Virus Win 32 Malware gen [Résolu/Fermé]

Signaler
Messages postés
1
Date d'inscription
samedi 25 septembre 2010
Statut
Membre
Dernière intervention
25 septembre 2010
-
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
-
Bonjour,





J'ai lancé un scan au démarrage d'avast et il a trouvé 1 fichier infecté (C:\WINDOWS\Installer\627f47.msp >PCW_CAB_H15>MSTORDB.EXE).
Impossible de le supprimer, réparer ou mettre en quarantaine. Quelqu'un peut-il m'aider à m'en débarasser ? Merci d'avance.

24 réponses

Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 247
bonjour

Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

ensuite

Rend toi sur Cjoint : http://www.cijoint.fr/

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message


pour t'aider sur ci joijnt : https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 65492 internautes nous ont dit merci ce mois-ci

Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 247
ok

fais ceci stp

Téléchargez USBFIX de El Desaparecido, C_xx

http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
ou
https://www.ionos.fr/?affiliate_id=77097

/!\ Utilisateur de vista et windows 7 :
ne pas oublier de désactiver Le contrôle des comptes utilisateurs
https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

Double clic sur le raccourci UsbFix présent sur le bureau .

Choisir l'option2 suppression
(d'autres options disponibles, voir le tutoriel).
Laissez travailler l'outil.
Le menu démarrer et les icônes vont disparaître.. c'est normal.

Si un message te demande de redémarrer l'ordinateur fais le ...

Au redémarrage, le fix se relance... laisses l'opération s'effectuer.

Le bloc note s'ouvre avec un rapport, envoies le dans la prochaine réponse


* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


* Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html


UsbFix peut te demander d'uploader un dossier compressé à cette adresse : https://www.ionos.fr/?affiliate_id=77097

Il est enregistré sur ton bureau.

Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.


....................

2)
* Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)
http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe

Miroir:

https://www.androidworld.fr/

/!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\

Désactive provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

- Double-clique sur l'icône Ad-remover située sur ton Bureau.
- Sur la page, clique sur le bouton « NETTOYER »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

.........................

3)

Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)

https://www.commentcamarche.net/download/telecharger-34055379-malwarebytes-anti-malware

. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Rends toi dans l'onglet rapport/log
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller


Si tu as besoin d'aide regarde ces tutoriels :
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 65492 internautes nous ont dit merci ce mois-ci

Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 247
Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_BIBINE.zip
https://www.ionos.fr/?affiliate_id=77097
Merci de votre contribution.


=> Ad Remover
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 65492 internautes nous ont dit merci ce mois-ci

Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 247
ok

vide la quarantaine de mbam

puis

fais un nouveau rapport ZHPdiag

Rend toi sur Cjoint : http://www.cijoint.fr/

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message


pour t'aider sur ci joijnt : https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 65492 internautes nous ont dit merci ce mois-ci

Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 247
ok

un dernier truc à faire

Télécharges sur ton bureau MBRCheck

https://download.bleepingcomputer.com/rootrepeal/MBRCheck.exe


Utilisateurs Windows XP => double clique >>sur MBRCheck.exe
* Utilisateurs Windows Vista / windows 7 => clic droit "executer en tant que en tant qu'administrateur "sur MBRCheck.exe pour le lancer.

* Une fenêtre s'ouvre :
* Si tu as un message de ce genre : Done! Press ENTER to exit...
* Appuie sur Entrée
* Si tu as un message de ce genre : Found non-standard or infected MBR.
* Enter 'Y' and hit ENTER for more options, or 'N' to exit:
* Appuie sur la touche N puis ur Entrée
* Un fichier texte du type MBRCheck_AA.JJ.MM_hh.mm.ss.txt (i.e. MBRCheck_xx.xx.xx.xx.xx.xx.txt).

Rend toi sur Cjoint : http://www.cijoint.fr/

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

Sélectionne le rapport

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 65492 internautes nous ont dit merci ce mois-ci

Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 247
Relance l'outil MBRCheck.exe enregistrer sous Bureau:

1)Tu verras ceci >>Found non-standard or infected MBR.
Tape la lettre Y puis valide avec la touche [Entrée]

2) * Ensuite, tu auras ceci :Options
Choisis l'option 2 (tape le chiffre) et appuie sur [Entrée]

3) * Ensuite, tu verras ceci >> Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel):
Tape le chiffre 0 puis valide avec [Entrée]

4)* Tu auras maintenant un choix à faire, avec des codes de MBR :Available MBR codes
* Tape le chiffre 1 puis valide avec [Entrée]

5)* Ensuite, tu verras ceci :Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue:
tu dois taper YES (en minuscules ça va aussi) puis valide avec [Entrée]

6)En principe, tu devrais maintenant voir ceci (ajouté au bout de la ligne) :Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue: Successfully wrote new MBR code!


...suivi de "Please reboot your computer to complete the fix."

* Maintenant, je te demanded'éteindre ton PC (via le bouton "Démarrer")
* Patiente 5 minutes. Après les 5 minutes, démarre ton PC normalement, puis viens coller le contenu du rapport de l'outil (du même fichier texte, qui se trouve sur ton Bureau).

apres ca tu me dis comment va le pc
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 65492 internautes nous ont dit merci ce mois-ci

Merci. Voici le lien
http://www.cijoint.fr/cjlink.php?file=cj201009/cijKPivhgJ.txt
############################## | UsbFix 7.026 | [Suppression]

Utilisateur: Sabine (Administrateur) # BIBINE [ ]
Mis à jour le 24/09/10 par El Desaparecido / C_XX
Lancé à 15:26:36 | 25/09/2010
Site Web: http://www.teamxscript.org
Contact: FindyKill.Contact@gmail.com

CPU: AMD Turion(tm) 64 Mobile Technology MK-36
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 7.0.5730.11

Pare-feu Windows: Activé
Antivirus: avast! Antivirus 5.0.83886757 [(!) Disabled | Updated]
RAM -> 1406 Mo
C:\ (%systemdrive%) -> Disque fixe # 53 Go (30 Go libre(s) - 57%) [ACER] # FAT32
D:\ -> Disque fixe # 54 Go (26 Go libre(s) - 48%) [ACERDATA] # FAT32
E:\ -> CD-ROM
F:\ -> Disque amovible # 2 Go (32 Mo libre(s) - 2%) [USB_DISK] # FAT
G:\ -> Disque fixe # 466 Go (290 Go libre(s) - 62%) [HD-PFU2] # FAT32

################## | Éléments infectieux |


Supprimé! C:\WINDOWS\antiv.exe
Supprimé! G:\Autorun.inf
Supprimé! C:\log.txt

################## | Registre |


################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\G
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{3cf852ec-2a9b-11dd-87cc-0016cf8cb6c2}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{766a79cc-3d7a-11de-8ab6-0016cf8cb6c2}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{d78d9aea-dce1-11dc-8718-0016d44f508a}

################## | Listing |

[23/02/2006 - 11:38:04 | AD ] C:\i386
[05/08/2004 - 05:00:00 | AD ] C:\VALUEADD
[05/08/2004 - 05:00:00 | AD ] C:\dotnetfx
[21/03/2010 - 10:11:16 | SHD ] C:\FOUND.000
[13/05/2010 - 16:47:34 | SHD ] C:\FOUND.001
[25/09/2010 - 11:34:48 | ASH | 704643072] C:\pagefile.sys
[23/02/2006 - 11:38:08 | AD ] C:\Sysinfo
[23/02/2006 - 11:38:08 | AD ] C:\Book
[23/02/2006 - 11:38:04 | AD ] C:\WINDOWS
[23/05/2006 - 16:21:56 | D ] C:\Documents and Settings
[23/05/2006 - 16:28:48 | RD ] C:\Program Files
[23/05/2006 - 16:33:30 | SHD ] C:\System Volume Information
[23/05/2006 - 16:56:36 | D ] C:\MyWorks
[23/05/2006 - 17:03:46 | D ] C:\Acer
[05/08/2004 - 05:00:00 | RASH | 4952] C:\Bootfont.bin
[06/09/2008 - 22:33:56 | RASH | 252240] C:\ntldr
[05/08/2004 - 05:00:00 | RASH | 47564] C:\NTDETECT.COM
[23/05/2006 - 16:29:44 | A | 0] C:\CONFIG.SYS
[23/05/2006 - 17:00:04 | A | 50] C:\AUTOEXEC.BAT
[23/05/2006 - 16:29:44 | RASH | 0] C:\IO.SYS
[23/05/2006 - 16:29:44 | RASH | 0] C:\MSDOS.SYS
[10/12/2006 - 21:06:22 | A | 559] C:\RHDSetup.log
[10/12/2006 - 20:48:04 | RASH | 228] C:\boot.ini
[24/05/2006 - 11:33:02 | A | 75] C:\Preload.aaa
[16/08/2009 - 00:25:22 | SHD ] C:\Config.Msi
[11/11/1999 - 00:17:54 | A | 49] C:\XPH.TAG
[25/09/2010 - 15:20:02 | D ] C:\UsbFix
[25/09/2010 - 11:34:50 | ASH | 1474473984] C:\hiberfil.sys
[16/08/2009 - 00:22:44 | D ] C:\08f4e3f6c473195c3a
[16/08/2009 - 00:22:48 | D ] C:\f3670d99c4562f1638751706
[25/09/2010 - 15:26:38 | A | 1017] C:\UsbFix.txt
[16/08/2009 - 09:08:38 | D ] C:\9cb78cc1d84528e7c24846f631
[13/12/2006 - 22:40:58 | ASH | 115343872] C:\eDS_PSD_drive.vmdf
[12/12/2006 - 17:23:46 | SHD ] C:\Recycled
[19/12/2006 - 22:10:02 | D ] C:\2d95fa52b2714f24e2c7b9bf6b79
[01/01/2007 - 11:50:12 | D ] C:\Mes téléchargements
[10/01/2007 - 21:12:40 | HD ] C:\CanoScan
[28/01/2007 - 19:34:16 | D ] C:\gen5
[29/10/2007 - 11:08:46 | D ] C:\Brother
[03/02/2008 - 17:08:12 | D ] C:\~QTWTMP.TMP
[27/03/2008 - 17:43:48 | D ] C:\Temp
[27/03/2008 - 17:44:22 | D ] C:\Chrysis
[12/04/2008 - 00:29:52 | D ] C:\54b08e5ae76768bd78380f98e3
[13/04/2008 - 00:31:44 | D ] C:\dca3ff1a347e1a418a1883c468
[29/06/2008 - 21:11:38 | D ] C:\PICHON08
[10/12/2006 - 20:49:16 | SHD ] D:\System Volume Information
[12/12/2006 - 11:04:26 | RHD ] D:\MSOCache
[20/12/2006 - 14:18:36 | RD ] D:\Mes Documents
[12/12/2006 - 17:23:46 | SHD ] D:\Recycled
[13/12/2006 - 21:33:08 | D ] D:\Nos Documents
[28/02/2008 - 14:54:30 | A | 21504] F:\accordSV.doc
[01/01/2003 - 00:00:00 | A | 10647366] F:\P1010001.MOV
[01/01/2003 - 00:00:00 | A | 6810526] F:\P1010002.MOV
[01/01/2003 - 00:00:00 | A | 10497438] F:\P1010030.MOV
[01/01/2003 - 00:00:00 | A | 1938594] F:\P1010031.MOV
[21/03/2008 - 00:45:50 | A | 29696] F:\bilan2.doc
[31/08/2008 - 23:25:14 | A | 30720] F:\achatsmat0708.doc
[05/05/2008 - 00:05:40 | A | 38912] F:\longueurs.doc
[09/05/2008 - 00:23:40 | A | 22528] F:\appart.doc
[10/12/2006 - 17:12:16 | A | 36864] F:\etiquettes-date-gb.doc
[21/09/2005 - 21:18:54 | A | 19968] F:\seasons.doc
[12/06/2008 - 07:55:40 | D ] F:\C2
[03/07/2008 - 17:12:32 | A | 11044] F:\cdeca001.txt
[12/07/2008 - 13:59:40 | A | 45151] F:\sfr.pdf
[02/09/2008 - 12:47:44 | D ] F:\CM1
[03/09/2008 - 22:45:00 | A | 3141120] F:\les-religions.doc
[18/09/2008 - 12:34:54 | A | 1033791] F:\sorties_scolaires.pdf
[12/10/2005 - 14:57:24 | A | 69528] F:\weatherwheel1.pdf
[21/09/2005 - 21:07:08 | A | 21104] F:\roue-de-la-semaine-anglais-definitive.pdf
[24/10/2008 - 00:10:02 | A | 29696] F:\Exercice budgétaire.doc
[10/11/2008 - 16:47:34 | A | 23040] F:\caisseécole.doc
[10/11/2008 - 18:04:42 | A | 63488] F:\projet1.doc
[15/01/2009 - 13:04:04 | A | 1548] F:\BOOTEX.LOG
[17/03/2009 - 00:19:46 | A | 292663] F:\paris.pdf
[02/09/2009 - 23:57:24 | D ] F:\CM2
[03/09/2009 - 23:24:00 | A | 1693] F:\piece_jointe.pdf
[03/09/2009 - 23:25:00 | A | 1723] F:\piece_jointe1.pdf
[22/01/2010 - 00:06:20 | A | 3154] F:\Re Lexibook Message E53 ou E50 sur appareil photo lexobook barbie (4999).htm
[25/01/2010 - 00:13:42 | A | 2542080] F:\Copie de APPLI_LOCALE_CM2_2010_10(1) 1 0 4 (2).xls
[25/01/2010 - 00:14:22 | A | 22016] F:\Madame.doc
[25/01/2010 - 00:13:00 | A | 514234] F:\20100111140706377.pdf
[24/01/2010 - 15:00:24 | A | 28672] F:\financement.doc
[23/03/2010 - 16:38:46 | D ] F:\ELFE
[24/06/2010 - 07:47:26 | D ] F:\l'école
[29/06/2010 - 14:17:20 | D ] F:\fête
[16/03/2009 - 10:10:34 | D ] G:\APP
[16/03/2009 - 10:10:34 | SHD ] G:\System Volume Information
[16/03/2009 - 10:11:42 | D ] G:\BUFFALO
[16/03/2009 - 10:12:02 | D ] G:\DATA
[16/03/2009 - 10:12:02 | D ] G:\MAC
[23/08/1999 - 11:44:00 | A | 9292] G:\Melblock.vxd
[03/06/2008 - 12:36:00 | A | 218416] G:\MobileLaunch.exe
[02/08/2009 - 10:38:14 | A | 92] G:\MobileLaunch.ini
[02/08/2009 - 10:37:06 | SHD ] G:\Recycled
[02/08/2009 - 10:44:44 | RD ] G:\Mes images
[02/08/2009 - 11:56:30 | RD ] G:\Mes vidéos
[02/08/2009 - 12:19:02 | D ] G:\Mes Documents
[02/08/2009 - 13:48:04 | D ] G:\Mes fichiers reçus
[15/07/2010 - 10:32:04 | D ] G:\8b6c907e19d6399be91cc220

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
F:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
G:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_BIBINE.zip
https://www.ionos.fr/?affiliate_id=77097
Merci de votre contribution.

################## | E.O.F |
UsbFix 7.026 | [Suppression]

Utilisateur: Sabine (Administrateur) # BIBINE [ ]
Mis à jour le 24/09/10 par El Desaparecido / C_XX
Lancé à 15:26:36 | 25/09/2010
Site Web: http://www.teamxscript.org
Contact: FindyKill.Contact@gmail.com

CPU: AMD Turion(tm) 64 Mobile Technology MK-36
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 7.0.5730.11

Pare-feu Windows: Activé
Antivirus: avast! Antivirus 5.0.83886757 [(!) Disabled | Updated]
RAM -> 1406 Mo
C:\ (%systemdrive%) -> Disque fixe # 53 Go (30 Go libre(s) - 57%) [ACER] # FAT32
D:\ -> Disque fixe # 54 Go (26 Go libre(s) - 48%) [ACERDATA] # FAT32
E:\ -> CD-ROM
F:\ -> Disque amovible # 2 Go (32 Mo libre(s) - 2%) [USB_DISK] # FAT
G:\ -> Disque fixe # 466 Go (290 Go libre(s) - 62%) [HD-PFU2] # FAT32

################## | Éléments infectieux |


Supprimé! C:\WINDOWS\antiv.exe
Supprimé! G:\Autorun.inf
Supprimé! C:\log.txt

################## | Registre |


################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\G
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{3cf852ec-2a9b-11dd-87cc-0016cf8cb6c2}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{766a79cc-3d7a-11de-8ab6-0016cf8cb6c2}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{d78d9aea-dce1-11dc-8718-0016d44f508a}

################## | Listing |

[23/02/2006 - 11:38:04 | AD ] C:\i386
[05/08/2004 - 05:00:00 | AD ] C:\VALUEADD
[05/08/2004 - 05:00:00 | AD ] C:\dotnetfx
[21/03/2010 - 10:11:16 | SHD ] C:\FOUND.000
[13/05/2010 - 16:47:34 | SHD ] C:\FOUND.001
[25/09/2010 - 11:34:48 | ASH | 704643072] C:\pagefile.sys
[23/02/2006 - 11:38:08 | AD ] C:\Sysinfo
[23/02/2006 - 11:38:08 | AD ] C:\Book
[23/02/2006 - 11:38:04 | AD ] C:\WINDOWS
[23/05/2006 - 16:21:56 | D ] C:\Documents and Settings
[23/05/2006 - 16:28:48 | RD ] C:\Program Files
[23/05/2006 - 16:33:30 | SHD ] C:\System Volume Information
[23/05/2006 - 16:56:36 | D ] C:\MyWorks
[23/05/2006 - 17:03:46 | D ] C:\Acer
[05/08/2004 - 05:00:00 | RASH | 4952] C:\Bootfont.bin
[06/09/2008 - 22:33:56 | RASH | 252240] C:\ntldr
[05/08/2004 - 05:00:00 | RASH | 47564] C:\NTDETECT.COM
[23/05/2006 - 16:29:44 | A | 0] C:\CONFIG.SYS
[23/05/2006 - 17:00:04 | A | 50] C:\AUTOEXEC.BAT
[23/05/2006 - 16:29:44 | RASH | 0] C:\IO.SYS
[23/05/2006 - 16:29:44 | RASH | 0] C:\MSDOS.SYS
[10/12/2006 - 21:06:22 | A | 559] C:\RHDSetup.log
[10/12/2006 - 20:48:04 | RASH | 228] C:\boot.ini
[24/05/2006 - 11:33:02 | A | 75] C:\Preload.aaa
[16/08/2009 - 00:25:22 | SHD ] C:\Config.Msi
[11/11/1999 - 00:17:54 | A | 49] C:\XPH.TAG
[25/09/2010 - 15:20:02 | D ] C:\UsbFix
[25/09/2010 - 11:34:50 | ASH | 1474473984] C:\hiberfil.sys
[16/08/2009 - 00:22:44 | D ] C:\08f4e3f6c473195c3a
[16/08/2009 - 00:22:48 | D ] C:\f3670d99c4562f1638751706
[25/09/2010 - 15:26:38 | A | 1017] C:\UsbFix.txt
[16/08/2009 - 09:08:38 | D ] C:\9cb78cc1d84528e7c24846f631
[13/12/2006 - 22:40:58 | ASH | 115343872] C:\eDS_PSD_drive.vmdf
[12/12/2006 - 17:23:46 | SHD ] C:\Recycled
[19/12/2006 - 22:10:02 | D ] C:\2d95fa52b2714f24e2c7b9bf6b79
[01/01/2007 - 11:50:12 | D ] C:\Mes téléchargements
[10/01/2007 - 21:12:40 | HD ] C:\CanoScan
[28/01/2007 - 19:34:16 | D ] C:\gen5
[29/10/2007 - 11:08:46 | D ] C:\Brother
[03/02/2008 - 17:08:12 | D ] C:\~QTWTMP.TMP
[27/03/2008 - 17:43:48 | D ] C:\Temp
[27/03/2008 - 17:44:22 | D ] C:\Chrysis
[12/04/2008 - 00:29:52 | D ] C:\54b08e5ae76768bd78380f98e3
[13/04/2008 - 00:31:44 | D ] C:\dca3ff1a347e1a418a1883c468
[29/06/2008 - 21:11:38 | D ] C:\PICHON08
[10/12/2006 - 20:49:16 | SHD ] D:\System Volume Information
[12/12/2006 - 11:04:26 | RHD ] D:\MSOCache
[20/12/2006 - 14:18:36 | RD ] D:\Mes Documents
[12/12/2006 - 17:23:46 | SHD ] D:\Recycled
[13/12/2006 - 21:33:08 | D ] D:\Nos Documents
[28/02/2008 - 14:54:30 | A | 21504] F:\accordSV.doc
[01/01/2003 - 00:00:00 | A | 10647366] F:\P1010001.MOV
[01/01/2003 - 00:00:00 | A | 6810526] F:\P1010002.MOV
[01/01/2003 - 00:00:00 | A | 10497438] F:\P1010030.MOV
[01/01/2003 - 00:00:00 | A | 1938594] F:\P1010031.MOV
[21/03/2008 - 00:45:50 | A | 29696] F:\bilan2.doc
[31/08/2008 - 23:25:14 | A | 30720] F:\achatsmat0708.doc
[05/05/2008 - 00:05:40 | A | 38912] F:\longueurs.doc
[09/05/2008 - 00:23:40 | A | 22528] F:\appart.doc
[10/12/2006 - 17:12:16 | A | 36864] F:\etiquettes-date-gb.doc
[21/09/2005 - 21:18:54 | A | 19968] F:\seasons.doc
[12/06/2008 - 07:55:40 | D ] F:\C2
[03/07/2008 - 17:12:32 | A | 11044] F:\cdeca001.txt
[12/07/2008 - 13:59:40 | A | 45151] F:\sfr.pdf
[02/09/2008 - 12:47:44 | D ] F:\CM1
[03/09/2008 - 22:45:00 | A | 3141120] F:\les-religions.doc
[18/09/2008 - 12:34:54 | A | 1033791] F:\sorties_scolaires.pdf
[12/10/2005 - 14:57:24 | A | 69528] F:\weatherwheel1.pdf
[21/09/2005 - 21:07:08 | A | 21104] F:\roue-de-la-semaine-anglais-definitive.pdf
[24/10/2008 - 00:10:02 | A | 29696] F:\Exercice budgétaire.doc
[10/11/2008 - 16:47:34 | A | 23040] F:\caisseécole.doc
[10/11/2008 - 18:04:42 | A | 63488] F:\projet1.doc
[15/01/2009 - 13:04:04 | A | 1548] F:\BOOTEX.LOG
[17/03/2009 - 00:19:46 | A | 292663] F:\paris.pdf
[02/09/2009 - 23:57:24 | D ] F:\CM2
[03/09/2009 - 23:24:00 | A | 1693] F:\piece_jointe.pdf
[03/09/2009 - 23:25:00 | A | 1723] F:\piece_jointe1.pdf
[22/01/2010 - 00:06:20 | A | 3154] F:\Re Lexibook Message E53 ou E50 sur appareil photo lexobook barbie (4999).htm
[25/01/2010 - 00:13:42 | A | 2542080] F:\Copie de APPLI_LOCALE_CM2_2010_10(1) 1 0 4 (2).xls
[25/01/2010 - 00:14:22 | A | 22016] F:\Madame.doc
[25/01/2010 - 00:13:00 | A | 514234] F:\20100111140706377.pdf
[24/01/2010 - 15:00:24 | A | 28672] F:\financement.doc
[23/03/2010 - 16:38:46 | D ] F:\ELFE
[24/06/2010 - 07:47:26 | D ] F:\l'école
[29/06/2010 - 14:17:20 | D ] F:\fête
[16/03/2009 - 10:10:34 | D ] G:\APP
[16/03/2009 - 10:10:34 | SHD ] G:\System Volume Information
[16/03/2009 - 10:11:42 | D ] G:\BUFFALO
[16/03/2009 - 10:12:02 | D ] G:\DATA
[16/03/2009 - 10:12:02 | D ] G:\MAC
[23/08/1999 - 11:44:00 | A | 9292] G:\Melblock.vxd
[03/06/2008 - 12:36:00 | A | 218416] G:\MobileLaunch.exe
[02/08/2009 - 10:38:14 | A | 92] G:\MobileLaunch.ini
[02/08/2009 - 10:37:06 | SHD ] G:\Recycled
[02/08/2009 - 10:44:44 | RD ] G:\Mes images
[02/08/2009 - 11:56:30 | RD ] G:\Mes vidéos
[02/08/2009 - 12:19:02 | D ] G:\Mes Documents
[02/08/2009 - 13:48:04 | D ] G:\Mes fichiers reçus
[15/07/2010 - 10:32:04 | D ] G:\8b6c907e19d6399be91cc220

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
F:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
G:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

Je l'ai envoyé
2)RAPPORT D'AD-REMOVER 2.0.0.1,F | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 16/09/10 à 13:30
Contact: AdRemover.contact[AT]gmail.com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 15:34:46 le 25/09/2010, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86)
Sabine@BIBINE ( )

============== ACTION(S) ==============

Service: "ASKService" Stoppé et supprimé
Service: "ASKUpgrade" Stoppé et supprimé

0,Dossier supprimé: C:\Program Files\AskBarDis
0,Dossier supprimé: C:\Documents and Settings\Sabine\Local Settings\Application Data\Conduit
0,Dossier supprimé: C:\Program Files\Conduit

(!) -- Fichiers temporaires supprimés.


1,Clé supprimée: HKLM\Software\Classes\CLSID\{0702a2b6-13aa-4090-9e01-bcdc85dd933f}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{08993A7C-E764-4172-9627-BFB5EA6897B2}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{128A6C66-AC6A-4617-8268-AB7F47B7215E}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{201f27d4-3704-41d6-89c1-aa35e39143ed}
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{201f27d4-3704-41d6-89c1-aa35e39143ed}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{571715D7-3395-4DF0-B43C-784836209E60}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{622fd888-4e91-4d68-84d4-7262fd0811bf}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{b0de3308-5d5a-470d-81b9-634fc078393b}
1,Clé supprimée: HKLM\Software\Classes\Interface\{4634804A-F0B0-4A74-A550-FC0EEF8A4362}
1,Clé supprimée: HKLM\Software\Classes\Interface\{4C07EA4F-5F52-4222-B170-4CD9ED33BAEA}
1,Clé supprimée: HKLM\Software\Classes\Interface\{C44FEFF4-EF0C-4CF7-83D0-92B4266A32B9}
1,Clé supprimée: HKLM\Software\Classes\Interface\{F131923C-381D-4E4C-A472-4A17118FD742}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{4B1C1E16-6B34-430E-B074-5928ECA4C150}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{D2E5FA06-DCC7-46F9-BEFF-BFD06F69B9B2}
0,Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterBarButton
0,Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterBarButton.1
0,Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterSettingsControl
0,Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterSettingsControl.1
0,Clé supprimée: HKLM\Software\Classes\AskToolBar.SettingsPlugin
0,Clé supprimée: HKLM\Software\Classes\AskToolBar.SettingsPlugin.1
0,Clé supprimée: HKLM\Software\Classes\Toolbar.CT2504091
0,Clé supprimée: HKLM\Software\AskBarDis
0,Clé supprimée: HKLM\Software\Conduit
0,Clé supprimée: HKLM\Software\AppDataLow\AskBarDis
0,Clé supprimée: HKCU\Software\AskBarDis
0,Clé supprimée: HKCU\Software\Conduit
0,Clé supprimée: HKCU\Software\AppDataLow\AskBarDis
0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ask Toolbar_is1

0,Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{3041D03E-FD4B-44E0-B742-2D9B88305F98}
0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{3041D03E-FD4B-44E0-B742-2D9B88305F98}


============== SCAN ADDITIONNEL ==============

** Internet Explorer Version [7.0.5730.11] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Custom Search URL: 1
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 29 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 13 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 25/09/2010 (4590 Octet(s))

Fin à: 15:42:38, 25/09/2010

============== E.O.F ==============
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 247
vu

=> MBAM (plus long)
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4691

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

25/09/2010 17:32:58
mbam-log-2010-09-25 (17-32-58).txt

Type d'examen: Examen complet (C:\|D:\|F:\|G:\|)
Elément(s) analysé(s): 257237
Temps écoulé: 1 heure(s), 19 minute(s), 49 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1602f07d-8bf3-4c08-bdd6-dddb1c48aedc} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{09f1adac-76d8-4d0f-99a5-5c907dadb988} (Rogue.Multiple) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{114BBA23-0C1A-4D24-8D0F-D4F7325498E1}\RP639\A0210077.exe (Adware.ClickPotato) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{114BBA23-0C1A-4D24-8D0F-D4F7325498E1}\RP639\A0210078.dll (Adware.ClickPotato) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{114BBA23-0C1A-4D24-8D0F-D4F7325498E1}\RP639\A0210079.dll (Adware.ClickPotato) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{114BBA23-0C1A-4D24-8D0F-D4F7325498E1}\RP639\A0210080.exe (Adware.ClickPotato) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{114BBA23-0C1A-4D24-8D0F-D4F7325498E1}\RP639\A0210081.dll (Adware.ClickPotato) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{114BBA23-0C1A-4D24-8D0F-D4F7325498E1}\RP639\A0210082.dll (Adware.ClickPotato) -> Quarantined and deleted successfully.
http://www.cijoint.fr/cjlink.php?file=cj201009/cijOcoS8D3.txt
http://www.cijoint.fr/cjlink.php?file=cj201009/cijkLFyrDB.txt
http://www.cijoint.fr/cjlink.php?file=cj201009/cijJxhZyPD.txt

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000007c

Kernel Drivers (total 190):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E4000 \WINDOWS\system32\hal.dll
0xBA5A8000 \WINDOWS\system32\KDCOM.DLL
0xBA4B8000 \WINDOWS\system32\BOOTVID.dll
0xB9F78000 ACPI.sys
0xBA5AA000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xB9F67000 pci.sys
0xBA0A8000 isapnp.sys
0xBA0B8000 ohci1394.sys
0xBA0C8000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xBA4BC000 compbatt.sys
0xBA4C0000 \WINDOWS\system32\DRIVERS\BATTC.SYS
0xBA670000 pciide.sys
0xBA328000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xBA5AC000 aliide.sys
0xBA5AE000 intelide.sys
0xBA5B0000 toside.sys
0xBA5B2000 viaide.sys
0xBA5B4000 cmdide.sys
0xB9F49000 pcmcia.sys
0xBA0D8000 MountMgr.sys
0xB9F2A000 ftdisk.sys
0xBA4C4000 ACPIEC.sys
0xBA671000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
0xBA330000 PartMgr.sys
0xBA4C8000 UBHelper.sys
0xBA0E8000 VolSnap.sys
0xBA4CC000 cpqarray.sys
0xB9F12000 \WINDOWS\system32\DRIVERS\SCSIPORT.SYS
0xB9EFA000 atapi.sys
0xBA4D0000 aha154x.sys
0xBA338000 sparrow.sys
0xBA4D4000 symc810.sys
0xBA0F8000 aic78xx.sys
0xBA4D8000 dac960nt.sys
0xBA108000 ql10wnt.sys
0xBA4DC000 amsint.sys
0xBA340000 asc.sys
0xBA4E0000 asc3550.sys
0xBA348000 mraid35x.sys
0xBA350000 i2omp.sys
0xBA4E4000 ini910u.sys
0xBA118000 ql1240.sys
0xBA128000 aic78u2.sys
0xBA358000 symc8xx.sys
0xBA360000 sym_hi.sys
0xBA368000 sym_u3.sys
0xBA370000 ABP480N5.SYS
0xBA378000 asc3350p.sys
0xBA5B6000 cd20xrnt.sys
0xBA138000 ultra.sys
0xB9EE1000 adpu160m.sys
0xBA380000 dpti2o.sys
0xBA148000 ql1080.sys
0xBA158000 ql1280.sys
0xBA168000 ql12160.sys
0xBA388000 perc2.sys
0xBA5B8000 perc2hib.sys
0xBA390000 hpn.sys
0xBA4E8000 cbidf2k.sys
0xB9EB5000 dac2w2k.sys
0xBA178000 disk.sys
0xBA188000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xB9E95000 fltmgr.sys
0xB9E83000 sr.sys
0xBA198000 PxHelp20.sys
0xB9E5F000 Fastfat.sys
0xB9E48000 KSecDD.sys
0xB9E35000 WudfPf.sys
0xB9E08000 NDIS.sys
0xBA1A8000 sisagp.sys
0xBA1B8000 viaagp.sys
0xB9DEE000 Mup.sys
0xBA1C8000 alim1541.sys
0xBA1D8000 amdagp.sys
0xBA1E8000 agp440.sys
0xBA1F8000 agpCPQ.sys
0xBA208000 \SystemRoot\system32\DRIVERS\AmdK8.sys
0xBA55C000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0xB9B57000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
0xB9B43000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xBA3F0000 \SystemRoot\system32\DRIVERS\usbohci.sys
0xB9B1F000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xBA3F8000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xBA218000 \SystemRoot\system32\DRIVERS\imapi.sys
0xBA228000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xBA238000 \SystemRoot\system32\DRIVERS\redbook.sys
0xB9AFC000 \SystemRoot\system32\DRIVERS\ks.sys
0xBA5CC000 \SystemRoot\system32\DRIVERS\NTIDrvr.sys
0xB9AD4000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xBA248000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xBA564000 \SystemRoot\system32\DRIVERS\L8042Kbd.sys
0xBA400000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xB9AA4000 \SystemRoot\system32\DRIVERS\SynTP.sys
0xBA5CE000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xBA408000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xBA568000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0xB9A2C000 \SystemRoot\system32\DRIVERS\ar5211.sys
0xBA258000 \SystemRoot\system32\DRIVERS\EMS7SK.sys
0xB9A18000 \SystemRoot\system32\DRIVERS\sdbus.sys
0xB9A05000 \SystemRoot\system32\DRIVERS\ESM7SK.sys
0xBA268000 \SystemRoot\system32\DRIVERS\ESD7SK.sys
0xB9939000 \SystemRoot\system32\DRIVERS\btkrnl.sys
0xBA704000 \SystemRoot\system32\DRIVERS\audstub.sys
0xBA410000 \SystemRoot\system32\DRIVERS\rasirda.sys
0xBA418000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xBA278000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xBA570000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xB9922000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xBA288000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xBA298000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xB9871000 \SystemRoot\system32\DRIVERS\psched.sys
0xBA2A8000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xBA420000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xBA428000 \SystemRoot\system32\DRIVERS\raspti.sys
0xBA2B8000 \SystemRoot\system32\DRIVERS\termdd.sys
0xBA5D0000 \SystemRoot\system32\DRIVERS\swenum.sys
0xB9813000 \SystemRoot\system32\DRIVERS\update.sys
0xBA578000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xB97C5000 \SystemRoot\system32\drivers\btaudio.sys
0xB97A1000 \SystemRoot\system32\drivers\portcls.sys
0xBA2C8000 \SystemRoot\system32\drivers\drmk.sys
0xBA2D8000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xBA308000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xB1296000 \SystemRoot\system32\drivers\RtkHDAud.sys
0xB1263000 \SystemRoot\system32\DRIVERS\HSFHWAZL.sys
0xB1171000 \SystemRoot\system32\DRIVERS\HSF_DPV.sys
0xB10BF000 \SystemRoot\system32\DRIVERS\HSF_CNXT.sys
0xBA430000 \SystemRoot\System32\Drivers\Modem.SYS
0xB9D26000 \SystemRoot\System32\Drivers\i2omgmt.SYS
0xBA5DC000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xBA750000 \SystemRoot\System32\Drivers\Null.SYS
0xBA5DE000 \SystemRoot\System32\Drivers\Beep.SYS
0xBA458000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xBA460000 \SystemRoot\System32\drivers\vga.sys
0xBA5E0000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xBA5E2000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xBA468000 \SystemRoot\System32\Drivers\Msfs.SYS
0xBA470000 \SystemRoot\System32\Drivers\Npfs.SYS
0xB9D1E000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xB0F5C000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xB0F03000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xB9DCE000 \SystemRoot\System32\Drivers\aswTdi.SYS
0xB0EDD000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xB9DBE000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xB0EB5000 \SystemRoot\system32\DRIVERS\netbt.sys
0xB0E93000 \SystemRoot\System32\drivers\afd.sys
0xB9DAE000 \SystemRoot\system32\DRIVERS\netbios.sys
0xB0E68000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xB0DF8000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xB9D8E000 \SystemRoot\System32\Drivers\Fips.SYS
0xB0DD1000 \SystemRoot\System32\Drivers\aswSP.SYS
0xBA480000 \SystemRoot\System32\Drivers\Aavmker4.SYS
0xBA488000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0xB9CEA000 \SystemRoot\system32\drivers\bfturboh.sys
0xB98C2000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xB0D69000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xBA5F4000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xB0DB5000 \SystemRoot\System32\drivers\Dxapi.sys
0xBA3B0000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xBA76C000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\ati2dvag.dll
0xBF055000 \SystemRoot\System32\ati2cqag.dll
0xBF09A000 \SystemRoot\System32\atikvmag.dll
0xBF0D0000 \SystemRoot\System32\ati3duag.dll
0xBF362000 \SystemRoot\System32\ativvaxx.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xB0DC5000 \SystemRoot\System32\Drivers\aswFsBlk.SYS
0xAE95B000 \SystemRoot\system32\DRIVERS\irda.sys
0xAEA9D000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xAE82C000 \SystemRoot\System32\Drivers\aswMon2.SYS
0xAE647000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xAE632000 \SystemRoot\system32\drivers\wdmaud.sys
0xAE8D3000 \SystemRoot\system32\drivers\sysaudio.sys
0xBA3C0000 \??\C:\WINDOWS\system32\drivers\btserial.sys
0xAE3CD000 \??\C:\PROGRA~1\LAUNCH~1\DPortIO.sys
0xAE390000 \??\C:\WINDOWS\system32\drivers\int15.sys
0xAE271000 \SystemRoot\system32\DRIVERS\srv.sys
0xAE3B9000 \SystemRoot\system32\DRIVERS\mdmxsdk.sys
0xAE52C000 \??\C:\WINDOWS\system32\drivers\tvicport.sys
0xBA7C7000 \??\C:\WINDOWS\system32\drivers\zntport.sys
0xBA3D0000 \SystemRoot\System32\Drivers\aswRdr.SYS
0xADDA8000 \SystemRoot\System32\Drivers\HTTP.sys
0xBA3E0000 \??\C:\WINDOWS\system32\Drivers\psdfilter.sys
0xADC7D000 \??\C:\WINDOWS\system32\Drivers\psdvdisk.sys
0xBA4A0000 \??\C:\DOCUME~1\Sabine\LOCALS~1\Temp\mbr.sys
0xAD37B000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\System32\ntdll.dll

Processes (total 63):
0 System Idle Process
4 System
440 C:\WINDOWS\System32\smss.exe
528 csrss.exe
556 C:\WINDOWS\System32\winlogon.exe
600 C:\WINDOWS\System32\SERVICES.EXE
612 C:\WINDOWS\System32\LSASS.EXE
772 C:\WINDOWS\System32\Ati2evxx.exe
788 C:\WINDOWS\System32\SVCHOST.EXE
852 SVCHOST.EXE
920 C:\WINDOWS\System32\SVCHOST.EXE
1004 C:\WINDOWS\System32\SVCHOST.EXE
1108 SVCHOST.EXE
1140 SVCHOST.EXE
1232 C:\WINDOWS\System32\Ati2evxx.exe
1436 C:\WINDOWS\Explorer.EXE
1612 C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
2020 C:\WINDOWS\System32\brsvc01a.exe
112 C:\WINDOWS\System32\BRSS01A.EXE
120 C:\WINDOWS\System32\spoolsv.exe
236 SVCHOST.EXE
1104 C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
1044 C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
664 C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
1324 C:\Program Files\Java\JRE6\BIN\JQS.EXE
1332 C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
1420 C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
1512 C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
1668 C:\Program Files\CyberLink\Shared Files\RichVideo.exe
1728 C:\WINDOWS\System32\SVCHOST.EXE
1796 C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
2456 C:\WINDOWS\System32\wbem\wmiapsrv.exe
2540 wmiprvse.exe
2544 alg.exe
2916 wmiprvse.exe
2924 C:\Program Files\Acer\Acer Arcade\PCMService.exe
3092 C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
3224 C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
3244 C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
3368 C:\WINDOWS\RTHDCPL.EXE
3536 C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
3560 C:\Program Files\Launch Manager\LManager.exe
3572 C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
3580 C:\Program Files\MUSICMATCH\Musicmatch Jukebox\mm_tray.exe
3632 C:\Program Files\ScanSoft\PaperPort\PPTD40NT.EXE
3684 C:\Program Files\MUSICMATCH\Musicmatch Jukebox\mmtask.exe
3776 C:\Program Files\Brother\ControlCenter2\BRCTRCEN.EXE
3796 C:\WINDOWS\System32\wbem\unsecapp.exe
3816 C:\Program Files\QuickTime\QTTask.exe
3860 C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
260 C:\Program Files\Alwil Software\Avast5\AvastUI.exe
464 C:\WINDOWS\System32\ctfmon.exe
524 C:\Program Files\Windows Live\Messenger\msnmsgr.exe
1028 C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
1648 C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
2188 C:\Program Files\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe
2900 C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
2932 C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
2512 C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
3204 C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
2380 C:\Program Files\Fichiers communs\Java\Java Update\jucheck.exe
152 C:\Program Files\Internet Explorer\iexplore.exe
3544 C:\Documents and Settings\Sabine\Bureau\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000001'384c7a00 (FAT32)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x0000000e'85adbe00 (FAT32)
\\.\G: --> \\.\PhysicalDrive2 at offset 0x00000000'00007e00 (FAT32)

PhysicalDrive0 Model Number: HitachiHTS541212H9AT00, Rev: HP4OA23C
PhysicalDrive2 Model Number: ST9500325AS, Rev:

Size Device Name MBR Status
--------------------------------------------
111 GB \\.\PhysicalDrive0 Unknown MBR code
SHA1: 6A37CCD118436B688B51F6BD4C2B47A895EBDF7F
465 GB \\.\PhysicalDrive2 RE: Windows 98 MBR code detected
SHA1: 48F01D7E76A0F3C038D08611E3FDC0EE4EF9FD3E


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:
Options:
[1] Dump the MBR of a physical disk to file.
[2] Restore the MBR of a physical disk with a standard boot code.
[3] Exit.

Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel): 0Available MBR codes:
[ 0] Default (Windows XP)
[ 1] Windows XP
[ 2] Windows Server 2003
[ 3] Windows Vista
[ 4] Windows 2008
[ 5] Windows 7
[-1] Cancel

Please select the MBR code to write to this drive: 1
Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue: YES
Successfully wrote new MBR code!
Please reboot your computer to complete the fix.


Done!

Le PC a bien démarré, tout à l'air normal mais je le trouve un peu lent (j'ai l'impression qu'il est un peu moins réactif qu'avant). Au démarrage, l'écran reste noir un petit moment avant que le bureau ne s'installe.
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 247
DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

Télécharge List_Kill'em et enregistre le sur ton bureau

http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe


double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

Executer List_Kill'em"


une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

Rend toi sur Cjoint : http://www.cijoint.fr/

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

Sélectionne le rapport C:\List'em.txt

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

Même opération pour le rapport more.txt qui se trouve sur ton bureau


si soucis avec ci joint. fr

=> utiliser https://www.cjoint.com/
=> utiliser http://ww38.toofiles.com/fr/oip/documents/txt/av.html


Effectivement, c'est très long. Heureusement que vous le précisez, merci de votre aide et de votre patience.
Il est 00:29 et depuis mon dernier post, le scan est à 95%. Je laisse l'ordi tourner et je vais me coucher. A plus tard.
Le scan reste figé sur 95% et j'ai regardé à la racine de C et il y a un rapport comme indiqué dans votre message. Que dois-je faire : attendre encore ou arrêter le scan?
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 247
ok

poste ce que tu as pour voir
http://www.cijoint.fr/cjlink.php?file=cj201009/cijCh4uKvg.txt
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 247
Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :

choisis l'option CLEAN


laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

colle le contenu dans ta reponse



Kill'em by g3n-h@ckm@n 2.1.0.8 ¤¤¤¤¤¤¤¤¤¤

User : Sabine (Administrateurs)
Update on 25/09/2010 by g3n-h@ckm@n ::::: 19.10
Start at: 08:47:11 | 26/09/2010

AMD Turion(tm) 64 Mobile Technology MK-36
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.11
Windows Firewall Status : Disabled
AV : avast! Antivirus 5.0.83886757 [ (!) Disabled | Updated ]

C:\ -> Disque fixe local | 53,2 Go (30,04 Go free) [ACER] | FAT32
D:\ -> Disque fixe local | 53,69 Go (25,9 Go free) [ACERDATA] | FAT32
E:\ -> Disque CD-ROM

¤¤¤¤¤¤¤¤¤¤ Files/folders :

Quarantined & Deleted !! : C:\WINDOWS\002793_.tmp
Quarantined & Deleted !! : C:\WINDOWS\bwUnin-7.2.0.137-8876480SL.exe

Quarantined & Deleted !! : C:\WINDOWS\System32\drivers\etc\hosts.msn
Quarantined & Deleted !! : C:\WINDOWS\System32\SET39.tmp
Quarantined & Deleted !! : C:\WINDOWS\System32\SET45.tmp
Quarantined & Deleted !! : C:\Documents and Settings\Sabine\Application data\inst.exe
Quarantined & Deleted !! : C:\Documents and Settings\Sabine\Application Data\pcouffin.inf
Quarantined & Deleted !! : C:\Documents and Settings\Sabine\Application Data\pcouffin.log
Quarantined & Deleted !! : C:\Documents and Settings\Sabine\Local Settings\Temp\3.tmp
Quarantined & Deleted !! : C:\Documents and Settings\Sabine\LOCAL Settings\Temp\jre-6u19-windows-i586-iftw-rv.exe
Quarantined & Deleted !! : C:\Documents and Settings\Sabine\LOCAL Settings\Temp\_is6.exe
Quarantined & Deleted !! : C:\Documents and Settings\Sabine\LOCAL Settings\Temp\jre-6u20-windows-i586-iftw-rv.exe
Quarantined & Deleted !! : C:\Documents and Settings\Sabine\LOCAL Settings\Temp\jre-6u21-windows-i586-iftw-rv.exe
Quarantined & Deleted !! : C:\Documents and Settings\Sabine\LOCAL Settings\Temp\Perflib_Perfdata_b74.dat
Quarantined & Deleted !! : C:\Documents and Settings\Sabine\LOCAL Settings\Temp\Perflib_Perfdata_b54.dat
Quarantined & Deleted !! : C:\Documents and Settings\Sabine\LOCAL Settings\Temp\Perflib_Perfdata_b68.dat
Quarantined & Deleted !! : C:\Documents and Settings\Sabine\LOCAL Settings\Temp\Perflib_Perfdata_e84.dat
Quarantined & Deleted !! : C:\Documents and Settings\Sabine\LOCAL Settings\Temp\Perflib_Perfdata_710.dat
Quarantined & Deleted !! : C:\Documents and Settings\Sabine\LOCAL Settings\Temp\Perflib_Perfdata_db8.dat
Quarantined & Deleted !! : C:\Documents and Settings\Sabine\LOCAL Settings\Temp\Perflib_Perfdata_d64.dat
Quarantined & Deleted !! : C:\Documents and Settings\Sabine\LOCAL Settings\Temp\Perflib_Perfdata_528.dat
Quarantined & Deleted !! : C:\Documents and Settings\Sabine\LOCAL Settings\Temp\aswV5Hlp.dll
Quarantined & Deleted !! : C:\Documents and Settings\Sabine\LOCAL Settings\Temp\GLF15.tmp.tbVuze.dll

¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤

127.0.0.1 localhost

¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤

Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser : {0E5CBF21-D15F-11D0-8301-00AA005B4383}
Deleted : HKCR\CLSID\{248dd896-bb45-11cf-9abc-0080c7e7b78d}
Deleted : HKCR\CLSID\{248dd897-bb45-11cf-9abc-0080c7e7b78d}
Deleted : HKCR\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179}
Deleted : HKCR\Interface\{248dd892-bb45-11cf-9abc-0080c7e7b78d}
Deleted : HKCR\Interface\{248dd893-bb45-11cf-9abc-0080c7e7b78d}
Deleted : HKCR\TypeLib\{248dd890-bb45-11cf-9abc-0080c7e7b78d}
Deleted : HKCU\Software\Conduit

¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page = https://www.msn.com/fr-fr/?ocid=iehp
Local Page = C:\WINDOWS\system32\blank.htm
Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page = https://www.google.com/?gws_rd=ssl
Local Page = C:\WINDOWS\system32\blank.htm
Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

¤¤¤¤¤¤¤¤¤¤ Security Center ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
FirstRunDisabled = 1 ()
AntiVirusDisableNotify = 0 (0x0)
FirewallDisableNotify = 0 (0x0)
UpdatesDisableNotify = 0 (0x0)
AntiVirusOverride = 0 (0x0)
FirewallOverride = 0 (0x0)

¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

Ndisuio : Start = 3
EapHost : Start = 2
Ip6Fw : Start = 2
SharedAccess : Start = 2
wuauserv : Start = 2
wscsvc : Start = 2

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Disk Cleaned
anti-ver blaster : OK
Prefetch cleaned
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

FEATURE_BROWSER_EMULATION | svchost :
====================================


Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS
kernel: MBR read successfully
user & kernel MBR OK




¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
J'ai arrêté le PC pendant 15 minutes puis je l'ai remis en route : il se met en route beaucoup plus rapidement ! et je n'ai plus cette page noire engoissante car très longue avant le chargement du bureau. Est-ce qu'il y a d'autres manipulations à effectuer ? Dois-je conserver tout les logiciels téléchargés ?
Je vous remercie de votre aide et de votre réactivité depuis hier.