PC infecté Antivirus software alert Fermé

Question

Bonsoir a tous, voila mon problème, je suis allé sur piratebay, site sur lequel je ne vais pas souvent et sur lequel je n'irai plus ... ça m'apprendre tiens .... Et puis tout a coup un instal c'est lancé et puis j'ai eu des spam comme quoi mon ordinateur était attaqué, etc. Je ne pouvais plus rien faire c'est d'ailleurs un miracle que firefox ai bien voulu s'ouvrir ... Après une heure de recherche je suis tombé sur quelqu'un de ce forum qui avait exactement le même problème que moi, j'ai donc suivi la procédure qu'on lui expliquait et je viens vous demander de l'aide puis la suite. 

Voila le lien concernant l'ancien sujet :

https://forums.commentcamarche.net/forum/affich-16648445-pc-infecte-antivirus-software-alert

Et maintenant voici mon rapport ZHPDiag :

http://www.cijoint.fr/cjlink.php?file=cj201008/cij9nsGa9X.txt

Voila un grand merci d'avance :).

Utilisateur anonyme · Answer

Bonsoir,

Mettre en action ton AV, faire un scan et dans quarantaine, supprimer toutes les entrées.
Bien repérer et prendre note du nom de ce virus et faire une recherche normale
Aller dans base de registre faire recherche avec le même nom, on sais jamais.
Si le phénomène persiste: ====> formatage complet et réinstall
Bon courage

Redbart · Answer

Bsr
eh oui :
1349536599-1004\..\Run: [txygonms] . (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\Utilisateur 01\Local Settings\Application Data\rgebrdojw\eqfercwshdw.exe 
O4 - HKUS\S-1-5-21-518128544-3844529473-1349536599-1004\..\Run: [fpdkpywj] . (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\Utilisateur 01\Local Settings\Application Data\ktparecjm\epvjqleshdw.exe 
O4 - HKUS\S-1-5-21-518128544-3844529473-1349536599-1004\..\Run: [ikkaiiek] . (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\Utilisateur 01\Local Settings\Application Data\yhrarnptd\egobfbqshdw.exe 
O4 - HKUS\S-1-5-21-518128544-3844529473-1349536599-1004\..\Run: [xonlbgcv] . (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\Utilisateur 01\Local Settings\Application Data\uhharwqde\exqnvhushdw.exe 

pourquoi ne pas utiliser MBAM si déja tu l'as sur ton pc?

Redfactions · Answer

C'est ce que je suis en train de faire et je poste le rapport juste après :).

archet9 · Answer

MBAM = +1
Mais suffira pas ....

Redfactions · Answer

Voila le log MB

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4479

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

26/08/2010 0:13:53
mbam-log-2010-08-26 (00-13-53).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 171136
Temps écoulé: 19 minute(s), 17 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 10
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 4
Fichier(s) infecté(s): 26

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ewsecureapp70700.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run	xygonms (Rogue.SecuritySuite) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run	xygonms (Rogue.SecuritySuite) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\fpdkpywj (Rogue.SecuritySuite) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\fpdkpywj (Rogue.SecuritySuite) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ikkaiiek (Rogue.SecuritySuite) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ikkaiiek (Rogue.SecuritySuite) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\xonlbgcv (Rogue.SecuritySuite) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\xonlbgcv (Rogue.SecuritySuite) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon	askman (Worm.Palevo) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Documents and Settings\All Users\Application Data\SystemDoctor Free (Rogue.SystemDoctor) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\SystemDoctor Free\Data (Rogue.SystemDoctor) -> Quarantined and deleted successfully.
C:\Program Files\Fichiers communs\SystemDoctor (Rogue.SystemDoctor) -> Quarantined and deleted successfully.
C:\Program Files\SystemDoctor Free (Rogue.SystemDoctor) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Documents and Settings\Utilisateur 01\Application Data\9ED1F4B271812680E55C0227AE9086D0
ewsecureapp70700.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Documents and Settings\Utilisateur 01\Local Settings\Application Datagebrdojw\eqfercwshdw.exe (Rogue.SecuritySuite) -> Quarantined and deleted successfully.
C:\Documents and Settings\Utilisateur 01\Local Settings\Application Data\ktparecjm\epvjqleshdw.exe (Rogue.SecuritySuite) -> Quarantined and deleted successfully.
C:\Documents and Settings\Utilisateur 01\Local Settings\Application Data\yhrarnptd\egobfbqshdw.exe (Rogue.SecuritySuite) -> Quarantined and deleted successfully.
C:\Documents and Settings\Utilisateur 01\Local Settings\Application Data\uhharwqde\exqnvhushdw.exe (Rogue.SecuritySuite) -> Quarantined and deleted successfully.
C:\Documents and Settings\Utilisateur 01\Local Settings\Temp\sxcfgslr.exe (Rogue.SecuritySuite) -> Quarantined and deleted successfully.
C:\Documents and Settings\Utilisateur 01\Local Settings\Temp\gxbt.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Utilisateur 01\Local Settings\Temporary Internet Files\Content.IE5\6DH7K8RA
ezgb[1].htm (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Utilisateur 01\Local Settings\Temporary Internet Files\Content.IE5\6DH7K8RA\cgbvd[1].htm (Rogue.SecuritySuite) -> Quarantined and deleted successfully.
C:\Documents and Settings\Utilisateur 01\Local Settings\Temporary Internet Files\Content.IE5\CSG1C2ND\dhojrcwrm[1].htm (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Utilisateur 01\Local Settings\Temporary Internet Files\Content.IE5\F2N6Q22K
ewsecureapp70700[1].exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Documents and Settings\Utilisateur 01\Local Settings\Temporary Internet Files\Content.IE5\JX3K4BAG\dhojrcwrm[1].htm (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Utilisateur 01\Local Settings\Temporary Internet Files\Content.IE5\UG6PP4U5
ezgb[1].htm (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\SystemDoctor Free\Data\Abbr (Rogue.SystemDoctor) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\SystemDoctor Free\Data\ActivationCode (Rogue.SystemDoctor) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\SystemDoctor Free\Data\HOURS (Rogue.SystemDoctor) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\SystemDoctor Free\Data\ProductCode (Rogue.SystemDoctor) -> Quarantined and deleted successfully.
C:\Program Files\Fichiers communs\SystemDoctor\err.log (Rogue.SystemDoctor) -> Quarantined and deleted successfully.
C:\Program Files\SystemDoctor Free\ResErrors.log (Rogue.SystemDoctor) -> Quarantined and deleted successfully.
C:\Program Files\SystemDoctor Free\st.dat (Rogue.SystemDoctor) -> Quarantined and deleted successfully.
C:\Documents and Settings\Utilisateur 01\Application Data\ohydy.exe (Worm.Palevo) -> Delete on reboot.
C:\Documents and Settings\Utilisateur 01\Bureau\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
C:\Documents and Settings\Utilisateur 01\Application Data\Microsoft\Internet Explorer\Quick Launch\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
C:\Documents and Settings\Utilisateur 01\Menu Démarrer\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
C:\Documents and Settings\Utilisateur 01\Menu Démarrer\Programmes\Démarrage\Antimalware Doctor.lnk (Rogue.AntiMalwareDoctor) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

Vous pensez que c'est bon ? Un grand merci de votre aide en tout cas.

Redfactions · Answer

Petit up ^^

archet9 · Answer

Un nouveau ZHPdiag stp

Redfactions · Answer

Voila le log

http://www.cijoint.fr/cjlink.php?file=cj201008/cijrKWLebZ.txt

Désolé du retard, cordialement.

Redfactions · Answer

Petit up :)

Redfactions · Answer

Par contre je viens de remarquer que ni IE, ni Google Chrome ne marche maintenant, ils me disent que je ne suis pas connecté à internet, de même pour League Of legend, il me dit également que je ne suis pas connecté à internet ...

S'il vous plaît aidez moi je deviens dingue ....

archet9 · Answer

--> Télécharge ComboFix.exe de sUBs sur ton Bureau : 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\ 

---> Double-clique sur Combofix.exe

---> Installe la console de récupération si l'outil te le propose.  

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ 

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu 

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ 

Note : Le rapport se trouve également là : C:\ComboFix.txt

Redfactions · Answer

Voila le log, désolé du retard j'ai eu un bug lors du précédent post ...

ComboFix 10-08-25.01 - Utilisateur 01 26/08/2010  16:12:31.1.2 - x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.1023.626 [GMT 2:00]
Lancé depuis: d:	éléchargement\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Utilisateur 01\Application Data\9ED1F4B271812680E55C0227AE9086D0
c:\documents and settings\Utilisateur 01\Application Data\9ED1F4B271812680E55C0227AE9086D0\enemies-names.txt
c:\documents and settings\Utilisateur 01\Application Data\9ED1F4B271812680E55C0227AE9086D0\local.ini

.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-07-26 au 2010-08-26  ))))))))))))))))))))))))))))))))))))
.

2010-08-15 18:57 . 2010-08-26 14:19	--------	d-----w-	c:\documents and settings\LocalService\Local Settings\Application Data\LogMeIn Hamachi
2010-08-15 18:30 . 2010-08-15 18:30	--------	d-----w-	c:\documents and settings\Utilisateur 01\Application Data\Petroglyph

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-26 14:05 . 2009-08-06 16:18	--------	d-----w-	c:\documents and settings\Utilisateur 01\Application Data\Skype
2010-08-26 14:04 . 2009-08-06 16:37	--------	d-----w-	c:\documents and settings\Utilisateur 01\Application Data\skypePM
2010-08-26 12:07 . 2010-08-25 21:04	--------	d-----w-	c:\program files\ZHPDiag
2010-08-26 12:02 . 2010-05-25 10:15	--------	d-----w-	c:\program files\Free Music Zilla
2010-08-25 21:11 . 2010-08-25 21:11	--------	d-----w-	c:\documents and settings\Utilisateur 01\Application Data\Malwarebytes
2010-08-25 20:58 . 2010-08-25 20:58	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2010-08-25 19:26 . 2010-08-25 19:26	188416	----a-w-	c:\windows\Thipya.exe
2010-08-25 19:24 . 2010-06-23 21:27	--------	d-----w-	c:\documents and settings\Utilisateur 01\Application Data\BitTorrent
2010-08-25 12:58 . 2006-08-05 15:07	--------	d-----w-	c:\documents and settings\Utilisateur 01\Application Data\Image Zone Express
2010-08-15 18:29 . 2005-10-10 17:53	98304	----a-w-	c:\windows\system32\CmdLineExt.dll
2010-08-15 18:16 . 2005-04-29 09:08	--------	d--h--w-	c:\program files\InstallShield Installation Information
2010-08-12 00:57 . 2010-01-26 20:02	--------	d-----w-	c:\documents and settings\All Users\Application Data\Microsoft Help
2010-08-12 00:56 . 2004-08-05 12:00	93508	----a-w-	c:\windows\system32\perfc00C.dat
2010-08-12 00:56 . 2004-08-05 12:00	531330	----a-w-	c:\windows\system32\perfh00C.dat
2010-07-26 12:03 . 2005-12-19 17:58	--------	d-----w-	c:\program files\Fichiers communs\Blizzard Entertainment
2010-07-17 15:33 . 2010-07-17 15:33	--------	d-----w-	c:\program files\Fichiers communs\Skype
2010-07-16 22:43 . 2009-07-03 19:37	--------	d-----w-	c:\program files\SystemRequirementsLab
2010-07-16 22:42 . 2010-07-16 22:42	77312	----a-w-	c:\documents and settings\Utilisateur 01\Application Data\SystemRequirementsLab\srlproxy_cyri_4.1.72.0A.dll
2010-07-16 22:42 . 2010-05-14 21:47	--------	d-----w-	c:\documents and settings\Utilisateur 01\Application Data\SystemRequirementsLab
2010-07-15 14:35 . 2010-07-15 14:35	--------	d-----w-	c:\documents and settings\Utilisateur 01\Application Data\Turbine
2010-07-12 13:57 . 2010-07-12 13:55	--------	d-----w-	c:\documents and settings\All Users\Application Data\PMB Files
2010-07-12 13:55 . 2010-07-12 13:55	--------	d-----w-	c:\program files\Pando Networks
2010-07-01 17:10 . 2009-08-24 12:08	--------	d-----w-	c:\documents and settings\All Users\Application Data\Blizzard Entertainment
2010-06-30 12:32 . 2004-08-05 12:00	149504	----a-w-	c:\windows\system32\schannel.dll
2010-06-29 16:29 . 2010-06-29 12:00	--------	d-----w-	c:\documents and settings\Utilisateur 01\Application Data\Tropico 3
2010-06-24 12:17 . 2004-08-05 12:00	832512	----a-w-	c:\windows\system32\wininet.dll
2010-06-24 12:17 . 2004-08-05 12:00	78336	----a-w-	c:\windows\system32\ieencode.dll
2010-06-24 12:17 . 2004-08-05 12:00	17408	----a-w-	c:\windows\system32\corpol.dll
2010-06-24 09:02 . 2004-08-05 12:00	1852032	----a-w-	c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2004-08-05 12:00	354304	----a-w-	c:\windows\system32\drivers\srv.sys
2010-06-17 14:03 . 2004-08-05 12:00	80384	----a-w-	c:\windows\system32\iccvid.dll
2010-06-14 14:31 . 2005-04-29 08:19	744448	----a-w-	c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-06-14 07:42 . 2004-08-05 12:00	1172480	----a-w-	c:\windows\system32\msxml3.dll
2010-06-12 15:49 . 2007-08-23 18:06	138736	----a-w-	c:\windows\system32\drivers\PnkBstrK.sys
2010-06-12 15:48 . 2007-08-23 18:06	188968	----a-w-	c:\windows\system32\PnkBstrB.exe
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\documents and settings\Utilisateur 01\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2008-09-09 133104]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]
"Steam"="d:\program files\jeux\steam\steam.exe" [2010-08-27 1242448]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-05-13 26192168]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2010-04-01 357696]
"AdobeUpdater"="c:\program files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe" [2010-05-16 2356088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\program files\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-04-01 1368064]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 32768]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-11-04 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-04-30 13750272]
"nwiz"="nwiz.exe" [2009-04-30 1657376]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-04-30 86016]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OBealsched.exe" [2010-01-25 198160]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"LogMeIn Hamachi Ui"="d:\program files\Hamachi\hamachi-2-ui.exe" [2010-03-30 1820040]
"Malwarebytes Anti-Malware (reboot)"="d:\malwarebytes' anti-malware\mbam.exe" [2010-04-29 1090952]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Utilisateur 01\Menu D'marrer\Programmes\D'marrage\
Free Music Zilla.lnk - c:\program files\Free Music Zilla\FMZilla.exe [2010-5-25 736512]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Readereader_sl.exe [2005-9-23 29696]
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2006-2-19 288472]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\JVTorrent\btdownloadgui.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\Program Files\EA GAMES\BF2.exe"=
"c:\Program Files\EA GAMES\Bf2_w32ded.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\WINDOWS\system32\dplaysvr.exe"=
"c:\WINDOWS\pchealth\helpctr\binaries\HelpCtr.exe"=
"c:\Program Files\GameSpy\Comrade\Comrade.exe"=
"c:\Program Files\Sony\Station\LaunchPad\LaunchPad.exe"=
"c:\program files\Microsoft ActiveSyncapimgr.exe"= c:\program files\Microsoft ActiveSyncapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\Program Files\Autodesk\backburner\monitor.exe"=
"c:\Program Files\Autodesk\backburner\manager.exe"=
"c:\Program Files\Autodesk\backburner\server.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\iTunes\iTunes.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqste08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hposfx08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hposid01.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe"=
"c:\Program Files\HP\Digital Imaging\Unload\HpqPhUnl.exe"=
"c:\Program Files\HP\Digital Imaging\Unload\HpqDIA.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpoews01.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe"=
"c:\WINDOWS\system32\PnkBstrA.exe"=
"c:\WINDOWS\system32\PnkBstrB.exe"=
"d:\Program Files\Jeux\WoW\World of Warcraft\Launcher.exe"=
"d:\Program Files\Jeux\WoW\World of Warcraft\BackgroundDownloader.exe"=
"d:\Program Files\Jeux\Battlefield\BF2142.exe"=
"d:\Program Files\Jeux\WoW\World of Warcraft\WoW-3.1.3.9947-to-3.2.0.10192-frFR-downloader.exe"=
"d:\Program Files\Jeux\Steam\steamapps\hoshin_master\age of chivalry\hl2.exe"=
"d:\Program Files\Jeux\WoW\World of Warcraft\WoW-3.2.0.10192-to-3.2.0.10314-frFR-downloader.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"d:\Program Files\Jeux\WoW\World of Warcraft\WoW-3.2.0.10314-to-3.2.2.10482-frFR-downloader.exe"=
"d:\Program Files\Jeux\WoW\World of Warcraft\WoW-3.2.2.10482-to-3.2.2.10505-frFR-downloader.exe"=
"c:\Program Files\Mozilla Firefox\firefox.exe"=
"d:\Program Files\Office12\OUTLOOK.EXE"=
"d:\Program Files\Jeux\Lol\League of Legends\Air\LolClient.exe"=
"d:\Program Files\Jeux\Lol\League of Legends\Game\League of Legends.exe"=
"d:\Program Files\Jeux\Steam\steamapps\common\iron grip warlord\igwarlord.exe"=
"d:\Program Files\Jeux\Steam\steamapps\common\world in conflict - demo\wic.exe"=
"c:\Program Files\Free Music Zilla\FMZilla.exe"=
"d:\Program Files\Jeux\Steam\steamapps\hoshin_master\zombie panic! source\hl2.exe"=
"d:\Program Files\BitTorrent\bittorrent.exe"=
"d:\Program Files\Jeux\Steam\steamapps\common\tropico 3\tropico3.exe"=
"d:\Program Files\Jeux\Steam\Steam.exe"=
"c:\Program Files\Pando Networks\Media Booster\PMB.exe"=
"c:\Program Files\Skype\Plugin Manager\skypePM.exe"=
"d:\Program Files\Jeux\Steam\steamapps\common\alien swarm\srcds.exe"=
"c:\WINDOWS\system32\dpvsetup.exe"=
"d:\Program Files\Jeux\Steam\steamapps\common\alien swarm\swarm.exe"=
"d:\Program Files\Jeux\Steam\steamapps\hoshin_master\counter-strike source\hl2.exe"=
"d:\Program Files\Jeux\GameData\fpupdate.exe"=
"d:\Program Files\Jeux\StarwarsGalacticBattleground + clone campaigns\Game\Battlegrounds.exe"=
"d:\Program Files\Jeux\StarwarsGalacticBattleground + clone campaigns\Game\battlegrounds_x1.exe"=
"c:\Program Files\Skype\Phone\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6112:TCP"= 6112:TCP:Blibli Dl
"3724:TCP"= 3724:TCP:Blibli Dl 2
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"8394:TCP"= 8394:TCP:League of Legends Launcher
"8394:UDP"= 8394:UDP:League of Legends Launcher
"6933:TCP"= 6933:TCP:League of Legends Launcher
"6933:UDP"= 6933:UDP:League of Legends Launcher
"59150:TCP"= 59150:TCP:Pando Media Booster
"59150:UDP"= 59150:UDP:Pando Media Booster

R2 a2free;a-squared Free Service;c:\program files\a-squared Free\a2service.exe [23/05/2010 16:50 1872320]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [25/05/2010 19:33 135336]
R2 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine;d:\program files\Hamachi\hamachi-2.exe [30/03/2010 11:16 1107336]
S3 alcan5ln;SpeedTouch(tm) USB ADSL RFC1483 Networking Driver (NDIS);c:\windows\system32\drivers\alcan5ln.sys [15/09/2005 16:58 36256]
S3 hamachi_oem;PlayLinc Adapter;c:\windows\system32\drivers\gan_adapter.sys [28/08/2006 23:54 10664]
S3 jnv4_mib;jnv4_mib;\??\c:\docume~1\UTILIS~1\LOCALS~1\Temp\jnv4_mib.sys --> c:\docume~1\UTILIS~1\LOCALS~1\Temp\jnv4_mib.sys [?]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [15/05/2010 20:54 691696]
.
Contenu du dossier 'Tâches planifiées'

2008-08-30 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2010-08-25 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-518128544-3844529473-1349536599-1004Core.job
- c:\documents and settings\Utilisateur 01\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2008-09-09 11:33]

2010-08-26 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-518128544-3844529473-1349536599-1004UA.job
- c:\documents and settings\Utilisateur 01\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2008-09-09 11:33]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.be/
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = <local>
uInternet Settings,ProxyServer = http=127.0.0.1:6522
IE: &Google Search - c:\program files\Google\GoogleToolbar1.dll/cmsearch.html
IE: Backward Links - c:\program files\Google\GoogleToolbar1.dll/cmbacklinks.html
IE: Cached Snapshot of Page - c:\program files\Google\GoogleToolbar1.dll/cmcache.html
IE: E&xporter vers Microsoft Excel - d:\progra~1\Office12\EXCEL.EXE/3000
IE: Similar Pages - c:\program files\Google\GoogleToolbar1.dll/cmsimilar.html
IE: Translate into English - c:\program files\Google\GoogleToolbar1.dll/cmtrans.html
DPF: {784797A8-342D-4072-9486-03C8D0F2F0A1} - hxxps://www.battlefieldheroes.com/static/updater/BFHUpdater_4.0.21.0.cab
FF - ProfilePath - c:\documents and settings\Utilisateur 01\Application Data\Mozilla\Firefox\Profiles\fll18f21.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.be/ig?hl=fr
FF - component: c:\program files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}\components\SkypeFfComponent.dll
FF - component: c:\program files\Real\RealPlayer\browserrecord\firefox\ext\components
prpffbrowserrecordext.dll
FF - plugin: c:\documents and settings\Utilisateur 01\Application Data\Mozilla\Firefox\Profiles\fll18f21.default\extensions\battlefieldheroespatcher@ea.com\platform\WINNT_x86-msvc\plugins
pBFHUpdater.dll
FF - plugin: c:\documents and settings\Utilisateur 01\Local Settings\Application Data\Google\Update\1.2.183.29
pGoogleOneClick8.dll
FF - plugin: c:\program files\Pando Networks\Media Booster
pPandoWebPlugin.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-EA Core - c:\program files\Electronic Arts\EADM\Core.exe
HKCU-Run-RocketDock - c:\program files\RocketDock\RocketDock.exe
HKLM-Run-SpeedTouch USB Diagnostics - c:\program files\Thomson\SpeedTouch USB\Dragdiag.exe
Notify-AtiExtEvent - (no file)
AddRemove-Defcon_is1 - d:\program files\Defcon\unins000.exe
AddRemove-Dev-C++ - d:\dev-cpp\uninstall.exe
AddRemove-Guild Wars - d:\program files\GUILD WARS\Gw.exe
AddRemove-HaaliMkx - c:\program files\Matroska Pack\haali\uninstall.exe
AddRemove-Half-Life: Opposing Force - d:\progra~1\UNWISE.EXE
AddRemove-Steam App 17700 - d:\cs_sourcesteam\steam.exe
AddRemove-Steam App 280 - d:\cs_sourcesteam\steam.exe
AddRemove-Steam App 380 - d:\cs_sourcesteam\steam.exe
AddRemove-TmNations_is1 - d:\program files\TrackMania Nations ESWC\unins000.exe
AddRemove-Utilitaires Sierra - c:\program files\Sierra On-Line\sutil32.exe
AddRemove-Wow Cartographe - d:\program files\WowCartographe\uninst.exe
AddRemove-{8DC910CD-8EE3-4ffc-A4EB-9B02701059C4} - d:\program files\Battlefield Heroes\uninstaller.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-08-26 16:19
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-518128544-3844529473-1349536599-1004\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_USERS\S-1-5-21-518128544-3844529473-1349536599-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:ca,75,b4,5a,be,e1,50,18,b8,2f,76,f1,8b,08,2a,58,af,ea,ef,5b,29,62,e4,
   ba,2b,9e,9f,4a,8a,5a,f0,f8,15,51,f2,bd,e0,75,ab,02,58,af,b2,8c,d1,82,aa,80,\
"??"=hex:5c,f1,83,89,34,2e,c3,29,75,49,0f,ac,fc,c3,b8,aa

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø*€|ÿÿÿÿ*€|ù*9~*]
"C040211900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h-€|ÿÿÿÿ¤*€|ù*9~*]
"C040211900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"
.
Heure de fin: 2010-08-26  16:22:26
ComboFix-quarantined-files.txt  2010-08-26 14:22

Avant-CF: 1.082.580.992 octets libres
Après-CF: 8.478.449.664 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP  dition familiale" /noexecute=optin /fastdetect

- - End Of File - - 384B5CCA9AA33B24BCF62D6ACEF1497F


Une grand merci :)

archet9 · Answer

Commentse comporte le pc ?

Redfactions · Answer

Toutes les applications refonctionnent, il y a juste antimalware doctor qui est apparu juste après l'attaque qui est toujours dans mon menu démarrer, peut-être un dossier à supprimer ?

Un merci pour tout en tout cas :)

archet9 · Answer

Un nouveau ZHPdiag stp

Redbart · Answer

peux tu citer les logiciels qui protègent ton pc en continu?

Redfactions · Answer

Voila le nouveaux log 

http://www.cijoint.fr/cjlink.php?file=cj201008/cijvMiAU46.txt

Et comme logiciel antivirus j'utilise Avira Personnal Anti Virus et a-squarred pour les spyware.

Merci d'avance :)

archet9 · Answer

Avec ZHPfix présent sur ton bureau :

-+-+-+-+-> ZHPFix <-+-+-+-+- 



 Copie le texte en gras ci-dessous ( CTRL + C pour copier ) 

[HKCU\Software\LdShih]     
O64 - Services: CurCS - C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\jnv4_mib.sys (.not file.) - jnv4_mib (jnv4_mib)  .(.Pas de propriétaire - Pas de description.) - LEGACY_JNV4_MIB     




 Lance ZHPFix qui est présent sur ton bureau. 

 Clique sur le "H" bleu ( Coller les lignes Helper ) 

 Les lignes précédemment copiées apparaîtront à l'écran dans l'encadré jaune pâle. 

 Vérifie que seules les lignes indiquées plus haut sont présentes puis clique sur [Ok] 

 Clique maintenant sur [Tous] , puis sur [Nettoyer] 

 Copie/Colle le contenu du rapport à l'écran dans ton prochain message. 

 Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt

Redfactions · Answer

Je ne sais pas si j'ai fait les bonnes manipulations pour supprimer tout il fallait bien tout selectionner avec les deux petits "v" puis ensuite cliquer sur le "v" tout seul ? Désolé mais c'est la première fois que j'utilise ce programme ....


Rapport de ZHPFix v1.12.3138 par Nicolas Coolman, Update du 25/08/2010
Fichier d'export Registre : 
Run by Utilisateur 01 at 27/08/2010 1:00:34
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

==========  ==========
HKCU\Software\LdShih  => 
O64 - Services: CurCS - C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\jnv4_mib.sys (.not file.) - jnv4_mib (jnv4_mib) .(.Pas de propriétaire - Pas de description.) - LEGACY_JNV4_MIB  => 


==========  ==========
2 : 


End of the scan

Merci d'avance

archet9 · Answer

Non c'est pas bon...regarde ici:
https://forum.pcastuces.com/zhpdiag___zhpfix-f31s55.htm

PC infecté Antivirus software alert

20 réponses

Discussions similaires