.cijoint.fr/

poolsniper · Answer

oui c'est vraiment bizarre.

A l'instant ou je t'écris, une page vient de s'ouvrir avec a l'écran comme si un antivirus (qui n'est pas le mien) analysait mon pc et trouvait plein de virus...

A part ça j'était en train de subdiviser le rapport ZHPdiag (en 20 documents!!!), et j'ai réussi a les mettre en piece jointe dans un mail, je t'envoies ça tout de suite.

poolsniper · Answer

Bon j'ai réinstallé ZHPdiag, refais un scan, mais toujours impossible de stocker le rapport sur cijoint ou toofiles...

sherred · Answer

bon ca a suffisamment durée

Télécharge UsbFix (de Chiquitine29) sur ton bureau 
http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe


Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d avoir été infectés sans les ouvrir 

--> Double clic sur UsbFix 

clic sur le bouton Recherche


et  ne touche plus a rien pendant le scan

Une fois l'analyse terminée, un rapport de scan  est proposé... appuie sur une touche pour ouvrir ce rapport.
 copier/coller ce rapport  dans ta prochaine réponse
Note : le rapport UsbFix.txt est sauvegardé à la racine du disque
http://pagesperso-orange.fr/NosTools/usb-1-fr.html

poolsniper · Answer

Voici le rapport. Il faut que j'en fasse un autre avec mon autre clé USB car elle ne passe pas toutes les 2 en meme temps...(trop grosses!)

############################## | UsbFix 7.017 | [Recherche]

Utilisateur: yann (Administrateur) # PETER [ ]
Mis à jour le 22/07/10 par El Desaparecido / C_XX
Lancé à 15:04:14 | 23/07/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: AMD Athlon(tm) 64 X2 Dual Core Processor 3800+
CPU 2: AMD Athlon(tm) 64 X2 Dual Core Processor 3800+
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Activé
Antivirus: AntiVir Desktop 9.0.1.32 [Enabled | Updated]
RAM -> 958 Mo 
C:\ (%systemdrive%) -> Disque fixe # 114 Go (42 Go libre(s) - 37%) [ACER] # NTFS
D:\ -> Disque fixe # 114 Go (90 Go libre(s) - 78%) [ACERDATA] # FAT32
E:\ -> CD-ROM
J:\ -> Disque amovible # 496 Mo (152 Mo libre(s) - 31%) [] # FAT

################## | Éléments infectieux |

Présent! C:\Documents and Settings\yann\Bureau\explorer.exe

################## | Registre |


################## | Mountpoints2 |


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |

poolsniper · Answer

2ème avec l'autre clé USB:

############################## | UsbFix 7.017 | [Recherche]

Utilisateur: yann (Administrateur) # PETER [ ]
Mis à jour le 22/07/10 par El Desaparecido / C_XX
Lancé à 15:10:17 | 23/07/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: AMD Athlon(tm) 64 X2 Dual Core Processor 3800+
CPU 2: AMD Athlon(tm) 64 X2 Dual Core Processor 3800+
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Activé
Antivirus: AntiVir Desktop 9.0.1.32 [Enabled | Updated]
RAM -> 958 Mo 
C:\ (%systemdrive%) -> Disque fixe # 114 Go (42 Go libre(s) - 37%) [ACER] # NTFS
D:\ -> Disque fixe # 114 Go (90 Go libre(s) - 78%) [ACERDATA] # FAT32
E:\ -> CD-ROM
J:\ -> Disque amovible # 488 Mo (118 Mo libre(s) - 24%) [] # FAT

################## | Éléments infectieux |

Présent! C:\Documents and Settings\yann\Bureau\explorer.exe

################## | Registre |


################## | Mountpoints2 |


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |

sherred · Answer

c'est quoi cet explorer.exe sur ton bureau  ?

poolsniper · Answer

normalement c'est dans c:/WINDOWS, je l'ai mis sur le bureau parce que je trouve ça pratique pour naviguer dans le PC

fred08700 · Answer

Bonsoir

Sherred , voici le rapport ZHPdiag , que j'ai remis dans l'ordre -)

http://www.cijoint.fr/cjlink.php?file=cj201007/cijZPakKHF.txt

sherred · Answer

bon tu a un rootkit    dangereux 


Télécharge TDSSKiller sur ton bureau  


https://support.kaspersky.com/downloads/utils/tdsskiller.zip  

1  Crée un nouveau dossier sur ton bureau puis décompresse l'archive dedans  

2 Lance le programme en cliquant sur TDSSKiller.exe,  
l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.  


3 Coche les et clique sur "Delete/Repair Selected".  

* Un message peut ensuite apparaitre demandant de redémarrer le pc (reboot) pour finir le nettoyage. 
 taper "Y" pour redémarrer le PC ("close all programs and choose Y to restart").   


Quand les bornes sont franchies, il n'y a plus de limite 
Ce que j'ai écrit, je l'ai écrit

poolsniper · Answer

Bonjour sherred et fred.

@fred:  merci d'avoir remis en ordre le rapport ZHPdiag (t'as du galérer...)

@sherred TDSSSkiller a trouvé le rootkit et l'a effacé.
A priori ça a fonctionné, j'ai fait un scan ZHPdiag que j'ai pu mettre sur ci joint!!
voici le lien: http://www.cijoint.fr/cjlink.php?file=cj201007/cij9mF5o21.txt

Donc voilà, j'attends que vous me confirmiez que c'est définitivement réglé.
D'avance, je vous remercie énormément tous les deux de vous etre occupé de mon cas et de m'avoir accordé tout ce temps!!

sherred · Answer

non , pas encore
mais , on va y arriver

Télécharge combofix.exe   sur ton bureau
 http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
dans la fenetre de telechargement renomme combofix.exe par « fixcombo.exe »

 double clique fixcombo.exe. 
 touche 1 (Yes) pour démarrer le scan. 
une fois fini un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 
Le rapport se trouve également ici : C:\Combofix.txt 

 

 Déconnecte toi d'internet  ferme les fenêtres de tous les programmes en cours.et provisoirement
arrete les anti virus et autres protection pendand l'analyse
 Pendant la durée de l'analyse ne te sert pas de ton pc 


une fois l'analyse terminé ,remet toute tes protections antivirus et antispywares

fred08700 · Answer

bonjour a vous -)

Poolsniper , ça m'a pris 20 bonne mn pour remettre la trentaine de fichiers dans l'ordre ==> ça a servi à quelque chose 
combofix dépasse mes compétences , je te laisse avec sherred -)

Sherred , merci pour tout , et surtout d'avoir continué à suivre ce post malgré tout.

Je reste à observer et bonne continuation -) . On devrait bientôt voir la fin

poolsniper · Answer

Avec mozilla, je ne peux pas renommer combofix, c'est grave?

poolsniper · Answer

Combofix a fini, voici le rapport:

ComboFix 10-07-23.02 - yann 24/07/2010  10:54:52.1.2 - x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.958.535 [GMT 2:00]
Lancé depuis: c:\documents and settings\yann\Mes documents\Téléchargements\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((   Fichiers créés du 2010-06-24 au 2010-07-24  ))))))))))))))))))))))))))))))))))))
.

2010-07-23 13:03 . 2010-07-23 13:10	--------	d-----w-	C:\UsbFix
2010-07-22 09:27 . 2010-07-22 09:27	--------	d-----w-	c:\documents and settings\All Users\Application Data\TEMP
2010-07-22 09:27 . 2010-07-22 09:28	--------	d-----w-	c:\program files\SpywareBlaster
2010-07-22 07:57 . 2010-07-22 07:57	--------	d-----w-	c:\program files\CCleaner
2010-07-21 09:26 . 2010-07-21 09:26	--------	d-----w-	c:\program files\Fichiers communs\Java
2010-07-21 08:34 . 2010-07-21 08:34	--------	d-----r-	c:\documents and settings\NetworkService\Favoris
2010-07-21 08:24 . 2010-07-21 21:16	--------	d-----w-	c:\program files	rend micro
2010-07-21 08:24 . 2010-07-21 08:24	--------	d-----w-	C:sit
2010-07-20 20:54 . 2010-07-20 20:54	0	----a-w-	c:\windows
sreg.dat
2010-07-20 20:54 . 2010-07-20 20:54	--------	d-----w-	c:\documents and settings\yann\Local Settings\Application Data\Mozilla
2010-07-20 13:44 . 2010-07-20 13:44	--------	d-----w-	c:\documents and settings\yann\Application Data\Malwarebytes
2010-07-20 13:44 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-07-20 13:44 . 2010-07-20 13:44	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-07-20 13:44 . 2010-07-20 13:44	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2010-07-20 13:44 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-07-20 08:58 . 2010-07-24 07:52	--------	d-----w-	c:\program files\ZHPDiag
2010-07-14 19:27 . 2010-07-14 19:27	--------	d-----w-	c:\program files\InterActual
2010-07-07 11:38 . 2010-07-07 11:38	--------	d-----w-	c:\documents and settings\NetworkService\Application Data\AdobeUM
2010-07-07 11:37 . 2010-07-07 11:37	--------	d-----w-	c:\documents and settings\NetworkService\Local Settings\Application Data\Adobe
2010-07-06 09:45 . 2010-07-06 09:45	--------	d-----r-	c:\documents and settings\LocalService\Favoris

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-24 07:47 . 2007-03-11 19:03	0	----a-w-	c:\windows\system32\drivers\lvuvc.hs
2010-07-24 07:47 . 2007-12-12 18:14	0	----a-w-	c:\windows\system32\drivers\logiflt.iad
2010-07-24 07:46 . 2004-08-05 05:00	3328	----a-w-	c:\windows\system32\drivers\pciide.sys
2010-07-21 18:13 . 2009-07-30 13:16	--------	d-----w-	c:\documents and settings\All Users\Application Data\NOS
2010-07-21 09:29 . 2006-05-15 15:52	--------	d-----w-	c:\program files\Fichiers communs\Adobe
2010-07-21 09:24 . 2010-05-13 06:04	423656	----a-w-	c:\windows\system32\deployJava1.dll
2010-07-21 09:24 . 2006-09-30 15:53	--------	d-----w-	c:\program files\Java
2010-07-17 04:19 . 2007-02-16 15:41	664	----a-w-	c:\windows\system32\d3d9caps.dat
2010-07-07 21:34 . 2008-07-14 12:35	--------	d-----w-	c:\documents and settings\yann\Application Data\uTorrent
2010-07-05 20:27 . 2006-05-15 15:50	85636	----a-w-	c:\windows\system32\perfc00C.dat
2010-07-05 20:27 . 2006-05-15 15:50	512292	----a-w-	c:\windows\system32\perfh00C.dat
2010-07-05 17:15 . 2009-07-30 13:16	2605008	----a-w-	c:\documents and settings\All Users\Application Data\NOS\Adobe_Downloads\install_flash_player_ax.exe
2010-06-10 06:23 . 2009-04-10 09:30	--------	d-----w-	c:\program files\Microsoft Silverlight
2010-05-29 08:51 . 2010-05-29 08:51	503808	----a-w-	c:\documents and settings\yann\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4a923536-n\msvcp71.dll
2010-05-29 08:51 . 2010-05-29 08:51	499712	----a-w-	c:\documents and settings\yann\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4a923536-n\jmc.dll
2010-05-29 08:51 . 2010-05-29 08:51	348160	----a-w-	c:\documents and settings\yann\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4a923536-n\msvcr71.dll
2010-05-29 08:51 . 2010-05-29 08:51	61440	----a-w-	c:\documents and settings\yann\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-74968551-n\decora-sse.dll
2010-05-29 08:51 . 2010-05-29 08:51	12800	----a-w-	c:\documents and settings\yann\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-74968551-n\decora-d3d.dll
2010-05-13 06:04 . 2010-05-13 06:04	503808	----a-w-	c:\documents and settings\yann\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-7078a8b5-n\msvcp71.dll
2010-05-13 06:04 . 2010-05-13 06:04	499712	----a-w-	c:\documents and settings\yann\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-7078a8b5-n\jmc.dll
2010-05-13 06:04 . 2010-05-13 06:04	348160	----a-w-	c:\documents and settings\yann\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-7078a8b5-n\msvcr71.dll
2010-05-13 06:04 . 2010-05-13 06:04	61440	----a-w-	c:\documents and settings\yann\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-71ae711c-n\decora-sse.dll
2010-05-13 06:04 . 2010-05-13 06:04	12800	----a-w-	c:\documents and settings\yann\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-71ae711c-n\decora-d3d.dll
2010-05-06 10:33 . 2006-01-09 18:02	916480	----a-w-	c:\windows\system32\wininet.dll
2010-05-02 08:08 . 2005-10-06 03:08	1851392	----a-w-	c:\windows\system32\win32k.sys
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}]
2009-10-15 08:53	165184	----a-w-	c:\program files\Neuf\Kit\SFRNavErrorHelper.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"OM2_Monitor"="c:\program files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe" [2009-11-25 95632]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"SoundMan"="SOUNDMAN.EXE" [2005-09-22 90112]
"ntiMUI"="c:\program files\NewTech Infosystems\NTI CD & DVD-Maker 7
tiMUI.exe" [2005-05-11 45056]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 32768]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-05 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-01-24 7311360]
"nwiz"="nwiz.exe" [2006-01-24 1519616]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-01-24 86016]
"Acer Empowering Technology Monitor"="c:\windows\system32\SysMonitor.exe" [2006-04-18 49152]
"AspireService"="c:\program files\Acer\Acer eMode Management\AspireService.exe" [2006-06-09 110592]
"MediaSync"="c:\program files\Acer\Acer eConsole\MediaSync.exe" [2006-05-04 425984]
"PCMService"="c:\program files\Acer TV-FM\PCMService.exe" [2006-03-29 143360]
"type32"="c:\program files\Microsoft IntelliType Pro	ype32.exe" [2005-03-15 196608]
"IntelliPoint"="c:\program files\Microsoft IntelliPoint\point32.exe" [2005-03-23 217088]
"EPSON Stylus Photo RX520 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIAGE.EXE" [2005-04-07 98304]
"LogitechQuickCamRibbon"="c:\program files\Logitech\QuickCam\Quickcam.exe" [2007-10-25 2178832]
"LogitechCommunicationsManager"="c:\program files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe" [2007-10-25 563984]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-05-14 248552]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Acer WLAN 11g USB Dongle.lnk - c:\program files\Acer WLAN 11g USB Dongle\ZDWlan.exe [2005-11-16 745472]
Adobe Gamma Loader.exe.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2007-1-2 110592]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Acer TV-FM\PowerCinema.exe"=
"c:\Program Files\Acer TV-FM\PCMService.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\uTorrent\uTorrent.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [27/05/2009 14:18 108289]
R3 LVHybrid;LVHybrid service;c:\windows\system32\drivers\LVHybrid.sys [26/08/2005 23:06 892032]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [18/12/2009 15:50 135664]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - KLMDB
*Deregistered* - klmd24
*Deregistered* - klmdb
.
Contenu du dossier 'Tâches planifiées'

2010-07-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-12-18 13:50]

2010-07-24 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-12-18 13:50]
.
.
------- Examen supplémentaire -------
.
uInternet Connection Wizard,ShellNext = iexplore
FF - ProfilePath - c:\documents and settings\yann\Application Data\Mozilla\Firefox\Profiles\483p1xl3.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.neufportail.fr/
FF - prefs.js: network.proxy.type - 0
FF - plugin: c:\program files\Google\Google Earth\plugin
pgeplugin.dll
FF - plugin: c:\program files\Google\Picasa3
pPicasa3.dll
FF - plugin: c:\program files\Google\Update\1.2.183.23
pGoogleOneClick8.dll
FF - plugin: c:\program files\Java\jre6\bin
ew_plugin
pdeployJava1.dll

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size",  4096);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - ORPHELINS SUPPRIMES - - - -

Toolbar-Locked - (no file)
SafeBoot-klmdb.sys



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-07-24 10:59
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\WINDOWS\system32\Macromed\Flash\FlashUtil10h_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\WINDOWS\system32\Macromed\Flash\FlashUtil10h_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(3396)
c:\progra~1\WINDOW~1\wmpband.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Heure de fin: 2010-07-24  11:00:40
ComboFix-quarantined-files.txt  2010-07-24 09:00

Avant-CF: 50 744 721 408 octets libres
Après-CF: 50 975 698 944 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP  dition familiale" /noexecute=optin /fastdetect /usepmtimer

- - End Of File - - 1183F04B393AABFEF6FD25653CEB269E

poolsniper · Answer

Combofix a fini, voici le rapport:

ComboFix 10-07-23.02 - yann 24/07/2010  10:54:52.1.2 - x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.958.535 [GMT 2:00]
Lancé depuis: c:\documents and settings\yann\Mes documents\Téléchargements\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((   Fichiers créés du 2010-06-24 au 2010-07-24  ))))))))))))))))))))))))))))))))))))
.

2010-07-23 13:03 . 2010-07-23 13:10	--------	d-----w-	C:\UsbFix
2010-07-22 09:27 . 2010-07-22 09:27	--------	d-----w-	c:\documents and settings\All Users\Application Data\TEMP
2010-07-22 09:27 . 2010-07-22 09:28	--------	d-----w-	c:\program files\SpywareBlaster
2010-07-22 07:57 . 2010-07-22 07:57	--------	d-----w-	c:\program files\CCleaner
2010-07-21 09:26 . 2010-07-21 09:26	--------	d-----w-	c:\program files\Fichiers communs\Java
2010-07-21 08:34 . 2010-07-21 08:34	--------	d-----r-	c:\documents and settings\NetworkService\Favoris
2010-07-21 08:24 . 2010-07-21 21:16	--------	d-----w-	c:\program files	rend micro
2010-07-21 08:24 . 2010-07-21 08:24	--------	d-----w-	C:sit
2010-07-20 20:54 . 2010-07-20 20:54	0	----a-w-	c:\windows
sreg.dat
2010-07-20 20:54 . 2010-07-20 20:54	--------	d-----w-	c:\documents and settings\yann\Local Settings\Application Data\Mozilla
2010-07-20 13:44 . 2010-07-20 13:44	--------	d-----w-	c:\documents and settings\yann\Application Data\Malwarebytes
2010-07-20 13:44 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-07-20 13:44 . 2010-07-20 13:44	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-07-20 13:44 . 2010-07-20 13:44	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2010-07-20 13:44 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-07-20 08:58 . 2010-07-24 07:52	--------	d-----w-	c:\program files\ZHPDiag
2010-07-14 19:27 . 2010-07-14 19:27	--------	d-----w-	c:\program files\InterActual
2010-07-07 11:38 . 2010-07-07 11:38	--------	d-----w-	c:\documents and settings\NetworkService\Application Data\AdobeUM
2010-07-07 11:37 . 2010-07-07 11:37	--------	d-----w-	c:\documents and settings\NetworkService\Local Settings\Application Data\Adobe
2010-07-06 09:45 . 2010-07-06 09:45	--------	d-----r-	c:\documents and settings\LocalService\Favoris

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-24 07:47 . 2007-03-11 19:03	0	----a-w-	c:\windows\system32\drivers\lvuvc.hs
2010-07-24 07:47 . 2007-12-12 18:14	0	----a-w-	c:\windows\system32\drivers\logiflt.iad
2010-07-24 07:46 . 2004-08-05 05:00	3328	----a-w-	c:\windows\system32\drivers\pciide.sys
2010-07-21 18:13 . 2009-07-30 13:16	--------	d-----w-	c:\documents and settings\All Users\Application Data\NOS
2010-07-21 09:29 . 2006-05-15 15:52	--------	d-----w-	c:\program files\Fichiers communs\Adobe
2010-07-21 09:24 . 2010-05-13 06:04	423656	----a-w-	c:\windows\system32\deployJava1.dll
2010-07-21 09:24 . 2006-09-30 15:53	--------	d-----w-	c:\program files\Java
2010-07-17 04:19 . 2007-02-16 15:41	664	----a-w-	c:\windows\system32\d3d9caps.dat
2010-07-07 21:34 . 2008-07-14 12:35	--------	d-----w-	c:\documents and settings\yann\Application Data\uTorrent
2010-07-05 20:27 . 2006-05-15 15:50	85636	----a-w-	c:\windows\system32\perfc00C.dat
2010-07-05 20:27 . 2006-05-15 15:50	512292	----a-w-	c:\windows\system32\perfh00C.dat
2010-07-05 17:15 . 2009-07-30 13:16	2605008	----a-w-	c:\documents and settings\All Users\Application Data\NOS\Adobe_Downloads\install_flash_player_ax.exe
2010-06-10 06:23 . 2009-04-10 09:30	--------	d-----w-	c:\program files\Microsoft Silverlight
2010-05-29 08:51 . 2010-05-29 08:51	503808	----a-w-	c:\documents and settings\yann\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4a923536-n\msvcp71.dll
2010-05-29 08:51 . 2010-05-29 08:51	499712	----a-w-	c:\documents and settings\yann\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4a923536-n\jmc.dll
2010-05-29 08:51 . 2010-05-29 08:51	348160	----a-w-	c:\documents and settings\yann\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4a923536-n\msvcr71.dll
2010-05-29 08:51 . 2010-05-29 08:51	61440	----a-w-	c:\documents and settings\yann\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-74968551-n\decora-sse.dll
2010-05-29 08:51 . 2010-05-29 08:51	12800	----a-w-	c:\documents and settings\yann\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-74968551-n\decora-d3d.dll
2010-05-13 06:04 . 2010-05-13 06:04	503808	----a-w-	c:\documents and settings\yann\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-7078a8b5-n\msvcp71.dll
2010-05-13 06:04 . 2010-05-13 06:04	499712	----a-w-	c:\documents and settings\yann\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-7078a8b5-n\jmc.dll
2010-05-13 06:04 . 2010-05-13 06:04	348160	----a-w-	c:\documents and settings\yann\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-7078a8b5-n\msvcr71.dll
2010-05-13 06:04 . 2010-05-13 06:04	61440	----a-w-	c:\documents and settings\yann\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-71ae711c-n\decora-sse.dll
2010-05-13 06:04 . 2010-05-13 06:04	12800	----a-w-	c:\documents and settings\yann\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-71ae711c-n\decora-d3d.dll
2010-05-06 10:33 . 2006-01-09 18:02	916480	----a-w-	c:\windows\system32\wininet.dll
2010-05-02 08:08 . 2005-10-06 03:08	1851392	----a-w-	c:\windows\system32\win32k.sys
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}]
2009-10-15 08:53	165184	----a-w-	c:\program files\Neuf\Kit\SFRNavErrorHelper.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"OM2_Monitor"="c:\program files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe" [2009-11-25 95632]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"SoundMan"="SOUNDMAN.EXE" [2005-09-22 90112]
"ntiMUI"="c:\program files\NewTech Infosystems\NTI CD & DVD-Maker 7
tiMUI.exe" [2005-05-11 45056]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 32768]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-05 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-01-24 7311360]
"nwiz"="nwiz.exe" [2006-01-24 1519616]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-01-24 86016]
"Acer Empowering Technology Monitor"="c:\windows\system32\SysMonitor.exe" [2006-04-18 49152]
"AspireService"="c:\program files\Acer\Acer eMode Management\AspireService.exe" [2006-06-09 110592]
"MediaSync"="c:\program files\Acer\Acer eConsole\MediaSync.exe" [2006-05-04 425984]
"PCMService"="c:\program files\Acer TV-FM\PCMService.exe" [2006-03-29 143360]
"type32"="c:\program files\Microsoft IntelliType Pro	ype32.exe" [2005-03-15 196608]
"IntelliPoint"="c:\program files\Microsoft IntelliPoint\point32.exe" [2005-03-23 217088]
"EPSON Stylus Photo RX520 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIAGE.EXE" [2005-04-07 98304]
"LogitechQuickCamRibbon"="c:\program files\Logitech\QuickCam\Quickcam.exe" [2007-10-25 2178832]
"LogitechCommunicationsManager"="c:\program files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe" [2007-10-25 563984]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-05-14 248552]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Acer WLAN 11g USB Dongle.lnk - c:\program files\Acer WLAN 11g USB Dongle\ZDWlan.exe [2005-11-16 745472]
Adobe Gamma Loader.exe.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2007-1-2 110592]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Acer TV-FM\PowerCinema.exe"=
"c:\Program Files\Acer TV-FM\PCMService.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\uTorrent\uTorrent.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [27/05/2009 14:18 108289]
R3 LVHybrid;LVHybrid service;c:\windows\system32\drivers\LVHybrid.sys [26/08/2005 23:06 892032]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [18/12/2009 15:50 135664]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - KLMDB
*Deregistered* - klmd24
*Deregistered* - klmdb
.
Contenu du dossier 'Tâches planifiées'

2010-07-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-12-18 13:50]

2010-07-24 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-12-18 13:50]
.
.
------- Examen supplémentaire -------
.
uInternet Connection Wizard,ShellNext = iexplore
FF - ProfilePath - c:\documents and settings\yann\Application Data\Mozilla\Firefox\Profiles\483p1xl3.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.neufportail.fr/
FF - prefs.js: network.proxy.type - 0
FF - plugin: c:\program files\Google\Google Earth\plugin
pgeplugin.dll
FF - plugin: c:\program files\Google\Picasa3
pPicasa3.dll
FF - plugin: c:\program files\Google\Update\1.2.183.23
pGoogleOneClick8.dll
FF - plugin: c:\program files\Java\jre6\bin
ew_plugin
pdeployJava1.dll

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size",  4096);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - ORPHELINS SUPPRIMES - - - -

Toolbar-Locked - (no file)
SafeBoot-klmdb.sys



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-07-24 10:59
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\WINDOWS\system32\Macromed\Flash\FlashUtil10h_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\WINDOWS\system32\Macromed\Flash\FlashUtil10h_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(3396)
c:\progra~1\WINDOW~1\wmpband.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Heure de fin: 2010-07-24  11:00:40
ComboFix-quarantined-files.txt  2010-07-24 09:00

Avant-CF: 50 744 721 408 octets libres
Après-CF: 50 975 698 944 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP  dition familiale" /noexecute=optin /fastdetect /usepmtimer

- - End Of File - - 1183F04B393AABFEF6FD25653CEB269E

poolsniper · Answer

Bonjour sherred.

Alors quel est ton diagnostic Docteur ès informatique d'après mon rapport Combofix?

fred08700 · Answer

salut

comme je l'ai dis ici combofix dépasse mes compétences

Sherred doit être occupé , mais il va revenir.

en attendant , refais un scan ZHPdiag

poolsniper · Answer

Bonjour sherred et fred.

Alors pour le c:\windows\system32\drivers\lvuvc.hs, que dois-je faire?

Merci d'avance, à bientôt

sherred · Answer

tu peut le faire analyser ici
https://www.virustotal.com/gui/

poolsniper · Answer

Bonjour sherred. J'ai essayé plusieurs fois de l'analyser, voilà ce qu'on me répond:

0 bytes size received / Se ha recibido un archivo vacio

sherred · Answer

je te conseil de faire une analyse complete avec ton antivirus

avira je crois

poolsniper · Answer

Voilà le rapport avira, il n'a rien trouvé: Avira AntiVir Personal Date de création du fichier de rapport : mardi 27 juillet 2010 14:58 La recherche porte sur 2575366 souches de virus. Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus Numéro de série : 0000149996-ADJIE-0000001 Plateforme : Windows XP Version de Windows : (Service Pack 3) [5.1.2600] Mode Boot : Démarré normalement Identifiant : SYSTEM Nom de l'ordinateur : PETER Informations de version : BUILD.DAT : 9.0.0.77 21698 Bytes 09/06/2010 12:01:00 AVSCAN.EXE : 9.0.3.10 466689 Bytes 19/11/2009 20:18:31 AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02 LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11 LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 20:18:31 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 20:18:31 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 19:47:06 VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 17:55:29 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 11:49:39 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 16:07:21 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02/06/2010 14:43:34 VBASE007.VDF : 7.10.9.165 4840960 Bytes 23/07/2010 08:54:20 VBASE008.VDF : 7.10.9.166 2048 Bytes 23/07/2010 08:54:20 VBASE009.VDF : 7.10.9.167 2048 Bytes 23/07/2010 08:54:21 VBASE010.VDF : 7.10.9.168 2048 Bytes 23/07/2010 08:54:21 VBASE011.VDF : 7.10.9.169 2048 Bytes 23/07/2010 08:54:22 VBASE012.VDF : 7.10.9.170 2048 Bytes 23/07/2010 08:54:22 VBASE013.VDF : 7.10.9.198 157696 Bytes 26/07/2010 11:42:24 VBASE014.VDF : 7.10.9.199 2048 Bytes 26/07/2010 11:42:24 VBASE015.VDF : 7.10.9.200 2048 Bytes 26/07/2010 11:42:24 VBASE016.VDF : 7.10.9.201 2048 Bytes 26/07/2010 11:42:24 VBASE017.VDF : 7.10.9.202 2048 Bytes 26/07/2010 11:42:24 VBASE018.VDF : 7.10.9.203 2048 Bytes 26/07/2010 11:42:24 VBASE019.VDF : 7.10.9.204 2048 Bytes 26/07/2010 11:42:24 VBASE020.VDF : 7.10.9.205 2048 Bytes 26/07/2010 11:42:24 VBASE021.VDF : 7.10.9.206 2048 Bytes 26/07/2010 11:42:24 VBASE022.VDF : 7.10.9.207 2048 Bytes 26/07/2010 11:42:25 VBASE023.VDF : 7.10.9.208 2048 Bytes 26/07/2010 11:42:25 VBASE024.VDF : 7.10.9.209 2048 Bytes 26/07/2010 11:42:25 VBASE025.VDF : 7.10.9.210 2048 Bytes 26/07/2010 11:42:25 VBASE026.VDF : 7.10.9.211 2048 Bytes 26/07/2010 11:42:25 VBASE027.VDF : 7.10.9.212 2048 Bytes 26/07/2010 11:42:25 VBASE028.VDF : 7.10.9.213 2048 Bytes 26/07/2010 11:42:25 VBASE029.VDF : 7.10.9.214 2048 Bytes 26/07/2010 11:42:25 VBASE030.VDF : 7.10.9.215 2048 Bytes 26/07/2010 11:42:25 VBASE031.VDF : 7.10.9.222 49664 Bytes 27/07/2010 11:42:25 Version du moteur : 8.2.4.26 AEVDF.DLL : 8.1.2.0 106868 Bytes 24/04/2010 09:24:13 AESCRIPT.DLL : 8.1.3.41 1364346 Bytes 21/07/2010 08:18:05 AESCN.DLL : 8.1.6.1 127347 Bytes 13/05/2010 09:11:01 AESBX.DLL : 8.1.3.1 254324 Bytes 24/04/2010 09:24:14 AERDL.DLL : 8.1.8.2 614772 Bytes 21/07/2010 08:18:03 AEPACK.DLL : 8.2.3.2 471414 Bytes 21/07/2010 08:18:01 AEOFFICE.DLL : 8.1.1.8 201081 Bytes 22/07/2010 08:17:44 AEHEUR.DLL : 8.1.2.6 2793846 Bytes 21/07/2010 08:17:59 AEHELP.DLL : 8.1.13.2 242039 Bytes 21/07/2010 08:17:51 AEGEN.DLL : 8.1.3.17 385396 Bytes 22/07/2010 08:17:44 AEEMU.DLL : 8.1.2.0 393588 Bytes 24/04/2010 09:24:12 AECORE.DLL : 8.1.16.2 192887 Bytes 21/07/2010 08:17:48 AEBB.DLL : 8.1.1.0 53618 Bytes 24/04/2010 09:24:11 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30 AVPREF.DLL : 9.0.3.0 44289 Bytes 26/09/2009 09:37:03 AVREP.DLL : 8.0.0.7 159784 Bytes 17/02/2010 18:50:39 AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42 AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57 NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 14/07/2009 17:59:08 RCTEXT.DLL : 9.0.73.0 88321 Bytes 19/11/2009 20:18:30 Configuration pour la recherche actuelle : Nom de la tâche...............................: Contrôle intégral du système Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp Documentation.................................: bas Action principale.............................: interactif Action secondaire.............................: ignorer Recherche sur les secteurs d'amorçage maître..: marche Recherche sur les secteurs d'amorçage.........: marche Secteurs d'amorçage...........................: C:, D:, Recherche dans les programmes actifs..........: marche Recherche en cours sur l'enregistrement.......: marche Recherche de Rootkits.........................: marche Contrôle d'intégrité de fichiers système......: arrêt Fichier mode de recherche.....................: Tous les fichiers Recherche sur les archives....................: marche Limiter la profondeur de récursivité..........: 20 Archive Smart Extensions......................: marche Heuristique de macrovirus.....................: marche Heuristique fichier...........................: moyen Catégories de dangers divergentes.............: +APPL,+PCK,+SPR, Début de la recherche : mardi 27 juillet 2010 14:58 La recherche d'objets cachés commence. '50549' objets ont été contrôlés, '0' objets cachés ont été trouvés. La recherche sur les processus démarrés commence : Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés Processus de recherche 'COCIManager.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés Processus de recherche 'CLSched.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'LVComSer.exe' - '1' module(s) sont contrôlés Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés Processus de recherche 'LVComSer.exe' - '1' module(s) sont contrôlés Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés Processus de recherche 'CLMLServer.exe' - '1' module(s) sont contrôlés Processus de recherche 'CLCapSvc.exe' - '1' module(s) sont contrôlés Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés Processus de recherche 'MemCheck.exe' - '1' module(s) sont contrôlés Processus de recherche 'MediaServerService.exe' - '1' module(s) sont contrôlés Processus de recherche 'ZDWlan.exe' - '1' module(s) sont contrôlés Processus de recherche 'MMonitor.exe' - '1' module(s) sont contrôlés Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés Processus de recherche 'Communications_Helper.exe' - '1' module(s) sont contrôlés Processus de recherche 'Quickcam.exe' - '1' module(s) sont contrôlés Processus de recherche 'E_FATIAGE.EXE' - '1' module(s) sont contrôlés Processus de recherche 'point32.exe' - '1' module(s) sont contrôlés Processus de recherche 'type32.exe' - '1' module(s) sont contrôlés Processus de recherche 'PCMService.exe' - '1' module(s) sont contrôlés Processus de recherche 'MediaSync.exe' - '1' module(s) sont contrôlés Processus de recherche 'AspireService.exe' - '1' module(s) sont contrôlés Processus de recherche 'SysMonitor.exe' - '1' module(s) sont contrôlés Processus de recherche 'PDVDServ.exe' - '1' module(s) sont contrôlés Processus de recherche 'soundman.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés Processus de recherche 'LVPrcSrv.exe' - '1' module(s) sont contrôlés Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés Processus de recherche 'services.exe' - '1' module(s) sont contrôlés Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés '49' processus ont été contrôlés avec '49' modules La recherche sur les secteurs d'amorçage maître commence : Secteur d'amorçage maître HD0 [INFO] Aucun virus trouvé ! Secteur d'amorçage maître HD1 [INFO] Aucun virus trouvé ! Secteur d'amorçage maître HD2 [INFO] Aucun virus trouvé ! Secteur d'amorçage maître HD3 [INFO] Aucun virus trouvé ! Secteur d'amorçage maître HD4 [INFO] Aucun virus trouvé ! La recherche sur les secteurs d'amorçage commence : Secteur d'amorçage 'C:\' [INFO] Aucun virus trouvé ! Secteur d'amorçage 'D:\' [INFO] Aucun virus trouvé ! La recherche sur les renvois aux fichiers exécutables (registre) commence : Le registre a été contrôlé ( '68' fichiers). La recherche sur les fichiers sélectionnés commence : Recherche débutant dans 'C:\' C:\hiberfil.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! [REMARQUE] Ce fichier est un fichier système Windows. [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche. C:\pagefile.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! [REMARQUE] Ce fichier est un fichier système Windows. [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche. Recherche débutant dans 'D:\' Fin de la recherche : mardi 27 juillet 2010 15:44 Temps nécessaire: 45:51 Minute(s) La recherche a été effectuée intégralement 7926 Les répertoires ont été contrôlés 260134 Des fichiers ont été contrôlés 0 Des virus ou programmes indésirables ont été trouvés 0 Des fichiers ont été classés comme suspects 0 Des fichiers ont été supprimés 0 Des virus ou programmes indésirables ont été réparés 0 Les fichiers ont été déplacés dans la quarantaine 0 Les fichiers ont été renommés 2 Impossible de contrôler des fichiers 260132 Fichiers non infectés 7030 Les archives ont été contrôlées 2 Avertissements 2 Consignes 50549 Des objets ont été contrôlés lors du Rootkitscan 0 Des objets cachés ont été trouvés

poolsniper · Answer

Analyse effectuée par Avira, il n'a rien trouvé. Si tu veux le rapport:

http://www.cijoint.fr/cjlink.php?file=cj201007/cijSF1JNLD.txt

poolsniper · Answer

Bonjour sherred.

Ce coup-ci je pense que c'est bon non? Tu me l'as guéri?

Merci de me le confirmer afin que j'arrête de te harceler.

A bientot

sherred · Answer

oui 

sous xp et éventuellement vista 
ToolsCleaner, merci A.Rothstein & Dj Quiou,  
https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/ 
ou 
> http://pc-system.fr/ 
qui va désinstaller les outils que l'on a utilisés 
qui peuvent être dangereux pour ton PC 
Quand les bornes sont franchies, il n'y a plus de limite 
Ce que j'ai écrit, je l'ai écrit


https://www.commentcamarche.net/infos/25917-marquer-un-fil-de-discussion-comme-etant-resolu/

poolsniper · Answer

Voilà le rapport toolscleaner:
[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Combofix.txt: trouvé !
C:\UsbFix.txt: trouvé !
C:\Qoobox: trouvé !
C:\UsbFix: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\yann\Mes documents\Téléchargements\ComboFix.exe: trouvé !
C:\Documents and Settings\yann\Mes documents\Téléchargements\UsbFix.exe: trouvé !
C:\Documents and Settings\yann\Mes documents\Téléchargements\Rsit.exe: trouvé !
C:\Program Files\ZHPDiag: trouvé !
C:\Program Files	rend micro\HijackThis.exe: trouvé !
C:\Program Files	rend micro\hijackthis.log: trouvé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: trouvé !
C:\Program Files\ZHPDiag\catchme.exe: trouvé !
C:\Program Files\ZHPDiag\mbr.log: trouvé !
C:\Program Files\ZHPDiag\mbr.exe: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\UsbFix\UsbFix.exe: trouvé !
C:\WINDOWS\mbr.exe: trouvé !

---------------------------------
--> Suppression: 

C:\Documents and Settings\yann\Mes documents\Téléchargements\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Program Files	rend micro\HijackThis.exe: supprimé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: supprimé !
C:\Program Files\ZHPDiag\catchme.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\UsbFix.txt: supprimé !
C:\Documents and Settings\yann\Mes documents\Téléchargements\UsbFix.exe: supprimé !
C:\Documents and Settings\yann\Mes documents\Téléchargements\Rsit.exe: supprimé !
C:\Program Files	rend micro\hijackthis.log: supprimé !
C:\Program Files\ZHPDiag\mbr.log: supprimé !
C:\Program Files\ZHPDiag\mbr.exe: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\UsbFix\UsbFix.exe: supprimé !
C:\WINDOWS\mbr.exe: supprimé !
C:\Qoobox: supprimé !
C:\UsbFix: supprimé !
C:\Rsit: supprimé !
C:\Program Files\ZHPDiag: supprimé !

poolsniper · Answer

Du coup merci beaucoup sherred et fred, de m'avoir consacrer de votre temps libre pour me permettre de me débarasser de ce rootkit.

J'espère ne pas avoir besoin de vos compétences (énormes d'ailleurs!!) prochainement.

sherred · Answer

https://www.commentcamarche.net/infos/25917-marquer-un-fil-de-discussion-comme-etant-resolu/

PC multi-infecté! Merci de m'aider!!

95 réponses

Votre réponse

Newsletters