problème de virus Résolu

Question

Bonjour, 
voilà, je dois sûrement avoir un virus mais je n'arrive pas à m'en débarrasser. J'ai fait le ménage avec kaspersky et malwarebytes mais cela ne semble pas suffisant.
Voici les symptômes:
- sous IE, quand je clique sur un résultat de recherche, je suis redirigé en permanence vers des sites de pub, parfois d'hameçonnage. Sous firefox je n'ai pas de soucis.
- A chaque fois que je lance IE, kaspersky me dit que ieplorer.exe a changé et me demande si je lui autorise l'accès au réseau.
- j'ai régulièrement une tentative de téléchargement d'un trojan quand je me connecte. Kaspersky m'en avertis.
- j'ai un fichier dans windows/system32/drivers qui s'est créé au moment où les problèmes ont commencés. Son nom est ynsufsej et impossible de le supprimer. quand je lance unlocker, il me dit que ce n'est pas une application win32 valide.

J'ai fait un rapport hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:29:15, on 05/08/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17055)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\sm56hlpr.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
C:\Program Files\Launch Manager\WButton.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\iaantmon.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\SMART Technologies\SMART Board Drivers\SMARTBoardService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Launch Manager\WLBTTray.exe
C:\Documents and Settings\Isabelle ROUYER\Bureau\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Sky-Banners Browser Enhancer kkqmp - {551C12F7-8FD6-4EFB-9444-D5F6CC571239} - C:\WINDOWS\system32\kkqmp.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SMART Notebook Download Plugin - {67BCF957-85FC-4036-8DC4-D4D80E00A77B} - C:\Program Files\SMART Technologies\Notebook Software\NotebookPlugin.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Street-Ads Browser Enhancer gkqmp - {B3827947-49C7-4EFA-B7C2-341D2E0BCCF5} - C:\WINDOWS\system32\gkqmp.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (file missing)
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (file missing)
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [PersonalAV] C:\Program Files\PersonalAV\pav.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LMgrVolOSD] "C:\Program Files\Launch Manager\OSD.exe"
O4 - HKLM\..\Run: [LMgrOSD] "C:\Program Files\Launch Manager\OSDCtrl.exe"
O4 - HKLM\..\Run: [LaunchAp] "C:\Program Files\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [HotkeyApp] "C:\Program Files\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Wbutton] C:\Program Files\Launch Manager\WButton.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\ie_banner_deny.htm
O9 - Extra button: Statistiques d'Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\SCIEPlgn.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Afficher ou masquer l'HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0FO\adialhk.dll
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\iaantmon.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Service SMART Board (SMART Board Service) - SMART Technologies - C:\Program Files\SMART Technologies\SMART Board Drivers\SMARTBoardService.exe
O23 - Service: SMART SNMP Agent Service - SMART Technologies ULC - C:\Program Files\SMART Technologies\SMART Board Drivers\SMARTSNMPAgent.exe
O23 - Service: Serveur Web SMART (SMART Web Server) - Unknown owner - C:\Program Files\SMART Technologies\SMART Board Drivers\WebServer.exe

anthony5151 · Answer

Bonjour,


Bienvenue sur CCM !
Nous allons essayer de régler ton problème ensemble. D'abord, quelques rappels :

- N'ouvre pas d'autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre)
- N'hésite pas à poser des questions en cas de besoin ;)
- Sois patient(e) quand tu postes un message, je ne réponds pas instantanément : je suis bénévole et je ne suis pas en permanence devant mon ordinateur. Mais rassure toi, je ne laisse jamais tomber personne ;)
- La désinfection (si nécessaire) va se dérouler en plusieurs étapes. Même si les symptômes de l'infection disparaissent, la désinfection ne sera terminée que quand je te le confirmerai --> Merci de revenir jusqu'au bout, sinon ce qu'on a fait n'aura servi à rien.


Commence par utiliser ce logiciel de désinfection stp :

Attention : Le logiciel qui suit peut faire des dégâts en cas de mauvaise utilisation ! Désactive tous tes logiciels de protection avant de l'utiliser.

* Télécharge ComboFix (de sUBs) sur ton Bureau.
* Double-clique sur ComboFix.exe afin de le lancer.
* Si tu es sous Windows XP, il va te demander d'installer la console de récupération : tu dois absolument accepter.
* Ne touche à rien pendant le scan.
* Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Tutoriel officiel de Combofix : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

skacetroll · Answer

bonjour et merci d'avoir accepté de m'aider.
pour une raison que j'ignore, mes réponses ne s'enregistrent pas sur le sujet, peut-être est-ce trop long?
je vais essayer de ne mettre que le rapport de combofix dans mon prochain message.

skacetroll · Answer

ComboFix 10-08-05.06 - Isabelle ROUYER 06/08/2010  14:20:43.1.1 - x86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.1014.696 [GMT 2:00]
Lancé depuis: c:\documents and settings\Isabelle ROUYER\Bureau\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Isabelle ROUYER\Application Data\Sky-Banners
c:\documents and settings\Isabelle ROUYER\Application Data\Sky-Banners\skb\log.xml
c:\documents and settings\Isabelle ROUYER\Application Data\Street-Ads
c:\documents and settings\Isabelle ROUYER\Local Settings\Application Data\Windows Server
c:\documents and settings\Isabelle ROUYER\Local Settings\Application Data\Windows Server\admin.txt
c:\documents and settings\Isabelle ROUYER\Local Settings\Application Data\Windows Server\flags.ini
c:\documents and settings\Isabelle ROUYER\Local Settings\Application Data\Windows Server\server.dat
c:\documents and settings\Isabelle ROUYER\Local Settings\Application Data\Windows Server\uses32.dat
c:\program files\Fichiers communs\Uninstall
c:\program files\Winsudate
c:\windows\system32\AutoRun.inf
c:\windows\system32\drivers\FSC__PI__AMILO Pro Series V8210  __FUJITSU SIEMENS_AMILO Pro Series V8210  __Ver 1.00PARTTBL_PTLTD - 6040000_R01-A0V .MRK
c:\windows\system32\gkqmp.dll
c:\windows\system32\kkqmp.dll

skacetroll · Answer

(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_NDISRD


(((((((((((((((((((((((((((((   Fichiers créés du 2010-07-06 au 2010-08-06  ))))))))))))))))))))))))))))))))))))
.

2010-08-05 15:22 . 2010-08-05 15:22	0	----a-w-	c:\windows
sreg.dat
2010-08-05 15:22 . 2010-08-05 15:22	--------	d-----w-	c:\documents and settings\Isabelle ROUYER\Local Settings\Application Data\Mozilla
2010-08-05 13:06 . 2008-04-14 02:33	116736	----a-w-	c:\windows\system32\dllcache\xrxwiadr.dll
2010-08-05 13:06 . 2001-08-23 15:47	23040	----a-w-	c:\windows\system32\dllcache\xrxwbtmp.dll
2010-08-05 13:06 . 2008-04-14 02:33	18944	----a-w-	c:\windows\system32\dllcache\xrxscnui.dll
2010-08-05 13:06 . 2001-08-23 15:47	27648	----a-w-	c:\windows\system32\dllcache\xrxftplt.exe
2010-08-05 13:06 . 2001-08-23 15:47	4608	----a-w-	c:\windows\system32\dllcache\xrxflnch.exe
2010-08-05 13:06 . 2001-08-23 15:47	99865	----a-w-	c:\windows\system32\dllcache\xlog.exe
2010-08-05 13:06 . 2001-08-17 18:11	16970	----a-w-	c:\windows\system32\dllcache\xem336n5.sys
2010-08-05 13:06 . 2004-08-03 20:29	19455	----a-w-	c:\windows\system32\dllcache\wvchntxx.sys
2010-08-05 13:06 . 2008-04-13 18:46	19200	----a-w-	c:\windows\system32\dllcache\wstcodec.sys
2010-08-05 13:05 . 2004-08-03 20:29	12063	----a-w-	c:\windows\system32\dllcache\wsiintxx.sys
2010-08-05 13:05 . 2008-04-13 18:36	8832	----a-w-	c:\windows\system32\dllcache\wmiacpi.sys
2010-08-05 13:05 . 2004-08-03 20:31	154624	----a-w-	c:\windows\system32\dllcache\wlluc48.sys
2010-08-05 13:05 . 2001-08-23 15:05	35402	----a-w-	c:\windows\system32\dllcache\wlandrv2.sys
2010-08-05 13:05 . 2001-08-17 19:28	771581	----a-w-	c:\windows\system32\dllcache\winacisa.sys
2010-08-05 13:05 . 2001-08-23 15:47	54272	----a-w-	c:\windows\system32\dllcache\wiamsmud.dll
2010-08-05 13:05 . 2001-08-23 15:47	87040	----a-w-	c:\windows\system32\dllcache\wiafbdrv.dll
2010-08-05 13:03 . 2001-08-17 18:14	249402	----a-w-	c:\windows\system32\dllcache\vinwm.sys
2010-08-05 13:03 . 2001-08-17 19:49	24576	----a-w-	c:\windows\system32\dllcache\viairda.sys
2010-08-05 13:03 . 2008-04-14 02:33	54784	----a-w-	c:\windows\system32\dllcache\vfwwdm32.dll
2010-08-05 13:03 . 2001-08-17 19:28	687999	----a-w-	c:\windows\system32\dllcache\usrwdxjs.sys
2010-08-05 13:03 . 2001-08-17 19:28	765884	----a-w-	c:\windows\system32\dllcache\usrti.sys
2010-08-05 13:03 . 2001-08-17 19:28	113762	----a-w-	c:\windows\system32\dllcache\usrpda.sys
2010-08-05 13:03 . 2001-08-17 19:28	7556	----a-w-	c:\windows\system32\dllcache\usroslba.sys
2010-08-05 13:03 . 2001-08-17 19:28	224802	----a-w-	c:\windows\system32\dllcache\usr1807a.sys
2010-08-05 13:03 . 2001-08-17 19:28	794399	----a-w-	c:\windows\system32\dllcache\usr1806v.sys
2010-08-05 13:03 . 2001-08-17 19:28	793598	----a-w-	c:\windows\system32\dllcache\usr1806.sys
2010-08-05 13:03 . 2001-08-17 19:28	794654	----a-w-	c:\windows\system32\dllcache\usr1801.sys
2010-08-05 13:03 . 2008-04-13 18:45	26112	----a-w-	c:\windows\system32\dllcache\usbser.sys
2010-08-05 13:03 . 2008-04-13 18:45	17152	----a-w-	c:\windows\system32\dllcache\usbohci.sys
2010-08-05 13:02 . 2008-04-13 18:45	60032	----a-w-	c:\windows\system32\dllcache\usbaudio.sys
2010-08-05 13:02 . 2004-08-03 22:43	32384	----a-w-	c:\windows\system32\dllcache\usb101et.sys
2010-08-05 13:02 . 2001-08-23 15:47	94720	----a-w-	c:\windows\system32\dllcache\umaxud32.dll
2010-08-05 13:02 . 2001-08-23 15:47	28672	----a-w-	c:\windows\system32\dllcache\umaxu40.dll
2010-08-05 13:02 . 2001-08-23 15:47	27136	----a-w-	c:\windows\system32\dllcache\umaxu22.dll
2010-08-05 13:02 . 2001-08-23 15:47	70144	----a-w-	c:\windows\system32\dllcache\umaxu12.dll
2010-08-05 13:02 . 2001-08-23 15:47	50688	----a-w-	c:\windows\system32\dllcache\umaxscan.dll
2010-08-05 13:02 . 2001-08-17 19:58	22912	----a-w-	c:\windows\system32\dllcache\umaxpcls.sys
2010-08-05 13:02 . 2001-08-23 15:47	50688	----a-w-	c:\windows\system32\dllcache\umaxp60.dll
2010-08-05 13:02 . 2001-08-23 15:47	47616	----a-w-	c:\windows\system32\dllcache\umaxcam.dll
2010-08-05 13:02 . 2001-08-23 15:47	212480	----a-w-	c:\windows\system32\dllcache\um54scan.dll
2010-08-05 13:02 . 2001-08-23 15:47	216576	----a-w-	c:\windows\system32\dllcache\um34scan.dll
2010-08-05 13:01 . 2001-08-17 19:48	11520	----a-w-	c:\windows\system32\dllcache	wotrack.sys
2010-08-05 13:01 . 2001-08-17 18:51	166784	----a-w-	c:\windows\system32\dllcache	ridxpm.sys
2010-08-05 13:01 . 2001-08-23 15:47	525568	----a-w-	c:\windows\system32\dllcache	ridxp.dll
2010-08-05 13:01 . 2001-08-17 18:51	159232	----a-w-	c:\windows\system32\dllcache	ridkbm.sys
2010-08-05 13:01 . 2001-08-23 15:46	440576	----a-w-	c:\windows\system32\dllcache	ridkb.dll
2010-08-05 13:01 . 2001-08-17 18:51	222336	----a-w-	c:\windows\system32\dllcache	rid3dm.sys
2010-08-05 13:01 . 2001-08-23 15:46	315520	----a-w-	c:\windows\system32\dllcache	rid3d.dll
2010-08-05 13:01 . 2001-08-17 18:12	34375	----a-w-	c:\windows\system32\dllcache	pro4.sys
2010-08-05 13:01 . 2001-08-23 15:46	43520	----a-w-	c:\windows\system32\dllcache	p4res.dll
2010-08-05 13:01 . 2008-04-14 02:34	82944	----a-w-	c:\windows\system32\dllcache	p4mon.exe
2010-08-05 13:01 . 2001-08-23 15:47	31744	----a-w-	c:\windows\system32\dllcache	p4.dll
2010-08-05 13:01 . 2001-08-17 20:02	230912	----a-w-	c:\windows\system32\dllcache	osdvd03.sys
2010-08-05 13:00 . 2001-08-17 20:01	241664	----a-w-	c:\windows\system32\dllcache	osdvd02.sys
2010-08-05 13:00 . 2001-08-17 18:10	28232	----a-w-	c:\windows\system32\dllcache	os4mo.sys
2010-08-05 13:00 . 2001-08-17 18:14	123995	----a-w-	c:\windows\system32\dllcache	jisdn.sys
2010-08-05 13:00 . 2001-08-17 18:51	138528	----a-w-	c:\windows\system32\dllcache	giulnt5.sys
2010-08-05 13:00 . 2001-08-23 15:46	81408	----a-w-	c:\windows\system32\dllcache	giul50.dll
2010-08-05 13:00 . 2008-04-13 18:40	149376	----a-w-	c:\windows\system32\dllcache	ffsport.sys
2010-08-05 13:00 . 2001-08-17 18:13	17129	----a-w-	c:\windows\system32\dllcache	dkcd31.sys
2010-08-05 13:00 . 2001-08-17 18:13	37961	----a-w-	c:\windows\system32\dllcache	dk100b.sys
2010-08-05 13:00 . 2001-08-17 19:49	30464	----a-w-	c:\windows\system32\dllcache	batm155.sys
2010-08-05 13:00 . 2001-08-17 19:52	7040	----a-w-	c:\windows\system32\dllcache	andqic.sys
2010-08-05 13:00 . 2001-08-17 18:50	36640	----a-w-	c:\windows\system32\dllcache	2r4mini.sys
2010-08-05 12:58 . 2001-08-17 18:11	48736	----a-w-	c:\windows\system32\dllcache\srwlnd5.sys
2010-08-05 12:58 . 2001-08-23 15:47	99840	----a-w-	c:\windows\system32\dllcache\srusd.dll
2010-08-05 12:58 . 2001-08-23 15:47	24660	----a-w-	c:\windows\system32\dllcache\spxupchk.dll
2010-08-05 12:58 . 2001-08-17 19:51	61824	----a-w-	c:\windows\system32\dllcache\speed.sys
2010-08-05 12:58 . 2001-08-23 15:47	106584	----a-w-	c:\windows\system32\dllcache\spdports.dll
2010-08-05 12:58 . 2001-08-17 19:56	7552	----a-w-	c:\windows\system32\dllcache\sonypvu1.sys
2010-08-05 12:58 . 2001-08-17 18:51	37040	----a-w-	c:\windows\system32\dllcache\sonypi.sys
2010-08-05 12:58 . 2001-08-23 15:47	114688	----a-w-	c:\windows\system32\dllcache\sonypi.dll
2010-08-05 12:58 . 2001-08-17 18:51	20752	----a-w-	c:\windows\system32\dllcache\sonync.sys
2010-08-05 12:58 . 2001-08-17 19:53	9600	----a-w-	c:\windows\system32\dllcache\sonymc.sys
2010-08-05 12:58 . 2008-04-13 18:40	7552	----a-w-	c:\windows\system32\dllcache\sonyait.sys
2010-08-05 12:58 . 2004-08-05 12:00	143422	----a-w-	c:\windows\system32\dllcache\softkey.dll
2010-08-05 12:58 . 2001-08-17 19:53	7040	----a-w-	c:\windows\system32\dllcache\snyaitmc.sys
2010-08-05 12:57 . 2001-08-17 18:51	58368	----a-w-	c:\windows\system32\dllcache\smiminib.sys
2010-08-05 12:57 . 2001-08-23 15:46	147200	----a-w-	c:\windows\system32\dllcache\smidispb.dll
2010-08-05 12:57 . 2001-08-17 18:12	25034	----a-w-	c:\windows\system32\dllcache\smcpwr2n.sys
2010-08-05 12:57 . 2001-08-23 15:21	36937	----a-w-	c:\windows\system32\dllcache\smcirda.sys
2010-08-05 12:57 . 2001-08-17 18:12	24576	----a-w-	c:\windows\system32\dllcache\smc8000n.sys
2010-08-05 12:57 . 2001-08-17 19:57	6784	----a-w-	c:\windows\system32\dllcache\smbhc.sys
2010-08-05 12:57 . 2008-04-13 18:36	6912	----a-w-	c:\windows\system32\dllcache\smbclass.sys
2010-08-05 12:57 . 2008-04-13 18:36	16000	----a-w-	c:\windows\system32\dllcache\smbbatt.sys
2010-08-05 12:57 . 2001-08-23 15:47	45568	----a-w-	c:\windows\system32\dllcache\smb3w.dll
2010-08-05 12:57 . 2001-08-23 15:47	33792	----a-w-	c:\windows\system32\dllcache\smb0w.dll
2010-08-05 12:57 . 2001-08-23 15:47	28672	----a-w-	c:\windows\system32\dllcache\sma0w.dll
2010-08-05 12:57 . 2001-08-23 15:47	28160	----a-w-	c:\windows\system32\dllcache\sm91w.dll
2010-08-05 12:55 . 2001-08-23 15:21	161664	----a-w-	c:\windows\system32\dllcache\sgsmusb.sys
2010-08-05 12:55 . 2001-07-21 20:29	18400	----a-w-	c:\windows\system32\dllcache\sgsmld.sys
2010-08-05 12:55 . 2001-08-17 18:51	98080	----a-w-	c:\windows\system32\dllcache\sgiulnt5.sys
2010-08-05 12:55 . 2001-08-23 15:46	386560	----a-w-	c:\windows\system32\dllcache\sgiul50.dll
2010-08-05 12:55 . 2001-08-17 18:19	36480	----a-w-	c:\windows\system32\dllcache\sfmanm.sys
2010-08-05 12:55 . 2001-08-23 15:20	6912	----a-w-	c:\windows\system32\dllcache\serscan.sys
2010-08-05 12:55 . 2001-08-23 15:20	18432	----a-w-	c:\windows\system32\dllcache\sermouse.sys
2010-08-05 12:55 . 2001-08-17 19:53	6912	----a-w-	c:\windows\system32\dllcache\seaddsmc.sys
2010-08-05 12:55 . 2008-04-13 18:45	11520	----a-w-	c:\windows\system32\dllcache\scsiscan.sys
2010-08-05 12:55 . 2001-08-17 19:52	11648	----a-w-	c:\windows\system32\dllcache\scsiprnt.sys
2010-08-05 12:55 . 2001-08-23 15:20	17536	----a-w-	c:\windows\system32\dllcache\scr111.sys
2010-08-05 12:55 . 2001-08-23 15:20	16768	----a-w-	c:\windows\system32\dllcache\scmstcs.sys
2010-08-05 12:53 . 2001-08-23 15:46	182272	----a-w-	c:\windows\system32\dllcache\s3mt3d.dll
2010-08-05 12:52 . 2001-08-23 15:18	715530	----a-w-	c:\windows\system32\dllcache2mdmkxx.sys
2010-08-05 12:52 . 2001-08-23 15:18	899914	----a-w-	c:\windows\system32\dllcache2mdkxga.sys
2010-08-05 12:52 . 2001-08-23 15:47	41984	----a-w-	c:\windows\system32\dllcache\qvusd.dll
2010-08-05 12:52 . 2001-08-17 19:53	3328	----a-w-	c:\windows\system32\dllcache\qv2kux.sys
2010-08-05 12:52 . 2008-04-13 18:40	6016	----a-w-	c:\windows\system32\dllcache\qic157.sys
2010-08-05 12:52 . 2001-08-17 19:28	130942	----a-w-	c:\windows\system32\dllcache\ptserlv.sys
2010-08-05 12:52 . 2001-08-17 19:28	112574	----a-w-	c:\windows\system32\dllcache\ptserlp.sys
2010-08-05 12:52 . 2001-08-17 19:28	128286	----a-w-	c:\windows\system32\dllcache\ptserli.sys
2010-08-05 12:52 . 2008-04-14 02:33	159232	----a-w-	c:\windows\system32\dllcache\ptpusd.dll
2010-08-05 12:52 . 2001-08-23 15:47	5632	----a-w-	c:\windows\system32\dllcache\ptpusb.dll
2010-08-05 12:50 . 2008-04-14 02:32	259328	----a-w-	c:\windows\system32\dllcache\perm3dd.dll
2010-08-05 12:49 . 2001-08-23 15:47	20480	----a-w-	c:\windows\system32\dllcache\ovcomc.dll
2010-08-05 12:49 . 2001-08-17 20:05	351616	----a-w-	c:\windows\system32\dllcache\ovcodek2.sys
2010-08-05 12:49 . 2001-08-23 15:47	116736	----a-w-	c:\windows\system32\dllcache\ovcodec2.dll
2010-08-05 12:49 . 2001-08-17 20:05	31872	----a-w-	c:\windows\system32\dllcache\ovce.sys
2010-08-05 12:49 . 2001-08-17 20:05	28032	----a-w-	c:\windows\system32\dllcache\ovcd.sys
2010-08-05 12:49 . 2001-08-17 20:05	48000	----a-w-	c:\windows\system32\dllcache\ovcam2.sys
2010-08-05 12:49 . 2001-08-17 20:05	25088	----a-w-	c:\windows\system32\dllcache\ovca.sys
2010-08-05 12:49 . 2001-08-23 15:15	54954	----a-w-	c:\windows\system32\dllcache\otcsercb.sys
2010-08-05 12:49 . 2001-08-23 15:15	44297	----a-w-	c:\windows\system32\dllcache\otceth5.sys
2010-08-05 12:49 . 2001-08-17 18:12	27209	----a-w-	c:\windows\system32\dllcache\otc06x5.sys

.

skacetroll · Answer

((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-06 12:28 . 2008-01-07 07:58	1579808	--sha-w-	c:\windows\system32\drivers\fidbox2.dat
2010-08-06 12:28 . 2008-01-07 07:58	71954208	--sha-w-	c:\windows\system32\drivers\fidbox.dat
2010-08-06 12:26 . 2008-01-07 07:58	965720	--sha-w-	c:\windows\system32\drivers\fidbox.idx
2010-08-06 12:26 . 2008-01-07 07:58	149132	--sha-w-	c:\windows\system32\drivers\fidbox2.idx
2010-08-06 11:36 . 2008-01-07 07:58	--------	d-----w-	c:\documents and settings\All Users\Application Data\Kaspersky Lab
2010-08-02 18:51 . 2010-07-23 18:51	456200	----a-w-	c:\documents and settings\Isabelle ROUYER\Application Data\Real\Update\setup3.12\setup.exe
2010-08-02 16:41 . 2010-08-02 16:40	27190768	----a-w-	c:\documents and settings\Isabelle ROUYER\Application Data\Real\Update\setup3.12p\RealPlayerSPGold_fr.exe
2010-08-02 16:40 . 2010-08-02 16:40	220272	----a-w-	c:\documents and settings\Isabelle ROUYER\Application Data\Real\Update\setup3.12\gtb\GOOGLE_TOOLBAR\GoogleToolbarInstaller.exe
2010-08-02 16:40 . 2010-08-02 16:40	149000	----a-w-	c:\documents and settings\Isabelle ROUYER\Application Data\Real\Update\setup3.12\chr_helper\LaunchHelper.exe
2010-08-02 16:40 . 2010-08-02 16:40	13407072	----a-w-	c:\documents and settings\Isabelle ROUYER\Application Data\Real\Update\setup3.12\chr\ChromeInstaller.exe
2010-08-02 16:39 . 2010-08-02 16:39	79368	----a-w-	c:\documents and settings\Isabelle ROUYER\Application Data\Real\Update\setup3.12\RUP\vista.exe
2010-08-02 16:39 . 2010-08-02 16:39	73344	----a-w-	c:\documents and settings\Isabelle ROUYER\Application Data\Real\Update\setup3.12\RUP\inst_config\gtapi_v6.dll
2010-08-02 16:39 . 2010-08-02 16:39	64000	----a-w-	c:\documents and settings\Isabelle ROUYER\Application Data\Real\Update\setup3.12\RUP\inst_config\gcapi_dll.dll
2010-08-02 16:39 . 2010-08-02 16:39	52288	----a-w-	c:\documents and settings\Isabelle ROUYER\Application Data\Real\Update\setup3.12\RUP\inst_config\gtapi.dll
2010-08-02 16:39 . 2010-08-02 16:39	122880	----a-w-	c:\documents and settings\Isabelle ROUYER\Application Data\Real\Update\setup3.12\RUP\inst_config\compat.dll
2010-07-30 18:03 . 2008-01-07 07:58	97549	----a-w-	c:\windows\system32\drivers\klick.dat
2010-07-30 18:03 . 2008-01-07 07:58	113933	----a-w-	c:\windows\system32\drivers\klin.dat
2010-07-04 14:00 . 2007-08-02 13:22	--------	d-----w-	c:\documents and settings\Isabelle ROUYER\Application Data\U3
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"SMSERIAL"="sm56hlpr.exe" [2006-01-20 544768]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"RTHDCPL"="RTHDCPL.EXE" [2006-07-21 16261632]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-09-01 282624]
"PinnacleDriverCheck"="c:\windows\system32\PSDrvCheck.exe" [2003-12-04 406016]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"LaunchAp"="c:\program files\Launch Manager\LaunchAp.exe" [2005-07-25 32768]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2006-03-23 118784]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2006-03-23 77824]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2005-10-12 139264]
"HotkeyApp"="c:\program files\Launch Manager\HotkeyApp.exe" [2006-04-19 65536]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2006-05-04 86016]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OBealsched.exe" [2008-07-05 185896]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-04-21 761946]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2006-03-23 94208]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe" [2008-09-06 211568]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Assistant d'Acrobat.lnk - c:\program files\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-5-15 217193]
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-3-11 210520]
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Readereader_sl.exe [2005-9-23 29696]
SMART Board Tools.lnk - c:\program files\SMART Technologies\SMART Board Drivers\SMARTBoardTools.exe [2009-4-8 9723904]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	\0

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqste08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hposid01.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqpsapp.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqpse.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqusgm.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqusgh.exe"=
"c:\Program Files\HP\HP Software Update\hpwucli.exe"=
"c:\Program Files\HP\Digital Imaging\smart web printing\SmartWebPrintExe.exe"=
"c:\Program Files\SMART Technologies\SMART Board Drivers\SMARTSNMPAgent.exe"=
"c:\Program Files\SMART Technologies\SMART Board Drivers\UCService.exe"=

R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [04/04/2007 15:58 24344]
S1 mailKmd;mailKmd; [x]
S3 SMART SNMP Agent Service;SMART SNMP Agent Service;c:\program files\SMART Technologies\SMART Board Drivers\SMARTSNMPAgent.exe [15/04/2009 16:30 1048576]
S3 SMART Web Server;Serveur Web SMART;c:\program files\SMART Technologies\SMART Board Drivers\WebServer.exe [15/04/2009 16:27 1236992]

skacetroll · Answer

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - ynsufsej

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
.
Contenu du dossier 'Tâches planifiées'

2010-08-03 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2006-08-29 12:21]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
FF - ProfilePath - c:\documents and settings\Isabelle ROUYER\Application Data\Mozilla\Firefox\Profiles\63jk1h7q.default\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size",  4096);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{551C12F7-8FD6-4EFB-9444-D5F6CC571239} - c:\windows\system32\kkqmp.dll
BHO-{B3827947-49C7-4EFA-B7C2-341D2E0BCCF5} - c:\windows\system32\gkqmp.dll
HKCU-Run-WinUsr - c:\program files\Winsudate\gibusr.exe
HKCU-Run-swg - c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
HKLM-Run-CtrlVol - c:\program files\Launch Manager\CtrlVol.exe
HKLM-Run-PersonalAV - c:\program files\PersonalAV\pav.exe
HKLM-Run-LMgrVolOSD - c:\program files\Launch Manager\OSD.exe
HKLM-Run-LMgrOSD - c:\program files\Launch Manager\OSDCtrl.exe
HKLM-Run-sta - kkqmp.dll
HKLM-Run-IPSetup - d:\ipoint\Setup.exe
Notify-OdysseyClient - (no file)
AddRemove-$NtUninstallMTF1011$ - c:\windows\$NtUninstallMTF1011$\apUninstall.exe
AddRemove-EPSON Scanner - c:\program files\epson\escndv\setup\setup.exe
AddRemove-ESPRX420 Reference Guide - c:\program files\EPSON\TPMANUAL\ESPRX420\REF_G\DOCUNINS.EXE
AddRemove-ESPRX420 Software Guide - c:\program files\EPSON\TPMANUAL\ESPRX420\PQU_G\DOCUNINS.EXE
AddRemove-HijackThis - e:\loginstal\HijackThis.exe
AddRemove-Homophones - c:\documents and settings\Isabelle ROUYER\Mes documents\Nouveau dossier (6)\desinst_homophones.exe
AddRemove-KB971737 - c:\windows\$NtUninstallKB971737$\spuninst\spunins.exe
AddRemove-Unlocker - c:\unlocker\uninst.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-08-06 14:28
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  CtrlVol = c:\program files\Launch Manager\CtrlVol.exe?????\??????|x??|????q??|?j?wQj?w????????,??? ???????????????d??????|????????p?????@?????????0y?w???????????????sx??s@??????????????|h??st??????????s?????????????????C?sc"?sx??s???????w??@?N'?s<@?? :@?H@????????? 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

skacetroll · Answer

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ynsufsej]

.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€-€|ÿÿÿÿÀ*€|ù*9~*]
"C040110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(1328)
c:\windows\system32\klogon.dll

- - - - - - - > 'explorer.exe'(2632)
c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\scrchpg.dll
c:\windows\system32\WPDShServiceObj.dll
c:\program files\ArcSoft\PhotoImpression 5\share\pihook.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\sm56hlpr.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32undll32.exe
c:\program files\Intel\Intel Matrix Storage Manager\iaantmon.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\program files\SMART Technologies\SMART Board Drivers\Aware.exe
c:\program files\SMART Technologies\SMART Board Drivers\Marker.exe
c:\program files\SMART Technologies\SMART Board Drivers\SMARTBoardService.exe
c:\program files\Launch Manager\WLBTTray.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\HP\Digital Imaging\bin\hpqSTE08.exe
c:\windows\system32\wscntfy.exe
c:\program files\Java\jre6\bin\jucheck.exe
.
**************************************************************************
.
Heure de fin: 2010-08-06  14:39:08 - La machine a redémarré
ComboFix-quarantined-files.txt  2010-08-06 12:39

Avant-CF: 33 066 770 432 octets libres
Après-CF: 33 043 116 032 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

- - End Of File - - A82CB2368D716770DF588DA6D14C63AA

skacetroll · Answer

sinon, j'ai refait un scan avec kaspersky. voilà le résultat:

supprimé : cheval de Troie Trojan-Downloader.NSIS.Agent.gs
	
Le fichier: C:\System Volume Information\_restore{087F157E-23FB-4616-898C-D065FEFCA634}\RP1\A0000005.exe//data0001

on dirait que c'est le responsable de la tentative de téléchargement régulière!

anthony5151 · Answer

Pour faciliter la lecture des longs rapports : rends toi sur cijoint.fr et dépose le rapport de Combofix sur le site (c:\Combofix.txt). Fais un copié/collé du lien proposé par le site et dépose le dans ta prochaine réponse ici.

Tutoriel pour t'aider ici (merci à crapoulou).

skacetroll · Answer

http://www.cijoint.fr/cjlink.php?file=cj201008/cijvflx0Q2.txt

voilà, j'espère que c'est bon.

anthony5151 · Answer

Bien :)
Ce script va supprimer des éléments néfastes :

* Télécharge TheAvenger (de Swandog46) sur le Bureau --> Lance le --> Un avertissement en anglais va s'afficher concernant la dangerosité de cet outil --> lis le et clique sur OK. 
* Copie/colle le script suivant dans le cadre « Input script here » de The Avenger :

Drivers to delete:
mailKmd
ynsufsej

Files to delete:
C:\Windows\System32\drivers\ynsufsej.sys

* Vérifie que la case « Scan for rootkits » est cochée et que « Automatically disable any rootkits found » est décochée, puis clique sur Execute. Ne touche à rien pendant que le programme travaille !
* A la fin, il te demandera de redémarrer ("reboot"), accepte en cliquant sur Oui. Pendant le redémarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le Bureau, ceci est normal.
* Après le redémarrage, un rapport va s'ouvrir (il est aussi sauvegardé ici : C:\avenger.txt) --> Copie/colle ce rapport dans ta prochaine réponse stp. 



Ensuite, fais redémarrer ton ordinateur et utilise ce logiciel de désinfection généraliste stp :

* Télécharge et installe Malwarebytes' Anti-Malware
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
* A la fin de l'analyse, clique sur Afficher les résultats
* Coche tous les éléments  détectés puis clique sur Supprimer la sélection
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Poste dans ta prochaine réponse le rapport apparaissant après la suppression stp

skacetroll · Answer

ok, voilà comment je m'y suis pris.
pour avenger, j'ai fait exactement ce que tu m'a dit.
Pour malwarebytes', je l'avais déjà mais impossible de le mettre à jour. Voilà le message: 

Une erreur est survenue. Veuillez transmettre au support de Malwarebytes' Anti-Malware le code d'erreur ci-dessous. 
Error code: 732 (0, 0)

J'ai donc fait un premier scan avec ma version puis j'ai télécharger la nouvelle et refait un scan avec.
J'ai donc trois rapports (1 avenger et 2 Malwarebytes') que je te fais suivre.

skacetroll · Answer

Malwarebytes' Anti-Malware 1.39
Version de la base de données: 2476
Windows 5.1.2600 Service Pack 3

07/08/2010 16:09:56
mbam-log-2010-08-07 (16-09-56).txt

Type de recherche: Examen rapide
Eléments examinés: 95669
Temps écoulé: 4 minute(s), 37 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\isabelle rouyer\Bureau\avenger.exe (Trojan.Agnet) -> Quarantined and deleted successfully.

skacetroll · Answer

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4402

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

07/08/2010 16:25:51
mbam-log-2010-08-07 (16-25-51).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 142341
Temps écoulé: 7 minute(s), 9 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\AppID\{84c3c236-f588-4c93-84f4-147b2abbe67b} (Adware.Adrotator) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{38061edc-40bb-4618-a8da-e56353347e6d} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{7b6a2552-e65b-4a9e-add4-c45577ffd8fd} (Adware.EZLife) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Sky-Banners (Adware.Adrotator) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Sky-Banners (Adware.Adrotator) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

skacetroll · Answer

je découvre en même temps qu'il a considéré avenger comme un virus et a tout viré... je n'ai donc plus le rapport...
Par contre, je peux te dire que ce dernier disait que les actions demandées avaient été effectuées avec succès.
Une autre bonne nouvelle, je n'ai plus la tentative de téléchargement du trojan depuis que kaspersky a viré le fichier trouvé hier. (cf. message du 6 août à 15h44)

anthony5151 · Answer

Oui il a supprimé The Avenger, c'est évidemment un faux-positif. Mais le rapport doit toujours être enregistré sur le disque C, peux-tu le poster stp ?


Ensuite, utilise ce logiciel de diagnostic :

* Télécharge ZHPDiag (de Nicolas Coolman)
* Laisse toi guider lors de l'installation
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

skacetroll · Answer

j'ai eu beau chercher partout, impossible de retrouver le rapport d'avenger.

Sinon, voici le rapport de ZHPDiag:

http://www.cijoint.fr/cjlink.php?file=cj201008/cij08TJq4V.txt

anthony5151 · Answer

Ok, tant pis pour le rapport, de toute façon ça a l'air d'être bon :)
Ce script va cibler des restes à supprimer :

* Lance ZHPFix à partir du raccourci sur ton Bureau
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Copie/colle les lignes suivantes et place les dans ZHPFix :

O64 - Services: CurCS - (.not file.) - ynsufsej (ynsufsej)  .(.Pas de propriétaire - Pas de description.) - LEGACY_YNSUFSEJ
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified  
O42 - Logiciel: J2SE Runtime Environment 5.0 Update 7 - (.Sun Microsystems, Inc..) [HKLM]    

* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse


Ensuite, fais redémarrer ton ordinateur et poste un dernier rapport ZHPDiag, je vais te donner les conseils de finition après ça

skacetroll · Answer

ok, alors voilà le rapport de ZHPFix:

Rapport de ZHPFix v1.12.3133 par Nicolas Coolman, Update du 02/08/2010
Fichier d'export Registre : C:\ZHPExportRegistry-08-08-2010-14-45-35.txt
Run by Isabelle ROUYER at 08/08/2010 14:45:35
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O64 - Services: CurCS - (.not file.) - ynsufsej (ynsufsej) .(.Pas de propriétaire - Pas de description.) - LEGACY_YNSUFSEJ  => Clé supprimée avec succès

========== Elément(s) de donnée du Registre ==========
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified  => Donnée supprimée avec succès

========== Logiciel(s) ==========
O42 - Logiciel: J2SE Runtime Environment 5.0 Update 7 - (.Sun Microsystems, Inc..) [HKLM]  => Logiciel supprimé avec succès


========== Récapitulatif ==========
1 : Clé(s) du Registre
1 : Elément(s) de donnée du Registre
1 : Logiciel(s)


End of the scan

je m'occupe de Diag et je te donne le rapport juste après.

skacetroll · Answer

et voilà le rapport ZHPDiag.

http://www.cijoint.fr/cjlink.php?file=cj201008/cij7YhPXZH.txt

skacetroll · Answer

par contre, depuis que j'ai utilisé ZHPFix, windows dit que je n'ai pas d'antivirus. Or kaspersky est en fonctionnement! J'ai redémarré pour voir... rien de changé. C'est peut-être rien, d'autant que je ne sais pas s'il reconnaissait kaspersky avant mais bon, je préfère tout dire!

anthony5151 · Answer

Voici les conseils de finition :


1) Sécurise ton ordinateur 

* Logiciels de protection : 
Garde un antivirus (Kaspersky dans ton cas) et en complément, garde MalwareBytes Anti-Malware pour faire des scans de vérification de temps en temps. Ni plus, ni moins.

* Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur Firefox. Une fois que c'est fait, lance le et installe les deux extensions de sécurité suivantes :
AdBlockPlus pour bloquer les publicités ;
WOT, pour t'avertir des sites web dangereux.

* Internet Explorer n'est pas à jour, c'est une faille de sécurité !
Menu démarrer --> Windows update --> recherche et installe toutes les mises à jour importantes. Si Internet Explorer n'y est pas, télécharge et installe IE 8 depuis ce lien : IE 8

* Java n'est pas à jour, c'est une faille de sécurité.
Il faut d'abord désinstaller l'ancienne version : Ouvre le menu démarrer --> panneau de configuration --> ajout/suppression de programmes --> sélectionne toutes les versions de java présentes et désinstalle les.
Ensuite, télécharge et installe la nouvelle version depuis le site officiel de java (n'installe pas la barre d'outil proposée lors de l'installation)

* Adobe Reader n'est pas à jour, c'est une faille de sécurité. Désinstalle le en allant dans menu démarrer --> panneau de configuration --> ajout/suppression de programmes. Puis télécharge et installe la nouvelle version (tu peux décocher le programme qui est proposé en option lors du téléchargement).

* Pour les mêmes raisons, mets à jour Flash Player : Ferme ton navigateur, puis désinstalle Adobe Flash Player 10 ActiveX et Adobe Flash Player 10 Plugin. Ensuite, utilise ces deux liens pour installer la dernière version : Celui-ci pour l'ActiveX et celui-ci pour le plugin.

* Pour vérifier régulièrement que tous tes programmes sont bien à jour, tu peux t'aider de ce petit programme (décoche « run at startup » lors de l'installation) : Update Checker (attention, les liens proposés ne correspondent pas toujours à la version française des programmes, il faut parfois les chercher manuellement)

* Vaccine tes disques amovibles à l'aide de USBFix (de Chiquitine29 et C_XX) --> lance l'installation avec les paramètres par défaut --> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3, appareils photos numériques etc...) sans les ouvrir --> Double clique sur le raccourci USBFix sur ton Bureau --> Au menu principal, choisis l'option 3 (Vaccination).



2) Optimisation : 

* Télécharge Ccleaner. Installe le et lance le.
Clique sur Nettoyeur --> Analyse --> Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Enfin, Registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

* Pour limiter le nombre de programmes qui se lancent automatiquement au démarrage, clique sur Outils --> Démarrage --> Sélectionne les lignes suivantes et clique sur "Désactiver" : RTHDCPL / QuickTime Task / NeroFilterCheck / igfxpers / igfxtray / ctfmon.exe / Lancement rapide d'Adobe Reader / Assistant d'Acrobat / WinZip Quick Pick / Adobe Reader Speed Launcher / Adobe ARM

* Télécharge Defraggler. Installe le (décoche l'installation de la barre d'outil Yahoo qui est proposée lors de l'installation) puis lance le. Ferme tous tes autres programmes, sélectionne ton disque dur et clique sur "Défragmentation rapide".



3) Il faut supprimer tous les outils que nous avons utilisés : Lance ZHPFix --> clique sur le « A » rouge (Nettoyeur de Tools) --> clique sur « Nettoyer »
Tutoriel pour t'aider



4) Pour terminer le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration infectés). Pour ça, suis ce tutoriel stp.



5) Prévention : Je te conseille vivement de lire cet article qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile) : Prévention et sécurité sur internet



6) Précautions Pour finir, je t'invite à changer tous tes mots de passe importants (banque, ebay, paypal...), car certaines infections les récupèrent... De même, fais régulièrement une sauvegarde de tes documents importants sur un support externe (disque dur externe, CD/DVD réinscriptible...) 
Ici, nous avons pu désinfecter ton ordinateur, mais ce n'est pas toujours le cas. Certaines infections cryptent les documents et demandent une rançon pour les récupérer, d'autres les modifient pour diffuser des infections, obligeant donc à les effacer... Il faut donc toujours avoir une sauvegarde saine de tes documents, sinon tu risques de les perdre. 




Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin ;)

skacetroll · Answer

cool. Merci infiniment pour ton aide. J'ai tout fait point par point!
Par contre, le centre sécurité de windows continu de dire que mon antivirus est introuvable alors que kaspersky fonctionne! Qu'en penses-tu?
Sinon, est-ce raisonnable de laisser visible toutes les infos personnelles sur ce sujet?
Encore merci pour tout.

anthony5151 · Answer

De rien ;)
Le centre de sécurité Windows fait parfois ce genre d'erreur, ce n'est pas grave. L'important, c'est que Kaspersky soit bel et bien activé.
Les rapports ne contiennent pas vraiment d'informations personnelles (à part ton nom). De toute façon, ils ne sont conservés que 1 mois sur le site cijoint.fr, après ça tout sera effacé

Problème de virus

24 réponses

Votre réponse

Discussions similaires

Newsletters