Gros soucis, Plantages, Virus, Périphériques.

Arno -  
 Lisou097 -
Bonjour,

Voilà mon pc allait ''très bien'' jusqu'à ce qu'il y a quelques jours cette belle m**** de antimalware doctor a décidé de s'implanter sur mon pc. Horreur, impossible d'ouvrir firefox, le firewall qui se désactive tout seul, et le gestionnaire des tâches qui se ferme dès que je l'ouvrait.

Ce n'était pas le premier virus que je rencontrais, donc j'ai directement fait un scan avec mon AVG free et avec malwarebytes. Malwarebytes détecte pas mal de cochonneries qu'il met en quarantaine et que je supprime, je sauve le log et je redémarre, mais il tient toujours bon.

Alors en recherchant un peu sur internet et en essayant quelques trucs par ci par là, j'ai réussi à le désactiver (je pense? du moins je l'espérais). Ce que j'ai fait: recherche dans C: avec les mots-clés ''antimalware doctor'' et ''70700''(le processus d'antimalware comprenant cette série de chiffre) , et supprimé tous les fichiers portant ces noms là. Puis désactivé l'apparition au démarrage de antimalware doctor sur msconfig, puis recherché les mots-clés ''antimalware doctor'' et ''70700'' à nouveau dans le registre des clés (executer: regedit), et aussi tout supprimé ce qui se trouvait sur mon passage. Il n'apparaissait plus au démarrage, mais il était toujours là et dès que j'allais dans ''ajouter/supprimer des programmes'' et que je cliquais sur supprimer antimalware doctor, rien ne se passait et il réapparaissait.

J'ai donc recherché le programme créait en boucle ce virus, le souci est que je ne sais plus exactement ou je l'ai supprimé, surement quelque part dans c:windows ou dans les fichiers temporaires,... Mais je me rappelle que c'était un nom compliqué =)

Donc après tout ça, il me semblait bien loin, et en effet mon pc a fonctionné correctement durant quelques jours si ce n'est quelques petits problèmes étranges que je citerai plus bas. Mais voilà, aujourd'hui j'allume mon pc et surprise, avg me balance ''multiple threat detected''. J'avais pourtant bien crû qu'après avg, malwarebytes, ccleaner, et du nettoyage de mon côté ce serait bon, et bien non.

Depuis que j'ai commencé écrire ce message, environ 3 threat ont été détecté par avg. Je les ai mis dans le vault. Il s'agissait pour la plupart de fichiers temporaires ''setup.exe'' créés, ou de trojangeneric (un nom dans le genre).

Donc, je ne sais plus trop quoi faire, et je n'aimerais vraiment pas du tout avoir à formater mon ordinateur.

Alors je vais vous donner les scanlogs de Hijackthis, Malwarebytes et zhpdiag, afin de voir si vous pourriez m'apporter votre aide que j'implore.

Ce qu'il y a d'étrange sur mon pc, outre les threat détectés par avg, depuis que j'ai eu antimalware et que j'ai tenté de le supprimer:

-parfois aucun périférique son n'est reconnu
-Je lance firefox, il apparait dans les processus, mais il ne s'ouvre pas
-il me semble plus lent

Problèmes que j'ai toujours eu sur mon pc, si au passage quelqu'un avait une idée:

-Dès que je suis sur internet (même parfois pas, mais c'est plus rare), et le plus souvent celà arrive quand je fais des téléchargements simultanés ou que plusieurs fenêtres sont ouvertes, il plante, càd que l'écran se bloque, le son se bloque sur une boucle, et je dois le rallumer en appuyant 5sec sur le bouton off.

Je pense que ce dernier problème est dû à un souci de carte réseau, mais ce n'est qu'une hypothèse.

Merci à ceux qui auront pris la peine de lire ce pavé, et merci d'avance à ceux qui tenteront de m'aider.

Amicalement,

Arnaud

liens pour les logs:

(je les posterai au fur et a mesure, ils se font)

15 réponses

  1. Utilisateur anonyme
     
    Bonsoir

    Vouloir se débrouiller tout seul ,c'est bien ;mais si le PC est "malade" après c'est pas terrible.

    Pour de plus amples informations, fait ceci stp

    Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :

    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Ou

    https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

    Serveur N°2

    Ou

    http://www.premiumorange.com/zeb-help-process/zhpdiag.html
    en bas de la page ZHP avec un numéro de version.

    Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

    Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit « exécuter en tant que administrateur »

    Clique sur la loupe pour lancer l'analyse.

    Laisse l'outil travailler, il peut être assez long.

    Ferme ZHPDiag en fin d'analyse.

    Pour transmettre le rapport clique sur ce lien :

    http://www.cijoint.fr/index.php
    Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

    Sélectionne le fichier ZHPDiag.txt.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse.

    Merci

    A+
    0
  2. bubull97 Messages postés 134 Date d'inscription   Statut Membre Dernière intervention   10
     
    Bonsoir,

    Je n'ai pas tout lu, parce que c'est long, mais je vais quand meme tenter de t'aider.

    Tente un retour à une configuration antérieur, ca marche souvent... Il faut retourner à une date avant que tu ne chope ce maudit logiciel =)

    0
    1. Utilisateur anonyme
       
      Bonsoir bubull97

      Effectivement cela peut fonctionner ;mais si une nouvelle restauration est demandée par l'utilisateur sans avoir nettoyer cette restauration c'est la ré infection.

      @+
      0
    2. Lisou097
       
      Bonjour Bubull97, comment tu fais pour retourner à une config antérieure ? :$
      0
  3. Arno
     
    Rebonsoir,

    un autre petit truc bizarre: Quand je veux fermer mon pc maintenant, à chaque fois je dois cliquer sur ''terminer le programme, explorer.exe''

    Et les virus qui m'attaquent maintenant se nomment: Trojan Horse Generic19.AHPV

    @bubull97: Je ne sais pas comment faire, et j'ai fait quand même quelques boulots dessus depuis que je n'aimerais pas perdre, mais merci

    @Guillaume5188
    Merci de la réponse si rapide .Je n'arrive pas à héberger les rapports sur le site cijoint, il y a a chaque fois ''connexion réinitialisée'' et sur zippyshare ils me marquent: ''IO error''.

    Je n'arrive pas à les écrire ici, quand je les rentre et que je mets ''valider'', ils me disent ''syntax error''

    Que dois-je faire?
    0
  4. Utilisateur anonyme
     
    Re

    @ Arno

    Ok ;passons à ceci:

    Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    Ou ici : https://forospyware.com
    >Renomme le pour l'enregistrer sur ton bureau en asdehi (tout simplement pour que l'infection ne le contre pas)
    -> Double clique combofix.exe.(ou clic droit sous vista « exécuter en tant que... » )
    -> Tape sur la touche 1 (Yes) pour démarrer le scan.
    -> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt

    Avant d'utiliser ComboFix :

    -> Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.

    -> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    Une fois fait, sur ton bureau double-clic sur Combofix.exe ; (ou clic droit sous vista « exécuter en tant que... »)

    - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    - Installe le console de récupération comme demandé ;utile en cas de plantage

    - Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordinateur

    - En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

    - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

    -> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    -> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    /!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordinateur (plantage complet)

    ::Si combofix détecte quelque chose et de demande a redémarrer tu acceptes

    @+
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. arno
     
    Hello,

    Comment je fais pour désactiver la protection en temps réel de ton Antivirus et de tes Antispywares? (j'ai avg free, je ne vois pas ou je peux le désactiver)

    merci d'avance.
    0
  7. Utilisateur anonyme
     
    Re

    Avoir un antivirus c'est bien ;ne pas savoir le configurer ,c'est pas terrible.

    Pour désactiver AVG :
    Tu doubles clic sur l'icône AVG dans la barre des tâches.
    Dans cette fenêtre tu fais un clic droit sur l'intitulé "resident shield"

    En bas de cette fenêtre tu décoches "resident shield active "
    et tu valides par " Save changes"

    et tu quittes.

    @+
    0
  8. arno
     
    Hello,

    Voilà le rapport ComboFix =)

    Merci d'avance d'y jeter un coup d'oeil.

    Arnaud

    ComboFix 10-09-30.05 - Administrateur 01.10.2010 22:10:37.1.2 - x86
    Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2046.1423 [GMT 2:00]
    Lancé depuis: c:\documents and settings\Administrateur\Mes documents\Téléchargements\ComboFix.exe
    AV: AVG Anti-Virus Free *On-access scanning enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\documents and settings\Administrateur\Application Data\jsdfgs.bat
    c:\windows\system32\drivers\bfuvzkhf.sys
    c:\windows\system32\krambst.dll

    Une copie infectée de c:\windows\system32\drivers\pci.sys a été trouvée et désinfectée
    Copie restaurée à partir de - Kitty had a snack :p
    Une copie infectée de c:\windows\system32\winlogon.exe a été trouvée et désinfectée
    Copie restaurée à partir de - c:\windows\ServicePackFiles\i386\winlogon.exe

    Une copie infectée de c:\windows\explorer.exe a été trouvée et désinfectée
    Copie restaurée à partir de - c:\windows\ServicePackFiles\i386\explorer.exe

    c:\windows\system32\drivers\cdrom.sys était absent
    Copie restaurée à partir de - c:\windows\ServicePackFiles\i386\cdrom.sys

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_SSHNAS

    ((((((((((((((((((((((((((((( Fichiers créés du 2010-09-01 au 2010-10-01 ))))))))))))))))))))))))))))))))))))
    .

    2010-10-01 20:17 . 2008-04-13 18:40 62976 ----a-w- c:\windows\system32\drivers\cdrom.sys
    2010-10-01 18:26 . 2010-10-01 18:26 388096 ----a-r- c:\documents and settings\Administrateur\Application Data\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
    2010-10-01 18:26 . 2010-10-01 18:26 -------- d-----w- c:\program files\Trend Micro
    2010-09-29 13:14 . 2010-09-29 13:14 -------- d-s---w- c:\documents and settings\NetworkService\UserData
    2010-09-28 18:37 . 2010-09-28 18:37 729600 ----a-w- c:\windows\system32\dlo36.dll
    2010-09-28 18:27 . 2010-09-28 18:27 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes
    2010-09-28 18:27 . 2010-09-28 18:27 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
    2010-09-28 18:27 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-09-28 18:27 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-09-28 18:26 . 2010-09-28 18:27 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-09-23 10:38 . 2010-09-23 10:38 47876 ----a-w- c:\documents and settings\All Users\Application Data\Blizzard Entertainment\Battle.net\Cache\Download\Scan.dll
    2010-09-21 17:00 . 2010-09-21 17:00 -------- d-----w- c:\program files\Fichiers communs\Corel
    2010-09-21 17:00 . 2010-09-21 17:00 -------- d-----w- c:\program files\Fichiers communs\Protexis
    2010-09-21 17:00 . 2010-09-21 17:00 -------- d-----w- c:\documents and settings\All Users\Application Data\Corel
    2010-09-08 19:38 . 2010-09-08 19:39 -------- d-----w- c:\program files\ZopeExternalEditor
    2010-09-06 11:26 . 2010-10-01 18:07 -------- d-----w- C:\render
    2010-09-06 10:21 . 2010-09-06 10:21 -------- d-----w- c:\program files\Blender Foundation
    2010-09-06 10:19 . 2010-09-06 10:19 -------- d-----w- C:\Python26
    2010-09-06 10:14 . 2010-09-06 10:14 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Blender Foundation
    2010-09-02 15:07 . 2008-01-09 08:04 245760 ----a-r- c:\windows\system32\rts5161ccid.dll
    2010-09-02 15:07 . 2008-01-09 07:52 40960 ----a-r- c:\windows\system32\drivers\Rts5161ccid.sys

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-10-01 19:14 . 2010-07-30 14:42 -------- d-----w- c:\program files\ZHPDiag
    2010-09-30 07:41 . 2010-01-21 18:51 -------- d-----w- c:\program files\Mozilla Thunderbird
    2010-09-29 11:22 . 2010-07-28 16:40 -------- d-----w- c:\program files\StarCraft II
    2010-09-29 10:04 . 2010-01-23 15:51 93936 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
    2010-09-28 20:55 . 2010-09-01 11:55 674536 ----a-w- c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat
    2010-09-28 20:40 . 2010-09-01 10:55 3766 --sha-w- c:\documents and settings\All Users\Application Data\Protexis\KGyGaAvL.sys
    2010-09-28 20:24 . 2010-09-01 10:57 168 --sh--r- c:\documents and settings\All Users\Application Data\Protexis\7F37D5DD98.sys
    2010-09-28 18:37 . 2010-09-28 18:37 0 ----a-w- c:\windows\system32\dlo36.tmp
    2010-09-21 18:42 . 2010-01-25 20:05 -------- d-----w- c:\program files\TeamSpeak 3 Client
    2010-09-21 18:18 . 2010-01-24 14:54 -------- d-----w- c:\program files\World of Warcraft
    2010-09-21 17:02 . 2010-09-01 10:35 348256 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\VSTAHost\CorelPHOTOPAINT\9.0\1033\ResourceCache.dll
    2010-09-21 17:02 . 2010-09-01 10:28 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
    2010-09-21 17:01 . 2010-09-01 10:34 348256 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\VSTAHost\CorelDRAW\9.0\1033\ResourceCache.dll
    2010-09-21 12:15 . 2010-01-24 12:14 -------- d-----w- c:\documents and settings\All Users\Application Data\CanonIJPLM
    2010-09-16 09:51 . 2010-01-22 02:20 95480 ----a-w- c:\windows\system32\perfc00C.dat
    2010-09-16 09:51 . 2010-01-22 02:20 532044 ----a-w- c:\windows\system32\perfh00C.dat
    2010-09-11 14:52 . 2010-01-23 07:17 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Apple Computer
    2010-09-11 14:52 . 2010-01-24 07:01 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple
    2010-09-01 18:04 . 2010-09-01 18:03 -------- d-----w- c:\documents and settings\All Users\Application Data\Documed
    2010-09-01 18:03 . 2010-09-01 18:03 -------- d-----w- c:\program files\Documed
    2010-09-01 10:57 . 2010-09-01 10:55 -------- d-----w- c:\documents and settings\All Users\Application Data\Protexis
    2010-09-01 10:55 . 2010-09-01 10:55 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Corel
    2010-09-01 10:31 . 2010-09-01 10:31 416 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\MSDN\9.0\1033\ResourceCache.dll
    2010-09-01 10:29 . 2010-09-01 10:28 -------- d-----w- c:\program files\Microsoft Visual Studio 9.0
    2010-09-01 10:28 . 2010-09-01 10:28 -------- d-----w- c:\program files\Microsoft SDKs
    2010-09-01 10:16 . 2010-09-01 10:16 -------- d-----w- c:\program files\Corel
    2010-08-30 19:55 . 2010-08-30 19:55 -------- d-----w- c:\program files\AVS4YOU
    2010-08-30 19:55 . 2010-07-27 17:48 -------- d-----w- c:\program files\Fichiers communs\AVSMedia
    2010-08-24 16:47 . 2010-08-24 16:47 2148864 ----a-w- c:\windows\system32\python26.dll
    2010-08-22 18:44 . 2010-08-22 18:44 -------- d-----w- c:\program files\VirtualDJ
    2010-08-17 13:17 . 2010-01-22 02:20 58880 ----a-w- c:\windows\system32\spoolsv.exe
    2010-07-31 11:02 . 2010-07-31 11:02 73000 ----a-w- c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 9.2.1.5\SetupAdmin.exe
    2010-07-25 14:31 . 2010-01-21 18:49 243024 ----a-w- c:\windows\system32\drivers\avgtdix.sys
    2010-07-25 14:31 . 2010-07-25 14:31 12536 ----a-w- c:\windows\system32\avgrsstx.dll
    2010-07-25 14:30 . 2010-01-21 18:49 216400 ----a-w- c:\windows\system32\drivers\avgldx86.sys
    2010-07-22 15:48 . 2010-01-22 02:20 590848 ----a-w- c:\windows\system32\rpcrt4.dll
    2010-07-22 06:19 . 2008-05-05 06:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A4B2D5F4-A7BA-4464-8E96-8380C9A980A6}]
    2010-09-28 18:37 729600 ----a-w- c:\windows\system32\dlo36.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\Enhanced Storage]
    @="{A4B2D5F4-A7BA-4464-8E96-8380C9A980A6}"
    [HKEY_CLASSES_ROOT\CLSID\{A4B2D5F4-A7BA-4464-8E96-8380C9A980A6}]
    2010-09-28 18:37 729600 ----a-w- c:\windows\system32\dlo36.dll

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Phase28Panel"="c:\program files\MUSONIK\TS22 PCI ControlPanel\Protecmixer.exe" [2008-01-15 262144]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe" [2005-01-07 61952]
    "RTHDCPL"="RTHDCPL.EXE" [2006-06-28 16248320]
    "SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-04-26 8445952]
    "nwiz"="nwiz.exe" [2007-04-26 1626112]
    "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-04-26 81920]
    "AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-07-25 2065760]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
    "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
    "Diamondback"="c:\program files\Razer\Diamondback 3G\razerhid.exe" [2007-08-01 147456]
    "NeroCheck"="c:\windows\system32\\NeroCheck.exe" [2001-07-09 155648]
    "CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2007-05-14 644696]
    "CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2007-04-03 1603152]
    "SSBkgdUpdate"="c:\program files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
    "OpwareSE4"="c:\program files\ScanSoft\OmniPageSE4\OpwareSE4.exe" [2007-02-04 79400]
    "AdobeCS4ServiceManager"="c:\program files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
    "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-18 421888]
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-07-21 141608]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

    c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
    InterVideo WinCinema Manager.lnk - c:\program files\InterVideo\Common\Bin\WinCinemaMgr.exe [2010-1-23 98304]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
    2010-07-25 14:31 12536 ----a-w- c:\windows\system32\avgrsstx.dll

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\AVG\\AVG9\\avgemc.exe"=
    "c:\\Program Files\\AVG\\AVG9\\avgupd.exe"=
    "c:\\Program Files\\AVG\\AVG9\\avgnsx.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\World of Warcraft\\WoW-3.2.0-frFR-downloader.exe"=
    "c:\\Program Files\\World of Warcraft\\Launcher.exe"=
    "c:\\Program Files\\World of Warcraft\\WoW-3.2.0.10192-to-3.3.0.10958-frFR-downloader.exe"=
    "c:\\Program Files\\World of Warcraft\\WoW-3.3.0.10958-to-3.3.0.11159-frFR-downloader.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Fichiers communs\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
    "c:\\Program Files\\StarCraft II\\StarCraft II.exe"=
    "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "c:\\Program Files\\iTunes\\iTunes.exe"=
    "c:\\Program Files\\StarCraft II\\Versions\\Base15405\\SC2.exe"=
    "c:\\Program Files\\StarCraft II\\Versions\\Base16605\\SC2.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "3724:TCP"= 3724:TCP:Blizzard Downloader: 3724
    "5353:TCP"= 5353:TCP:Adobe CSI CS4

    R?2 lfjtgtfq;AGP Bus y2f62 Helper;c:\windows\System32\svchost.exe -k netsvcs [22.01.2010 04:20 14336]
    R0 cwhqkkog;cwhqkkog;c:\windows\system32\drivers\cwhqkkog.sys [22.01.2010 04:20 23424]
    R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [21.01.2010 20:49 216400]
    R1 AvgTdiX;AVG Free Network Redirector;c:\windows\system32\drivers\avgtdix.sys [21.01.2010 20:49 243024]
    R2 avg9emc;AVG Free E-mail Scanner;c:\program files\AVG\AVG9\avgemc.exe [25.07.2010 16:30 921952]
    R2 avg9wd;AVG Free WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [25.07.2010 16:30 308136]
    R3 AR5513;TRENDware Wireless Network Adapter Service;c:\windows\system32\drivers\ar5513.sys [21.01.2010 21:03 358464]
    R3 Protec;PHASE2X WDM Audio;c:\windows\system32\drivers\Protec.sys [21.01.2010 21:16 69472]
    R3 Razerlow;Diamondback 3G USB Filter Driver;c:\windows\system32\drivers\DB3G.sys [21.01.2010 22:34 13225]
    S3 BEHRINGER_PT_MIDI;Behringer MIDI driver service (pt);c:\windows\system32\drivers\bhrngr_m.sys [26.07.2010 20:05 29184]

    --- Autres Services/Pilotes en mémoire ---

    *NewlyCreated* - CWHQKKOG

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    lfjtgtfq
    .
    Contenu du dossier 'Tâches planifiées'

    2010-09-04 c:\windows\Tasks\AppleSoftwareUpdate.job
    - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
    .
    .
    ------- Examen supplémentaire -------
    .
    uInternet Settings,ProxyOverride = *.local
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\s3zyre43.default\
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.ch
    FF - plugin: c:\documents and settings\Administrateur\Application Data\Facebook\npfbplugin_1_0_1.dll
    FF - plugin: c:\documents and settings\Administrateur\Application Data\Facebook\npfbplugin_1_0_3.dll
    FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

    ---- PARAMETRES FIREFOX ----
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    MSConfigStartUp-fixcore70700bin - c:\documents and settings\Administrateur\Application Data\37679C50424EDCF60AAE8DFBBAD2C5AE\fixcore70700bin.exe

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-10-01 22:21
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€-€|ÿÿÿÿÀ*€|ù*9~*]
    "C040111900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'winlogon.exe'(824)
    c:\program files\Fichiers communs\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll

    - - - - - - - > 'explorer.exe'(592)
    c:\program files\ScanSoft\OmniPageSE4\OpHookSE4.dll
    c:\windows\system32\dlo36.dll
    c:\windows\system32\eappprxy.dll
    c:\windows\system32\libssl32.dll
    c:\windows\system32\LIBEAY32.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\program files\AVG\AVG9\avgchsvx.exe
    c:\program files\AVG\AVG9\avgrsx.exe
    c:\windows\System32\SCardSvr.exe
    c:\program files\AVG\AVG9\avgcsrvx.exe
    c:\windows\RTHDCPL.EXE
    c:\windows\system32\RUNDLL32.EXE
    c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
    c:\program files\Bonjour\mDNSResponder.exe
    c:\program files\Canon\IJPLM\IJPLMSVC.EXE
    c:\program files\Java\jre6\bin\jqs.exe
    c:\windows\system32\nvsvc32.exe
    c:\program files\AVG\AVG9\avgnsx.exe
    c:\program files\Fichiers communs\Protexis\License Service\PsiService_2.exe
    c:\program files\AVG\AVG9\avgcsrvx.exe
    c:\program files\Razer\Diamondback 3G\razertra.exe
    c:\program files\Razer\Diamondback 3G\razerofa.exe
    c:\program files\iPod\bin\iPodService.exe
    c:\windows\system32\wbem\wmiapsrv.exe
    c:\windows\system32\wscntfy.exe
    c:\program files\Java\jre6\bin\jucheck.exe
    .
    **************************************************************************
    .
    Heure de fin: 2010-10-01 22:25:47 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-10-01 20:25

    Avant-CF: 10'343'391'232 octets libres
    Après-CF: 10'931'400'704 octets libres

    WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    UnsupportedDebug="do not select this" /debug
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

    - - End Of File - - 4CBCD61878F6B27347CC3AA0CFCF845E
    0
  9. Utilisateur anonyme
     
    Re

    Rends toi sur ce site :

    https://www.virustotal.com/gui/

    Clique sur " parcourir ", cherche un fichier à la fois :

    Clique sur Send File.

    c:\windows\system32\dlo36.dll
    c:\windows\system32\rts5161ccid.dll


    Un rapport va s'élaborer ligne à ligne.

    Attends la fin. Il doit comprendre la taille du fichier envoyé.

    Sauvegarde le rapport avec le bloc-notes.

    Copie le dans ta réponse et fait le pour chaque fichier ; merci

    (!) Si Virus Total indique que le fichier a déjà été analysé, cliquer sur le bouton. Ré analyser

    @+
    0
  10. arno
     
    Re,

    J'ai effectué entre-temps une analyse rapide malwarebytes

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4712

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 6.0.2900.5512

    01.10.2010 22:39:15
    mbam-log-2010-10-01 (22-39-15).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 136006
    Temps écoulé: 6 minute(s), 49 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 3
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/Documents and Settings/Administrateur/Local Settings/Temp/enfqqwjf.dat (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\enfqqwjf.dat (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\enfqqwjf.dat (Rootkit.Agent) -> No action taken.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Documents and Settings\Administrateur\Local Settings\Temp\enfqqwjf.dat (Rootkit.Agent) -> No action taken.
    0
  11. arno
     
    re,

    voici les rapports virustotal

    Antivirus Version Last update Result
    AhnLab-V3 2010.10.02.00 2010.10.01 -
    AntiVir 7.10.12.111 2010.10.01 -
    Antiy-AVL 2.0.3.7 2010.10.01 -
    Authentium 5.2.0.5 2010.10.01 -
    Avast 4.8.1351.0 2010.10.01 -
    Avast5 5.0.594.0 2010.10.01 -
    AVG 9.0.0.851 2010.10.01 -
    BitDefender 7.2 2010.10.01 Gen:Trojan.Heur.SC8aya@9fvnc
    CAT-QuickHeal 11.00 2010.10.01 -
    ClamAV 0.96.2.0-git 2010.10.01 -
    Comodo 6258 2010.10.01 -
    DrWeb 5.0.2.03300 2010.10.01 -
    Emsisoft 5.0.0.50 2010.10.01 Virus.Win32.Spyware!IK
    eSafe 7.0.17.0 2010.09.30 -
    eTrust-Vet 36.1.7888 2010.10.01 -
    F-Prot 4.6.2.117 2010.10.01 -
    F-Secure 9.0.15370.0 2010.10.01 Gen:Trojan.Heur.SC8aya@9fvnc
    Fortinet 4.1.143.0 2010.09.30 -
    GData 21 2010.10.01 Gen:Trojan.Heur.SC8aya@9fvnc
    Ikarus T3.1.1.90.0 2010.10.01 Virus.Win32.Spyware
    Jiangmin 13.0.900 2010.10.01 -
    K7AntiVirus 9.63.2657 2010.10.01 -
    Kaspersky 7.0.0.125 2010.10.01 -
    McAfee 5.400.0.1158 2010.10.01 Suspect-AB!400C708B1CDE
    McAfee-GW-Edition 2010.1C 2010.10.01 -
    Microsoft 1.6201 2010.10.01 -
    NOD32 5496 2010.10.01 -
    Norman 6.06.07 2010.10.01 -
    nProtect 2010-10-01.02 2010.10.01 -
    Panda 10.0.2.7 2010.10.01 Suspicious file
    PCTools 7.0.3.5 2010.10.01 -
    Prevx 3.0 2010.10.01 -
    Rising 22.67.02.07 2010.09.30 -
    Sophos 4.58.0 2010.10.01 -
    Sunbelt 6959 2010.10.01 -
    SUPERAntiSpyware 4.40.0.1006 2010.10.01 Trojan.Agent/Gen-Falcomp[Cont]
    Symantec 20101.2.0.161 2010.10.01 -
    TheHacker 6.7.0.1.044 2010.10.01 -
    TrendMicro 9.120.0.1004 2010.10.01 -
    TrendMicro-HouseCall 9.120.0.1004 2010.10.01 -
    VBA32 3.12.14.1 2010.10.01 -
    ViRobot 2010.8.31.4017 2010.10.01 -
    VirusBuster 12.66.10.0 2010.10.01 -
    MD5: 400c708b1cdea1682699eaea61c5e3f2
    SHA1: 6f5e997174f139d6b1f486472eef441a5629c2c7
    SHA256: 08bcffc0bcabd6eb1cc5c4ebc331164fbf8fbe7a8161c3fb227c129bdb983328
    File size: 729600 bytes
    Scan date: 2010-10-01 20:45:15 (UTC)

    Antivirus Version Last Update Result
    AhnLab-V3 2010.10.02.00 2010.10.01 -
    AntiVir 7.10.12.111 2010.10.01 -
    Antiy-AVL 2.0.3.7 2010.10.01 -
    Authentium 5.2.0.5 2010.10.01 -
    Avast 4.8.1351.0 2010.10.01 -
    Avast5 5.0.594.0 2010.10.01 -
    AVG 9.0.0.851 2010.10.01 -
    BitDefender 7.2 2010.10.01 -
    CAT-QuickHeal 11.00 2010.10.01 -
    ClamAV 0.96.2.0-git 2010.10.01 -
    Comodo 6258 2010.10.01 -
    DrWeb 5.0.2.03300 2010.10.01 -
    Emsisoft 5.0.0.50 2010.10.01 -
    eSafe 7.0.17.0 2010.09.30 -
    eTrust-Vet 36.1.7888 2010.10.01 -
    F-Prot 4.6.2.117 2010.10.01 -
    F-Secure 9.0.15370.0 2010.10.01 -
    Fortinet 4.1.143.0 2010.09.30 -
    GData 21 2010.10.01 -
    Ikarus T3.1.1.90.0 2010.10.01 -
    Jiangmin 13.0.900 2010.10.01 -
    K7AntiVirus 9.63.2657 2010.10.01 -
    Kaspersky 7.0.0.125 2010.10.01 -
    McAfee 5.400.0.1158 2010.10.01 -
    McAfee-GW-Edition 2010.1C 2010.10.01 -
    Microsoft 1.6201 2010.10.01 -
    NOD32 5496 2010.10.01 -
    Norman 6.06.07 2010.10.01 -
    nProtect 2010-10-01.02 2010.10.01 -
    Panda 10.0.2.7 2010.10.01 -
    PCTools 7.0.3.5 2010.10.01 -
    Prevx 3.0 2010.10.01 -
    Rising 22.67.02.07 2010.09.30 -
    Sophos 4.58.0 2010.10.01 -
    Sunbelt 6959 2010.10.01 -
    SUPERAntiSpyware 4.40.0.1006 2010.10.01 -
    Symantec 20101.2.0.161 2010.10.01 -
    TheHacker 6.7.0.1.044 2010.10.01 -
    TrendMicro 9.120.0.1004 2010.10.01 -
    TrendMicro-HouseCall 9.120.0.1004 2010.10.01 -
    VBA32 3.12.14.1 2010.10.01 -
    ViRobot 2010.8.31.4017 2010.10.01 -
    VirusBuster 12.66.10.0 2010.10.01 -
    Additional information
    Show all
    MD5 : 1f7e7ec1a528dd51db01fb363dccf7b5
    SHA1 : 9d57d0073af598b0f3ed761cb9eb26ede532f1e8
    SHA256: eef0d700107e67289eb320dd96ebb8bd21cd79b9cfa37fd6a0f3bbce2b171e92

    File name:
    rts5161ccid.dll
    Submission date:
    2010-10-01 20:50:03 (UTC)
    Current status:
    queued (#14) queued (#14) analysing finished
    Result:
    0/ 43 (0.0%)
    0
  12. Utilisateur anonyme
     
    Re

    Impeccable;)

    As tu supprimé la sélection de Malwaresbytes?

    Pour le rapports Virus total;pourrais tu les poster complet ou mieux me mettre le lien de chacun d'eux.
    Ceci pour améliorer les outils de détections.

    Merci ;)
    @+

    0
  13. arno
     
    Re,

    Oui j'ai supprimé ce qui avait été mis dans la quarantaine

    Voici les liens virustotal:

    http://www.virustotal.com/file-scan/report.html?id=08bcffc0bcabd6eb1cc5c4ebc331164fbf8fbe7a8161c3fb227c129bdb983328-1285965915

    http://www.virustotal.com/file-scan/report.html?id=eef0d700107e67289eb320dd96ebb8bd21cd79b9cfa37fd6a0f3bbce2b171e92-1285966203

    Merci =)
    0
  14. Utilisateur anonyme
     
    Re

    ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet ordinateur
    |===>il est fort déconseillé de le transposer sur un autre ordinateur !<===|
    -----------------------------------------------------------------------------------------------

    Toujours avec toutes les protections désactivées, fais ceci :

    * Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
    * Copie/colle dans le bloc-notes ce qui est entre les lignes ci dessous (sans les lignes) :

    ----------------------------------------------------------

    KillAll::

    Driver::
    cwhqkkog;cwhqkkog
    CWHQKKOG

    Rootkit ::
    c:\windows\system32\drivers\cwhqkkog.sys

    File::
    c:\windows\system32\dlo36.dll
    c:\windows\system32\dlo36.tmp

    Netsvc::
    lfjtgtfq

    -----------------------------------------------------------------

    * Enregistre ce fichier sur ton Bureau (et pas ailleurs !) Sous le nom CFScript.txt
    * Quitte le Bloc Notes

    * Fais un glisser/déposer de ce fichier CFScript sur le fichier C-Fix.exe (combofix) comme sur ce lien : https://support.microsoft.com/en-us/windows?ui=en-US&rs=en-001&ad=US
    * Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
    * Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
    * Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt

    @+
    0
  15. arno
     
    Hello,

    Désolé de ne pas avoir continué la procédure hier soir, j'étais trop fatigué.

    J'ai fait ce que tu m'as dit ce matin, merci =)

    Voilà le rapport:

    ComboFix 10-09-30.05 - Administrateur 02.10.2010 9:56.2.2 - x86
    Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2046.1278 [GMT 2:00]
    Lancé depuis: c:\documents and settings\Administrateur\Mes documents\Téléchargements\ComboFix.exe
    Commutateurs utilisés :: c:\documents and settings\Administrateur\Bureau\CFScript.txt.txt
    AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}

    FILE ::
    "c:\windows\system32\dlo36.dll"
    "c:\windows\system32\dlo36.tmp"
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\windows\system32\cyeka.dll
    c:\windows\system32\dlo36.dll
    c:\windows\system32\dlo36.tmp
    c:\windows\system32\drivers\bfuvzkhf.sys
    c:\windows\system32\drivers\cwhqkkog.sys

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_CWHQKKOG
    -------\Legacy_LFJTGTFQ
    -------\Service_cwhqkkog
    -------\Service_lfjtgtfq

    ((((((((((((((((((((((((((((( Fichiers créés du 2010-09-02 au 2010-10-02 ))))))))))))))))))))))))))))))))))))
    .

    2010-10-01 20:17 . 2008-04-13 18:40 62976 ----a-w- c:\windows\system32\drivers\cdrom.sys
    2010-10-01 18:26 . 2010-10-01 18:26 388096 ----a-r- c:\documents and settings\Administrateur\Application Data\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
    2010-10-01 18:26 . 2010-10-01 18:26 -------- d-----w- c:\program files\Trend Micro
    2010-09-29 13:14 . 2010-09-29 13:14 -------- d-s---w- c:\documents and settings\NetworkService\UserData
    2010-09-28 18:27 . 2010-09-28 18:27 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes
    2010-09-28 18:27 . 2010-09-28 18:27 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
    2010-09-28 18:27 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-09-28 18:27 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-09-28 18:26 . 2010-09-28 18:27 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-09-23 10:38 . 2010-09-23 10:38 47876 ----a-w- c:\documents and settings\All Users\Application Data\Blizzard Entertainment\Battle.net\Cache\Download\Scan.dll
    2010-09-21 17:00 . 2010-09-21 17:00 -------- d-----w- c:\program files\Fichiers communs\Corel
    2010-09-21 17:00 . 2010-09-21 17:00 -------- d-----w- c:\program files\Fichiers communs\Protexis
    2010-09-21 17:00 . 2010-09-21 17:00 -------- d-----w- c:\documents and settings\All Users\Application Data\Corel
    2010-09-08 19:38 . 2010-09-08 19:39 -------- d-----w- c:\program files\ZopeExternalEditor
    2010-09-06 11:26 . 2010-10-01 18:07 -------- d-----w- C:\render
    2010-09-06 10:21 . 2010-09-06 10:21 -------- d-----w- c:\program files\Blender Foundation
    2010-09-06 10:19 . 2010-09-06 10:19 -------- d-----w- C:\Python26
    2010-09-06 10:14 . 2010-09-06 10:14 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Blender Foundation
    2010-09-02 15:07 . 2008-01-09 08:04 245760 ----a-r- c:\windows\system32\rts5161ccid.dll
    2010-09-02 15:07 . 2008-01-09 07:52 40960 ----a-r- c:\windows\system32\drivers\Rts5161ccid.sys

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-10-01 19:14 . 2010-07-30 14:42 -------- d-----w- c:\program files\ZHPDiag
    2010-09-30 07:41 . 2010-01-21 18:51 -------- d-----w- c:\program files\Mozilla Thunderbird
    2010-09-29 11:22 . 2010-07-28 16:40 -------- d-----w- c:\program files\StarCraft II
    2010-09-29 10:04 . 2010-01-23 15:51 93936 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
    2010-09-28 20:55 . 2010-09-01 11:55 674536 ----a-w- c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat
    2010-09-28 20:40 . 2010-09-01 10:55 3766 --sha-w- c:\documents and settings\All Users\Application Data\Protexis\KGyGaAvL.sys
    2010-09-28 20:24 . 2010-09-01 10:57 168 --sh--r- c:\documents and settings\All Users\Application Data\Protexis\7F37D5DD98.sys
    2010-09-21 18:42 . 2010-01-25 20:05 -------- d-----w- c:\program files\TeamSpeak 3 Client
    2010-09-21 18:18 . 2010-01-24 14:54 -------- d-----w- c:\program files\World of Warcraft
    2010-09-21 17:02 . 2010-09-01 10:35 348256 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\VSTAHost\CorelPHOTOPAINT\9.0\1033\ResourceCache.dll
    2010-09-21 17:02 . 2010-09-01 10:28 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
    2010-09-21 17:01 . 2010-09-01 10:34 348256 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\VSTAHost\CorelDRAW\9.0\1033\ResourceCache.dll
    2010-09-21 12:15 . 2010-01-24 12:14 -------- d-----w- c:\documents and settings\All Users\Application Data\CanonIJPLM
    2010-09-16 09:51 . 2010-01-22 02:20 95480 ----a-w- c:\windows\system32\perfc00C.dat
    2010-09-16 09:51 . 2010-01-22 02:20 532044 ----a-w- c:\windows\system32\perfh00C.dat
    2010-09-11 14:52 . 2010-01-23 07:17 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Apple Computer
    2010-09-11 14:52 . 2010-01-24 07:01 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple
    2010-09-01 18:04 . 2010-09-01 18:03 -------- d-----w- c:\documents and settings\All Users\Application Data\Documed
    2010-09-01 18:03 . 2010-09-01 18:03 -------- d-----w- c:\program files\Documed
    2010-09-01 10:57 . 2010-09-01 10:55 -------- d-----w- c:\documents and settings\All Users\Application Data\Protexis
    2010-09-01 10:55 . 2010-09-01 10:55 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Corel
    2010-09-01 10:31 . 2010-09-01 10:31 416 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\MSDN\9.0\1033\ResourceCache.dll
    2010-09-01 10:29 . 2010-09-01 10:28 -------- d-----w- c:\program files\Microsoft Visual Studio 9.0
    2010-09-01 10:28 . 2010-09-01 10:28 -------- d-----w- c:\program files\Microsoft SDKs
    2010-09-01 10:16 . 2010-09-01 10:16 -------- d-----w- c:\program files\Corel
    2010-08-30 19:55 . 2010-08-30 19:55 -------- d-----w- c:\program files\AVS4YOU
    2010-08-30 19:55 . 2010-07-27 17:48 -------- d-----w- c:\program files\Fichiers communs\AVSMedia
    2010-08-24 16:47 . 2010-08-24 16:47 2148864 ----a-w- c:\windows\system32\python26.dll
    2010-08-22 18:44 . 2010-08-22 18:44 -------- d-----w- c:\program files\VirtualDJ
    2010-08-17 13:17 . 2010-01-22 02:20 58880 ----a-w- c:\windows\system32\spoolsv.exe
    2010-07-31 11:02 . 2010-07-31 11:02 73000 ----a-w- c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 9.2.1.5\SetupAdmin.exe
    2010-07-25 14:31 . 2010-01-21 18:49 243024 ----a-w- c:\windows\system32\drivers\avgtdix.sys
    2010-07-25 14:31 . 2010-07-25 14:31 12536 ----a-w- c:\windows\system32\avgrsstx.dll
    2010-07-25 14:30 . 2010-01-21 18:49 216400 ----a-w- c:\windows\system32\drivers\avgldx86.sys
    2010-07-22 15:48 . 2010-01-22 02:20 590848 ----a-w- c:\windows\system32\rpcrt4.dll
    2010-07-22 06:19 . 2008-05-05 06:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Phase28Panel"="c:\program files\MUSONIK\TS22 PCI ControlPanel\Protecmixer.exe" [2008-01-15 262144]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe" [2005-01-07 61952]
    "RTHDCPL"="RTHDCPL.EXE" [2006-06-28 16248320]
    "SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-04-26 8445952]
    "nwiz"="nwiz.exe" [2007-04-26 1626112]
    "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-04-26 81920]
    "AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-07-25 2065760]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
    "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
    "Diamondback"="c:\program files\Razer\Diamondback 3G\razerhid.exe" [2007-08-01 147456]
    "NeroCheck"="c:\windows\system32\\NeroCheck.exe" [2001-07-09 155648]
    "CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2007-05-14 644696]
    "CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2007-04-03 1603152]
    "SSBkgdUpdate"="c:\program files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
    "OpwareSE4"="c:\program files\ScanSoft\OmniPageSE4\OpwareSE4.exe" [2007-02-04 79400]
    "AdobeCS4ServiceManager"="c:\program files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
    "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-18 421888]
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-07-21 141608]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

    c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
    InterVideo WinCinema Manager.lnk - c:\program files\InterVideo\Common\Bin\WinCinemaMgr.exe [2010-1-23 98304]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
    2010-07-25 14:31 12536 ----a-w- c:\windows\system32\avgrsstx.dll

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\AVG\\AVG9\\avgemc.exe"=
    "c:\\Program Files\\AVG\\AVG9\\avgupd.exe"=
    "c:\\Program Files\\AVG\\AVG9\\avgnsx.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\World of Warcraft\\WoW-3.2.0-frFR-downloader.exe"=
    "c:\\Program Files\\World of Warcraft\\Launcher.exe"=
    "c:\\Program Files\\World of Warcraft\\WoW-3.2.0.10192-to-3.3.0.10958-frFR-downloader.exe"=
    "c:\\Program Files\\World of Warcraft\\WoW-3.3.0.10958-to-3.3.0.11159-frFR-downloader.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Fichiers communs\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
    "c:\\Program Files\\StarCraft II\\StarCraft II.exe"=
    "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "c:\\Program Files\\iTunes\\iTunes.exe"=
    "c:\\Program Files\\StarCraft II\\Versions\\Base15405\\SC2.exe"=
    "c:\\Program Files\\StarCraft II\\Versions\\Base16605\\SC2.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "3724:TCP"= 3724:TCP:Blizzard Downloader: 3724
    "5353:TCP"= 5353:TCP:Adobe CSI CS4

    R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [21.01.2010 20:49 216400]
    R1 AvgTdiX;AVG Free Network Redirector;c:\windows\system32\drivers\avgtdix.sys [21.01.2010 20:49 243024]
    R2 avg9emc;AVG Free E-mail Scanner;c:\program files\AVG\AVG9\avgemc.exe [25.07.2010 16:30 921952]
    R2 avg9wd;AVG Free WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [25.07.2010 16:30 308136]
    R3 AR5513;TRENDware Wireless Network Adapter Service;c:\windows\system32\drivers\ar5513.sys [21.01.2010 21:03 358464]
    R3 Protec;PHASE2X WDM Audio;c:\windows\system32\drivers\Protec.sys [21.01.2010 21:16 69472]
    R3 Razerlow;Diamondback 3G USB Filter Driver;c:\windows\system32\drivers\DB3G.sys [21.01.2010 22:34 13225]
    S3 BEHRINGER_PT_MIDI;Behringer MIDI driver service (pt);c:\windows\system32\drivers\bhrngr_m.sys [26.07.2010 20:05 29184]

    --- Autres Services/Pilotes en mémoire ---

    *NewlyCreated* - CWHQKKOG
    *Deregistered* - cwhqkkog
    .
    Contenu du dossier 'Tâches planifiées'

    2010-09-04 c:\windows\Tasks\AppleSoftwareUpdate.job
    - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
    .
    .
    ------- Examen supplémentaire -------
    .
    uInternet Settings,ProxyOverride = *.local
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\s3zyre43.default\
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.ch
    FF - plugin: c:\documents and settings\Administrateur\Application Data\Facebook\npfbplugin_1_0_1.dll
    FF - plugin: c:\documents and settings\Administrateur\Application Data\Facebook\npfbplugin_1_0_3.dll
    FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

    ---- PARAMETRES FIREFOX ----
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-10-02 10:04
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€-€|ÿÿÿÿÀ*€|ù*9~*]
    "C040111900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'winlogon.exe'(816)
    c:\program files\Fichiers communs\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll

    - - - - - - - > 'explorer.exe'(2720)
    c:\program files\ScanSoft\OmniPageSE4\OpHookSE4.dll
    c:\windows\system32\eappprxy.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\program files\AVG\AVG9\avgchsvx.exe
    c:\program files\AVG\AVG9\avgrsx.exe
    c:\windows\System32\SCardSvr.exe
    c:\program files\AVG\AVG9\avgcsrvx.exe
    c:\windows\RTHDCPL.EXE
    c:\windows\system32\RUNDLL32.EXE
    c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
    c:\program files\Bonjour\mDNSResponder.exe
    c:\program files\Canon\IJPLM\IJPLMSVC.EXE
    c:\program files\Java\jre6\bin\jqs.exe
    c:\windows\system32\nvsvc32.exe
    c:\program files\Fichiers communs\Protexis\License Service\PsiService_2.exe
    c:\program files\AVG\AVG9\avgnsx.exe
    c:\program files\Razer\Diamondback 3G\razertra.exe
    c:\program files\Razer\Diamondback 3G\razerofa.exe
    c:\program files\AVG\AVG9\avgcsrvx.exe
    c:\program files\iPod\bin\iPodService.exe
    c:\windows\system32\wscntfy.exe
    c:\windows\system32\wbem\wmiapsrv.exe
    c:\program files\Java\jre6\bin\jucheck.exe
    .
    **************************************************************************
    .
    Heure de fin: 2010-10-02 10:09:24 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-10-02 08:09
    ComboFix2.txt 2010-10-01 20:25

    Avant-CF: 10'832'830'464 octets libres
    Après-CF: 10'838'421'504 octets libres

    - - End Of File - - 81E4AF29A7B6B6C8EA172FBA43F4E349
    0
  16. Utilisateur anonyme
     
    Bonjour

    Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :

    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Ou

    https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

    Serveur N°2

    Ou

    http://www.premiumorange.com/zeb-help-process/zhpdiag.html
    en bas de la page ZHP avec un numéro de version.

    Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

    Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit « exécuter en tant que administrateur »

    Clique sur la loupe pour lancer l'analyse.

    Laisse l'outil travailler, il peut être assez long.

    Ferme ZHPDiag en fin d'analyse.

    Pour transmettre le rapport clique sur ce lien :

    http://www.cijoint.fr/index.php
    Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

    Sélectionne le fichier ZHPDiag.txt.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse.

    Merci

    A+
    0