infectée par bamital

Question

Bonjour,

Depuis hier mon pc fait des trucs bizarres quand je me connecte sur internet. J'ai fouuiné et ai téléchargé Avira qui me dit que je suis infectée par Bamital au niveau:
C:\Users\Documents\Windows\winhelp.exe.
Pouvez-vous m'aider ?

Merci d'avance,

Zazz



Configuration: Windows Vista / Internet Explorer 7.0

gen-hackman · Answer

salut :

&#9654 Télécharge ici : USBFIX sur ton bureau 

branche tous tes periphériques sans les ouvrir

/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur l'icône Usbfix située sur ton Bureau.
Sur la page, clique sur le bouton :

&#9654 choisi l option Suppression

&#9654 UsbFix scannera ton pc , laisse travailler l outil.

&#9654 Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

&#9654 Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

zazz77 · Answer

Bonjour gen-hackman,

merci de t'occuper de mon cas.

############################## | UsbFix 7.027 | [Suppression]

Utilisateur: isa (Administrateur) # PC-DE-ISA [Packard Bell BV PACKARD BELL IMAX X9300]
Mis à jour le 28/09/10 par El Desaparecido / C_XX
Lancé à 15:40:00 | 29/09/2010
Site Web: http://www.teamxscript.org
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Core(TM)2 Quad CPU Q8200 @ 2.33GHz
CPU 2: Intel(R) Core(TM)2 Quad CPU Q8200 @ 2.33GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium  (6.0.6002 32-Bit) # Service Pack 2
Internet Explorer 8.0.6001.18943

Pare-feu Windows: Activé
Antivirus: AntiVir Desktop 10.0.1.52 [(!) Disabled | (!) Outdated]
RAM -> 3326 Mo 
C:\ (%systemdrive%) -> Disque fixe # 584 Go (389 Go libre(s) - 67%) [HDD] # NTFS
H:\ -> CD-ROM

################## | Éléments infectieux |


Supprimé! C:\Users\isa\AppData\Roaming\lowsec
Supprimé! C:\Users\isa\AppData\Local\Temp\2148474151.exe
Supprimé! C:\Users\isa\AppData\Local\Temp\4040042855.exe
Supprimé! C:\Users\isa\AppData\Local\Temp\4050350151.exe

################## | Registre |

Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoClose

################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{f29be680-29f7-11df-bb3a-0040caa46358}

################## | Listing |

[01/03/2009 - 02:15:32 | SHD ] 	C:\$Recycle.Bin
[18/09/2006 - 23:43:36 | A | 24] 	C:\autoexec.bat
[21/08/2010 - 17:03:36 | D ] 	C:\BigFishGamesCache
[14/03/2009 - 22:08:01 | D ] 	C:\Boonty
[11/08/2009 - 20:44:09 | SHD ] 	C:\boot
[11/04/2009 - 08:36:36 | RASH | 333257] 	C:\bootmgr
[10/09/2008 - 02:24:01 | RAS | 8192] 	C:\BOOTSECT.BAK
[01/03/2009 - 17:20:00 | A | 943] 	C:\CDFE.log
[18/09/2006 - 23:43:37 | A | 10] 	C:\config.sys
[02/11/2006 - 15:02:03 | SHD ] 	C:\Documents and Settings
[01/03/2009 - 20:15:00 | D ] 	C:\drivers
[07/03/2009 - 09:51:34 | A | 462] 	C:\error.log
[13/08/2009 - 11:07:53 | D ] 	C:\Garmin
[29/09/2010 - 14:24:29 | ASH | 3488034816] 	C:\hiberfil.sys
[03/08/2010 - 22:30:08 | D ] 	C:\KU990i
[19/06/2010 - 20:51:22 | A | 333] 	C:\lxce.log
[01/03/2009 - 16:58:57 | A | 0] 	C:\lxcefire.000
[01/03/2009 - 17:02:05 | A | 0] 	C:\lxcefire.001
[01/03/2009 - 17:14:11 | A | 0] 	C:\lxcefire.csv
[01/03/2009 - 17:01:30 | A | 1314] 	C:\LXCEINST.000
[01/03/2009 - 17:02:26 | A | 1477] 	C:\LXCEINST.001
[01/03/2009 - 17:14:28 | A | 1477] 	C:\LXCEINST.csv
[01/03/2009 - 20:17:11 | A | 189032] 	C:\lxceunst.csv
[14/08/2009 - 21:41:13 | D ] 	C:\Metaboli
[09/09/2008 - 17:14:00 | RHD ] 	C:\MSOCache
[29/09/2010 - 14:24:28 | ASH | 3801759744] 	C:\pagefile.sys
[17/10/2009 - 08:33:45 | D ] 	C:\PerfLogs
[29/09/2010 - 14:27:58 | RD ] 	C:\Program Files
[29/09/2010 - 14:27:58 | HD ] 	C:\ProgramData
[07/03/2010 - 16:54:52 | D ] 	C:\Sounds
[29/09/2010 - 15:36:35 | SHD ] 	C:\System Volume Information
[26/08/2010 - 15:26:42 | D ] 	C:\Temp
[29/09/2010 - 15:42:59 | D ] 	C:\UsbFix
[29/09/2010 - 15:40:09 | A | 2918] 	C:\UsbFix.txt
[10/05/2009 - 11:09:00 | RD ] 	C:\Users
[29/09/2010 - 14:06:33 | D ] 	C:\Windows

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PC-DE-ISA.zip
https://www.ionos.fr/?affiliate_id=77097
Merci de votre contribution.

################## | E.O.F |

gen-hackman · Answer

tu n'as rien qui se branche en usb ?

zazz77 · Answer

la souris, clé wi fii, imprimante, cam

gen-hackman · Answer

pas de mp3 , mp4 , sdcard , clé usb , etc ..???

zazz77 · Answer

non

gen-hackman · Answer

bien on passe à la suite 

afin d'avoir un diag poussé du pc :

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 Coche les 2 cases Lop et Purity

&#9654 Coche la case devant tous les utilisateurs

&#9654 règle age du fichier sur "60 jours"

&#9654 dans la moitié gauche , mets tout sur "tous"

ne modifie pas ceci : 

"fichiers créés" et "fichiers Modifiés" 

&#9654Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

zazz77 · Answer

pendant que l'analyse tourne, il est peut-être utile que je te dise que j'avis Windows secutiry qui s'est imposé sur le pc hier et que j'ai utilisé Maleware pour le supprimer

zazz77 · Answer

http://www.cijoint.fr/cjlink.php?file=cj201009/cijtELWMo3.txt  http://www.cijoint.fr/cjlink.php?file=cj201009/cijyudlJQJ.txt

gen-hackman · Answer

le rapport de malwarebytes aussi stp ?

gen-hackman · Answer

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
IE - HKLM\..\URLSearchHook: {e10106e5-bd2e-445c-8e28-e7a12fdf05b5} - Reg Error: Key error. File not found
IE - HKU\S-1-5-21-2715746323-982166421-2285257794-1000\..\URLSearchHook:  - Reg Error: Key error. File not found
IE - HKU\S-1-5-21-2715746323-982166421-2285257794-1000\..\URLSearchHook: {5aa14397-d310-447d-8548-2dd90218a07d} - C:\Program Files\CoolChaser Toolbar\Helper.dll () 
IE - HKU\S-1-5-21-2715746323-982166421-2285257794-1000\..\URLSearchHook: {e10106e5-bd2e-445c-8e28-e7a12fdf05b5} - Reg Error: Key error. File not found
FF - prefs.js..extensions.enabledItems: {7b13ec3e-999a-4b70-b9cb-2617b8323822}:2.7.1.3     
FF - prefs.js..keyword.URL: "http://ws.infospace.com/coolchaser_game/ws/redir?_iceUrl=true&user_id=35211387&tool_id=60531&qkw=" 
O2 - BHO: (Freecause Toolbar BHO) - {FC78E410-0EFA-4BEC-B283-D1DB1922F420} - C:\Program Files\CoolChaser Toolbar\Toolbar.dll () 
O3 - HKLM\..\Toolbar: (CoolChaser Toolbar) - {B0208007-27C1-4BCD-93EF-EFF5DB61FC22} - C:\Program Files\CoolChaser Toolbar\Toolbar.dll () 
O3 - HKU\S-1-5-21-2715746323-982166421-2285257794-1000\..\Toolbar\WebBrowser: (CoolChaser Toolbar) - {B0208007-27C1-4BCD-93EF-EFF5DB61FC22} - C:\Program Files\CoolChaser Toolbar\Toolbar.dll () 
O3 - HKU\S-1-5-21-2715746323-982166421-2285257794-1002\..\Toolbar\WebBrowser: (no name) - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - No CLSID value found.     
O3 - HKU\S-1-5-21-2715746323-982166421-2285257794-1002\..\Toolbar\WebBrowser: (CoolChaser Toolbar) - {B0208007-27C1-4BCD-93EF-EFF5DB61FC22} - C:\Program Files\CoolChaser Toolbar\Toolbar.dll () 
O4 - HKU\S-1-5-21-2715746323-982166421-2285257794-1000..\Run: [Lvmfeefnsec] C:\Users\isa\AppData\Local\Temp\oekry3kb.exe File not found
O4 - HKU\S-1-5-21-2715746323-982166421-2285257794-1000..\Run: [Lvmfeefnz9] C:\Users\isa\AppData\Local\Temp
vsvc32.exe File not found
O4 - HKU\S-1-5-21-2715746323-982166421-2285257794-1000..\Run: [LvmfeefnZP] C:\Users\isa\AppData\Local\Temp\gdi32.exe File not found
O4 - HKU\S-1-5-21-2715746323-982166421-2285257794-1000..\Run: [uPc+nqbiejlruMCxl] C:\Users\isa\AppData\Local\Temp\cwyevvg5.DLL File not found
O4 - HKLM..\RunOnce: []  File not found
O16 - DPF: {5A779DC0-837B-4590-AC42-C7C0847478C5} http://logicielsgratuits.orange.fr/download_service/Install/OrangeInstaller.cab (Reg Error: Key error.) 
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18) 
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.) 
O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18) 
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)     

:Files
C:\Users\isa\AppData\Roaming\gzbbuia.exe 
C:\Users\isa\AppData\Roaming\634B02331B3D15E83219A4947DE26617 
C:\Users\Public\Documents\Windows 
C:\Users\Public\Documents\Server 
C:\Program Files\Recfree1.com     
C:\Windows\System32\drivers\swireibv.sys 
C:\Users\isa\AppData\Roaming\jsdfgs.bat 
C:\Users\isa\AppData\Roaming\wklnhst.dat 
@Alternate Data Stream - 99 bytes -> C:\ProgramData\TEMP:E32966C0
@Alternate Data Stream - 242 bytes -> C:\ProgramData\TEMP:61AF2B29
@Alternate Data Stream - 242 bytes -> C:\ProgramData\TEMP:3D36932D
@Alternate Data Stream - 240 bytes -> C:\ProgramData\TEMP:1392F09D
@Alternate Data Stream - 238 bytes -> C:\ProgramData\TEMP:D8F9D810
@Alternate Data Stream - 237 bytes -> C:\ProgramData\TEMP:2CE15176
@Alternate Data Stream - 236 bytes -> C:\ProgramData\TEMP:F84B8DB5
@Alternate Data Stream - 230 bytes -> C:\ProgramData\TEMP:EEED3F26
@Alternate Data Stream - 229 bytes -> C:\ProgramData\TEMP:EA701346
@Alternate Data Stream - 229 bytes -> C:\ProgramData\TEMP:9F38BF31
@Alternate Data Stream - 229 bytes -> C:\ProgramData\TEMP:569CEE83
@Alternate Data Stream - 229 bytes -> C:\ProgramData\TEMP:51F17BB8
@Alternate Data Stream - 228 bytes -> C:\ProgramData\TEMP:E33C786A
@Alternate Data Stream - 226 bytes -> C:\ProgramData\TEMP:E91ADC66
@Alternate Data Stream - 224 bytes -> C:\ProgramData\TEMP:FC2E567F
@Alternate Data Stream - 224 bytes -> C:\ProgramData\TEMP:ECFD9449
@Alternate Data Stream - 221 bytes -> C:\ProgramData\TEMP:88A44CC1
@Alternate Data Stream - 220 bytes -> C:\ProgramData\TEMP:89A5891E
@Alternate Data Stream - 218 bytes -> C:\ProgramData\TEMP:A3B8F70C
@Alternate Data Stream - 218 bytes -> C:\ProgramData\TEMP:48977386
@Alternate Data Stream - 213 bytes -> C:\ProgramData\TEMP:7124B44D
@Alternate Data Stream - 213 bytes -> C:\ProgramData\TEMP:3F403D65
@Alternate Data Stream - 213 bytes -> C:\ProgramData\TEMP:3E06C78F
@Alternate Data Stream - 209 bytes -> C:\ProgramData\TEMP:8BF7ADD1
@Alternate Data Stream - 207 bytes -> C:\ProgramData\TEMP:5EF72D85
@Alternate Data Stream - 203 bytes -> C:\ProgramData\TEMP:462A7C89
@Alternate Data Stream - 201 bytes -> C:\ProgramData\TEMP:F8435088
@Alternate Data Stream - 201 bytes -> C:\ProgramData\TEMP:F1175E1D
@Alternate Data Stream - 201 bytes -> C:\ProgramData\TEMP:8DF68137
@Alternate Data Stream - 200 bytes -> C:\ProgramData\TEMP:6A936202
@Alternate Data Stream - 197 bytes -> C:\ProgramData\TEMP:88E3B9B6
@Alternate Data Stream - 196 bytes -> C:\ProgramData\TEMP:8D5A0C4E
@Alternate Data Stream - 16 bytes -> C:\Users\isa\Shared:Shareaza.GUID
@Alternate Data Stream - 136 bytes -> C:\ProgramData\TEMP:F52A6209
@Alternate Data Stream - 127 bytes -> C:\ProgramData\TEMP:C07A6A6B
@Alternate Data Stream - 123 bytes -> C:\ProgramData\TEMP:1A5207FA
@Alternate Data Stream - 118 bytes -> C:\ProgramData\TEMP:A2907225
@Alternate Data Stream - 114 bytes -> C:\ProgramData\TEMP:C9FD258B
@Alternate Data Stream - 112 bytes -> C:\ProgramData\TEMP:2F141B68
@Alternate Data Stream - 112 bytes -> C:\ProgramData\TEMP:08948D52
@Alternate Data Stream - 110 bytes -> C:\ProgramData\TEMP:55F44B88
@Alternate Data Stream - 103 bytes -> C:\ProgramData\TEMP:3C5ABDC7

:commands
[emptytemp]
[start explorer]
[reboot]


&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

zazz77 · Answer

http://www.cijoint.fr/cjlink.php?file=cj201009/cij9BAKsyZ.txt

gen-hackman · Answer

ok j atends le rapport de la suite :)

zazz77 · Answer

souci:

le pc s'est éteint puis page bleue puis ok pour l'ouvrir ensuite. Par contre je ne trouve plus trace d'otl.exe

gen-hackman · Answer

as-tu ceci ?

C:\_OTL\Moved Files\l'heure_et_la_date.txt

zazz77 · Answer

ok, oublies ce que j'ai dis. J'ai otl.exe mais ne trouve aucun rapport. Il devrait se trouver ou ? Je ne trouve que le premier

gen-hackman · Answer

https://forums.commentcamarche.net/forum/affich-19334001-infectee-par-bamital#17

zazz77 · Answer

pas de C:\_OTL\Moved Files\l'heure_et_la_date.txt

gen-hackman · Answer

non je me suis trompé c'est :

C:\_OTL\Moved Files\la_date_et_l'heure.txt

zazz77 · Answer

je ne trouve rien

gen-hackman · Answer

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================

▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

Telecharge ici : Combofix

Avant d'utiliser ComboFix :

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

▶ Lance le

Une fenêtre apparait : clique sur "Disable"

▶ Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur combofix renommé

▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

zazz77 · Answer

Gros soucis après analyse Combo. IE et Mozilla refusaient de s'ouvrir car notés sur la liste de suppression, ou un message dans ce genre-là



ComboFix 10-09-28.03 - isa 29/09/2010  17:34:04.1.4 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium   6.0.6002.2.1252.33.1036.18.3326.1975 [GMT 2:00]
Lancé depuis: c:\users\isa\Downloads\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\isa\AppData\Roaming\jsdfgs.bat
c:\users\isa\AppData\Roaming\Microsoft\Windows\Recent\http--apetcardiomip.fr-estim-images-ProgStimucard-livret%20du%20porteur%20de%20stimulateur%20cardiaque.pdf.url
c:\users\isa\AppData\Roaming\Microsoft\Windows\Recent\Metaboli.url
c:\users\Public\Documents\Server\admin.txt
c:\users\Public\Documents\Server\server.dat
c:\users\Public\RemoveSGP.exe
c:\windows\TEMP\logishrd\LVPrcInj01.dll

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_Boonty Games


(((((((((((((((((((((((((((((   Fichiers créés du 2010-08-28 au 2010-09-29  ))))))))))))))))))))))))))))))))))))
.

2010-09-29 15:45 . 2010-09-29 15:45	--------	d-----w-	c:\users\Default\AppData\Local	emp
2010-09-29 15:45 . 2010-09-29 15:45	--------	d-----w-	c:\users\gweny\AppData\Local	emp
2010-09-29 15:45 . 2010-09-29 15:45	--------	d-----w-	c:\users\fany\AppData\Local	emp
2010-09-29 13:43 . 2010-09-29 13:43	122260	----a-w-	C:\UsbFix_Upload_Me_PC-DE-ISA.zip
2010-09-29 13:39 . 2010-09-29 13:43	--------	d-----w-	C:\UsbFix
2010-09-29 13:23 . 2010-09-29 13:23	--------	d-----w-	c:\users\claude\AppData\Roaming\Avira
2010-09-29 12:37 . 2010-09-29 12:37	--------	d-----w-	c:\users\isa\AppData\Roaming\Avira
2010-09-29 12:27 . 2010-08-17 11:39	60936	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-09-29 12:27 . 2010-08-17 11:39	126856	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-09-29 12:27 . 2010-09-29 12:27	--------	d-----w-	c:\programdata\Avira
2010-09-29 12:27 . 2010-09-29 12:27	--------	d-----w-	c:\program files\Avira
2010-09-29 05:32 . 2010-09-29 05:32	--------	d-----w-	c:\users\claude\AppData\Roaming\Malwarebytes
2010-09-28 18:55 . 2010-06-22 13:30	2048	----a-w-	c:\windows\system32	zres.dll
2010-09-28 17:46 . 2010-09-28 17:46	--------	d-----w-	c:\users\isa\AppData\Roaming\Malwarebytes
2010-09-28 17:46 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-28 17:46 . 2010-09-28 17:46	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-09-28 17:46 . 2010-09-28 17:46	--------	d-----w-	c:\programdata\Malwarebytes
2010-09-28 17:46 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-09-28 08:58 . 2010-09-29 12:06	--------	d-----w-	c:\programdata\Alwil Software
2010-09-28 08:58 . 2010-09-28 08:58	--------	d-----w-	c:\program files\Alwil Software
2010-09-28 08:27 . 2010-09-28 08:27	--------	d-----w-	c:\users\claude\AppData\Local\Mozilla
2010-09-27 22:32 . 2010-09-29 13:42	--------	d-----w-	c:\users\isa\AppData\Roaming\634B02331B3D15E83219A4947DE26617
2010-09-14 21:47 . 2010-04-16 16:46	502272	----a-w-	c:\windows\system32\usp10.dll
2010-09-14 21:47 . 2010-08-17 14:11	128000	----a-w-	c:\windows\system32\spoolsv.exe
2010-09-14 21:47 . 2010-04-05 17:02	317952	----a-w-	c:\windows\system32\MP4SDECD.DLL
2010-09-14 21:46 . 2010-05-27 20:08	739328	----a-w-	c:\windows\system32\inetcomm.dll
2010-09-05 18:13 . 2010-09-05 18:13	--------	d-----w-	c:\program files\Recfree1.com

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-29 15:07 . 2009-03-01 18:28	--------	d-----w-	c:\program files\Lx_cats
2010-09-29 15:05 . 2008-09-10 00:28	688656	----a-w-	c:\windows\system32\perfh00C.dat
2010-09-29 15:05 . 2008-09-10 00:28	131282	----a-w-	c:\windows\system32\perfc00C.dat
2010-09-29 11:32 . 2010-08-28 07:45	1356	----a-w-	c:\users\isa\AppData\Local\d3d9caps.dat
2010-09-29 09:06 . 2009-12-31 14:28	--------	d-----w-	c:\program files\Microsoft Silverlight
2010-09-28 23:48 . 2010-09-28 23:48	184320	----a-w-	c:\users\isa\AppData\Roaming\gzbbuia.exe
2010-09-28 23:48 . 2010-09-28 23:48	184320	----a-w-	c:\users\isa\AppData\Roaming\gzbbuia.exe
2010-09-28 19:00 . 2010-05-16 05:00	--------	d-----w-	c:\users\isa\AppData\Roaming\Ipxi
2010-09-28 18:54 . 2010-09-28 18:54	365968	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{3DB21826-2E95-47BD-A839-30F5A834A648}\mpasdlta.vdm
2010-09-28 17:05 . 2009-05-17 16:55	--------	d-----w-	c:\programdata\Norton
2010-09-28 17:05 . 2009-05-06 14:58	--------	d-----w-	c:\program files\Norton Security Scan
2010-09-28 16:59 . 2008-09-09 15:10	--------	d-----w-	c:\program files\Common Files\Symantec Shared
2010-09-28 16:59 . 2009-05-17 17:38	7436	----a-w-	c:\programdata\Norton\00000082\000000fb\000002bf\cltLMS1.dat
2010-09-28 16:58 . 2009-05-17 17:38	7436	----a-w-	c:\programdata\Norton\00000082\000000fb\000002bf\cltLMS2.dat
2010-09-28 09:28 . 2009-04-17 12:31	--------	d-----w-	c:\users\isa\AppData\Roaming\Zaxu
2010-09-27 17:07 . 2010-06-15 17:31	--------	d-----w-	c:\users\isa\AppData\Roaming\vlc
2010-09-27 17:05 . 2009-09-05 10:03	--------	d-----w-	c:\users\isa\AppData\Roaming\dvdcss
2010-09-24 15:56 . 2009-02-28 21:21	229264	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\Backup\mpasdlta.vdm
2010-09-19 11:41 . 2008-09-09 15:07	--------	d-----w-	c:\program files\Google
2010-09-17 07:50 . 2010-09-28 18:54	12300688	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{3DB21826-2E95-47BD-A839-30F5A834A648}\mpasbase.vdm
2010-09-17 07:50 . 2009-02-28 21:21	12300688	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\Backup\mpasbase.vdm
2010-09-15 01:18 . 2006-11-02 11:18	--------	d-----w-	c:\program files\Windows Mail
2010-09-15 01:03 . 2008-09-09 15:14	--------	d-----w-	c:\programdata\Microsoft Help
2010-09-05 18:05 . 2009-09-05 18:19	--------	d-----w-	c:\program files\Shareaza
2010-08-30 12:34 . 2010-09-27 11:02	1496064	----a-w-	c:\users\isa\AppData\Roaming\Mozilla\Firefox\Profiles\a3hlgbo7.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
2010-08-30 12:33 . 2010-09-27 11:02	43008	----a-w-	c:\users\isa\AppData\Roaming\Mozilla\Firefox\Profiles\a3hlgbo7.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
2010-08-30 12:33 . 2010-09-27 11:02	338944	----a-w-	c:\users\isa\AppData\Roaming\Mozilla\Firefox\Profiles\a3hlgbo7.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
2010-08-30 12:33 . 2010-09-27 11:02	346112	----a-w-	c:\users\isa\AppData\Roaming\Mozilla\Firefox\Profiles\a3hlgbo7.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll
2010-08-28 07:41 . 2009-12-16 17:42	--------	d-----w-	c:\program files\EA GAMES
2010-08-26 13:15 . 2010-08-26 13:15	--------	d-----w-	c:\users\isa\AppData\Roaming\Samsung
2010-08-26 13:00 . 2010-08-26 13:00	--------	d-----w-	c:\program files\Samsung
2010-08-26 13:00 . 2008-09-09 14:58	--------	d--h--w-	c:\program files\InstallShield Installation Information
2010-08-26 12:12 . 2010-08-26 12:12	--------	d-----w-	c:\programdata\Driver Whiz
2010-08-21 15:02 . 2009-05-21 19:44	--------	d-----w-	c:\program files\bfgclient
2010-08-16 12:55 . 2010-08-16 12:53	--------	d-----w-	c:\program files\Loch Ness
2010-08-12 01:05 . 2008-09-09 15:04	--------	d-----w-	c:\program files\Microsoft Works
2010-08-04 09:07 . 2010-03-06 09:34	--------	d-----w-	c:\users\isa\AppData\Roaming\LG Electronics
2010-08-03 20:37 . 2010-03-06 09:34	--------	d-----w-	c:\program files\LG Electronics
2010-08-03 20:28 . 2010-08-03 20:27	--------	d-----w-	c:\programdata\LGMOBILEAX
2010-07-27 07:05 . 2010-08-03 20:28	1062840	----a-w-	c:\programdata\LGMOBILEAX\B2C_Client\LGUserCSTool.exe
2010-07-27 07:00 . 2010-08-03 20:28	102400	----a-w-	c:\programdata\LGMOBILEAX\B2C_Client\LGMobileDL.dll
2010-07-20 23:43 . 2010-08-03 20:28	520192	----a-w-	c:\programdata\LGMOBILEAX\B2C_Client\LGMUpgradeDL.dll
2010-08-12 08:22 . 2010-08-12 08:22	119808	----a-w-	c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
2008-09-10 00:44 . 2008-09-10 00:31	8192	--sha-w-	c:\windows\Users\Default\NTUSER.DAT
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{5aa14397-d310-447d-8548-2dd90218a07d}"= "c:\program files\CoolChaser Toolbar\Helper.dll" [2010-05-14 243200]

[HKEY_CLASSES_ROOT\clsid\{5aa14397-d310-447d-8548-2dd90218a07d}]
[HKEY_CLASSES_ROOT\FreeCauseURLSearchHook.FCToolbarURLSearchHook.1]
[HKEY_CLASSES_ROOT\TypeLib\{A62CAB86-DE12-4BEC-B7D7-F4F9B8EDB509}]
[HKEY_CLASSES_ROOT\FreeCauseURLSearchHook.FCToolbarURLSearchHook]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FC78E410-0EFA-4BEC-B283-D1DB1922F420}]
2010-05-14 16:27	1558528	----a-w-	c:\program files\CoolChaser Toolbar\Toolbar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{B0208007-27C1-4BCD-93EF-EFF5DB61FC22}"= "c:\program files\CoolChaser Toolbar\Toolbar.dll" [2010-05-14 1558528]

[HKEY_CLASSES_ROOT\clsid\{b0208007-27c1-4bcd-93ef-eff5db61fc22}]
[HKEY_CLASSES_ROOT\FCTB000060531.IEToolbar.3]
[HKEY_CLASSES_ROOT\TypeLib\{80E55E64-0B78-4AA3-B48A-6CBF0536832A}]
[HKEY_CLASSES_ROOT\FCTB000060531.IEToolbar]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{B0208007-27C1-4BCD-93EF-EFF5DB61FC22}"= "c:\program files\CoolChaser Toolbar\Toolbar.dll" [2010-05-14 1558528]

[HKEY_CLASSES_ROOT\clsid\{b0208007-27c1-4bcd-93ef-eff5db61fc22}]
[HKEY_CLASSES_ROOT\FCTB000060531.IEToolbar.3]
[HKEY_CLASSES_ROOT\TypeLib\{80E55E64-0B78-4AA3-B48A-6CBF0536832A}]
[HKEY_CLASSES_ROOT\FCTB000060531.IEToolbar]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\windows sidebar\sidebar.exe" [2009-04-11 1233920]
"ccleaner"="c:\program files\CCleaner\CCleaner.exe" [2009-02-19 1471728]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-02-28 39408]
"AdobeUpdater"="c:\program files\Common Files\Adobe\Updater5\AdobeUpdater.exe" [2009-03-03 2356088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"RtHDVCpl"="RtHDVCpl.exe" [2008-06-13 6183456]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-04-03 13535776]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-04-03 92704]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2010-08-12 30192]
"LXCECATS"="c:\windows\system32\spool\DRIVERS\W32X86\3\LXCEtime.dll" [2007-02-22 73728]
"lxcemon.exe"="c:\program files\Lexmark 4300 Series\lxcemon.exe" [2007-05-17 205744]
"EzPrint"="c:\program files\Lexmark 4300 Series\ezprint.exe" [2007-05-17 103344]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"LogitechQuickCamRibbon"="c:\program files\Logitech\QuickCam\Quickcam.exe" [2008-12-20 2656528]
"Skytel"="Skytel.exe" [2007-11-20 1826816]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-11-12 141600]
"B2C_AGENT"="c:\programdata\LGMOBILEAX\B2C_Client\B2CNotiAgent.exe" [2010-05-20 317368]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]

c:\users\isa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Logitech . Enregistrement du produit.lnk - c:\program files\Logitech\QuickCam\eReg.exe [2008-11-7 517384]
OneNote 2007 - Capture d''cran et lancement.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
McAfee Security Scan Plus.lnk - c:\program files\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536]
WiFi Station pour Livebox.lnk - c:\program files\Hercules\WiFi Station pour Livebox\WiFiLB.exe [2009-6-15 102400]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
"HideFastUserSwitching"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-02-06 135664]
R3 GoogleDesktopManager-051210-111108;Google Desktop Manager 5.9.1005.12335;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2010-08-12 30192]
R3 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files\McAfee Security Scan\2.0.181\McCHSvc.exe [2010-01-15 227232]
R3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\system32\Drivers\PCAMp50.sys [2006-11-28 28224]
R3 WPFFontCache_v0400;Cache de police de Windows Presentation Foundation 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-08-17 135336]
S2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe [2008-01-21 21504]
S3 AVerBDA3x;AVerMedia SAA713x BDA Service;c:\windows\system32\DRIVERS\AVerBDA3x.sys [2008-04-18 1225856]
S3 netr73;Hercules Wireless USB Dongle Driver for Vista;c:\windows\system32\DRIVERS
etr73.sys [2007-01-31 256000]
S3 X10Hid;X10 Hid Device;c:\windows\system32\Drivers\x10hid.sys [2006-11-17 13976]


--- Autres Services/Pilotes en mémoire ---

*Deregistered* - swireibv

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
ezSharedSvc
.
Contenu du dossier 'Tâches planifiées'

2010-09-29 c:\windows\Tasks\Extension de garantie-isa.job
- c:\program files\Packard Bell\SetupmyPC\PBCarNot.exe [2008-09-09 10:13]

2010-09-29 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-06 18:18]

2010-09-29 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-06 18:18]

2010-09-29 c:\windows\Tasks\User_Feed_Synchronization-{962918AC-9F8B-4D42-B6D2-2A472E89B354}.job
- c:\windows\system32\msfeedssync.exe [2010-08-11 04:24]
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Download with &Shareaza - c:\program files\Shareaza\RazaWebHook32.dll/3000
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
LSP: c:\windows\system32\wpclsp.dll
Trusted Zone: mappy.com
Trusted Zone: metaboli.fr\packardbell
Trusted Zone: voila.frw.search.ke
Trusted Zone: weborama.fr\orange
DPF: {094210B7-3A70-4FBF-9F60-10C0159EB38A} - hxxp://cinemaseries.orange.fr/resources/OCS_9418.cab
DPF: {5A779DC0-837B-4590-AC42-C7C0847478C5} - hxxp://logicielsgratuits.orange.fr/download_service/Install/OrangeInstaller.cab
FF - ProfilePath - c:\users\isa\AppData\Roaming\Mozilla\Firefox\Profiles\a3hlgbo7.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://ws.infospace.com/coolchaser_game/ws/redir?_iceUrl=true&user_id=35211387&tool_id=60531&qkw=
FF - component: c:\users\isa\AppData\Roaming\Mozilla\Firefox\Profiles\a3hlgbo7.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - component: c:\users\isa\AppData\Roaming\Mozilla\Firefox\Profiles\a3hlgbo7.default\extensions\{7b13ec3e-999a-4b70-b9cb-2617b8323822}\components\FFExternalAlert.dll
FF - component: c:\users\isa\AppData\Roaming\Mozilla\Firefox\Profiles\a3hlgbo7.default\extensions\{7b13ec3e-999a-4b70-b9cb-2617b8323822}\components\RadioWMPCore.dll
FF - component: c:\users\isa\AppData\Roaming\Mozilla\Firefox\Profiles\a3hlgbo7.default\extensions\{afe43e80-0abc-4df2-81a0-3fe44b74abe8}\components\Engine.dll
FF - plugin: c:\program files\Google\Google Earth\plugin
pgeplugin.dll
FF - plugin: c:\program files\Google\Picasa3
pPicasa3.dll
FF - plugin: c:\program files\Google\Update\1.2.183.29
pGoogleOneClick8.dll
FF - plugin: c:\program files\Microsoft\Office Live
pOLW.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - plugin: c:\programdata\Zylom\ZylomGamesPlayer
pzylomgamesplayer.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - ORPHELINS SUPPRIMES - - - -

URLSearchHooks-{e10106e5-bd2e-445c-8e28-e7a12fdf05b5} - (no file)
Toolbar-{e10106e5-bd2e-445c-8e28-e7a12fdf05b5} - (no file)
WebBrowser-{E10106E5-BD2E-445C-8E28-E7A12FDF05B5} - (no file)
AddRemove-Picasa2 - c:\program files\Picasa2\Uninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-09-29 17:48
Windows 6.0.6002 Service Pack 2 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  LXCECATS = rundll32 c:\windows\system32\spool\DRIVERS\W32X86\3\LXCEtime.dll,_RunDLLEntry@16??????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????? 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\swireibv]

.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'Explorer.exe'(8908)
c:\windows\TEMP\logishrd\LVPrcInj01.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32
vvsvc.exe
c:\windows\system32undll32.exe
c:\program files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Packard bell\SAXO27\HIDSERVICE.EXE
c:\program files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
c:\windows\system32\lxcecoms.exe
c:\program files\Nero\Nero8\Nero BackItUp\NBService.exe
c:\program files\Common Files\Nero\Nero BackItUp 4\NBService.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\IoctlSvc.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\progra~1\COMMON~1\X10\Common\x10nets.exe
c:\windows\system32\WUDFHost.exe
c:\windows\system32\conime.exe
c:\?\c:\windows\system32\wbem\WMIADAP.EXE
.
*********************************************************

*****************
.
Heure de fin: 2010-09-29  17:53:38 - La machine a redémarré
ComboFix-quarantined-files.txt  2010-09-29 15:53

Avant-CF: 417 371 303 936 octets libres
Après-CF: 418 100 400 128 octets libres

Current=3 Default=3 Failed=1 LastKnownGood=5 Sets=1,2,3,4,5
- - End Of File - - 85E2EDA0DA4AC2DAE91B2F9361BFD04A

gen-hackman · Answer

quels soucis reste-t-il ?

zazz77 · Answer

eh bien pour l'instant je n'en vois plus ...
Je te remercie pour tout.
Et tant que je te tiens, que me conseillerais-tu comme protection pour le pc ?

gen-hackman · Answer

&#9654 Télécharge ici : Ad-remover sur ton bureau : 


&#9654 Déconnecte toi et ferme toutes applications en cours ! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

&#9654 sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut . 

&#9654 clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
 
&#9654 Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

&#9654 Laisse travailler l'outil et ne touche à rien ... 

&#9654 Poste le rapport qui apparait à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

&#9654 Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

zazz77 · Answer

Désolée pour le temps de réponse mais je croyais que c'était fini


======= RAPPORT D'AD-REMOVER 2.0.0.1,F | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 16/09/10 à 13:30
Contact: AdRemover.contact[AT]gmail.com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 21:53:45 le 29/09/2010, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium  Service Pack 2 (X86) 
isa@PC-DE-ISA (Packard Bell BV PACKARD BELL IMAX X9300) 
 
============== ACTION(S) ==============



(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Users\isa\AppData\Roaming\Mozilla\FireFox\Profiles\a3hlgbo7.default\Prefs.js --
Ligne supprimée: user_pref("CT2438727.SearchEngine", "Search||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_TER... 
-- Fichier Fermé --
 

0,Erreur suppression clé: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Scheduled Update for Ask Toolbar (Error code: 1)


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.8 (fr)] **

-- C:\Users\isa\AppData\Roaming\Mozilla\FireFox\Profiles\a3hlgbo7.default\Prefs.js --
browser.download.lastDir, C:\Users\isa\Downloads
browser.search.defaultenginename, Google
browser.startup.homepage, hxxp://www.google.fr/
browser.startup.homepage_override.mstone, rv:1.9.2.8

-- C:\Users\claude\AppData\Roaming\Mozilla\FireFox\Profiles\yz1hvpae.default\Prefs.js --
browser.startup.homepage_override.mstone, rv:1.9.2.8

-- C:\Users\gweny\AppData\Roaming\Mozilla\FireFox\Profiles\safd8m6p.default\Prefs.js --
browser.startup.homepage_override.mstone, rv:1.9.2.8

========================================

** Internet Explorer Version [8.0.6001.18943] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Custom Search URL: 1
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Enable Browser Extensions: yes
Local Page: C:\Windows\System32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 29/09/2010 (2968 Octet(s)) 

Fin à: 21:56:42, 29/09/2010 
 
============== E.O.F ==============

gen-hackman · Answer

une petite mise a jour de malwarebytes et un scan complet ? 

+ depot du rapport ?
¤¤¤¤¤¤?G3?-?@¢??@?(TM)©®?¤¤¤¤¤&#164

zazz77 · Answer

scan en route. Je te le poste ce soir.

Bonne journée

gen-hackman · Answer

ok :)

zazz77 · Answer

Bonsoir gen-hackman,

Voici le rapport

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4720

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18943

30/09/2010 20:55:29
mbam-log-2010-09-30 (20-55-29).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 352349
Temps écoulé: 1 heure(s), 3 minute(s), 39 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Windows\System32\drivers\swireibv.sys (Rootkit.Agent) -> No action taken.


Par contre, je viens de me rendre compte que l'accès m'est refusé aux documents and settings ainsi qu'à Users\All Users\Application Data.

zazz77 · Answer

En fait j'ai plein de dossiers avec icône raccourci qui sont apparus et je ne peux en ouvrir aucun: mes images, ma musique mes vidéos, etc ... Il y en a au moins une trentaine.

gen-hackman · Answer

non ce sont les raccourcis systeme qui sont normalement cachés

refais un scan OTL stp

Infectée par bamital - Page 2

Discussions similaires

Newsletters