faux antivirus, security suite Résolu

Question

Bonjour, 


Depuis hier, un faux antivirus s'est installe sur mon pc, il s agit de security suite; pouvez vous m indiquer la demarche q suivre pour le supprimer;

plusieurs tentatives sans resultats, 

merci par avance,seb

moment de grace · Answer

bonjour

redémarrer le pc en mode sans échec

https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php


Télécharge rkill 

Enregistre-le sur ton Bureau
Double-clique sur l'icone rkill ( pour Vista/Seven clic-droit Exécuter en tant qu'Administrateur)
Un bref écran noir t'indiquera que le tool s'est correctement exécuter, s'il ne lance pas
change de lien de téléchargement en utilisant le suivant à partir d'ici:
https://download.bleepingcomputer.com/grinler/rkill.exe 
https://download.bleepingcomputer.com/grinler/rkill.exe 

Rkill COM: Rkill COM: 
https://download.bleepingcomputer.com/grinler/rkill.com
 https://download.bleepingcomputer.com/grinler/rkill.com 

Rkill SCR: Rkill RCS: 
https://download.bleepingcomputer.com/grinler/rkill.scr 
https://download.bleepingcomputer.com/grinler/rkill.scr 



une fois qu'il aura terminé lance 


Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)

http://www.malwarebytes.org/mbam/program/mbam-setup.exe
 
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. 
Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre.
. [b]Si des malwares ont été détectés, clique sur  Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection 
Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. Rends toi dans l'onglet rapport/log 
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous 
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller 


Si tu as besoin d'aide regarde ces tutoriels : 
 Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
 http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

sherred · Answer

ok  bonjour
on va regarder ca

lit bien la procedure ;)

Télécharger Rkill de Grinler 
Pour arrêter temporairement l'infection, 

* Télécharge Rkill (de Grinler) sur ton Bureau. fait double clic pour le lancer.
* Désactive ton antivirus 
* Double clique sur Rkill.exe pour le lancer (si tu es sous Windows Vista ou 7, lance le par un clic-droit --> exécuter en temps qu'administrateur) 
* Une fenêtre à fond noir (très rapide) va apparaître et se refermer. 
Elle indiquera que tout s'est bien déroulé

Si tu n'arrives pas à le lancer, utilise un de ces deux autres liens : 

https://download.bleepingcomputer.com/grinler/rkill.scr 
https://download.bleepingcomputer.com/grinler/rkill.com 


Ensuite, utilise aussitôt ce logiciel de désinfection
----------------
télécharge Malwarebyte's ici 
http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.46.exe
ou ici
https://www.clubic.com/telecharger-fiche215092-malwarebytes-anti-malware.html
le programme va se mettre automatiquement a jour. 

Une fois a jour, le programme va se lancer; click sur l'onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression". 

Click maintenant sur l'onglet recherche et coche la case : "executer un examen rapide". 

Puis click sur "rechercher". 

Laisse le scanner le pc... 

Si des éléments on été trouvés > click sur supprimer la sélection. 

si il t'es demandé de redémarrer > click sur "yes". 

A la fin un rapport va s'ouvrir; sauvegarde le de manière a le retrouver en vu de le poster sur le forum. 

Copie et colle le rapport stp. 

PS : les rapport sont aussi rangé dans l onglet rapport/log
.

sebitalie · Answer

en mode sans echec?

moment de grace · Answer

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

Télécharge ici :List_Kill'em et enregistre le sur ton bureau

http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe

ou

http://www.archive-host.com

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

 Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

=> choisis le bouton TOOLS
=> puis choisis le bouton Kill proxy

poste le rapport

.......................

ensuite

relances List_Kill'em


choisis l'option Search

 laisse travailler l'outil

il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

 Clique sur Parcourir et cherche le fichier ci-dessus.

 Clique sur Ouvrir.

 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

est ajouté dans la page.

 Copie ce lien dans ta réponse.

 Fais de même avec more.txt qui se trouve sur ton bureau

sebitalie · Answer

¤¤¤¤¤¤¤¤¤¤ Proxy_Kill by Gen-Hackman

¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

ProxyServer Deleted !!  
 
¤¤¤¤¤¤¤¤¤¤ Firefox ¤¤¤¤¤¤¤¤¤¤
 



¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

sebitalie · Answer

par contre pour la deuxieme partie,

pour "Search"  message d erreur imposible de trouver le fichier list'em.bat

moment de grace · Answer

as tu désactivé toutes tes protections, parefeu antivrus et spyware en tout genre

sebitalie · Answer

oui desactivé

sebitalie · Answer

j ai desinstalle puis reinstalle list kill em
ok pour la fonction search, je t envoi les post

sebitalie · Answer

ci joint les posts

http://www.cijoint.fr/cjlink.php?file=cj201008/cijZLfrrSk.txt 

http://www.cijoint.fr/cjlink.php?file=cj201008/cijpkzBcNH.txt

moment de grace · Answer

ok

1)

Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau. 
mais cette fois-ci : 

choisis l'option CLEAN
ton PC va redemarrer, 

laisse travailler l'outil. 

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau , 

colle le contenu dans ta reponse

...................

2)


Téléchargez USBFIX de El Desaparecido, C_xx

http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
ou
https://www.ionos.fr/?affiliate_id=77097

/!\ Utilisateur de vista et windows 7 :
ne pas oublier de désactiver Le contrôle des comptes utilisateurs 
https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac 

/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir 

* Double clic sur le raccourci UsbFix présent sur le bureau . 

* Choisir l'option suppression
(d'autres options disponibles, voir le tutoriel). 
* Laissez travailler l'outil.
Le menu démarrer et les icônes vont disparaître.. c'est normal. 

Si un message te demande de redémarrer l'ordinateur fais le ... 

? Au redémarrage, le fix se relance... laisses l'opération s'effectuer. 

? Le bloc note s'ouvre avec un rapport, envoies le dans la prochaine réponse

 
* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt ) 

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


* Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html


UsbFix peut te demander d'uploader un dossier compressé à cette adresse : https://www.ionos.fr/?affiliate_id=77097 

 Il est enregistré sur ton bureau. 

Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. 


...........................

3)

Télécharge ZHPDiag ( de Nicolas coolman ). 
ftp://zebulon.fr/ZHPDiag.exe

(outil de diagnostic)

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
 
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin pour vista ) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message


si soucis avec ci joint. fr 

=> utiliser https://www.cjoint.com/
=>  utiliser http://ww38.toofiles.com/fr/oip/documents/txt/av.html

sebitalie · Answer

1) pc n'a pas redemarré

¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.0.1 ¤¤¤¤¤¤¤¤¤¤

User : spotel (Administrators)
Update on 27/08/2010 by g3n-h@ckm@n ::::: 01.55
Start at: 10:41:44 | 29/08/2010

Intel(R) Core(TM)2 CPU T7200 @ 2.00GHz
Microsoft Windows XP Professional (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : AVG Anti-Virus Network Edition 9.0 [ Enabled | Updated ]

C:\ -> Disco rigido locale | 74,44 Go (55,62 Go free) | NTFS
D:\ -> Disco CD-ROM

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes ------- Memory(Ko)

C:\WINDOWS\System32\smss.exe ----400 Ko
C:\WINDOWS\system32\csrss.exe ----3332 Ko
C:\WINDOWS\system32\winlogon.exe ----2832 Ko
C:\WINDOWS\system32\services.exe ----4108 Ko
C:\WINDOWS\system32\lsass.exe ----2828 Ko
C:\WINDOWS\system32\svchost.exe ----5244 Ko
C:\WINDOWS\system32\svchost.exe ----5208 Ko
C:\WINDOWS\system32\svchost.exe ----26732 Ko
C:\Programmi\AVG\AVG9\avgchsvx.exe ----620 Ko
C:\WINDOWS\system32\svchost.exe ----6560 Ko
C:\WINDOWS\system32\svchost.exe ----3476 Ko
C:\WINDOWS\Explorer.EXE ----15748 Ko
C:\WINDOWS\system32\wbem\wmiprvse.exe ----8340 Ko
C:\WINDOWS\system32\cmd.exe ----3472 Ko
C:\Programmi\List_Kill'em\ERUNT.EXE ----3552 Ko
C:\Programmi\List_Kill'em\pv.exe ----3532 Ko

¤¤¤¤¤¤¤¤¤¤ Files/folders :

Quarantined & Deleted !! : C:\WINDOWS\003056_.tmp
Quarantined & Deleted !! : C:\WINDOWS\SET25.tmp
Quarantined & Deleted !! : C:\WINDOWS\SET26.tmp
Quarantined & Deleted !! : C:\WINDOWS\SET3.tmp
Quarantined & Deleted !! : C:\WINDOWS\SET4.tmp
Quarantined & Deleted !! : C:\WINDOWS\SET8.tmp

Quarantined & Deleted !! : C:\WINDOWS\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
Deleted !! : C:\RECYCLER\S-1-5-21-2097819627-1596012745-3976138828-1006\Dc1.exe

¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤

127.0.0.1 localhost

¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤

Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"
Deleted : HKCR\CLSID\{248dd896-bb45-11cf-9abc-0080c7e7b78d}
Deleted : HKCR\CLSID\{248dd897-bb45-11cf-9abc-0080c7e7b78d}
Deleted : HKCR\Interface\{248dd892-bb45-11cf-9abc-0080c7e7b78d}
Deleted : HKCR\Interface\{248dd893-bb45-11cf-9abc-0080c7e7b78d}
Deleted : HKCR\TypeLib\{248dd890-bb45-11cf-9abc-0080c7e7b78d}

¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page = https://www.msn.com/fr-fr/?ocid=iehp
Local Page = C:\WINDOWS\system32\blank.htm
Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page = https://www.google.com/?gws_rd=ssl
Local Page = C:\WINDOWS\system32\blank.htm
Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

¤¤¤¤¤¤¤¤¤¤ Security Center ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
FirstRunDisabled = 1 ()
AntiVirusDisableNotify = 0 (0x0)
FirewallDisableNotify = 0 (0x0)
UpdatesDisableNotify = 0 (0x0)
AntiVirusOverride = 0 (0x0)
FirewallOverride = 0 (0x0)
AntiSpywareOverride = 0 (0x0)

¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

Ndisuio : Start = 3
EapHost : Start = 2
Ip6Fw : Start = 2
SharedAccess : Start = 2
wuauserv : Start = 2
wscsvc : Start = 2

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Disk Cleaned
anti-ver blaster : OK
Prefetch cleaned
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

FEATURE_BROWSER_EMULATION | svchost :
====================================

Deleted : HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main\featurecontrol\FEATURE_BROWSER_EMULATION : svchost.exe

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8A580EC5]<<
kernel: MBR read successfully
user & kernel MBR OK

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

moment de grace · Answer

vu

=> USBfix

sebitalie · Answer

2) https://www.cjoint.com/?iDmJARfFcr
3) https://www.cjoint.com/?iDmKjfLRrZ

moment de grace · Answer

ok

1)


* Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


O4 - HKLM\..\Run: [gyhseiuj] . (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\spotel\Impostazioni locali\Dati applicazioni\iraicsymv\jkgignwshdw.exe 
O4 - HKCU\..\Run: [XBV6RD5SZF] C:\DOCUME~1\spotel\IMPOST~1\Temp\Wm0.exe (.not file.)     
O4 - HKUS\S-1-5-21-2097819627-1596012745-3976138828-1006\..\Run: [XBV6RD5SZF] C:\DOCUME~1\spotel\IMPOST~1\Temp\Wm0.exe (.not file.)     
[HKCU\Software\XBV6RD5SZF]     
[HKCU\Software\wnxmal
O4 - HKUS\S-1-5-18\..\Run: [gyhseiuj] . (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\spotel\Impostazioni locali\Dati applicazioni\iraicsymv\jkgignwshdw.exe
O4 - HKUS\S-1-5-18\..\Run: [gyhseiuj] . (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\spotel\Impostazioni locali\Dati applicazioni\iraicsymv\jkgignwshdw.exe





Puis Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.



Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ". 

Copie/Colle le rapport à l'écran dans ton prochain message

( ce rapport est sauvegardé dans ce dossier  C:\Program files\ZHPDiag\ZHPFixReport.txt ) 

.............................

refaire USBfix avec la présence des périphériques F et G apparemment infecté

sebitalie · Answer

Rapport de ZHPFix v1.12.3141 par Nicolas Coolman, Update du 27/08/2010
Fichier d'export Registre : C:\ZHPExportRegistry-30-08-2010-07-27-00.txt
Run by spotel at 30/08/2010 07:26:57
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
HKCU\Software\XBV6RD5SZF  => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [gyhseiuj] . (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\spotel\Impostazioni locali\Dati applicazioni\iraicsymv\jkgignwshdw.exe  => Valeur supprimée avec succès
O4 - HKCU\..\Run: [XBV6RD5SZF] C:\DOCUME~1\spotel\IMPOST~1\Temp\Wm0.exe (.not file.)  => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-2097819627-1596012745-3976138828-1006\..\Run: [XBV6RD5SZF] C:\DOCUME~1\spotel\IMPOST~1\Temp\Wm0.exe (.not file.)  => Valeur absente
O4 - HKUS\S-1-5-18\..\Run: [gyhseiuj] . (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\spotel\Impostazioni locali\Dati applicazioni\iraicsymv\jkgignwshdw.exe  => Valeur supprimée avec succès

========== Fichier(s) ==========
c:\documents and settings\spotel\impostazioni locali\dati applicazioni\iraicsymv\jkgignwshdw.exe  => Fichier supprimé au reboot
c:\docume~1\spotel\impost~1	emp\wm0.exe  => Fichier supprimé au reboot


========== Récapitulatif ==========
1 : Clé(s) du Registre
4 : Valeur(s) du Registre
2 : Fichier(s)


End of the scan

moment de grace · Answer

a partir de quelle etape dois je commencer?

en ouvrant ton propre sujet...merci

@ sebitalie

=> usbfix avec la présence des périphériques F et G apparemment infecté

sebitalie · Answer

Merci bcp
seb

sebitalie · Answer

ok pour usb fixe, tout parait etre rentre dasns l'ordre, 
seb

sebitalie · Answer

############################## | UsbFix 7.021 | [Deletion]

User: spotel (Administrator) # ITROLT9X1KB3J [ ]
Updated 20/08/10 by El Desaparecido / C_XX
Started at 08:07:35 | 30/08/2010
Website: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Core(TM)2 CPU T7200 @ 2.00GHz
CPU 2: Intel(R) Core(TM)2 CPU T7200 @ 2.00GHz
Microsoft Windows XP Professional (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Windows Firewall: Enabled
Antivirus: AVG Anti-Virus Network Edition 9.0 [Enabled | Updated]
RAM -> 2046 Mb 
C:\ (%systemdrive%) -> Fixed drive # 74 Gb (59 Mb free - 79%) [] # NTFS
D:\ -> CD-ROM
E:\ -> Fixed drive # 149 Gb (93 Mb free - 62%) [My Passport] # FAT32
F:\ -> Removable drive # 8 Gb (6 Mb free - 82%) [CHARLOTTE] # FAT32

################## | Files # Infected Folders |

Deleted ! E:\Autorun.inf

################## | Registry |


################## | Mountpoints2 |

Deleted ! HKCU\.\.\.\.\Explorer\MountPoints2\{838e6490-88fc-11df-a01c-00188bda5504}
Deleted ! HKCU\.\.\.\.\Explorer\MountPoints2\{b6b3a169-a9c5-11df-a05e-00188bda5504}

################## | Listing |

[23/08/2010 - 09:46:19 | HD ] 	C:\$AVG
[14/07/2010 - 16:59:28 | D ] 	C:\ab5bc25bd658fbba024e902a
[29/08/2010 - 12:12:52 | A | 4] 	C:\AUTOEXEC.BAT
[29/08/2010 - 12:24:22 | RASHD ] 	C:\Autorun.inf
[15/05/2008 - 17:17:35 | AH | 69] 	C:\avgin2.log
[26/11/2008 - 16:39:25 | A | 15615] 	C:\Blocco note.pdf
[14/05/2008 - 17:12:59 | ASH | 211] 	C:\boot.ini
[16/05/2008 - 11:31:39 | ASH | 211] 	C:\boot1.ini
[19/08/2004 - 14:00:00 | RASH | 4952] 	C:\Bootfont.bin
[17/08/2010 - 08:01:56 | SHD ] 	C:\Config.Msi
[14/05/2008 - 17:18:17 | A | 0] 	C:\CONFIG.SYS
[04/05/2009 - 11:59:32 | D ] 	C:\d8e295c6781441ea8b
[14/05/2008 - 17:40:07 | D ] 	C:\DELL
[02/07/2010 - 16:19:06 | D ] 	C:\Documents and Settings
[13/07/2010 - 15:08:51 | D ] 	C:\FILE
[08/07/2010 - 14:00:31 | SHD ] 	C:\found.000
[14/05/2008 - 17:18:17 | RASH | 0] 	C:\IO.SYS
[14/05/2008 - 17:18:17 | RASH | 0] 	C:\MSDOS.SYS
[03/09/2009 - 11:44:15 | RHD ] 	C:\MSOCache
[04/05/2009 - 10:57:20 | D ] 	C:\NDPS
[04/05/2009 - 11:03:01 | D ] 	C:\Novell
[19/08/2004 - 14:00:00 | RASH | 47564] 	C:\NTDETECT.COM
[27/08/2008 - 14:47:09 | RASH | 251600] 	C:
tldr
[30/08/2010 - 07:28:42 | ASH | 2145386496] 	C:\pagefile.sys
[29/08/2010 - 21:21:54 | RD ] 	C:\Programmi
[30/08/2010 - 08:09:04 | SHD ] 	C:\RECYCLER
[14/04/2010 - 09:11:35 | SHD ] 	C:\System Volume Information
[30/08/2010 - 08:09:21 | D ] 	C:\UsbFix
[30/08/2010 - 08:09:21 | A | 940] 	C:\UsbFix.txt
[29/08/2010 - 12:12:14 | D ] 	C:\WINDOWS
[30/08/2010 - 07:27:00 | A | 6440] 	C:\ZHPExportRegistry-30-08-2010-07-27-00.txt
[29/08/2010 - 18:17:42 | D ] 	E:\BACKUP ITALIE
[29/08/2010 - 18:17:20 | D ] 	E:\BACKUP FRANCE
[10/06/2009 - 15:47:36 | SHD ] 	E:\System Volume Information
[10/06/2009 - 16:09:04 | SHD ] 	E:\Recycled
[20/08/2009 - 07:40:18 | SHD ] 	E:\$RECYCLE.BIN
[14/08/2010 - 19:22:12 | D ] 	F:\VACS ITALIE
[16/08/2010 - 19:16:44 | A | 25785119] 	F:\TENTATION.pdf
[16/08/2010 - 20:49:50 | A | 624185] 	F:\LEVY, Marc - et si c'était vrai.pdf
[19/08/2010 - 19:02:36 | D ] 	F:\NRJ
[02/05/2010 - 17:37:48 | D ] 	F:
oel 2009
[16/08/2010 - 19:10:26 | A | 63624281] 	F:\Twilight Tome 1 Fascination.pdf
[18/08/2010 - 17:41:36 | A | 45868] 	F:\Internet Explorer ne peut pas afficher cette page Web.mht
[28/08/2010 - 11:11:22 | A | 390656] 	F:\STOPzilla_Setup.exe
[28/08/2010 - 12:06:54 | A | 363520] 	F:kill.com
[09/07/2010 - 10:34:26 | A | 54272] 	F:\RIBREAU Charlotte CV.doc
[28/08/2010 - 13:41:40 | A | 1554] 	F:\Nuovo Documento di testo.txt
[28/08/2010 - 14:05:30 | A | 3219350] 	F:\List_Killem_Install.exe
[28/08/2010 - 14:08:40 | A | 204] 	F:\prox.txt
[28/08/2010 - 23:10:32 | A | 32617] 	F:\List'em.txt
[28/08/2010 - 23:10:40 | A | 36579] 	F:\more.txt
[29/08/2010 - 10:52:38 | A | 1919312] 	F:\ZHPDiag.exe
[29/08/2010 - 10:53:04 | A | 1208126] 	F:\UsbFix.exe
[29/08/2010 - 12:12:54 | A | 4339] 	F:\Kill'em.txt
[29/08/2010 - 12:24:24 | RASHD ] 	F:\Autorun.inf
[29/08/2010 - 12:24:34 | A | 4663] 	F:\UsbFix.txt
[29/08/2010 - 12:33:52 | A | 82823] 	F:\ZHPDiag.Txt
[27/08/2010 - 22:15:30 | A | 18612224] 	F:\Test champs calcule.accdb
[29/08/2010 - 21:51:26 | A | 17801216] 	F:\Test champs calcule.mdb
[30/08/2010 - 07:16:26 | A | 823] 	F:eponse forum 30-08 .txt
[30/08/2010 - 07:27:36 | A | 1501] 	F:\pour forum.txt

################## | Vaccin |

C:\Autorun.inf -> Folder created by UsbFix (El Desaparecido & C_XX)
E:\Autorun.inf -> Folder created by UsbFix (El Desaparecido & C_XX)
F:\Autorun.inf -> Folder created by UsbFix (El Desaparecido & C_XX)

################## | Upload |

Please send the file: C:\UsbFix_Upload_Me_ITROLT9X1KB3J.zip
https://www.ionos.fr/?affiliate_id=77097
Thank you for your contribution.

################## | E.O.F |

moment de grace · Answer

ok à refaire à l'avenir avec le G présent

comment va le pc ?

sebitalie · Answer

il tourne,  le pc de ma collegue a le meme probleme puisque c'est elle qui mqvqit fourni lq cle usb vendredi

moment de grace · Answer

le pc de ma collegue a le meme probleme puisque c'est elle qui mqvqit fourni lq cle usb vendredi

qu'elle s'inscrive et vienne me voir ici

................

on termine

1)
IMPORTANT

Purger la restauration systeme XP

http://www.bibou0007.com/windows-xp-f101/purger-la-restauration-du-systeme-sous-windows-xp-t151.htm


.................

2)
Clique droit sur l'icône ZHPFix.exe sur ton Bureau, 
puis sélectionne 'Exécuter en tant qu'administrateur'. 

Clique sur le A rouge (Nettoyeur de Tools). 

Clique sur Nettoyer. 

Fais redémarrer l'ordi pour terminer le nettoyage.


.......................................

Recommandations pour l'avenir

Tu es la meilleure protection pour ton pc que tout autre antivirus, si tu admets un minimum de rigueur dans son utilisation...Les virus sont vigilants et pénètrent ta machine par toutes les portes que tu laisseras ouvertes...
-	logiciels non à jour (windows, internet explorer, java, adobe reader etc)
-	installation de toolbar
-	fréquentation de sites piégés
-	P2P
-	Application de cracks
-	Supports usb

Pour t'aider dans cette tâche, voici quelques pistes

 Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur firefox
http://www.mozilla-europe.org/fr/firefox/

 Une fois que c'est fait, lances le et installe l'extension de sécurité adblock plus 
pour bloquer les publicités
 http://www.clubic.com/telecharger-fiche45912-adblock-plus.html

............................

WOT - Extension pour ton navigateur internet : 
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC : 
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/ 
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp 

........................

Pour éviter une infection toolbar, il faut tout lire attentivement lorsque tu installes un programme gratuit, et décocher tous les programmes additionnels qui sont proposés, en particulier les barres d'outils !

..........................

Vaccines tes disques amovibles à l'aide de USBFix (de Chiquitine29 et C_XX) 
http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
Au menu principal, choisis l'option 3 (Vaccination).
............................

garder Malwarebytes et faire un examen de temps en temps ton PC, avec mise à jour avant chaque scan
.......................

Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
 https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/

* Lance-le.(clic droit "en tant qu'administrateur" pour Vista) Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse 

..........................
utilitaire pour défragmenter , utilises pour ce faire Defraggler https://www.clubic.com/telecharger-fiche44314-defraggler.html

........................
A lire pour mieux comprendre l'environnement qui t'entoure
http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html
https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf

http://www.libellules.ch/...

sebitalie · Answer

j'ai le message GENERIC HOST PROCESS for win32 services qui s'affiche

moment de grace · Answer

- dans démarrer
- panneau de config
- performances et maintenance
- outils d'administration
- services
- onglet étendu ou standard (bas à gauche)
- double click sur Generic Host Process for Win 32 Services ou Client DNS pour ouvrir boite de propriété de ce service
- si écrit démarré dans statut de service cliquer sur arrêter
- à type de démarrage cliquer sur désactiver
- OK
-fermer

sebitalie · Answer

meme desactivé, j'ai encore le meme popup qui s'ouvre, quand que je clique sur envoyer ou non envoyer ou debut, je perds  ma conexion internet

moment de grace · Answer

on recommence

fais un nouveau rapport zhpdiag si tu l'as encore sinon

Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 


(outil de diagnostic)

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
 
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista ) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

sebitalie · Answer

http://www.cijoint.fr/cjlink.php?file=cj201008/cijm0t8JvY.txt 

j' ai envie de le bruler cet ordi ( c'est mon outils de travail.. )

moment de grace · Answer

ok 

1) 

ce GroupWise est il fiable 
car j'ai pour lui  http://www.virustotal.com/file-scan/report.html?id=731c0d92f9c6e95a91e481e9f93715f3c22cef9a6163758efef55a90da10853c-1206382282 

..................... 


2)

Copie  tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

[HKCU\Software\wnxmal] 

Puis Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

Copie/Colle le rapport à l'écran dans ton prochain message 

le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport 

.......................

3) 

* Télécharge load_tdsskiller (de Loup Blanc) sur ton Bureau 

http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe 
  
* Lance load_tdsskiller en faisant un double-clic dessus / Lance par un clic-droit dessus ? Exécuter en temps qu'administrateur  
* L'outil va se connecter pour télécharger une copie à jour de TDSSKiller, puis va lancer une analyse  
* A la fin, il te sera demandé d'appuyer sur une touche, puis le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (C:	dsskillereport.txt) 




CONTRIBUTEUR SECURITE 

Désinfection = diagnostic + traitement + finalisation 
"Restez" jusqu'au bout...merci

sebitalie · Answer

1) ou fiable car c'est mon l outil pour la reception des mails ( comme outlook), fourni par ma boite

2)
Rapport de ZHPFix v1.12.3141 par Nicolas Coolman, Update du 27/08/2010
Fichier d'export Registre : 
Run by spotel at 30/08/2010 20:02:11
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
HKCU\Software\wnxmal  => Clé supprimée avec succès


========== Récapitulatif ==========
1 : Clé(s) du Registre


End of the scan

3)
2010/08/30 20:06:29.0180	TDSS rootkit removing tool 2.4.1.3 Aug 27 2010 08:53:42
2010/08/30 20:06:29.0180	================================================================================
2010/08/30 20:06:29.0180	SystemInfo:
2010/08/30 20:06:29.0180	
2010/08/30 20:06:29.0180	OS Version: 5.1.2600 ServicePack: 3.0
2010/08/30 20:06:29.0180	Product type: Workstation
2010/08/30 20:06:29.0180	ComputerName: ITROLT9X1KB3J
2010/08/30 20:06:29.0180	UserName: spotel
2010/08/30 20:06:29.0180	Windows directory: C:\WINDOWS
2010/08/30 20:06:29.0180	System windows directory: C:\WINDOWS
2010/08/30 20:06:29.0180	Processor architecture: Intel x86
2010/08/30 20:06:29.0180	Number of processors: 2
2010/08/30 20:06:29.0180	Page size: 0x1000
2010/08/30 20:06:29.0180	Boot type: Normal boot
2010/08/30 20:06:29.0180	================================================================================
2010/08/30 20:06:29.0477	Initialize success

moment de grace · Answer

* Télécharge Defogger 
http://www.jpshortstuff.247fixes.com/Defogger.exe

 => lance le
* Une fenêtre apparait clique sur Disable
* Redémarre le PC si demandé

ensuite

/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\ 


? Télécharge : Gmer (by Przemyslaw Gmerek) 

http://www.gmer.net/



? Dezippe gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre. 

? Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

sebitalie · Answer

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-08-30 23:20:42
Windows 5.1.2600 Service Pack 3
Running: etho25od.exe; Driver: C:\DOCUME~1\spotel\IMPOST~1\Temp\aglyqaow.sys


---- System - GMER 1.0.15 ----

SSDT            \??\C:\WINDOWS\system32\Drivers\uphcleanhlp.sys                                                  ZwUnloadKey [0xB47A86D0]

---- Kernel code sections - GMER 1.0.15 ----

?               nwfilter.sys                                                                                     Impossibile trovare il file specificato. !
.text           C:\WINDOWS\system32\DRIVERS
v4_mini.sys                                                         section is writeable [0xB972B360, 0x36E81D, 0xE8000020]
.rsrc           C:\WINDOWS\system32\DRIVERSedbook.sys                                                          entry point in ".rsrc" section [0xBA253F94]
?               C:\WINDOWS\system32\Drivers\uphcleanhlp.sys                                                      Impossibile trovare il file specificato. !

---- User code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\System32\svchost.exe[1180] USER32.dll!GetCursorPos                                    7E3A974E 5 Bytes  JMP 00DB000A 
.text           C:\WINDOWS\System32\svchost.exe[1180] ole32.dll!CoCreateInstance                                 774D057E 5 Bytes  JMP 00DA000A 

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Fastfat \Fat                                                                         B39B9D20

AttachedDevice  \FileSystem\Fastfat \Fat                                                                         fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device           -> \Driver\atapi \Device\Harddisk0\DR0                                                          8A50DEC5

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\ControlSet001\Services\BTHPORT\Parameters\Keys\001641b423b7 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001641b423b7 (not active ControlSet)  
Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001641b423b7                      

---- Files - GMER 1.0.15 ----

File            C:\WINDOWS\system32\DRIVERSedbook.sys                                                          suspicious modification
File            C:\WINDOWS\system32\drivers\atapi.sys                                                            suspicious modification

---- EOF - GMER 1.0.15 ----

sebitalie · Answer

scan tres lent, pas de ligne rouge.. :(

moment de grace · Answer

File C:\WINDOWS\system32\DRIVERS\redbook.sys suspicious modification
File C:\WINDOWS\system32\drivers\atapi.sys suspicious modification 

................

Attention, avant de commencer, lit attentivement la procédure, et imprime la 

Aide à l'utilisation
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix



Télécharge ComboFix de sUBs  sur ton Bureau : 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

/!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ 

---> Double-clique sur ComboFix.exe 
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter 

SURTOUT INSTALLES LA CONSOLE DE RECUPERATION 
(si il te propose de l'installer remets provisoirement internet)

---> Mets-le en langue française F 
Tape sur la touche 1 (Yes) pour démarrer le scan. 

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC 

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu 

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ 

Note : Le rapport se trouve également là : C:\ComboFix.txt

sebitalie · Answer

me voila de retour apres une semaine charge, je viens d'effectuer la derniere manip coòbo fix, ci joint le rapport,

ComboFix 10-09-04.06 - spotel 05/09/2010  19:57:23.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.39.1040.18.2046.1545 [GMT 2:00]
Eseguito da: c:\documents and settings\spotel\Documenti\Téléchargements\ComboFix.exe
AV: AVG Anti-Virus Network Edition *On-access scanning enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
 * Creato nuovo punto di ripristino
.

(((((((((((((((((((((((((((((((((((((   Altre eliminazioni   )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\found.000\dir0001.chk\_desktop.ini
c:\found.000\dir0001.chk\EXTENSION DE GARANTIE\_desktop.ini
c:\found.000\dir0001.chk\EXTENSION DE GARANTIE\Annulation des contrat SDB\_desktop.ini
c:\found.000\dir0001.chk\EXTENSION DE GARANTIE\CONTRAT WTA\_desktop.ini
c:\found.000\dir0001.chk\EXTENSION DE GARANTIE\TARIFS ET MODALITES DES EXTENSIONS\_desktop.ini
c:\found.000\dir0001.chk\EXTENSION DE GARANTIE\TARIFS ET MODALITES DES EXTENSIONS\FIAT 500-MOBILITE et extensions\_desktop.ini
c:\found.000\dir0001.chk\EXTENSION DE GARANTIE\TARIFS ET MODALITES DES EXTENSIONS\SIB- Tarif ALFA ROMEO Valide  depuis le 15102007\_desktop.ini
c:\found.000\dir0001.chk\EXTENSION DE GARANTIE\TARIFS ET MODALITES DES EXTENSIONS\SIB-TARIF FIAT VP  Valide depuis le 15102007\_desktop.ini
c:\found.000\dir0001.chk\EXTENSION DE GARANTIE\TARIFS ET MODALITES DES EXTENSIONS\SIB-TARIF FIAT VU Valide depuis le 15102007\_desktop.ini
c:\found.000\dir0001.chk\EXTENSION DE GARANTIE\TARIFS ET MODALITES DES EXTENSIONS\SIB-TARIF LANCIA Valide depuis le 15102007\_desktop.ini
c:\found.000\dir0001.chk\EXTENSION DE GARANTIE\TARIFS ET MODALITES DES EXTENSIONS\SM5- bravo 5 ANS 500000KMS\_desktop.ini
c:\found.000\dir0001.chk\EXTENSION DE GARANTIE\TARIFS ET MODALITES DES EXTENSIONS\SN5- CROMA SW- EXTENSION DE GARANTIE 5 ans_500000 KMS\_desktop.ini
c:\found.000\dir0001.chk\EXTENSION DE GARANTIE\VIP SERVICE LANCIA\_desktop.ini
c:\found.000\dir0001.chk\EXTENSION DE GARANTIE\VP2 MOBILITE FIAT 500\_desktop.ini
c:\found.000\dir0004.chk\CIRCULAIRES FIAT FRANCE\_desktop.ini
c:\found.000\dir0004.chk\CIRCULAIRES FIAT FRANCE\2010 04 06 Découpage RZSC\_desktop.ini
c:\found.000\dir0004.chk\CIRCULAIRES FIAT FRANCE\Archive circulaire\_desktop.ini
c:\found.000\dir0004.chk\CIRCULAIRES FIAT FRANCE\Archive circulaire\Achats des PR au 01 03 2009\_desktop.ini
c:\found.000\dir0004.chk\CIRCULAIRES FIAT FRANCE\Facturation garantie via eSIGI ++\_desktop.ini
c:\found.000\dir0004.chk\CIRCULAIRES FIAT FRANCE\ORGANISATION DPS AU 0104\_desktop.ini
c:\found.000\dir0004.chk\CIRCULAIRES FIAT FRANCE\Pièces jointes eSIGI++\_desktop.ini
c:\found.000\dir0004.chk\CIRCULAIRES FIAT FRANCE\PROCESS BATTERIE\_desktop.ini
c:\found.000\dir0004.chk\CIRCULAIRES FIAT FRANCE\Process GARANTIE\_desktop.ini
c:\found.000\dir0004.chk\CIRCULAIRES FIAT FRANCE\Process GARANTIE\old\_desktop.ini
c:\found.000\dir0004.chk\CIRCULAIRES FIAT FRANCE\Process GARANTIE\old\circulaire du 05012009\_desktop.ini
c:\found.000\dir0004.chk\CIRCULAIRES FIAT FRANCE\Process GARANTIE\old\circulaire du 15052008\_desktop.ini
c:\found.000\dir0004.chk\CIRCULAIRES FIAT FRANCE\Process GARANTIE\process facturation eSIGI\_desktop.ini
c:\found.000\dir0004.chk\CIRCULAIRES FIAT FRANCE\Process GARANTIE\Process garantie au 01 avril 2010\_desktop.ini
c:\found.000\dir0004.chk\CIRCULAIRES FIAT FRANCE\Process MAJ chassis\_desktop.ini
c:\found.000\dir0004.chk\CIRCULAIRES FIAT FRANCE\Process MAJ chassis\CAMPER\_desktop.ini
c:\found.000\dir0004.chk\CIRCULAIRES FIAT FRANCE\Process MAJ chassis\vp\_desktop.ini
c:\found.000\dir0004.chk\CIRCULAIRES FIAT FRANCE\Process UTILISATION eTESEO\_desktop.ini
c:\found.000\dir0004.chk\CIRCULAIRES FIAT FRANCE\Procédure véhicules de remplacement\_desktop.ini
c:\found.000\dir0004.chk\CIRCULAIRES FIAT FRANCE\Procédure véhicules de remplacement\au 01112009\_desktop.ini
c:\found.000\dir0004.chk\OUTILS PFG\_desktop.ini
c:\found.000\dir0004.chk\OUTILS PFG\Interface-Service Garantie-Formation Garantie\_desktop.ini
c:\found.000\dir0004.chk\OUTILS PFG\Interface-Service Garantie-WSP-AUDIT\_desktop.ini
c:\found.000\dir0004.chk\OUTILS PFG\Service NEWS\_desktop.ini
c:\found.000\dir0005.chk\_desktop.ini
c:\found.000\dir0005.chk\ACTUALITE\_desktop.ini
c:\found.000\dir0005.chk\Autoradio et connect\_desktop.ini
c:\found.000\dir0005.chk\Autoradio et connect\Grundig\_desktop.ini
c:\found.000\dir0005.chk\Autoradio et connect
ouveaute bosh blaupunkt 2010\_desktop.ini
c:\found.000\dir0005.chk\AUTORADIO SUPER U_TOKAI\_desktop.ini
c:\found.000\dir0005.chk\Consultation des Services news\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\Archives\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\Archivesegul MO\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\CALCUL TAUX MO\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\CALCUL TAUX MO\OLD\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\CLASSE MO\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\CLASSE MO\old\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\Abbeville 80\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\Carpiquet 20093\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\Cloturé\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\Cloturé\ALBI-20074-22106-16802\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\Cloturé\AMIENS-20075\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\Cloturé\BESANCON\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\Cloturé\CASTRES 16801-20073-22105\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\Cloturé\charleville meziere\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\Cloturé\CHERBOURG\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\Cloturé\COMPIEGNE 16803\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\Cloturé\La garde 20078\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\Cloturé\LE HAVRE- 20072\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\Cloturé\LE HAVRE 20083 22110\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\Cloturé\maizieres les mets 20087\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\Cloturé\MELUN\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\Cloturé\PARIS 15\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\Cloturé\puget sur agens 20079\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\Cloturé\RIORGES-20061\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\Cloturé\ROUEN-20071\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\Cloturé\saint dizier\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\Cloturé\vitrolles 20086 22112 16771\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\ECHIROLLES 16812 22114\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\LA SEYNE SUR MER\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\LONS LE Saunier 39\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\Nice 16816\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\Pertuis 16815\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\RENNES 6440\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\ROANNE 20077 22107\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\ROUBAIX 59\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\ROUEN 20092\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\Sens 20084\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\Thonons les bains 74\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\TRAPPES 20082\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\Valenciennes 20094-22117\_desktop.ini
c:\found.000\dir0005.chk\Création de D.A et Agents\SUIVI ACTIVATION\SUIVI DA\VITROLLES 20076\_desktop.ini
c:\found.000\dir0005.chk\Découpage CCPS\_desktop.ini
c:\found.000\dir0005.chk\Découpage Commercial VN, FIAT PROFESSIONAL\_desktop.ini
c:\found.000\dir0005.chk\Exemple de visite d'entretien FRAIKIN\_desktop.ini
c:\found.000\dir0005.chk\GESTE COMMERCIAUX, grilles\_desktop.ini
c:\found.000\dir0005.chk\GESTE COMMERCIAUX, grilles\old\_desktop.ini
c:\found.000\dir0005.chk\Gestion des MAJ Chassis Petit forestier\_desktop.ini
c:\found.000\dir0005.chk\Gestion des MAJ Chassis Petit forestier\old\_desktop.ini
c:\found.000\dir0005.chk\Gestion des TEMPS CAMPING CAR\_desktop.ini
c:\found.000\dir0005.chk\GRILLE D'USURE\_desktop.ini
c:\found.000\dir0005.chk\LIQUIDES ET HUILES Quelques Références\_desktop.ini
c:\found.000\dir0005.chk\MAJ CHASSIS\_desktop.ini
c:\found.000\dir0005.chk\MAJ CHASSIS\Process FIAT FRANCE MAJ chassis\_desktop.ini
c:\found.000\dir0005.chk\MAJ CHASSIS\Process FIAT FRANCE MAJ chassis\CAMPER\_desktop.ini
c:\found.000\dir0005.chk\MAJ CHASSIS\Process FIAT FRANCE MAJ chassis\vp\_desktop.ini
c:\found.000\dir0005.chk\MISSIONNER UN CT\_desktop.ini
c:\found.000\dir0005.chk\MISSIONNER UN CT\carte des CT\_desktop.ini
c:\found.000\dir0005.chk\Modèle véhicule FIAT_ALFA_LANCIA\_desktop.ini
c:\found.000\dir0005.chk\Outils pour la correction DG\_desktop.ini
c:\found.000\dir0005.chk\Outils pour la correction DG\old\_desktop.ini
c:\found.000\dir0005.chk\PNEUMATIQUE CROMA SUITE 5138\_desktop.ini
c:\found.000\dir0005.chk\Procedure de Validation des DG par l'italie\_desktop.ini
c:\found.000\dir0005.chk\PROCEDURE LIVRAISON Véhicule (TEA, CALIBRO, STOCKAGE)\_desktop.ini
c:\found.000\dir0005.chk\PROCEDURE LIVRAISON Véhicule (TEA, CALIBRO, STOCKAGE)\110_STOCKAGE ET MISE A LA ROUTE VN\_desktop.ini
c:\found.000\dir0005.chk\PROCEDURE LIVRAISON Véhicule (TEA, CALIBRO, STOCKAGE)\Procedure de Gestion des Dommages de TRANSPORT\_desktop.ini
c:\found.000\dir0005.chk\PROCEDURE RC\_desktop.ini
c:\found.000\dir0005.chk\PROCEDURE RC\old\_desktop.ini
c:\found.000\dir0005.chk\PROCESS GARANTIE\_desktop.ini
c:\found.000\dir0005.chk\PROCESS GARANTIE\Process accord préalable au 05012009\_desktop.ini
c:\found.000\dir0005.chk\Procédure PESEE D'huile suite consommation excessive\_desktop.ini
c:\found.000\dir0005.chk\QUI FAIT QUOI CHEZ FIAT FRANCE\_desktop.ini
c:\found.000\dir0005.chk\REMISE PR\_desktop.ini
c:\found.000\dir0005.chk\Retour sur réparation\_desktop.ini
c:\found.000\dir0005.chk\solution E.P.I\_desktop.ini
c:\found.000\dir0005.chk\TESEO-Garantie\_desktop.ini
c:\found.000\dir0005.chk\TRANSFORMATION D'une SEICENTO CYTIMATIC EN MANUEL\_desktop.ini
c:\found.000\dir0005.chk\TRAVAUX EXTERIEURS BAREMES\_desktop.ini

La copia infetta di c:\windows\system32\driversedbook.sys è stata trovata e disinfettata 
ipristinata copia da - Kitty had a snack :p 
.
(((((((((((((((((((((((((   Files Creati Da 2010-08-05 al 2010-09-05  )))))))))))))))))))))))))))))))))))
.

2010-09-05 17:41 . 2010-09-05 17:43	--------	d-----w-	c:\windows\system32\NtmsData
2010-09-03 06:59 . 2010-09-03 06:59	--------	d-----r-	c:\documents and settings\NetworkService\Preferiti
2010-08-30 18:06 . 2010-08-30 19:43	--------	d-----w-	C:	dsskiller
2010-08-30 08:10 . 2010-08-30 08:10	0	----a-w-	c:\windows
sreg.dat
2010-08-30 08:10 . 2010-08-30 08:10	--------	d-----w-	c:\documents and settings\spotel\Impostazioni locali\Dati applicazioni\Mozilla
2010-08-29 10:26 . 2010-08-30 18:02	--------	d-----w-	c:\programmi\ZHPDiag
2010-08-27 18:33 . 2010-08-27 18:33	--------	d-----w-	c:\documents and settings\All Users\Dati applicazioni
View_Profiles
2010-08-27 14:43 . 2010-08-27 14:43	--------	d-----w-	c:\documents and settings\spotel\Dati applicazioni\Malwarebytes
2010-08-27 14:41 . 2010-08-27 14:41	--------	d-----w-	c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2010-08-27 14:41 . 2010-08-29 19:22	--------	d-----w-	c:\programmi\Malwarebytes' Anti-Malware
2010-08-27 10:57 . 2010-08-30 09:00	--------	d-----w-	c:\documents and settings\spotel\Impostazioni locali\Dati applicazioni\iraicsymv
2010-08-27 06:26 . 2010-08-27 06:26	536064	----a-w-	c:\windows\system32\RegShellSM.exe
2010-08-23 07:46 . 2010-08-23 07:46	--------	d-----w-	C:\$AVG
2010-08-19 12:29 . 2010-08-31 07:53	--------	d-----w-	c:\programmi\Paraben's Flow Charter
2010-08-18 09:56 . 2010-08-29 19:21	--------	d-----w-	c:\programmi\SpeedFan

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-05 17:56 . 2004-08-19 12:00	81108	----a-w-	c:\windows\system32\perfc010.dat
2010-09-05 17:56 . 2004-08-19 12:00	482884	----a-w-	c:\windows\system32\perfh010.dat
2010-09-03 12:09 . 2008-05-15 07:19	56622	----a-w-	c:\windows\system32
vModes.dat
2010-08-27 16:38 . 2009-05-04 09:06	--------	d-----w-	c:\documents and settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2010-08-27 16:32 . 2010-04-12 15:25	--------	d-----w-	c:\documents and settings\All Users\Dati applicazioni\avg9
2010-08-27 16:32 . 2009-04-30 16:40	--------	d-----w-	c:\documents and settings\All Users\Dati applicazioni\avg8
2010-08-27 13:43 . 2008-05-15 14:42	--------	d-----w-	c:\programmi\CCleaner
2010-08-25 17:05 . 2010-07-06 16:03	--------	d-----w-	c:\documents and settings\spotel\Dati applicazioni\U3
2010-08-18 07:54 . 2009-09-03 09:44	--------	d-----w-	c:\documents and settings\All Users\Dati applicazioni\Microsoft Help
2010-07-18 11:18 . 2010-07-18 11:18	--------	d-----w-	c:\documents and settings\spotel\Dati applicazioni\vlc
2010-07-18 11:17 . 2010-07-18 11:17	--------	d-----w-	c:\programmi\VideoLAN
2010-07-08 12:33 . 2008-05-15 09:30	--------	d-----w-	c:\programmi\JkDefrag
2010-07-06 10:12 . 2010-07-06 10:12	12536	----a-w-	c:\windows\system32\avgrsstx.dll
2010-07-06 10:12 . 2009-04-30 16:40	216400	----a-w-	c:\windows\system32\drivers\avgldx86.sys
2010-07-02 14:19 . 2010-07-02 14:19	69224	----a-w-	c:\documents and settings\spotel\Impostazioni locali\Dati applicazioni\GDIPFONTCACHEV1.DAT
2010-07-02 14:13 . 2008-05-15 15:17	29584	----a-w-	c:\windows\system32\drivers\avgmfx86.sys
2010-06-30 12:31 . 2004-08-19 12:00	149504	----a-w-	c:\windows\system32\schannel.dll
2010-06-24 12:22 . 2006-03-04 03:34	916480	----a-w-	c:\windows\system32\wininet.dll
2010-06-24 09:02 . 2004-08-19 12:00	1851904	----a-w-	c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2004-08-19 12:00	354304	----a-w-	c:\windows\system32\drivers\srv.sys
2010-06-17 14:03 . 2004-08-19 12:00	80384	----a-w-	c:\windows\system32\iccvid.dll
2010-06-14 14:31 . 2008-05-14 15:15	744448	----a-w-	c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-06-14 07:41 . 2004-08-19 12:00	1172480	----a-w-	c:\windows\system32\msxml3.dll
.

(((((((((((((((((((((((((((((((((((((   Punti Reg Caricati   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-13 110592]
"IntelZeroConfig"="c:\programmi\Intel\Wireless\bin\ZCfgSvc.exe" [2007-07-25 823296]
"IntelWireless"="c:\programmi\Intel\Wireless\Bin\ifrmewrk.exe" [2007-07-25 974848]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-02-22 13508608]
"nwiz"="nwiz.exe" [2008-02-22 1626112]
"NVHotkey"="nvHotkey.dll" [2008-02-22 86016]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-02-22 86016]
"SigmatelSysTrayApp"="c:\programmi\SigmaTel\C-Major Audio\WDM\stsystra.exe" [2007-05-10 405504]
"NWTRAY"="NWTRAY.EXE" [2002-03-12 28672]
"iPrint Tray"="c:\windows\system32\iprntctl.exe" [2007-09-06 40960]
"iPrint Event Monitor"="c:\windows\system32\iprntlgn.exe" [2007-09-06 45056]
"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-07-06 2065760]
"MobileConnect"="c:\programmi\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe" [2009-09-18 2412032]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Bluetooth Manager.lnk - c:\programmi\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2005-11-18 1724416]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"CompatibleRUPSecurity"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\avgrsstarter]
2010-07-06 10:12	12536	----a-w-	c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages	REG_MULTI_SZ   	msv1_0 nwv1_0

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Novell\GroupWise\grpwise.exe"=
"c:\Novell\GroupWise\notify.exe"=
"c:\Programmi\Microsoft Office\Office12\OUTLOOK.EXE"=
"c:\Programmi\AVG\AVG9\avgdiagex.exe"=
"c:\Programmi\AVG\AVG9\avgam.exe"=
"c:\Programmi\AVG\AVG9\avgupd.exe"=
"c:\Programmi\Messenger\msmsgs.exe"=

R0 AvgRkx86;avgrkx86.sys;c:\windows\system32\drivers\avgrkx86.sys [30/04/2009 18:40 52872]
R1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [30/04/2009 18:40 216400]
R1 nipplpt2;Novell iCapture Lpt Redirector 2;c:\windows\system32\drivers
ipplpt.sys [04/05/2009 10:57 34671]
R2 avg9wd;AVG WatchDog;c:\programmi\AVG\AVG9\avgwdsvc.exe [06/07/2010 12:12 308136]
R2 VMCService;Vodafone Mobile Connect Service;c:\programmi\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe [18/09/2009 17:48 9216]

--- Altri Servizi/Drivers In Memoria ---

*Deregistered* - uphcleanhlp
.
Contenuto della cartella 'Scheduled Tasks'

2010-09-05 c:\windows\Tasks\OGALogon.job
- c:\windows\system32\OGAEXEC.exe [2009-08-03 13:07]
.
.
------- Scansione supplementare -------
.
uInternet Settings,ProxyServer = http=127.0.0.1:6522
uInternet Settings,ProxyOverride = <local>
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\spotel\Dati applicazioni\Mozilla\Firefox\Profiles\008gm4im.default\
FF - prefs.js: browser.startup.homepage - hxxp://fr.msn.com/
FF - prefs.js: network.proxy.type - 0
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX POLICIES ----
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

AddRemove-Usbfix - c:\usbfix\Un-Usbfix.exe



**************************************************************************
scansione processi nascosti ... 

scansione entrate autostart nascoste ... 

Scansione files nascosti ... 

Scansione completata con successo
Files nascosti: 

**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø*€|ÿÿÿÿ*€|ù*9~*]
"0140110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(1116)
c:\windows\system32\NETWIN32.DLL
.
Ora fine scansione: 2010-09-05  20:03:47
ComboFix-quarantined-files.txt  2010-09-05 18:03

Pre-Run: 58 720 464 896 byte disponibili
Post-Run: 59 222 536 192 byte disponibili

WindowsXP-KB310994-SP2-Pro-BootDisk-ITA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - C89537EE0B0B8E6DBEFFBE5DD343EE1A

moment de grace · Answer

pas facile à lire pour moi quand c'est pas en francais

(sourire)

un rootkit de trouvé

reste un deuxième probablement à aller chercher

1)

/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour sebitalie, il n'est pas transposable sur un autre ordinateur ! 

crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
Copies y ce texte dedans et enregistres le

KillAll::


Folder::

c:\documents and settings\spotel\Impostazioni locali\Dati applicazioni\iraicsymv


DDS::

uInternet Settings,ProxyServer = http=127.0.0.1:6522       

* Désactive tes logiciels de protection 
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.
 * Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. 
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu. 
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt

..........................

2)

Télécharge SEAF ( de C__XX ) sur ton bureau : 

ici http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe 


* Double clique sur "SEAF.exe" ( clique droit et "Exécuter en tant qu'administrateur" pour Vista / 7 ) pour lancer l'outil. 

* Dans l'encardré blanc " Entrez ci dessous...." copie/colle ceci : 

atapi


* Au niveau des " options des fichiers ", fait les réglages suivant : 
> A "Calculer le checksum" , choisis : MD5 
> Coche la case devant " Info. supplémentaire ". 
> Coche la case devant " Afficher les ADS " 

* Au niveau des " options du registre " : 
> coche " chercher également dans le registre " 

( ne touche à aucun autre réglage ) 

* Clique sur " Lancer la recherche " et laisse travailler l'outil ... 
( cela peut-être plus ou moins long suivant les cas ). 

--> Une fois terminé, une fenêtre avec un log .txt va s'afficher. Enregistre ce rapport de façon à le retrouver facilement ( sur le bureau par exemple ). Sinon il sera en outre sauvegardé à la racine de ton disque dur ( ici > C:\SEAFLog.txt )

sebitalie · Answer

dslò, j'ai pas compris l etape, ( cerveau surt en sommeil :)

* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.

sebitalie · Answer

mon cerveau s'est reveillé, je continue

moment de grace · Answer

comme ca

http://img155.imageshack.us/img155/4837/cfscriptop0.gif

sebitalie · Answer

1)

ComboFix 10-09-04.06 - spotel 05/09/2010  21:10:15.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.39.1040.18.2046.1401 [GMT 2:00]
Eseguito da: c:\documents and settings\spotel\Desktop\ComboFix.exe
Opzioni usate :: c:\documents and settings\spotel\Desktop\CFScript.txt
AV: AVG Anti-Virus Network Edition *On-access scanning enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
.

(((((((((((((((((((((((((((((((((((((   Altre eliminazioni   )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\spotel\Impostazioni locali\Dati applicazioni\iraicsymv

.
(((((((((((((((((((((((((   Files Creati Da 2010-08-05 al 2010-09-05  )))))))))))))))))))))))))))))))))))
.

2010-09-05 18:59 . 2010-09-05 19:00	--------	d-----w-	c:\programmi\SEAF
2010-09-05 17:41 . 2010-09-05 17:43	--------	d-----w-	c:\windows\system32\NtmsData
2010-09-03 06:59 . 2010-09-03 06:59	--------	d-----r-	c:\documents and settings\NetworkService\Preferiti
2010-08-30 18:06 . 2010-08-30 19:43	--------	d-----w-	C:	dsskiller
2010-08-30 08:10 . 2010-08-30 08:10	0	----a-w-	c:\windows
sreg.dat
2010-08-30 08:10 . 2010-08-30 08:10	--------	d-----w-	c:\documents and settings\spotel\Impostazioni locali\Dati applicazioni\Mozilla
2010-08-29 10:26 . 2010-08-30 18:02	--------	d-----w-	c:\programmi\ZHPDiag
2010-08-27 18:33 . 2010-08-27 18:33	--------	d-----w-	c:\documents and settings\All Users\Dati applicazioni
View_Profiles
2010-08-27 14:43 . 2010-08-27 14:43	--------	d-----w-	c:\documents and settings\spotel\Dati applicazioni\Malwarebytes
2010-08-27 14:41 . 2010-08-27 14:41	--------	d-----w-	c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2010-08-27 14:41 . 2010-08-29 19:22	--------	d-----w-	c:\programmi\Malwarebytes' Anti-Malware
2010-08-27 06:26 . 2010-08-27 06:26	536064	----a-w-	c:\windows\system32\RegShellSM.exe
2010-08-23 07:46 . 2010-08-23 07:46	--------	d-----w-	C:\$AVG
2010-08-19 12:29 . 2010-08-31 07:53	--------	d-----w-	c:\programmi\Paraben's Flow Charter
2010-08-18 09:56 . 2010-08-29 19:21	--------	d-----w-	c:\programmi\SpeedFan

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-05 18:04 . 2004-08-19 12:00	81108	----a-w-	c:\windows\system32\perfc010.dat
2010-09-05 18:04 . 2004-08-19 12:00	482884	----a-w-	c:\windows\system32\perfh010.dat
2010-09-03 12:09 . 2008-05-15 07:19	56622	----a-w-	c:\windows\system32
vModes.dat
2010-08-27 16:38 . 2009-05-04 09:06	--------	d-----w-	c:\documents and settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2010-08-27 16:32 . 2010-04-12 15:25	--------	d-----w-	c:\documents and settings\All Users\Dati applicazioni\avg9
2010-08-27 16:32 . 2009-04-30 16:40	--------	d-----w-	c:\documents and settings\All Users\Dati applicazioni\avg8
2010-08-27 13:43 . 2008-05-15 14:42	--------	d-----w-	c:\programmi\CCleaner
2010-08-25 17:05 . 2010-07-06 16:03	--------	d-----w-	c:\documents and settings\spotel\Dati applicazioni\U3
2010-08-18 07:54 . 2009-09-03 09:44	--------	d-----w-	c:\documents and settings\All Users\Dati applicazioni\Microsoft Help
2010-07-18 11:18 . 2010-07-18 11:18	--------	d-----w-	c:\documents and settings\spotel\Dati applicazioni\vlc
2010-07-18 11:17 . 2010-07-18 11:17	--------	d-----w-	c:\programmi\VideoLAN
2010-07-08 12:33 . 2008-05-15 09:30	--------	d-----w-	c:\programmi\JkDefrag
2010-07-06 10:12 . 2010-07-06 10:12	12536	----a-w-	c:\windows\system32\avgrsstx.dll
2010-07-06 10:12 . 2009-04-30 16:40	216400	----a-w-	c:\windows\system32\drivers\avgldx86.sys
2010-07-02 14:19 . 2010-07-02 14:19	69224	----a-w-	c:\documents and settings\spotel\Impostazioni locali\Dati applicazioni\GDIPFONTCACHEV1.DAT
2010-07-02 14:13 . 2008-05-15 15:17	29584	----a-w-	c:\windows\system32\drivers\avgmfx86.sys
2010-06-30 12:31 . 2004-08-19 12:00	149504	----a-w-	c:\windows\system32\schannel.dll
2010-06-24 12:22 . 2006-03-04 03:34	916480	----a-w-	c:\windows\system32\wininet.dll
2010-06-24 09:02 . 2004-08-19 12:00	1851904	----a-w-	c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2004-08-19 12:00	354304	----a-w-	c:\windows\system32\drivers\srv.sys
2010-06-17 14:03 . 2004-08-19 12:00	80384	----a-w-	c:\windows\system32\iccvid.dll
2010-06-14 14:31 . 2008-05-14 15:15	744448	----a-w-	c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-06-14 07:41 . 2004-08-19 12:00	1172480	----a-w-	c:\windows\system32\msxml3.dll
.

(((((((((((((((((((((((((((((((((((((   Punti Reg Caricati   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-13 110592]
"IntelZeroConfig"="c:\programmi\Intel\Wireless\bin\ZCfgSvc.exe" [2007-07-25 823296]
"IntelWireless"="c:\programmi\Intel\Wireless\Bin\ifrmewrk.exe" [2007-07-25 974848]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-02-22 13508608]
"nwiz"="nwiz.exe" [2008-02-22 1626112]
"NVHotkey"="nvHotkey.dll" [2008-02-22 86016]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-02-22 86016]
"SigmatelSysTrayApp"="c:\programmi\SigmaTel\C-Major Audio\WDM\stsystra.exe" [2007-05-10 405504]
"NWTRAY"="NWTRAY.EXE" [2002-03-12 28672]
"iPrint Tray"="c:\windows\system32\iprntctl.exe" [2007-09-06 40960]
"iPrint Event Monitor"="c:\windows\system32\iprntlgn.exe" [2007-09-06 45056]
"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-07-06 2065760]
"MobileConnect"="c:\programmi\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe" [2009-09-18 2412032]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Bluetooth Manager.lnk - c:\programmi\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2005-11-18 1724416]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"CompatibleRUPSecurity"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\avgrsstarter]
2010-07-06 10:12	12536	----a-w-	c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages	REG_MULTI_SZ   	msv1_0 nwv1_0

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Novell\GroupWise\grpwise.exe"=
"c:\Novell\GroupWise\notify.exe"=
"c:\Programmi\Microsoft Office\Office12\OUTLOOK.EXE"=
"c:\Programmi\AVG\AVG9\avgdiagex.exe"=
"c:\Programmi\AVG\AVG9\avgam.exe"=
"c:\Programmi\AVG\AVG9\avgupd.exe"=
"c:\Programmi\Messenger\msmsgs.exe"=

R0 AvgRkx86;avgrkx86.sys;c:\windows\system32\drivers\avgrkx86.sys [30/04/2009 18:40 52872]
R1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [30/04/2009 18:40 216400]
R1 nipplpt2;Novell iCapture Lpt Redirector 2;c:\windows\system32\drivers
ipplpt.sys [04/05/2009 10:57 34671]
R2 avg9wd;AVG WatchDog;c:\programmi\AVG\AVG9\avgwdsvc.exe [06/07/2010 12:12 308136]
R2 VMCService;Vodafone Mobile Connect Service;c:\programmi\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe [18/09/2009 17:48 9216]

--- Altri Servizi/Drivers In Memoria ---

*Deregistered* - uphcleanhlp
.
Contenuto della cartella 'Scheduled Tasks'

2010-09-05 c:\windows\Tasks\OGALogon.job
- c:\windows\system32\OGAEXEC.exe [2009-08-03 13:07]
.
.
------- Scansione supplementare -------
.
uInternet Settings,ProxyOverride = <local>
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\spotel\Dati applicazioni\Mozilla\Firefox\Profiles\008gm4im.default\
FF - prefs.js: browser.startup.homepage - hxxp://fr.msn.com/
FF - prefs.js: network.proxy.type - 0
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX POLICIES ----
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-09-05 21:14
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ... 

scansione entrate autostart nascoste ... 

Scansione files nascosti ... 

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø*€|ÿÿÿÿ*€|ù*9~*]
"0140110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(1120)
c:\windows\system32\NETWIN32.DLL

- - - - - - - > 'Explorer.exe'(964)
c:\windows\system32\WININET.dll
c:\windows\system32\webcheck.dll
c:\progra~1\SPYBOT~1\SDHelper.dll
c:\windows\system32\NETWIN32.DLL
c:\windows\system32
vcpl.dll
c:\windows\system32\NVRSFR.DLL
c:\windows\system32
vshell.dll
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\programmi\Intel\Wireless\Bin\S24EvMon.exe
c:\programmi\AVG\AVG9\avgchsvx.exe
c:\programmi\AVG\AVG9\avgrsx.exe
c:\windows\System32\SCardSvr.exe
c:\programmi\AVG\AVG9\avgcsrvx.exe
c:\programmi\Intel\Wireless\Bin\EvtEng.exe
c:\programmi\AVG\AVG9\avgam.exe
c:\programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\programmi\CDBurnerXP\NMSAccessU.exe
c:\windows\system32
vsvc32.exe
c:\programmi\Intel\Wireless\Bin\RegSrvc.exe
c:\programmi\UPHClean\uphclean.exe
c:\programmi\Intel\Wireless\Bin\WLKeeper.exe
c:\programmi\AVG\AVG9\avgcsrvx.exe
c:\windows\system32undll32.exe
c:\windows\system32undll32.exe
c:\windows\system32\RUNDLL32.EXE
c:\windows\system32\NWTRAY.EXE
c:\programmi\Intel\Wireless\Bin\Dot1XCfg.exe
c:\programmi\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
c:\programmi\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
c:\programmi\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
c:\programmi\Toshiba\Bluetooth Toshiba Stack	osOBEX.exe
c:\programmi\Toshiba\Bluetooth Toshiba Stack	osBtProc.exe
.
**************************************************************************
.
Ora fine scansione: 2010-09-05  21:18:53 - Il pc è stato riavviato
ComboFix-quarantined-files.txt  2010-09-05 19:18
ComboFix2.txt  2010-09-05 18:03

Pre-Run: 59 225 952 256 byte disponibili
Post-Run: 59 212 251 136 byte disponibili

- - End Of File - - 87001683D40A655F9304D74865455CC0

sebitalie · Answer

2)
1. ========================= SEAF 1.0.0.7 - C_XX
2. 
3. Commencé à: 21:20:52 le 05/09/2010
4. 
5. Valeur(s) recherchée(s):
6. 
7. ATAPI
8. 
9. (!) --- Calcul du Hash "MD5"
10. (!) --- Affichage des ADS
11. (!) --- Informations supplémentaires
12. (!) --- Recherche registre
13. 
14. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
15. 
16. "c:\WINDOWS\system32\ReinstallBackups\0007\DriverFiles\i386\atapi.sys" [ ----A---- | 95360 ]
17. TC: 14/05/2008,18:08:39 | TM: 19/08/2004,14:00:00 | DA: 05/09/2010,21:00:34
18. MD5: cdfe4411a69c224bd1d11b2da92dac51
19. 
20. 
21. CompagnyName: Microsoft Corporation
22. ProductName: Microsoft® Windows® Operating System
23. InternalName: atapi.sys
24. OriginalFilename: atapi.sys
25. LegalCopyright: © Microsoft Corporation. All rights reserved.
26. ProductVersion: 5.1.2600.2180
27. FileVersion: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
28. 
29. =========================
30. 
31. "c:\WINDOWS\system32\drivers\atapi.sys" [ ----A---- | 96512 ]
32. TC: 19/08/2004,14:00:00 | TM: 13/04/2008,11:40:32 | DA: 05/09/2010,21:10:09
33. MD5: 9f3a2f5aa6875c72bf062c712cfa2674
34. 
35. 
36. CompagnyName: Microsoft Corporation
37. ProductName: Microsoft® Windows® Operating System
38. InternalName: atapi.sys
39. OriginalFilename: atapi.sys
40. LegalCopyright: © Microsoft Corporation. All rights reserved.
41. ProductVersion: 5.1.2600.5512
42. FileVersion: 5.1.2600.5512 (xpsp.080413-2108)
43. 
44. =========================
45. 
46. "c:\WINDOWS\ServicePackFiles\i386\atapi.sys" [ ----A---- | 96512 ]
47. TC: 27/08/2008,14:50:39 | TM: 13/04/2008,11:40:32 | DA: 05/09/2010,21:00:34
48. MD5: 9f3a2f5aa6875c72bf062c712cfa2674
49. 
50. 
51. CompagnyName: Microsoft Corporation
52. ProductName: Microsoft® Windows® Operating System
53. InternalName: atapi.sys
54. OriginalFilename: atapi.sys
55. LegalCopyright: © Microsoft Corporation. All rights reserved.
56. ProductVersion: 5.1.2600.5512
57. FileVersion: 5.1.2600.5512 (xpsp.080413-2108)
58. 
59. =========================
60. 
61. "c:\WINDOWS\ERDNT\cache\atapi.sys" [ ----A---- | 96512 ]
62. TC: 05/09/2010,20:02:44 | TM: 13/04/2008,11:40:32 | DA: 05/09/2010,21:17:49
63. MD5: 9f3a2f5aa6875c72bf062c712cfa2674
64. 
65. 
66. CompagnyName: Microsoft Corporation
67. ProductName: Microsoft® Windows® Operating System
68. InternalName: atapi.sys
69. OriginalFilename: atapi.sys
70. LegalCopyright: © Microsoft Corporation. All rights reserved.
71. ProductVersion: 5.1.2600.5512
72. FileVersion: 5.1.2600.5512 (xpsp.080413-2108)
73. 
74. =========================
75. 
76. "c:\WINDOWS\$NtServicePackUninstall$\atapi.sys" [ ----AC---- | 95360 ]
77. TC: 27/08/2008,14:44:35 | TM: 03/08/2004,22:59:44 | DA: 05/09/2010,21:00:35
78. MD5: cdfe4411a69c224bd1d11b2da92dac51
79. 
80. 
81. CompagnyName: Microsoft Corporation
82. ProductName: Microsoft® Windows® Operating System
83. InternalName: atapi.sys
84. OriginalFilename: atapi.sys
85. LegalCopyright: © Microsoft Corporation. All rights reserved.
86. ProductVersion: 5.1.2600.2180
87. FileVersion: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
88. 
89. =========================
90. 
91. "c:\cmdcons\ATAPI.SY_" [ ----A---- | 49558 ]
92. TC: 03/08/2004,22:59:44 | TM: 03/08/2004,22:59:44 | DA: 05/09/2010,21:00:35
93. MD5: 28541d14647bb58502d09d1ceaee6684
94. 
95. 
96. 
97. =========================
98. 
99. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
100. 
101. Aucun dossier trouvé
102. 
103. 
104. ====== Entrée(s) du registre ======
105. 
106. 
107. 
108. [HKEY_CLASSES_ROOT\Interface\{5C29BBE0-F87D-4C45-AA28-A70F0230FFA9}]
109. ""="IWMPMetadataPicture"
110. 
111. [HKEY_LOCAL_MACHINE\HARDWARE\DEVICEMAP\Scsi\Scsi Port 0]
112. "Driver"="atapi"
113. 
114. [HKEY_LOCAL_MACHINE\HARDWARE\DEVICEMAP\Scsi\Scsi Port 1]
115. "Driver"="atapi"
116. 
117. [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{5C29BBE0-F87D-4C45-AA28-A70F0230FFA9}]
118. ""="IWMPMetadataPicture"
119. 
120. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\0007]
121. "Mfg"="(Controller IDE ATA/ATAPI standard)"
122. 
123. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
124. ""="Controller IDE ATA/ATAPI"
125. 
126. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}\0001]
127. "InfSection"="atapi_Inst_primary"
128. 
129. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}\0002]
130. "InfSection"="atapi_Inst_secondary"
131. 
132. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\CriticalDeviceDatabase\primary_ide_channel]
133. "Service"="atapi"
134. 
135. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\CriticalDeviceDatabase\secondary_ide_channel]
136. "Service"="atapi"
137. 
138. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\PCIIDE\IDEChannel\4&22b7a51c&0&0]
139. "Mfg"="(Controller IDE ATA/ATAPI standard)"
140. 
141. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\PCIIDE\IDEChannel\4&22b7a51c&0&0]
142. "Service"="atapi"
143. 
144. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\PCIIDE\IDEChannel\4&22b7a51c&0&1]
145. "Mfg"="(Controller IDE ATA/ATAPI standard)"
146. 
147. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\PCIIDE\IDEChannel\4&22b7a51c&0&1]
148. "Service"="atapi"
149. 
150. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\atapi]
151. "ImagePath"="system32\DRIVERS\atapi.sys"
152. 
153. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\atapi\Parameters]
154. "AutoEjectZipDevice"="IOMEGA  ZIP 100       ATAPI             23.D    "
155. 
156. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\atapi\Parameters]
157. "DefaultPioAtapiDevice"="TORiSAN DVD-ROM DRD-N216"
158. 
159. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
160. ""="Controller IDE ATA/ATAPI"
161. 
162. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}\0001]
163. "InfSection"="atapi_Inst_primary"
164. 
165. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}\0002]
166. "InfSection"="atapi_Inst_secondary"
167. 
168. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\CriticalDeviceDatabase\primary_ide_channel]
169. "Service"="atapi"
170. 
171. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\CriticalDeviceDatabase\secondary_ide_channel]
172. "Service"="atapi"
173. 
174. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\PCIIDE\IDEChannel\4&22b7a51c&0&0]
175. "Mfg"="(Controller IDE ATA/ATAPI standard)"
176. 
177. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\PCIIDE\IDEChannel\4&22b7a51c&0&0]
178. "Service"="atapi"
179. 
180. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\PCIIDE\IDEChannel\4&22b7a51c&0&1]
181. "Mfg"="(Controller IDE ATA/ATAPI standard)"
182. 
183. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\PCIIDE\IDEChannel\4&22b7a51c&0&1]
184. "Service"="atapi"
185. 
186. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\atapi]
187. "ImagePath"="system32\DRIVERS\atapi.sys"
188. 
189. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\atapi\Parameters]
190. "AutoEjectZipDevice"="IOMEGA  ZIP 100       ATAPI             23.D    "
191. 
192. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\atapi\Parameters]
193. "DefaultPioAtapiDevice"="TORiSAN DVD-ROM DRD-N216"
194. 
195. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
196. ""="Controller IDE ATA/ATAPI"
197. 
198. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}\0001]
199. "InfSection"="atapi_Inst_primary"
200. 
201. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}\0002]
202. "InfSection"="atapi_Inst_secondary"
203. 
204. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\CriticalDeviceDatabase\primary_ide_channel]
205. "Service"="atapi"
206. 
207. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\CriticalDeviceDatabase\secondary_ide_channel]
208. "Service"="atapi"
209. 
210. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\PCIIDE\IDEChannel\4&22b7a51c&0&0]
211. "Mfg"="(Controller IDE ATA/ATAPI standard)"
212. 
213. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\PCIIDE\IDEChannel\4&22b7a51c&0&0]
214. "Service"="atapi"
215. 
216. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\PCIIDE\IDEChannel\4&22b7a51c&0&0\Control]
217. "ActiveService"="atapi"
218. 
219. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\PCIIDE\IDEChannel\4&22b7a51c&0&1]
220. "Mfg"="(Controller IDE ATA/ATAPI standard)"
221. 
222. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\PCIIDE\IDEChannel\4&22b7a51c&0&1]
223. "Service"="atapi"
224. 
225. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\PCIIDE\IDEChannel\4&22b7a51c&0&1\Control]
226. "ActiveService"="atapi"
227. 
228. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\atapi]
229. "ImagePath"="system32\DRIVERS\atapi.sys"
230. 
231. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\atapi\Parameters]
232. "AutoEjectZipDevice"="IOMEGA  ZIP 100       ATAPI             23.D    "
233. 
234. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\atapi\Parameters]
235. "DefaultPioAtapiDevice"="TORiSAN DVD-ROM DRD-N216"
236. 
237. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
238. ""="Controller IDE ATA/ATAPI"
239. 
240. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}\0001]
241. "InfSection"="atapi_Inst_primary"
242. 
243. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}\0002]
244. "InfSection"="atapi_Inst_secondary"
245. 
246. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CriticalDeviceDatabase\primary_ide_channel]
247. "Service"="atapi"
248. 
249. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CriticalDeviceDatabase\secondary_ide_channel]
250. "Service"="atapi"
251. 
252. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\PCIIDE\IDEChannel\4&22b7a51c&0&0]
253. "Mfg"="(Controller IDE ATA/ATAPI standard)"
254. 
255. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\PCIIDE\IDEChannel\4&22b7a51c&0&0]
256. "Service"="atapi"
257. 
258. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\PCIIDE\IDEChannel\4&22b7a51c&0&0\Control]
259. "ActiveService"="atapi"
260. 
261. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\PCIIDE\IDEChannel\4&22b7a51c&0&1]
262. "Mfg"="(Controller IDE ATA/ATAPI standard)"
263. 
264. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\PCIIDE\IDEChannel\4&22b7a51c&0&1]
265. "Service"="atapi"
266. 
267. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\PCIIDE\IDEChannel\4&22b7a51c&0&1\Control]
268. "ActiveService"="atapi"
269. 
270. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\atapi]
271. "ImagePath"="system32\DRIVERS\atapi.sys"
272. 
273. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\atapi\Parameters]
274. "AutoEjectZipDevice"="IOMEGA  ZIP 100       ATAPI             23.D    "
275. 
276. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\atapi\Parameters]
277. "DefaultPioAtapiDevice"="TORiSAN DVD-ROM DRD-N216"
278. 
279. =========================
280. 
281. Fin à: 21:21:16 le 05/09/2010 ( E.O.F )

moment de grace · Answer

on refait un coup de GMER

/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\ 




lance GMER ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre. 

? Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

sebitalie · Answer

bonjour, ci joint le rapport

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-09-06 22:36:51
Windows 5.1.2600 Service Pack 3
Running: etho25od.exe; Driver: C:\DOCUME~1\spotel\IMPOST~1\Temp\aglyqaow.sys


---- System - GMER 1.0.15 ----

SSDT            \??\C:\WINDOWS\system32\Drivers\uphcleanhlp.sys                                                  ZwUnloadKey [0xB5C6E6D0]

---- Kernel code sections - GMER 1.0.15 ----

?               nwfilter.sys                                                                                     Impossibile trovare il file specificato. !
.text           C:\WINDOWS\system32\DRIVERS
v4_mini.sys                                                         section is writeable [0xB972B360, 0x36E81D, 0xE8000020]
?               C:\WINDOWS\system32\Drivers\uphcleanhlp.sys                                                      Impossibile trovare il file specificato. !

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Fastfat \Fat                                                                         B505ED20

AttachedDevice  \FileSystem\Fastfat \Fat                                                                         fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\ControlSet001\Services\BTHPORT\Parameters\Keys\001641b423b7 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001641b423b7 (not active ControlSet)  
Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001641b423b7                      

---- EOF - GMER 1.0.15 ----

moment de grace · Answer

ok

comment se comporte le pc maintenant ?

sebitalie · Answer

plus de fenetre win32, a suivre...

moment de grace · Answer

ok

on va finir alors

Fais un nouveau rapport ZHPdiag stp

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

sebitalie · Answer

http://www.cijoint.fr/cjlink.php?file=cj201009/cijdAreDZx.txt

moment de grace · Answer

1)
Copie  tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

[HKCU\Software\OTGV1DNWQQ]    
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe    
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe

Puis Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

Copie/Colle le rapport à l'écran dans ton prochain message 

le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport 

..........................

2)

* Lancez Adobe Reader
* Cliquez sur Edition --> Préférences --> JavaScript
* Décochez "Activer Acrobat JavaScript"
* Validez

....................

3)
IMPORTANT

Purger la restauration systeme XP

http://www.bibou0007.com/windows-xp-f101/purger-la-restauration-du-systeme-sous-windows-xp-t151.htm


.................

4)
Clique droit sur l'icône ZHPFix.exe sur ton Bureau, 
puis sélectionne 'Exécuter en tant qu'administrateur'. 

Clique sur le A rouge (Nettoyeur de Tools). 

Clique sur Nettoyer. 

Fais redémarrer l'ordi pour terminer le nettoyage.

.............................................

Recommandations pour l'avenir

Tu es la meilleure protection pour ton pc que tout autre antivirus, si tu admets un minimum de rigueur dans son utilisation...Les virus sont vigilants et pénètrent ta machine par toutes les portes que tu laisseras ouvertes...
-	logiciels non à jour (windows, internet explorer, java, adobe reader etc)
-	installation de toolbar
-	fréquentation de sites piégés
-	P2P
-	Application de cracks
-	Supports usb

Pour t'aider dans cette tâche, voici quelques pistes

 Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur firefox
http://www.mozilla-europe.org/fr/firefox/

 Une fois que c'est fait, lances le et installe l'extension de sécurité adblock plus 
pour bloquer les publicités
 http://www.clubic.com/telecharger-fiche45912-adblock-plus.html

............................

WOT - Extension pour ton navigateur internet : 
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC : 
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/ 
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp 

........................

Pour éviter une infection toolbar, il faut tout lire attentivement lorsque tu installes un programme gratuit, et décocher tous les programmes additionnels qui sont proposés, en particulier les barres d'outils !

..........................

Vaccines tes disques amovibles à l'aide de USBFix (de Chiquitine29 et C_XX) 
http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
Au menu principal, choisis l'option 3 (Vaccination).
............................

garder Malwarebytes et faire un examen de temps en temps ton PC, avec mise à jour avant chaque scan
.......................

Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
 https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/

* Lance-le.(clic droit "en tant qu'administrateur" pour Vista) Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse 

..........................
utilitaire pour défragmenter , utilises pour ce faire Defraggler https://www.clubic.com/telecharger-fiche44314-defraggler.html

........................
A lire pour mieux comprendre l'environnement qui t'entoure
http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html
https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf

http://www.libellules.ch/...

sebitalie · Answer

1)
Rapport de ZHPFix v1.12.3141 par Nicolas Coolman, Update du 27/08/2010
Fichier d'export Registre : C:\ZHPExportRegistry-07-09-2010-11-18-13.txt
Run by spotel at 07/09/2010 11:18:13
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
HKCU\Software\OTGV1DNWQQ  => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe  => Valeur supprimée avec succès
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe  => Valeur absente


========== Récapitulatif ==========
1 : Clé(s) du Registre
2 : Valeur(s) du Registre


End of the scan

sebitalie · Answer

2) desactivé

sebitalie · Answer

3) operation effectuee avec succès

moment de grace · Answer

ok

pour le reste tu peux te passer de moi je suppose

sauf soucis

=> résolu

bonne continuation

sebitalie · Answer

merci bcp a toi pour ta patience 

Bonne continuation egalement,

Faux antivirus, security suite

53 réponses

Discussions similaires

Newsletters