Sujet Précédent Sujet Suivant

CHEVAL DE TROIE TR/Crypt.ZPACK.Gen et autres

Fermé
bambounath13 Messages postés 8 Date d'inscription lundi 16 août 2010 Statut Membre Dernière intervention 20 août 2010 - 16 août 2010 à 22:28
 Utilisateur anonyme - 22 août 2010 à 21:03
Bonjour,

Bonjour,

Avira m'a détecté des Trojans qui empechent mon pc de tourner normalement. Les fichiers sont en quarantaine, mais sont indispensables pour le démarrage... Qui voudrait bien voir mon rapport avira ci dessous ??


Voici le rapport d'Avira


Avira AntiVir Personal
Date de création du fichier de rapport : lundi 16 août 2010 17:37

La recherche porte sur 2715134 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows Vista
Version de Windows : (Service Pack 2) [6.0.6002]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : PC-DE-NATHALIE

Informations de version :
BUILD.DAT : 9.0.0.77 21698 Bytes 09/06/2010 12:01:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13/10/2009 10:25:46
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 06:35:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 21:59:08
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 21:59:13
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 21:59:15
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 21:59:17
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 21:59:20
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02/06/2010 21:59:23
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23/07/2010 19:07:05
VBASE008.VDF : 7.10.9.166 2048 Bytes 23/07/2010 19:07:05
VBASE009.VDF : 7.10.9.167 2048 Bytes 23/07/2010 19:07:05
VBASE010.VDF : 7.10.9.168 2048 Bytes 23/07/2010 19:07:05
VBASE011.VDF : 7.10.9.169 2048 Bytes 23/07/2010 19:07:06
VBASE012.VDF : 7.10.9.170 2048 Bytes 23/07/2010 19:07:06
VBASE013.VDF : 7.10.9.198 157696 Bytes 26/07/2010 16:25:44
VBASE014.VDF : 7.10.9.255 997888 Bytes 29/07/2010 18:53:34
VBASE015.VDF : 7.10.10.28 139264 Bytes 02/08/2010 15:08:03
VBASE016.VDF : 7.10.10.52 127488 Bytes 03/08/2010 15:34:18
VBASE017.VDF : 7.10.10.84 137728 Bytes 06/08/2010 17:04:58
VBASE018.VDF : 7.10.10.107 176640 Bytes 09/08/2010 17:04:59
VBASE019.VDF : 7.10.10.130 132608 Bytes 10/08/2010 17:05:00
VBASE020.VDF : 7.10.10.158 131072 Bytes 12/08/2010 17:05:00
VBASE021.VDF : 7.10.10.159 2048 Bytes 12/08/2010 17:05:01
VBASE022.VDF : 7.10.10.160 2048 Bytes 12/08/2010 17:05:01
VBASE023.VDF : 7.10.10.161 2048 Bytes 12/08/2010 17:05:01
VBASE024.VDF : 7.10.10.162 2048 Bytes 12/08/2010 17:05:02
VBASE025.VDF : 7.10.10.163 2048 Bytes 12/08/2010 17:05:02
VBASE026.VDF : 7.10.10.164 2048 Bytes 12/08/2010 17:05:02
VBASE027.VDF : 7.10.10.165 2048 Bytes 12/08/2010 17:05:03
VBASE028.VDF : 7.10.10.166 2048 Bytes 12/08/2010 17:05:03
VBASE029.VDF : 7.10.10.167 2048 Bytes 12/08/2010 17:05:03
VBASE030.VDF : 7.10.10.168 2048 Bytes 12/08/2010 17:05:04
VBASE031.VDF : 7.10.10.182 49664 Bytes 13/08/2010 17:05:04
Version du moteur : 8.2.4.34
AEVDF.DLL : 8.1.2.1 106868 Bytes 29/07/2010 18:56:39
AESCRIPT.DLL : 8.1.3.42 1364347 Bytes 29/07/2010 18:56:36
AESCN.DLL : 8.1.6.1 127347 Bytes 02/07/2010 21:59:34
AESBX.DLL : 8.1.3.1 254324 Bytes 02/07/2010 21:59:36
AERDL.DLL : 8.1.8.2 614772 Bytes 21/07/2010 18:59:37
AEPACK.DLL : 8.2.3.5 471412 Bytes 15/08/2010 17:05:08
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 21/07/2010 18:59:34
AEHEUR.DLL : 8.1.2.11 2834805 Bytes 15/08/2010 17:05:07
AEHELP.DLL : 8.1.13.2 242039 Bytes 21/07/2010 18:59:28
AEGEN.DLL : 8.1.3.19 393587 Bytes 15/08/2010 17:05:05
AEEMU.DLL : 8.1.2.0 393588 Bytes 02/07/2010 21:59:31
AECORE.DLL : 8.1.16.2 192887 Bytes 21/07/2010 18:59:26
AEBB.DLL : 8.1.1.0 53618 Bytes 02/07/2010 21:59:30
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 26/08/2009 14:13:31
AVREP.DLL : 8.0.0.7 159784 Bytes 02/07/2010 21:59:36
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 12:44:26
RCTEXT.DLL : 9.0.73.0 88321 Bytes 02/11/2009 15:58:32

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen

Début de la recherche : lundi 16 août 2010 17:37

La recherche d'objets cachés commence.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\papeowew\type
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\papeowew\start
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\papeowew\errorcontrol
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\papeowew\group
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\papeowew\o0p6nj6l7
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\papeowew\sm6f8m
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\papeowew\wv8u4xf2
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\tojnpn\type
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\tojnpn\start
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\tojnpn\errorcontrol
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\tojnpn\group
[INFO] L'entrée d'enregistrement n'est pas visible.
'105475' objets ont été contrôlés, '11' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'memdefrag.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mbam.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'acp2HID.exe' - '1' module(s) sont contrôlés
Processus de recherche 'VC.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SpTNA.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RtkBtMnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'eRAgent.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Acer.Empowering.Framework.Supervisor.ex' - '1' module(s) sont contrôlés
Processus de recherche 'ePower_DMC.exe' - '1' module(s) sont contrôlés
Processus de recherche 'eNMTray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'BTTray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AcerVCM.exe' - '1' module(s) sont contrôlés
Processus de recherche '9props.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sidebar.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PdtWzd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LManager.exe' - '1' module(s) sont contrôlés
Processus de recherche 'eDSLoader.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PDVDServ.exe' - '1' module(s) sont contrôlés
Processus de recherche 'atchk.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RtHDVCpl.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SynTPEnh.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'unsecapp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WmiPrvSE.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WmiPrvSE.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ePowerSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'capuserv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'eRecoveryService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'XAudio.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SearchIndexer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'UNS.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'dwm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RichVideo.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'o2flash.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MobilityService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LMS.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LSSrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'IFXTCS.exe' - '1' module(s) sont contrôlés
Processus de recherche 'IFXSPMGT.exe' - '1' module(s) sont contrôlés
Processus de recherche 'eNet Service.exe' - '1' module(s) sont contrôlés
Processus de recherche 'eLockServ.exe' - '1' module(s) sont contrôlés
Processus de recherche 'eDSService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'atchksrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ALaunchSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CompPtcVUI.exe' - '1' module(s) sont contrôlés
Processus de recherche 'upeksvr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SLsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'audiodg.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'83' processus ont été contrôlés avec '83' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '70' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <ACER>
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Windows\System32\drivers\papeowew.sys
[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\Windows\System32\drivers\sptd.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\Windows\System32\drivers\tojnpn.sys
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Krap.B.56228
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
Recherche débutant dans 'D:\' <DATA>

Début de la désinfection :
C:\Windows\System32\drivers\papeowew.sys
[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004
[AVERTISSEMENT] Impossible de trouver le fichier source.
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[AVERTISSEMENT] Erreur dans la bibliothèque ARK
[AVERTISSEMENT] Impossible de repérer le fichier pour sa suppression après le redémarrage. Cause possible : Un périphérique attaché au système ne fonctionne pas correctement.

C:\Windows\System32\drivers\tojnpn.sys
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Krap.B.56228
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004
[AVERTISSEMENT] Impossible de trouver le fichier source.
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[AVERTISSEMENT] Erreur dans la bibliothèque ARK
[AVERTISSEMENT] Impossible de repérer le fichier pour sa suppression après le redémarrage. Cause possible : Un périphérique attaché au système ne fonctionne pas correctement.



Fin de la recherche : lundi 16 août 2010 22:03
Temps nécessaire: 4:17:55 Heure(s)

La recherche a été effectuée intégralement

22852 Les répertoires ont été contrôlés
621416 Des fichiers ont été contrôlés
2 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
0 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
4 Impossible de contrôler des fichiers
621410 Fichiers non infectés
7262 Les archives ont été contrôlées
4 Avertissements
3 Consignes
105475 Des objets ont été contrôlés lors du Rootkitscan
11 Des objets cachés ont été trouvés


Je peux transmettre également le rapport de rsi tools

MERCI BEAUCOUP


A voir également:

14 réponses

Réponse 1 / 14
Utilisateur anonyme
16 août 2010 à 22:31
Bonsoir

Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Ou ici : https://forospyware.com
>Renomme le pour l'enregistrer sur ton bureau en asdehi (tout simplement pour que l'infection ne le contre pas)
-> Double clique combofix.exe.(ou clic droit sous vista « exécuter en tant que... » )
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

-> Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe ; (ou clic droit sous vista « exécuter en tant que... »)

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.


- Installe le console de récupération comme demandé ;utile en cas de plantage

- Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordinateur

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordinateur (plantage complet)


::Si combofix détecte quelque chose et de demande a redémarrer tu acceptes

@+
0
Réponse 2 / 14
bambounath13 Messages postés 8 Date d'inscription lundi 16 août 2010 Statut Membre Dernière intervention 20 août 2010
17 août 2010 à 21:20
Merci pour ta réponse.
Voila le fichier

ComboFix 10-08-17.01 - nathalie 17/08/2010 20:59:46.1.2 - x86
Microsoft® Windows Vista(TM) Professionnel 6.0.6002.2.1252.33.1036.18.3054.1835 [GMT 2:00]
Lancé depuis: C:\Users\nathalie\Desktop\asdehi.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Acer\AcerTour\Reminder.exe
C:\Microsoft
C:\Microsoft\commonHTMLTypes.xsd
C:\Program Files\GooglePlusVideos
C:\Program Files\GooglePlusVideos\DeploymentHelper.exe
C:\Program Files\GooglePlusVideos\FFExt\chrome.manifest
C:\Program Files\GooglePlusVideos\FFExt\chrome\content\googleplusvideos.xul
C:\Program Files\GooglePlusVideos\FFExt\chrome\content\script-injector.js
C:\Program Files\GooglePlusVideos\FFExt\install.rdf
C:\Program Files\GooglePlusVideos\GooglePlusVideosLicense.txt
C:\Program Files\GooglePlusVideos\GooglePlusVideosXPCOM.dll
C:\Program Files\GooglePlusVideos\GVConfig.ini
C:\Program Files\GooglePlusVideos\IGooglePlusVideosXPCOM.xpt
C:\Program Files\GooglePlusVideos\MFC42U.DLL
C:\Program Files\GooglePlusVideos\Uninstall.bat
C:\Users\nathalie\AppData\Local\Temp\mpengine.dll
C:\Users\nathalie\AppData\Roaming\EurekaLog
C:\Windows\system32\ReadMe.txt

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-07-17 au 2010-08-17 ))))))))))))))))))))))))))))))))))))
.

2010-08-17 19:06:54 . 2010-08-17 19:06:54 -------- d-----w- C:\Users\Default\AppData\Local\temp
2010-08-16 19:05:19 . 2010-08-16 19:06:09 -------- d-----w- C:\Program Files\trend micro
2010-08-16 19:05:09 . 2010-08-16 19:06:27 -------- d-----w- C:\rsit
2010-08-16 15:04:56 . 2010-06-11 16:16:20 274944 ----a-w- C:\Windows\system32\schannel.dll
2010-08-16 15:04:43 . 2010-06-18 17:31:29 36864 ----a-w- C:\Windows\system32\rtutils.dll
2010-08-16 15:04:36 . 2010-06-21 13:37:03 2037760 ----a-w- C:\Windows\system32\win32k.sys
2010-08-16 15:04:05 . 2010-06-08 17:35:03 3600768 ----a-w- C:\Windows\system32\ntkrnlpa.exe
2010-08-16 15:04:04 . 2010-06-08 17:35:04 3548040 ----a-w- C:\Windows\system32\ntoskrnl.exe
2010-08-16 15:04:00 . 2010-06-11 16:15:06 1248768 ----a-w- C:\Windows\system32\msxml3.dll
2010-08-16 15:03:57 . 2010-06-18 15:04:57 302080 ----a-w- C:\Windows\system32\drivers\srv.sys
2010-08-16 15:03:56 . 2010-06-18 15:04:44 144896 ----a-w- C:\Windows\system32\drivers\srv2.sys
2010-08-16 15:02:01 . 2010-06-16 16:04:57 905088 ----a-w- C:\Windows\system32\drivers\tcpip.sys
2010-07-29 19:27:54 . 2008-08-13 09:22:42 974848 ----a-w- C:\Windows\system32\mfc70.dll
2010-07-29 19:27:53 . 2010-07-29 19:52:49 -------- d-----w- C:\Program Files\AVS4YOU
2010-07-29 19:27:53 . 2008-08-13 09:22:42 1700352 ----a-w- C:\Windows\system32\GdiPlus.dll
2010-07-29 19:07:30 . 2010-07-29 19:12:04 -------- d-----w- C:\Users\nathalie\AppData\Local\freecompressor Air
2010-07-29 19:07:24 . 2010-07-29 19:07:30 -------- d-----w- C:\Users\nathalie\AppData\Roaming\freeCompressor
2010-07-29 19:06:51 . 2010-07-29 19:06:51 -------- d-----w- C:\Users\nathalie\AppData\Roaming\FissaSearch
2010-07-29 19:06:39 . 2010-07-29 19:12:24 -------- d-----w- C:\Program Files\FreeCompressor
2010-07-29 19:05:27 . 2010-07-29 19:16:47 -------- d-----w- C:\Users\nathalie\AppData\Roaming\OfferBox

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-17 19:07:34 . 2007-06-23 09:23:07 12 ----a-w- C:\Windows\bthservsdp.dat
2010-08-17 19:00:34 . 2006-11-02 15:47:07 669566 ----a-w- C:\Windows\system32\perfh00C.dat
2010-08-17 19:00:34 . 2006-11-02 15:47:07 123556 ----a-w- C:\Windows\system32\perfc00C.dat
2010-08-17 18:28:22 . 2006-11-02 11:18:33 -------- d-----w- C:\Program Files\Windows Mail
2010-08-17 00:49:32 . 2010-07-02 21:11:56 -------- d-----w- C:\Program Files\Glary Utilities
2010-08-17 00:49:32 . 2008-12-23 20:11:08 -------- d-----w- C:\Users\nathalie\AppData\Roaming\vlc
2010-07-29 19:52:55 . 2008-12-24 14:38:37 -------- d-----w- C:\Program Files\Common Files\AVSMedia
2010-07-29 19:32:44 . 2008-12-24 14:39:03 -------- d-----w- C:\Users\nathalie\AppData\Roaming\AVS4YOU
2010-07-29 18:37:41 . 2009-02-15 15:41:49 -------- d-----w- C:\ProgramData\eMule
2010-07-29 18:37:28 . 2010-07-07 19:07:17 -------- d-----w- C:\Program Files\MaxiMemo
2010-07-23 10:12:54 . 2010-07-23 10:12:54 6656 ----a-w- C:\Users\nathalie\AppData\Roaming\FissaSearch\FissaUninstaller.exe
2010-07-02 21:56:20 . 2010-07-02 21:56:20 -------- d-----w- C:\ProgramData\Avira
2010-07-02 21:56:20 . 2010-07-02 21:56:20 -------- d-----w- C:\Program Files\Avira
2010-07-02 21:40:08 . 2009-02-16 20:11:09 -------- d-----w- C:\Users\nathalie\AppData\Roaming\Azureus
2010-07-02 21:35:38 . 2010-07-02 21:18:49 -------- d-----w- C:\Users\nathalie\AppData\Roaming\GlarySoft
2010-07-01 19:02:12 . 2010-06-30 20:09:09 -------- d-----w- C:\ProgramData\Lavasoft
2010-06-30 20:59:58 . 2010-06-30 20:41:53 -------- d-----w- C:\Program Files\VS Revo Group
2010-06-30 20:57:21 . 2008-11-08 19:25:29 -------- d-----w- C:\Program Files\Yahoo!
2010-06-30 20:49:18 . 2010-06-30 20:49:07 -------- d-----w- C:\Program Files\CCleaner
2010-06-30 20:49:14 . 2010-06-30 20:49:14 -------- d-----w- C:\Users\nathalie\AppData\Roaming\Yahoo!
2010-06-30 20:09:09 . 2010-06-30 20:09:09 -------- d-----w- C:\Program Files\Lavasoft
2010-06-29 20:12:25 . 2010-06-29 19:15:25 -------- d-----w- C:\Program Files\ZHPDiag
2010-06-29 19:30:36 . 2010-06-29 19:30:36 -------- d-----w- C:\Users\nathalie\AppData\Roaming\Malwarebytes
2010-06-29 19:30:27 . 2010-06-29 19:30:20 -------- d-----w- C:\Program Files\Malwarebytes' Anti-Malware
2010-06-29 19:30:21 . 2010-06-29 19:30:21 -------- d-----w- C:\ProgramData\Malwarebytes
2010-06-28 20:59:38 . 2010-06-28 20:30:18 -------- d-----w- C:\ProgramData\Spybot - Search & Destroy
2010-06-28 20:30:23 . 2010-06-28 20:30:18 -------- d-----w- C:\Program Files\Spybot - Search & Destroy
2010-06-28 20:29:18 . 2010-06-28 18:57:10 -------- d-----w- C:\Program Files\Common Files\PC Tools
2010-06-28 19:06:26 . 2008-12-04 21:37:54 -------- d-----w- C:\Program Files\Google
2010-06-28 16:18:25 . 2009-12-08 21:43:33 -------- d-----w- C:\Program Files\Microsoft.NET
2010-06-26 06:05:49 . 2010-08-16 15:05:08 916480 ----a-w- C:\Windows\system32\wininet.dll
2010-06-26 06:02:15 . 2010-08-16 15:05:07 71680 ----a-w- C:\Windows\system32\iesetup.dll
2010-06-26 06:02:15 . 2010-08-16 15:05:07 109056 ----a-w- C:\Windows\system32\iesysprep.dll
2010-06-26 04:25:02 . 2010-08-16 15:05:07 133632 ----a-w- C:\Windows\system32\ieUnatt.exe
2010-06-23 18:56:20 . 2010-06-23 18:56:14 16 ----a-w- C:\Users\nathalie\AppData\Roaming\qcopjv.dat
2010-05-27 20:08:17 . 2010-08-16 15:05:01 81920 ----a-w- C:\Windows\system32\iccvid.dll
2010-05-26 17:06:41 . 2010-06-09 20:17:28 34304 ----a-w- C:\Windows\system32\atmlib.dll
2010-05-26 14:47:41 . 2010-06-09 20:17:28 289792 ----a-w- C:\Windows\system32\atmfd.dll
2010-05-21 12:14:28 . 2009-10-05 18:21:25 221568 ------w- C:\Windows\system32\MpSigStub.exe
1995-09-20 15:16:28 . 2010-02-26 20:47:02 35088 --sha-w- C:\Windows\System32\msjint32.dll
1995-09-20 15:13:24 . 2010-02-26 20:47:02 977680 --sha-w- C:\Windows\System32\msjt3032.dll
1995-09-20 15:16:28 . 2010-02-26 20:47:02 23824 --sha-w- C:\Windows\System32\msjter32.dll
1995-09-24 10:02:52 . 2010-02-26 20:47:02 243472 --sha-w- C:\Windows\System32\vbar2232.dll
1998-05-18 02:06:32 . 1998-05-17 22:00:00 368912 --sha-w- C:\Windows\System32\vbar332.dll
.


A bientot et merci d avance
0
Réponse 3 / 14
Utilisateur anonyme
17 août 2010 à 21:31
Bonsoir

Ton rapport n'est pas complet.
Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/index.php

Clique sur Parcourir et cherche le fichier : Nom_complet_du_fichier
Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

@+
0
Réponse 4 / 14
bambounath13 Messages postés 8 Date d'inscription lundi 16 août 2010 Statut Membre Dernière intervention 20 août 2010
17 août 2010 à 21:45
voila
http://www.cijoint.fr/cjlink.php?file=cj201008/cijZeE7fJA.txt
désolée !!
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 14
Utilisateur anonyme
17 août 2010 à 21:53
Re

A priori le rapport est tronqué.C'est pas grave ,on avance.

___________________________________
ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet ordinateur
|===>il est fort déconseillé de le transposer sur un autre ordinateur !<===|
-----------------------------------------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

* Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
* Copie/colle dans le bloc-notes ce qui est entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------


KillAll::

Driver::
Papeowew
tojnpn

Rootkit ::
C:\Windows\System32\drivers\papeowew.sys
C:\Windows\System32\drivers\tojnpn.sys

-----------------------------------------------------------------

* Enregistre ce fichier sur ton Bureau (et pas ailleurs !) Sous le nom CFScript.txt
* Quitte le Bloc Notes

* Fais un glisser/déposer de ce fichier CFScript sur le fichier C-Fix.exe (combofix) comme sur ce lien : http://apu.mabul.org/up/apu/2008/09/06/img-2258535my8h.gif

* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt


@+
0
Réponse 6 / 14
bambounath13 Messages postés 8 Date d'inscription lundi 16 août 2010 Statut Membre Dernière intervention 20 août 2010
17 août 2010 à 22:24
le voila
ComboFix 10-08-17.01 - nathalie 17/08/2010 22:07:24.3.2 - x86
Microsoft® Windows Vista(TM) Professionnel 6.0.6002.2.1252.33.1036.18.3054.1727 [GMT 2:00]
Lancé depuis: c:\users\nathalie\Desktop\asdehi.exe
Commutateurs utilisés :: c:\users\nathalie\Desktop\CFScript.txt.txt
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_PAPEOWEW
-------\Legacy_TOJNPN
-------\Service_papeowew
-------\Service_tojnpn


((((((((((((((((((((((((((((( Fichiers créés du 2010-07-17 au 2010-08-17 ))))))))))))))))))))))))))))))))))))
.

2010-08-17 20:11 . 2010-08-17 20:11 -------- d-----w- c:\windows\system32\config\systemprofile\AppData\Local\temp
2010-08-17 20:11 . 2010-08-17 20:11 -------- d-----w- c:\users\Public\AppData\Local\temp
2010-08-17 20:11 . 2010-08-17 20:11 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-08-17 19:51 . 2010-08-17 19:59 -------- d-----w- C:\asdehi
2010-08-16 19:05 . 2010-08-16 19:06 -------- d-----w- c:\program files\trend micro
2010-08-16 19:05 . 2010-08-16 19:06 -------- d-----w- C:\rsit
2010-08-16 15:04 . 2010-06-11 16:16 274944 ----a-w- c:\windows\system32\schannel.dll
2010-08-16 15:04 . 2010-06-18 17:31 36864 ----a-w- c:\windows\system32\rtutils.dll
2010-08-16 15:04 . 2010-06-21 13:37 2037760 ----a-w- c:\windows\system32\win32k.sys
2010-08-16 15:04 . 2010-06-08 17:35 3600768 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-08-16 15:04 . 2010-06-08 17:35 3548040 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-08-16 15:04 . 2010-06-11 16:15 1248768 ----a-w- c:\windows\system32\msxml3.dll
2010-08-16 15:03 . 2010-06-18 15:04 302080 ----a-w- c:\windows\system32\drivers\srv.sys
2010-08-16 15:03 . 2010-06-18 15:04 144896 ----a-w- c:\windows\system32\drivers\srv2.sys
2010-08-16 15:02 . 2010-06-16 16:04 905088 ----a-w- c:\windows\system32\drivers\tcpip.sys
2010-07-29 19:27 . 2008-08-13 09:22 974848 ----a-w- c:\windows\system32\mfc70.dll
2010-07-29 19:27 . 2010-07-29 19:52 -------- d-----w- c:\program files\AVS4YOU
2010-07-29 19:27 . 2008-08-13 09:22 1700352 ----a-w- c:\windows\system32\GdiPlus.dll
2010-07-29 19:07 . 2010-07-29 19:12 -------- d-----w- c:\users\nathalie\AppData\Local\freecompressor Air
2010-07-29 19:07 . 2010-07-29 19:07 -------- d-----w- c:\users\nathalie\AppData\Roaming\freeCompressor
2010-07-29 19:06 . 2010-07-29 19:06 -------- d-----w- c:\users\nathalie\AppData\Roaming\FissaSearch
2010-07-29 19:06 . 2010-07-29 19:12 -------- d-----w- c:\program files\FreeCompressor
2010-07-29 19:05 . 2010-07-29 19:16 -------- d-----w- c:\users\nathalie\AppData\Roaming\OfferBox

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-17 20:11 . 2010-06-23 18:57 772096 ----a-w- c:\windows\system32\drivers\papeowew.sys
2010-08-17 20:11 . 2007-06-23 09:23 12 ----a-w- c:\windows\bthservsdp.dat
2010-08-17 19:17 . 2006-11-02 15:47 669566 ----a-w- c:\windows\system32\perfh00C.dat
2010-08-17 19:17 . 2006-11-02 15:47 123556 ----a-w- c:\windows\system32\perfc00C.dat
2010-08-17 18:28 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-08-17 00:49 . 2010-07-02 21:11 -------- d-----w- c:\program files\Glary Utilities
2010-08-17 00:49 . 2008-12-23 20:11 -------- d-----w- c:\users\nathalie\AppData\Roaming\vlc
2010-07-29 19:52 . 2008-12-24 14:38 -------- d-----w- c:\program files\Common Files\AVSMedia
2010-07-29 19:32 . 2008-12-24 14:39 -------- d-----w- c:\users\nathalie\AppData\Roaming\AVS4YOU
2010-07-29 18:37 . 2009-02-15 15:41 -------- d-----w- c:\programdata\eMule
2010-07-29 18:37 . 2010-07-07 19:07 -------- d-----w- c:\program files\MaxiMemo
2010-07-23 10:12 . 2010-07-23 10:12 6656 ----a-w- c:\users\nathalie\AppData\Roaming\FissaSearch\FissaUninstaller.exe
2010-07-02 21:56 . 2010-07-02 21:56 -------- d-----w- c:\programdata\Avira
2010-07-02 21:56 . 2010-07-02 21:56 -------- d-----w- c:\program files\Avira
2010-07-02 21:40 . 2009-02-16 20:11 -------- d-----w- c:\users\nathalie\AppData\Roaming\Azureus
2010-07-02 21:35 . 2010-07-02 21:18 -------- d-----w- c:\users\nathalie\AppData\Roaming\GlarySoft
2010-07-01 19:02 . 2010-06-30 20:09 -------- d-----w- c:\programdata\Lavasoft
2010-06-30 20:59 . 2010-06-30 20:41 -------- d-----w- c:\program files\VS Revo Group
2010-06-30 20:57 . 2008-11-08 19:25 -------- d-----w- c:\program files\Yahoo!
2010-06-30 20:49 . 2010-06-30 20:49 -------- d-----w- c:\program files\CCleaner
2010-06-30 20:49 . 2010-06-30 20:49 -------- d-----w- c:\users\nathalie\AppData\Roaming\Yahoo!
2010-06-30 20:09 . 2010-06-30 20:09 -------- d-----w- c:\program files\Lavasoft
2010-06-29 20:12 . 2010-06-29 19:15 -------- d-----w- c:\program files\ZHPDiag
2010-06-29 19:30 . 2010-06-29 19:30 -------- d-----w- c:\users\nathalie\AppData\Roaming\Malwarebytes
2010-06-29 19:30 . 2010-06-29 19:30 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-06-29 19:30 . 2010-06-29 19:30 -------- d-----w- c:\programdata\Malwarebytes
2010-06-28 20:59 . 2010-06-28 20:30 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2010-06-28 20:30 . 2010-06-28 20:30 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-06-28 20:29 . 2010-06-28 18:57 -------- d-----w- c:\program files\Common Files\PC Tools
2010-06-28 19:06 . 2008-12-04 21:37 -------- d-----w- c:\program files\Google
2010-06-28 16:18 . 2009-12-08 21:43 -------- d-----w- c:\program files\Microsoft.NET
2010-06-26 06:05 . 2010-08-16 15:05 916480 ----a-w- c:\windows\system32\wininet.dll
2010-06-26 06:02 . 2010-08-16 15:05 71680 ----a-w- c:\windows\system32\iesetup.dll
2010-06-26 06:02 . 2010-08-16 15:05 109056 ----a-w- c:\windows\system32\iesysprep.dll
2010-06-26 04:25 . 2010-08-16 15:05 133632 ----a-w- c:\windows\system32\ieUnatt.exe
2010-06-23 18:56 . 2010-06-23 18:56 16 ----a-w- c:\users\nathalie\AppData\Roaming\qcopjv.dat
2010-05-27 20:08 . 2010-08-16 15:05 81920 ----a-w- c:\windows\system32\iccvid.dll
2010-05-26 17:06 . 2010-06-09 20:17 34304 ----a-w- c:\windows\system32\atmlib.dll
2010-05-26 14:47 . 2010-06-09 20:17 289792 ----a-w- c:\windows\system32\atmfd.dll
2010-05-21 12:14 . 2009-10-05 18:21 221568 ------w- c:\windows\system32\MpSigStub.exe
1995-09-20 15:16 . 2010-02-26 20:47 35088 --sha-w- c:\windows\System32\msjint32.dll
1995-09-20 15:13 . 2010-02-26 20:47 977680 --sha-w- c:\windows\System32\msjt3032.dll
1995-09-20 15:16 . 2010-02-26 20:47 23824 --sha-w- c:\windows\System32\msjter32.dll
1995-09-24 10:02 . 2010-02-26 20:47 243472 --sha-w- c:\windows\System32\vbar2232.dll
1998-05-18 02:06 . 1998-05-17 22:00 368912 --sha-w- c:\windows\System32\vbar332.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"Connexion SFR 9props.exe"="c:\program files\SFR\Kit\9props.exe" [2009-06-20 955712]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-02-02 835584]
"RtHDVCpl"="RtHDVCpl.exe" [2007-05-10 4468736]
"atchk"="c:\program files\Intel\AMT\atchk.exe" [2007-04-20 404248]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2007-03-14 71216]
"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2007-02-07 54832]
"IFXSPMGT"="c:\windows\system32\ifxspmgt.exe" [2007-02-26 677408]
"eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2007-04-25 502568]
"PLFSet"="c:\windows\PLFSet.dll" [2007-04-24 45056]
"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2007-04-18 695056]
"ZPdtWzdVitaKey MC3000"="c:\program files\Acer\Acer Bio-Protection fingerprint solution\PdtWzd.exe" [2007-06-23 3593728]
"WarReg_PopUp"="c:\acer\WR_PopUp\WarReg_PopUp.exe" [2006-11-05 57344]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Acer VCM.lnk - c:\program files\Acer\Acer VCM\AcerVCM.exe [2007-6-23 1208320]
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-3-29 719664]
Empowering Technology Launcher.lnk - c:\acer\Empowering Technology\eAPLauncher.exe [2007-5-15 535336]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"DisableCAD"= 1 (0x1)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\AWinNotifyVitaKey MC3000]
2007-06-23 09:28 2454016 ----a-w- c:\program files\Acer\Acer Bio-Protection fingerprint solution\WinNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\spba]
2007-02-21 15:21 331264 ----a-w- c:\program files\Common Files\SPBA\homefus2.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):ac,a9,fa,b0,54,78,ca,01

R2 gupdate1cac6c9dae6d6a5;Service Google Update (gupdate1cac6c9dae6d6a5);c:\program files\Google\Update\GoogleUpdate.exe [2010-02-19 135664]
S0 O2MDRDR;O2MDRDR;c:\windows\system32\DRIVERS\o2media.sys [2007-04-03 39680]
S0 O2SDRDR;O2SDRDR;c:\windows\system32\DRIVERS\o2sd.sys [2007-04-02 35712]
S2 ALaunchService;ALaunch Service;c:\acer\ALaunch\ALaunchSvc.exe [2007-01-26 50688]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
S3 ITEIRDA;ITE Infrared Device Driver;c:\windows\system32\DRIVERS\ITEirda.sys [2007-04-28 23552]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
bthsvcs REG_MULTI_SZ BthServ
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
Contenu du dossier 'Tâches planifiées'

2010-08-17 c:\windows\Tasks\GlaryInitialize.job
- c:\program files\Glary Utilities\initialize.exe [2010-07-02 09:14]

2010-08-17 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-19 20:24]

2010-08-17 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-19 20:24]

2010-07-03 c:\windows\Tasks\Security Platform Backup Schedule.job
- c:\program files\Infineon\Security Platform Software\SpBackupWz.exe [2007-02-22 14:25]

2010-08-16 c:\windows\Tasks\User_Feed_Synchronization-{39712D9E-2FD8-465E-BD8E-F69FBC1FAEC0}.job
- c:\windows\system32\msfeedssync.exe [2010-08-16 04:24]
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
uStart Page = hxxp://www.google.fr/ig
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
DPF: Microsoft XML Parser for Java - file:///C:/Windows/Java/classes/xmldso.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-08-17 22:14
Windows 6.0.6002 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{95808DC4-FA4A-4c74-92FE-5B863F82066B}]
"ImagePath"="\??\c:\program files\CyberLink\PowerDVD\000.fcl"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'lsass.exe'(700)
c:\windows\system32\IFXTPMCP.dll
c:\windows\system32\IfxSpArc.dll
c:\program files\Infineon\Security Platform Software\IfxTRsFR.dll
c:\program files\Infineon\Security Platform Software\IfxTrsMs.dll
c:\windows\system32\IFXTSP.dll
c:\windows\system32\IFXTCSps.dll

- - - - - - - > 'Explorer.exe'(4636)
c:\windows\system32\MsnChatHook.dll
c:\windows\system32\ShowErrMsg.dll
c:\windows\system32\sysenv.dll
c:\windows\system32\BatchCrypto.dll
c:\windows\system32\CryptoAPI.dll
c:\windows\system32\keyManager.dll
c:\windows\system32\btmmhook.dll
c:\windows\system32\btncopy.dll
c:\acer\Empowering Technology\EPOWER\SysHook.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Common Files\SPBA\upeksvr.exe
c:\program files\Acer\Acer Bio-Protection fingerprint solution\CompPtcVUI.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Intel\AMT\atchksrv.exe
c:\acer\Empowering Technology\eDataSecurity\eDSService.exe
c:\acer\Empowering Technology\eLock\Service\eLockServ.exe
c:\acer\Empowering Technology\eNet\eNet Service.exe
c:\windows\system32\ifxtcs.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\Intel\AMT\LMS.exe
c:\acer\Mobility Center\MobilityService.exe
c:\program files\O2Micro Oz128 Driver\o2flash.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\program files\Intel\AMT\UNS.exe
c:\windows\system32\DRIVERS\xaudio.exe
c:\acer\Empowering Technology\eRecovery\eRecoveryService.exe
c:\acer\Empowering Technology\eSettings\Service\capuserv.exe
c:\windows\system32\WUDFHost.exe
c:\windows\system32\conime.exe
c:\acer\Empowering Technology\ePower\ePowerSvc.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\RtHDVCpl.exe
c:\program files\Launch Manager\LManager.exe
c:\acer\Empowering Technology\ENET\ENMTRAY.EXE
c:\program files\Infineon\Security Platform Software\SpTna.exe
c:\users\nathalie\AppData\Local\Temp\RtkBtMnt.exe
c:\acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE
c:\acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
c:\acer\Empowering Technology\eRecovery\ERAGENT.EXE
c:\program files\Acer\Acer VCM\VC.exe
c:\program files\Acer\Acer VCM\acp2HID.exe
c:\program files\Internet Explorer\IEXPLORE.EXE
c:\program files\Internet Explorer\IEXPLORE.EXE
.
**************************************************************************
.
Heure de fin: 2010-08-17 22:22:09 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-08-17 20:22
ComboFix2.txt 2010-08-17 19:59

Avant-CF: 7 193 571 328 octets libres
Après-CF: 7 147 315 200 octets libres

- - End Of File - - BFB89E4F779699352AECA42966D167DB
0
Réponse 7 / 14
Utilisateur anonyme
17 août 2010 à 22:42
Re

On dirait qu'il y en a un qui s'accroche;

ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet ordinateur
|===>il est fort déconseillé de le transposer sur un autre ordinateur !<===|
-----------------------------------------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

* Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
* Copie/colle dans le bloc-notes ce qui est entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------


KillAll::

Driver::
Papeowew

File::
C:\Windows\System32\drivers\papeowew.sys

-----------------------------------------------------------------

* Enregistre ce fichier sur ton Bureau (et pas ailleurs !) Sous le nom CFScript.txt
* Quitte le Bloc Notes

* Fais un glisser/déposer de ce fichier CFScript sur le fichier C-Fix.exe (combofix) comme sur ce lien : http://apu.mabul.org/up/apu/2008/09/06/img-2258535my8h.gif

* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt


@+
0
Réponse 8 / 14
bambounath13 Messages postés 8 Date d'inscription lundi 16 août 2010 Statut Membre Dernière intervention 20 août 2010
17 août 2010 à 23:10
ComboFix 10-08-17.01 - nathalie 17/08/2010 22:52:39.4.2 - x86
Microsoft® Windows Vista(TM) Professionnel 6.0.6002.2.1252.33.1036.18.3054.1883 [GMT 2:00]
Lancé depuis: c:\users\nathalie\Desktop\asdehi.exe
Commutateurs utilisés :: c:\users\nathalie\Desktop\CFScript.txt
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

FILE ::
"c:\windows\System32\drivers\papeowew.sys"
.

((((((((((((((((((((((((((((( Fichiers créés du 2010-07-17 au 2010-08-17 ))))))))))))))))))))))))))))))))))))
.

2010-08-17 20:58 . 2010-08-17 20:58 -------- d-----w- c:\windows\system32\config\systemprofile\AppData\Local\temp
2010-08-17 20:58 . 2010-08-17 20:58 -------- d-----w- c:\users\Public\AppData\Local\temp
2010-08-17 20:58 . 2010-08-17 20:58 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-08-17 19:51 . 2010-08-17 19:59 -------- d-----w- C:\asdehi
2010-08-16 19:05 . 2010-08-16 19:06 -------- d-----w- c:\program files\trend micro
2010-08-16 19:05 . 2010-08-16 19:06 -------- d-----w- C:\rsit
2010-08-16 15:04 . 2010-06-11 16:16 274944 ----a-w- c:\windows\system32\schannel.dll
2010-08-16 15:04 . 2010-06-18 17:31 36864 ----a-w- c:\windows\system32\rtutils.dll
2010-08-16 15:04 . 2010-06-21 13:37 2037760 ----a-w- c:\windows\system32\win32k.sys
2010-08-16 15:04 . 2010-06-08 17:35 3600768 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-08-16 15:04 . 2010-06-08 17:35 3548040 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-08-16 15:04 . 2010-06-11 16:15 1248768 ----a-w- c:\windows\system32\msxml3.dll
2010-08-16 15:03 . 2010-06-18 15:04 302080 ----a-w- c:\windows\system32\drivers\srv.sys
2010-08-16 15:03 . 2010-06-18 15:04 144896 ----a-w- c:\windows\system32\drivers\srv2.sys
2010-08-16 15:02 . 2010-06-16 16:04 905088 ----a-w- c:\windows\system32\drivers\tcpip.sys
2010-07-29 19:27 . 2008-08-13 09:22 974848 ----a-w- c:\windows\system32\mfc70.dll
2010-07-29 19:27 . 2010-07-29 19:52 -------- d-----w- c:\program files\AVS4YOU
2010-07-29 19:27 . 2008-08-13 09:22 1700352 ----a-w- c:\windows\system32\GdiPlus.dll
2010-07-29 19:07 . 2010-07-29 19:12 -------- d-----w- c:\users\nathalie\AppData\Local\freecompressor Air
2010-07-29 19:07 . 2010-07-29 19:07 -------- d-----w- c:\users\nathalie\AppData\Roaming\freeCompressor
2010-07-29 19:06 . 2010-07-29 19:06 -------- d-----w- c:\users\nathalie\AppData\Roaming\FissaSearch
2010-07-29 19:06 . 2010-07-29 19:12 -------- d-----w- c:\program files\FreeCompressor
2010-07-29 19:05 . 2010-07-29 19:16 -------- d-----w- c:\users\nathalie\AppData\Roaming\OfferBox

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-17 20:58 . 2007-06-23 09:23 12 ----a-w- c:\windows\bthservsdp.dat
2010-08-17 20:18 . 2006-11-02 15:47 669566 ----a-w- c:\windows\system32\perfh00C.dat
2010-08-17 20:18 . 2006-11-02 15:47 123556 ----a-w- c:\windows\system32\perfc00C.dat
2010-08-17 18:28 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-08-17 00:49 . 2010-07-02 21:11 -------- d-----w- c:\program files\Glary Utilities
2010-08-17 00:49 . 2008-12-23 20:11 -------- d-----w- c:\users\nathalie\AppData\Roaming\vlc
2010-07-29 19:52 . 2008-12-24 14:38 -------- d-----w- c:\program files\Common Files\AVSMedia
2010-07-29 19:32 . 2008-12-24 14:39 -------- d-----w- c:\users\nathalie\AppData\Roaming\AVS4YOU
2010-07-29 18:37 . 2009-02-15 15:41 -------- d-----w- c:\programdata\eMule
2010-07-29 18:37 . 2010-07-07 19:07 -------- d-----w- c:\program files\MaxiMemo
2010-07-23 10:12 . 2010-07-23 10:12 6656 ----a-w- c:\users\nathalie\AppData\Roaming\FissaSearch\FissaUninstaller.exe
2010-07-02 21:56 . 2010-07-02 21:56 -------- d-----w- c:\programdata\Avira
2010-07-02 21:56 . 2010-07-02 21:56 -------- d-----w- c:\program files\Avira
2010-07-02 21:40 . 2009-02-16 20:11 -------- d-----w- c:\users\nathalie\AppData\Roaming\Azureus
2010-07-02 21:35 . 2010-07-02 21:18 -------- d-----w- c:\users\nathalie\AppData\Roaming\GlarySoft
2010-07-01 19:02 . 2010-06-30 20:09 -------- d-----w- c:\programdata\Lavasoft
2010-06-30 20:59 . 2010-06-30 20:41 -------- d-----w- c:\program files\VS Revo Group
2010-06-30 20:57 . 2008-11-08 19:25 -------- d-----w- c:\program files\Yahoo!
2010-06-30 20:49 . 2010-06-30 20:49 -------- d-----w- c:\program files\CCleaner
2010-06-30 20:49 . 2010-06-30 20:49 -------- d-----w- c:\users\nathalie\AppData\Roaming\Yahoo!
2010-06-30 20:09 . 2010-06-30 20:09 -------- d-----w- c:\program files\Lavasoft
2010-06-29 20:12 . 2010-06-29 19:15 -------- d-----w- c:\program files\ZHPDiag
2010-06-29 19:30 . 2010-06-29 19:30 -------- d-----w- c:\users\nathalie\AppData\Roaming\Malwarebytes
2010-06-29 19:30 . 2010-06-29 19:30 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-06-29 19:30 . 2010-06-29 19:30 -------- d-----w- c:\programdata\Malwarebytes
2010-06-28 20:59 . 2010-06-28 20:30 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2010-06-28 20:30 . 2010-06-28 20:30 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-06-28 20:29 . 2010-06-28 18:57 -------- d-----w- c:\program files\Common Files\PC Tools
2010-06-28 19:06 . 2008-12-04 21:37 -------- d-----w- c:\program files\Google
2010-06-28 16:18 . 2009-12-08 21:43 -------- d-----w- c:\program files\Microsoft.NET
2010-06-26 06:05 . 2010-08-16 15:05 916480 ----a-w- c:\windows\system32\wininet.dll
2010-06-26 06:02 . 2010-08-16 15:05 71680 ----a-w- c:\windows\system32\iesetup.dll
2010-06-26 06:02 . 2010-08-16 15:05 109056 ----a-w- c:\windows\system32\iesysprep.dll
2010-06-26 04:25 . 2010-08-16 15:05 133632 ----a-w- c:\windows\system32\ieUnatt.exe
2010-06-23 18:56 . 2010-06-23 18:56 16 ----a-w- c:\users\nathalie\AppData\Roaming\qcopjv.dat
2010-05-27 20:08 . 2010-08-16 15:05 81920 ----a-w- c:\windows\system32\iccvid.dll
2010-05-26 17:06 . 2010-06-09 20:17 34304 ----a-w- c:\windows\system32\atmlib.dll
2010-05-26 14:47 . 2010-06-09 20:17 289792 ----a-w- c:\windows\system32\atmfd.dll
2010-05-21 12:14 . 2009-10-05 18:21 221568 ------w- c:\windows\system32\MpSigStub.exe
1995-09-20 15:16 . 2010-02-26 20:47 35088 --sha-w- c:\windows\System32\msjint32.dll
1995-09-20 15:13 . 2010-02-26 20:47 977680 --sha-w- c:\windows\System32\msjt3032.dll
1995-09-20 15:16 . 2010-02-26 20:47 23824 --sha-w- c:\windows\System32\msjter32.dll
1995-09-24 10:02 . 2010-02-26 20:47 243472 --sha-w- c:\windows\System32\vbar2232.dll
1998-05-18 02:06 . 1998-05-17 22:00 368912 --sha-w- c:\windows\System32\vbar332.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"Connexion SFR 9props.exe"="c:\program files\SFR\Kit\9props.exe" [2009-06-20 955712]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-02-02 835584]
"RtHDVCpl"="RtHDVCpl.exe" [2007-05-10 4468736]
"atchk"="c:\program files\Intel\AMT\atchk.exe" [2007-04-20 404248]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2007-03-14 71216]
"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2007-02-07 54832]
"IFXSPMGT"="c:\windows\system32\ifxspmgt.exe" [2007-02-26 677408]
"eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2007-04-25 502568]
"PLFSet"="c:\windows\PLFSet.dll" [2007-04-24 45056]
"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2007-04-18 695056]
"ZPdtWzdVitaKey MC3000"="c:\program files\Acer\Acer Bio-Protection fingerprint solution\PdtWzd.exe" [2007-06-23 3593728]
"WarReg_PopUp"="c:\acer\WR_PopUp\WarReg_PopUp.exe" [2006-11-05 57344]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Acer VCM.lnk - c:\program files\Acer\Acer VCM\AcerVCM.exe [2007-6-23 1208320]
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-3-29 719664]
Empowering Technology Launcher.lnk - c:\acer\Empowering Technology\eAPLauncher.exe [2007-5-15 535336]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"DisableCAD"= 1 (0x1)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\AWinNotifyVitaKey MC3000]
2007-06-23 09:28 2454016 ----a-w- c:\program files\Acer\Acer Bio-Protection fingerprint solution\WinNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\spba]
2007-02-21 15:21 331264 ----a-w- c:\program files\Common Files\SPBA\homefus2.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):ac,a9,fa,b0,54,78,ca,01

R2 gupdate1cac6c9dae6d6a5;Service Google Update (gupdate1cac6c9dae6d6a5);c:\program files\Google\Update\GoogleUpdate.exe [2010-02-19 135664]
R4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys [2008-11-09 717296]
S0 O2MDRDR;O2MDRDR;c:\windows\system32\DRIVERS\o2media.sys [2007-04-03 39680]
S0 O2SDRDR;O2SDRDR;c:\windows\system32\DRIVERS\o2sd.sys [2007-04-02 35712]
S2 ALaunchService;ALaunch Service;c:\acer\ALaunch\ALaunchSvc.exe [2007-01-26 50688]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
S2 UNS;Intel(R) Active Management Technology User Notification Service;c:\program files\Intel\AMT\UNS.exe [2007-04-20 1489688]
S3 ITEIRDA;ITE Infrared Device Driver;c:\windows\system32\DRIVERS\ITEirda.sys [2007-04-28 23552]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
bthsvcs REG_MULTI_SZ BthServ
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
Contenu du dossier 'Tâches planifiées'

2010-08-17 c:\windows\Tasks\GlaryInitialize.job
- c:\program files\Glary Utilities\initialize.exe [2010-07-02 09:14]

2010-08-17 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-19 20:24]

2010-08-17 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-19 20:24]

2010-07-03 c:\windows\Tasks\Security Platform Backup Schedule.job
- c:\program files\Infineon\Security Platform Software\SpBackupWz.exe [2007-02-22 14:25]

2010-08-17 c:\windows\Tasks\User_Feed_Synchronization-{39712D9E-2FD8-465E-BD8E-F69FBC1FAEC0}.job
- c:\windows\system32\msfeedssync.exe [2010-08-16 04:24]
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
uStart Page = hxxp://www.google.fr/ig
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
DPF: Microsoft XML Parser for Java - file:///C:/Windows/Java/classes/xmldso.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-08-17 23:00
Windows 6.0.6002 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{95808DC4-FA4A-4c74-92FE-5B863F82066B}]
"ImagePath"="\??\c:\program files\CyberLink\PowerDVD\000.fcl"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'lsass.exe'(704)
c:\windows\system32\IFXTPMCP.dll
c:\windows\system32\IfxSpArc.dll
c:\program files\Infineon\Security Platform Software\IfxTRsFR.dll
c:\program files\Infineon\Security Platform Software\IfxTrsMs.dll
c:\windows\system32\IFXTSP.dll
c:\windows\system32\IFXTCSps.dll

- - - - - - - > 'Explorer.exe'(3728)
c:\windows\system32\MsnChatHook.dll
c:\windows\system32\ShowErrMsg.dll
c:\windows\system32\sysenv.dll
c:\windows\system32\BatchCrypto.dll
c:\windows\system32\CryptoAPI.dll
c:\windows\system32\keyManager.dll
c:\windows\system32\btmmhook.dll
c:\windows\system32\btncopy.dll
c:\acer\Empowering Technology\EPOWER\SysHook.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Common Files\SPBA\upeksvr.exe
c:\program files\Acer\Acer Bio-Protection fingerprint solution\CompPtcVUI.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Intel\AMT\atchksrv.exe
c:\acer\Empowering Technology\eDataSecurity\eDSService.exe
c:\acer\Empowering Technology\eLock\Service\eLockServ.exe
c:\acer\Empowering Technology\eNet\eNet Service.exe
c:\windows\system32\ifxtcs.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\Intel\AMT\LMS.exe
c:\acer\Mobility Center\MobilityService.exe
c:\program files\O2Micro Oz128 Driver\o2flash.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\windows\system32\DRIVERS\xaudio.exe
c:\acer\Empowering Technology\eRecovery\eRecoveryService.exe
c:\windows\system32\WUDFHost.exe
c:\acer\Empowering Technology\eSettings\Service\capuserv.exe
c:\acer\Empowering Technology\ePower\ePowerSvc.exe
c:\windows\system32\conime.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\RtHDVCpl.exe
c:\program files\Launch Manager\LManager.exe
c:\acer\Empowering Technology\ENET\ENMTRAY.EXE
c:\program files\Infineon\Security Platform Software\SpTna.exe
c:\acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE
c:\acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
c:\acer\Empowering Technology\eRecovery\ERAGENT.EXE
c:\program files\Acer\Acer VCM\VC.exe
c:\program files\Acer\Acer VCM\acp2HID.exe
c:\windows\servicing\TrustedInstaller.exe
.
**************************************************************************
.
Heure de fin: 2010-08-17 23:08:14 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-08-17 21:08
ComboFix2.txt 2010-08-17 20:22
ComboFix3.txt 2010-08-17 19:59

Avant-CF: 7 192 899 584 octets libres
Après-CF: 7 079 313 408 octets libres

- - End Of File - - 5103498E6851ACFA24B5347412FAEA5F
0
Réponse 9 / 14
bambounath13 Messages postés 8 Date d'inscription lundi 16 août 2010 Statut Membre Dernière intervention 20 août 2010
17 août 2010 à 23:48
apparemment, c'est tout bon, je te remercie bcp bcp bcp !!!!!!!!
bonne soirée
0
Réponse 10 / 14
Utilisateur anonyme
18 août 2010 à 18:28
Bonsoir

Pour vérification si pas d'autres traces d'infections;fait ceci:

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

Serveur N°2

Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit « exécuter en tant que administrateur »


Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur ce lien :

http://www.cijoint.fr/index.php
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Merci

A+
0
Réponse 11 / 14
bambounath13 Messages postés 8 Date d'inscription lundi 16 août 2010 Statut Membre Dernière intervention 20 août 2010
19 août 2010 à 11:37
voila, c'est fait, le rapport est la :

http://www.cijoint.fr/cjlink.php?file=cj201008/cij93A335T.txt

merci beaucoup pour votre gentille assistance
a bientôt
0
Réponse 12 / 14
Utilisateur anonyme
19 août 2010 à 18:38
Bonsoir

1)Utilsation de l'outil ZHPFix :

* Copie tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
-----------------------------------------------------------------------------------------------------
[HKCU\Software\LdShih]

------------------------------------------------------------------------------------------------------
Puis lance ZHPFix depuis le raccourci du bureau. Sous Vista :Clic droit sur l'icône ZHPFix.exe
« Exécuter en tant qu'administrateur »
.

* Une fois l'outil ZHPFix ouvert, clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaîtrent.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

* Puis clique sur le bouton [ OK

> À ce moment là, il apparaîtra au début de chaque ligne une petite case vide. Ne touche plus à rien !

!! Déconnecte toi, désactive tes défenses (anti-virus, anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


* Clique sur le bouton [ Tous]. Vérifie que toutes les lignes soient bien cochées.

* Enfin clique sur le bouton [ Nettoyer].


-> laisse travailler l'outil et ne touche à rien ...


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le !

Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ ZHPFixReport.txt )

Pense à réactiver tes défenses !...


2)Télécharge Malwaresbytes anti malware ici
http://www.malwarebytes.org/mbam.php

* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/

* Potasse le tuto pour te familiariser avec le prg :

https://forum.pcastuces.com/sujet.asp?f=31&s=3

(cela dis, il est très simple d'utilisation).

relance Malwaresbytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

* Lance Malwarebyte's.

Fais un examen dit "Complet"

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "Afficher les résultats" " .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " supprimer la sélection " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)



Poste les rapports au fur et à mesure;merci.

@+
0
Réponse 13 / 14
bambounath13 Messages postés 8 Date d'inscription lundi 16 août 2010 Statut Membre Dernière intervention 20 août 2010
20 août 2010 à 10:23
rapport zhdiag

LADS - Freeware version 4.10
(C) Copyright 1998-2007 Frank Heyne Software (http://www.heysoft.de)
This program lists files with alternate data streams (ADS)
Use LADS on your own risk!

Scanning directory C:\Windows\System32\Drivers\

size ADS in file
---------- ---------------------------------

0 bytes in 0 ADS listed


et le raport de malawares
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4367

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18943

20/08/2010 10:22:44
mbam-log-2010-08-20 (10-22-44).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 138615
Temps écoulé: 6 minute(s), 1 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


merci pour votre aide
0
Réponse 14 / 14
Utilisateur anonyme
22 août 2010 à 21:03
Bonsoir

1)Pour java utilises javaRa https://www.commentcamarche.net/faq/15645-supprimer-les-anciennes-versions-de-java-avec-javara

et un autre tutoriel javaRa http://www.libellules.ch/dotclear/index.php?post/2008/07/13/2689-javara

Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).
* Double-cliques ou clic droit sous Vista sur le répertoire JavaRa.
* Puis double-cliques sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).
* Choisis Français puis cliques sur Select.
* Cliques sur Recherche de mises à jour.
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.
* Autorises le processus à se connecter s'il le demande, cliques sur Installer et suis les instructions d'installation qui prennent quelques minutes.
* L'installation est terminée, reviens à l'écran de JavaRa et cliques sur Effacer les anciennes versions.
* Cliques sur Oui pour confirmer. Laisses travailler et cliques ensuite sur OK, puis une deuxième fois sur OK.
* Un rapport va s'ouvrir. Postes-le dans ta prochaine réponse.
* Ferme l'application.

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.

2)Pour vérifier les mises à jour logiciels à appliquer sur ton PC
https://www.flexera.com/products/operations/software-vulnerability-management.html
Divers liens te seront proposés pour les logiciels non à jour.


3)Fait également de la place sur ton disque C;il faut un minimum de 10% de libre pour que Windows soit à l'aise.

@+
0

Discussions similaires

Sa veux dire koi??Subject: FW: Tr :FW: TR: TR
france22 -
ghano0666545160 -

12 réponses
casque sans fil Sennheiser TR 4200 ne fonctionne plus
jcb83400 -
DIY -

3 réponses
expressions francaises
bifaka -
lanonyme -

4 réponses
L'antivirus ESET NOD32 bloque UPTOBOX ( HTML/ScrInject.B ).
Logan -
Snoopyx -

10 réponses
Présence ou non de cheval de troie ?
hunter55 -
Malekal_morte- -

14 réponses