Sujet Précédent Sujet Suivant

Antimalware (tiens donc...)

Fermé
Kan - 19 oct. 2010 à 18:57
 Utilisateur anonyme - 19 nov. 2010 à 11:43
Bonjour,

je sais pas comment j'ai fait mais me voilà assiégé par cette m**** d'Antimalware. Non seulement m'énerve-t-il avec une nouvelle fenêtre ''infections trouvées'' toutes les 5 secondes, mais en plus il m'empêche d'ouvrir le gestionnaire de tâches et m'a fermé Firefox au nez. :-/
J'ai redémarré deux fois avant de réaliser qu'il n'y avait rien à faire.

Donc là j'ai redémarré sous Ubuntu et j'aimerais régler le problème à partir d'ici.
Quelqu'un a une idée de comment faire?

Toute idée pour les décourager de recommencer de pareils sales coups est aussi acceptée. ):-(

Merci à l'avance!

30 réponses

  • 1
  • 2
Réponse 1 / 30
Utilisateur anonyme
19 oct. 2010 à 20:50
ok prends ceci , et copie-le sur le bureau de la session interessée pour le retrouver au redemarrage et telecharge les logiciels que tu utiliseras sous windows quand meme ^^


Télécharge rkill :

https://download.bleepingcomputer.com/grinler/rkill.exe
https://download.bleepingcomputer.com/grinler/rkill.com
https://download.bleepingcomputer.com/grinler/rkill.scr
▶ Enregistre-le sur ton Bureau

▶ Double-clique sur l'icone rkill ( pour Vista/Seven clic-droit Exécuter en tant qu'Administrateur)


Un bref écran noir t'indiquera que le tool s'est correctement exécuté, s'il ne se lance pas,change de lien de téléchargement.

si le logiciel ne fonctionne pas , force-le en cliquant plusieurs fois vite , au bout d'un moment ca devrait aller

une fois qu'il aura terminé

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!! (car l'outil est detecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions)

▶ Télécharge ici :List_Kill'em

et enregistre le sur ton bureau

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

♦ Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

Il commencera par telecharger et installer ses mises à jour , puis te donnera son menu

choisis l'option Search

▶ laisse travailler l'outil

il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

▶ Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

▶▶▶ NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier C:\List'em.txt

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

▶ Fais de même avec more.txt qui se trouve sur ton bureau
1
Réponse 2 / 30
Utilisateur anonyme
19 oct. 2010 à 18:59
salut c'est quel systeme qui est infecté ?
0
Réponse 3 / 30
Kan
19 oct. 2010 à 19:00
J'ai oublié de préciser qu'il n'y aucun dossier ni fichier portant le nom ''Antimalware'' dans Program Files.
0
Réponse 4 / 30
Karel7 Messages postés 709 Date d'inscription mardi 11 mai 2010 Statut Contributeur Dernière intervention 2 octobre 2019 58
19 oct. 2010 à 19:03
Salut,

Tu doit désinfecter ton Windows sous ce dernier, utilise MBAM :

¤ Télécharge Malwarebytes Antimalware
¤¤¤> Tutoriel MBAM
¤ Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
¤ Lance une analyse complète en cliquant sur "Exécuter un examen complet"
¤ Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
¤ L'analyse peut durer un bon moment.....
¤ Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
¤ Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
¤ Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

¤¤¤ Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée


Puis fait un diagnostic ;) :

¤ Télécharge ZHPDiag (de Nicolas Coolman).
¤ Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
¤ Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
¤ Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
¤ Rend toi sur Cijoint et indique l'emplacement du rapport à l'aide du bouton "Parcourir..." Ensuite Clique sur "Cliquez ici pour déposer le fichier"
¤ Un lien se ra généré, copie colle le dans ta prochaine réponse.

Bonne chance @+
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 30
Utilisateur anonyme
19 oct. 2010 à 19:05
je vous laisse......
0
Karel7 Messages postés 709 Date d'inscription mardi 11 mai 2010 Statut Contributeur Dernière intervention 2 octobre 2019 58
19 oct. 2010 à 19:09
Merci Gen :-)
0
Réponse 6 / 30
Kan
19 oct. 2010 à 19:40
Salut Karel7,

je viens d'essayer mais je ne peux absolument rien ouvrir sous Windows. Ni le bloc-notes dans lequel j'avais copié tes instructions, ni le setup de Malwarebytes Antimalware, ni Firefox. À chaque fois que j'essaie d'ouvrir quoi que ce soit, y'a une fenêtre de Protection PC chépaquoi qui me dit que le fichier essaie de transmettre mon numéro de carte de crédit à travers une connexion. C'est assez con comme prétexte d'ailleurs puisque je n'ai pas de carte de crédit et encore moins de numéro de carte sauvegardé quelque part dans mon ordi.

Je peux vraiment rien faire à partir de Windows. :-/
Est-ce que t'as une autre idée?

Je démarre Malwarebytes avec Wine sous Linux et j'essaie de faire quelque chose?
0
Réponse 7 / 30
Kan
19 oct. 2010 à 22:57
J'EN SUIS ENFIN DÉBARASSÉ! 8-D
vous avez déjà joué à Legend of Zelda? Et bien c'était comme si mon épée était le bouton gauche de la souris et que j'étais attaqué par une armée!

Merci beaucoup gen-hackman, et à tous les deux en fait. :-)
Malheureusement, vu que j'ai du à plusieurs reprises lancer rkill, il y a une quantité prodigieuse de logs qui ont été créés. Sauf que c'est pas ça que tu voulais que je t'envoie, n'est-ce pas?

J'ai rapidement cliqué sur CLEAN à l'ouverture de Lisk_Kill'em à plusieurs reprises avant que ça fonctionne, puis tout mes problèmes ont disparu. Puis j'ai relu que tu m'avais dit de cliquer sur SEARCH. Désolé, je viens de le faire, mais il ne trouve aucun fichier nommé List'em.txt :-/

Merci pour tout! Si jamais vous avez quand même besoin d'un témoignage au lieu d'un fichier txt (je sais que c'est pas du tout pareil, mais vu que c'est tout ce que je peux offrir), répondez à nouveau à ce sujet et je repasserai voir. :-)

Bonne fin de journée (soirée dans votre cas j'imagine?) et merci encore!
0
Réponse 8 / 30
Utilisateur anonyme
19 oct. 2010 à 22:59
Télécharge ici :OTL

enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur OTL.exe pour le lancer.

▶ Coche les 2 cases Lop et Purity

▶ Coche la case devant tous les utilisateurs

▶ règle age du fichier sur "60 jours"

▶ dans la moitié gauche , mets tout sur "tous"

ne modifie pas ceci :

"fichiers créés" et "fichiers Modifiés"

▶Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

▶▶▶ NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

▶ Copie ce lien dans ta réponse.

▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
0
Réponse 9 / 30
Kan
19 oct. 2010 à 23:06
Erreur : je viens de redémarrer et j'ai encore les mêmes problèmes!

Donc, je télécharge OTL quand même?
0
Réponse 10 / 30
Utilisateur anonyme
19 oct. 2010 à 23:08
oui
0
Réponse 11 / 30
Kan
19 oct. 2010 à 23:19
Analyse en cours...

Dis-moi, ce Antimaware et toutes ses cochonneries, ça ne peut pas endommager mes fichiers au moins?
Je veux dire, à part de me rendre dingue, est-ce qu'il est dangereux ou est-ce que c'est pas grave s'il continue d'exister pendant que je fais toutes ces étapes?

Et il vient d'où au juste cette espèce de faux-antivirus?
0
Réponse 12 / 30
Utilisateur anonyme
19 oct. 2010 à 23:24
navigation pourrie ^^

non tes fichiers craignent rien ton ordi non plus (pour l'instant )
il est que là pour te faire ch****r
0
Réponse 13 / 30
Kan
19 oct. 2010 à 23:32
Voilà, j'ai fait l'analyse une première fois en oubliant de mettre à 60 jours, puis je l'ai refait deux fois en oubliant pas, et ces deux fois là elle a planté avant de pouvoir me fournir le fichier Extras.txt.

Donc j'ai joins le fichier OTL.txt d'un analayse à 60 jours et je fichier Extra.txt d'une analyse à 30 jours :
OTL : http://www.cijoint.fr/cjlink.php?file=cj201010/cijjJirS0W.txt
Extras : http://www.cijoint.fr/cjlink.php?file=cj201010/cijZO4WPvX.txt
0
Réponse 14 / 30
Utilisateur anonyme
19 oct. 2010 à 23:50
tu as vraiment fait n'importe quoi avec list_kill'em


/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================

▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

Telecharge ici : Combofix

Avant d'utiliser ComboFix :

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

▶ Lance le

Une fenêtre apparait : clique sur "Disable"

▶ Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur combofix renommé

▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.



0
Réponse 15 / 30
Kan
20 oct. 2010 à 01:29
Ouais mai le truc c'est que j'ai bien essayé de désactiver mon antivirus mais y'a rien à faire. Non seulement je sais pas comment parce que Windows de lui-même ne me laissera jamais trouver l'info pour le faire (j'ai AVG 9), mais en plus cet imbécile de Antimalware Dr me ferme tout au nez ou bien pendant que l'endors avec rkill, rien qui est relié à l'explorateur Windows ne fonctionne. :-(

Mais qui fabrique ces trucs?!? )8-O
0
Réponse 16 / 30
Utilisateur anonyme
20 oct. 2010 à 14:26
bonjour

force avec rkill puis fais combofix , j'attends le rapport
0
Réponse 17 / 30
Kan
21 oct. 2010 à 03:17
Après 3 redémarrages (celui de ComboFix, un que j'ai fait, puis celui de Defogger) il semble que je sois débarrassé de Antimalware Doctor.
Merci bien. :-)

Puisse plus jamais personne en être accablé!

Voici le rapport de ComboFix :

ComboFix 10-10-20.01 - Oli C. Kan 2010-10-20 20:04:40.1.3 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6001.1.1252.2.1036.18.3070.2075 [GMT -4:00]
Lancé depuis: c:\users\Oli C. Kan\Desktop\Kan.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\Oli C. Kan\AppData\Roaming\EBC45F11BD8DDEB7DD94998B80304AD8
c:\users\Oli C. Kan\AppData\Roaming\EBC45F11BD8DDEB7DD94998B80304AD8\aerovisionsetup70700.exe
c:\users\Oli C. Kan\AppData\Roaming\EBC45F11BD8DDEB7DD94998B80304AD8\enemies-names.txt
c:\users\Oli C. Kan\AppData\Roaming\EBC45F11BD8DDEB7DD94998B80304AD8\local.ini
c:\users\Oli C. Kan\AppData\Roaming\EBC45F11BD8DDEB7DD94998B80304AD8\mediarealease70x700hh.exe
c:\users\Oli C. Kan\AppData\Roaming\hotfix.exe
c:\users\Oli C. Kan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Security Tool.lnk
c:\users\Oli C. Kan\AppData\Roaming\Pydza
c:\users\Oli C. Kan\AppData\Roaming\Pydza\config.xml
c:\users\Oli C. Kan\AppData\Roaming\Pydza\save.xml
c:\users\Public\Documents\Server\admin.txt
c:\users\Public\Documents\Server\server.dat
c:\windows\Client.ini
c:\windows\system32\jusched.exe
c:\windows\system32\msvcsv60.dll

Une copie infectée de c:\windows\explorer.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.18000_none_51b4a71279bc6ebf\explorer.exe

Une copie infectée de c:\windows\System32\wininit.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.0.6001.18000_none_30f2b8cf0450a6a2\wininit.exe

Une copie infectée de c:\windows\explorer.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.18000_none_51b4a71279bc6ebf\explorer.exe
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-09-21 au 2010-10-21 ))))))))))))))))))))))))))))))))))))
.

2010-10-20 03:13 . 2010-10-20 03:13 -------- d-----w- C:\found.002
2010-10-19 21:44 . 2010-10-19 21:44 -------- d-----w- c:\users\Oli C. Kan\AppData\Roaming\Malwarebytes
2010-10-19 21:44 . 2010-04-29 19:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-19 21:44 . 2010-10-19 21:44 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-10-19 21:44 . 2010-10-19 21:44 -------- d-----w- c:\programdata\Malwarebytes
2010-10-19 21:44 . 2010-04-29 19:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-10-19 20:40 . 2010-10-19 20:41 -------- d-----w- c:\program files\List_Kill'em
2010-10-19 16:17 . 2010-10-19 16:17 0 ----a-w- c:\users\Oli C. Kan\AppData\Local\Qtizagiqetetabej.bin
2010-10-19 16:17 . 2010-10-19 16:17 -------- d-----w- c:\users\Oli C. Kan\AppData\Local\{5B99ED75-4F0A-4691-AB88-E4CB6A9828B2}
2010-10-19 16:16 . 2010-10-19 16:16 199 ----a-w- c:\users\Oli C. Kan\AppData\Roaming\21910.bat
2010-10-07 19:33 . 2010-10-07 19:33 119808 ----a-w- c:\program files\Mozilla Firefox\components\GoogleDesktopMozilla.dll
2010-10-06 22:57 . 2000-01-04 10:39 212992 ----a-w- c:\program files\Common Files\InstallShield\Engine\6\Intel 32\ILog.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-07 19:33 . 2010-10-07 19:33 119808 ----a-w- c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\users\Oli C. Kan\AppData\Local\Google\Update\GoogleUpdate.exe" [2009-08-17 133104]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"CTSyncU.exe"="c:\program files\Creative\Sync Manager Unicode\CTSyncU.exe" [2006-08-07 700416]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"RtHDVCpl"="RtHDVCpl.exe" [2008-03-26 5369856]
"hpsysdrv"="c:\hp\support\hpsysdrv.exe" [2007-04-18 65536]
"KBD"="c:\hp\KBD\KbdStub.EXE" [2006-12-08 65536]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-04-17 13535776]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-04-17 92704]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-12 39792]
"googletalk"="c:\program files\Google\Google Talk\googletalk.exe" [2007-01-01 3739648]
"UVS10 Preload"="c:\program files\Ulead Systems\Ulead VideoStudio 10\uvPL.exe" [2006-08-10 36864]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-07-15 2065760]
"BrMfcWnd"="c:\program files\Brother\Brmfcmon\BrMfcWnd.exe" [2008-02-19 1089536]
"ControlCenter3"="c:\program files\Brother\ControlCenter3\brctrcen.exe" [2007-12-21 86016]
"WTClient"="WTClient.exe" [2007-04-11 40960]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-18 421888]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2010-10-07 30192]

c:\users\Oli C. Kan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
desktopComic.exe [2008-10-4 604877]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2009-8-17 110592]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\System32\avgrsstx.dll c:\progra~1\Google\GO333C~1\GoogleDesktopNetwork3.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux3"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

R3 FANTOM;LEGO MINDSTORMS NXT Driver;c:\windows\system32\DRIVERS\fantom.sys [2006-03-10 39424]
R3 GoogleDesktopManager-051210-111108;Google Desktop Manager 5.9.1005.12335;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2010-10-07 30192]
R3 HRMACPI;DSF ACPI Redirection Module;c:\windows\system32\DRIVERS\HRMACPI.SYS [x]
R3 HRMCFGSPC;DSF General Configuration Space Redirection Module;c:\windows\system32\DRIVERS\HRMCFGSPC.SYS [2009-07-13 90176]
R3 HRMINTS;DSF Interrupt Redirection Module;c:\windows\system32\DRIVERS\HRMINTS.SYS [2009-07-13 87504]
R3 HRMPORTS;DSF IO Port Redirection Module;c:\windows\system32\DRIVERS\HRMPORTS.SYS [2009-07-13 100688]
R3 PCD5SRVC{BD6912E3-AC9D80E8-05040000};PCD5SRVC{BD6912E3-AC9D80E8-05040000} - PCDR Kernel Mode Service Helper Driver;c:\progra~1\PC-DOC~1\PCD5SRVC.pkms [2008-03-26 21280]
R3 SCREAMINGBDRIVER;Screaming Bee Audio;c:\windows\system32\drivers\ScreamingBAudio.sys [x]
R3 SOFTHIDUSBK;USB HID Layer;c:\windows\system32\DRIVERS\SOFTHIDUSBK.SYS [x]
R3 SOFTUSBK;Generic USB device;c:\windows\system32\DRIVERS\SOFTUSBK.SYS [x]
R3 SOFTUSBTESTHUB;Generic USB Test Hub;c:\windows\system32\DRIVERS\SOFTUSBTESTHUB.SYS [x]
R3 SOFTWADP;Wireless adapter devices;c:\windows\system32\DRIVERS\SOFTWADP.SYS [x]
R3 WSOFTUSBK;Generic wireless USB device;c:\windows\system32\DRIVERS\WSOFTUSBK.SYS [x]
R4 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2009-08-17 717296]
S0 DSFKSVCS;Kernel Services for DSF;c:\windows\system32\DRIVERS\dsfksvcs.sys [2009-07-13 477504]
S0 dsfroot;root enumerated bus driver;c:\windows\system32\DRIVERS\dsfroot.sys [2009-07-13 29136]
S1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\System32\Drivers\avgldx86.sys [2010-07-15 216400]
S1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\System32\Drivers\avgtdix.sys [2010-07-15 243024]
S2 avg9emc;AVG Free E-mail Scanner;c:\program files\AVG\AVG9\avgemc.exe [2010-07-22 921952]
S2 avg9wd;AVG Free WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [2010-07-15 308136]
S2 gupdate1ca2e34196502ef;Service Google Update (gupdate1ca2e34196502ef);c:\program files\Google\Update\GoogleUpdate.exe [2009-09-05 133104]
S3 PTSimBus;PenTablet Bus Enumerator;c:\windows\system32\DRIVERS\PTSimBus.sys [2007-06-07 18944]
S3 PTSimHid;PenTablet Simulated HID MiniDriver;c:\windows\system32\DRIVERS\PTSimHid.sys [2007-04-23 10752]


--- Autres Services/Pilotes en mémoire ---

*Deregistered* - cjynl

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
.
Contenu du dossier 'Tâches planifiées'

2010-10-21 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-09-05 14:20]

2010-10-21 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-09-05 14:20]

2010-10-18 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1051007490-1479361568-1584414429-1000Core.job
- c:\users\Oli C. Kan\AppData\Local\Google\Update\GoogleUpdate.exe [2009-08-17 00:58]

2010-10-21 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1051007490-1479361568-1584414429-1000UA.job
- c:\users\Oli C. Kan\AppData\Local\Google\Update\GoogleUpdate.exe [2009-08-17 00:58]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_ca&c=83&bd=Pavilion&pf=cndt
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_ca&c=83&bd=Pavilion&pf=cndt
FF - ProfilePath - c:\users\Oli C. Kan\AppData\Roaming\Mozilla\Firefox\Profiles\b7kteekl.default\
FF - prefs.js: browser.startup.homepage - hxxp://sites.google.com/site/kancestmoi/
FF - component: c:\program files\AVG\AVG9\Firefox\components\avgssff.dll
FF - plugin: c:\program files\Google\Google Updater\2.4.1487.6512\npCIDetect13.dll
FF - plugin: c:\program files\Google\Update\1.2.183.39\npGoogleOneClick8.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npcnc32.dll
FF - plugin: c:\users\Oli C. Kan\AppData\Local\Google\Update\1.2.183.39\npGoogleOneClick8.dll
FF - plugin: c:\users\Oli C. Kan\AppData\Roaming\Mozilla\Firefox\Profiles\b7kteekl.default\extensions\yyginstantplay@yoyogames.com\plugins\NPYYGInstantPlay.dll
FF - plugin: c:\users\Oli C. Kan\AppData\Roaming\Mozilla\plugins\npgoogletalk.dll
FF - plugin: c:\users\Oli C. Kan\AppData\Roaming\Mozilla\plugins\npgtpo3dautoplugin.dll
FF - HiddenExtension: XULRunner: {5B99ED75-4F0A-4691-AB88-E4CB6A9828B2} - c:\users\Oli C. Kan\AppData\Local\{5B99ED75-4F0A-4691-AB88-E4CB6A9828B2}

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-mediarealease70x700hh.exe - c:\users\Oli C. Kan\AppData\Roaming\EBC45F11BD8DDEB7DD94998B80304AD8\mediarealease70x700hh.exe
HKLM-Run-HP Health Check Scheduler - [ProgramFilesFolder]Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe



[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\DSFKSVCS\MofImagePath]


[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\PCD5SRVC{BD6912E3-AC9D80E8-05040000}]
"ImagePath"="\??\c:\progra~1\PC-DOC~1\PCD5SRVC.pkms"

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\cjynl]

.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'Explorer.exe'(1444)
c:\program files\Microsoft Virtual PC\VPCShExH.DLL
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\windows\system32\rundll32.exe
c:\windows\SYSTEM32\WISPTIS.EXE
c:\program files\Common Files\microsoft shared\ink\TabTip.exe
c:\windows\SYSTEM32\WISPTIS.EXE
c:\program files\Common Files\microsoft shared\ink\TabTip.exe
c:\windows\system32\conime.exe
c:\windows\system32\CTsvcCDA.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
c:\windows\System32\Drivers\WTSRV.EXE
c:\windows\system32\DRIVERS\xaudio.exe
c:\windows\system32\WUDFHost.exe
c:\windows\RtHDVCpl.exe
c:\windows\System32\rundll32.exe
c:\program files\AVG\AVG9\avgtray.exe
c:\windows\System32\WTClient.exe
c:\windows\ehome\ehmsas.exe
c:\users\Oli C. Kan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktopComic.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\AVG\AVG9\avgcsrvx.exe
c:\windows\servicing\TrustedInstaller.exe
c:\program files\Common Files\Microsoft Shared\Ink\InputPersonalization.exe
c:\program files\Hewlett-Packard\HP Health Check\hphc_service.exe
.
**************************************************************************
.
Heure de fin: 2010-10-20 20:59:13 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-10-21 00:59

Avant-CF: 37 409 787 904 octets libres
Après-CF: 44 207 374 336 octets libres

- - End Of File - - ACE3ABE793204AE007D60B778914D2A6
0
Réponse 18 / 30
Utilisateur anonyme
21 oct. 2010 à 11:31
1/.....

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

* * Colle directement le chemin des fichiers , un par un , dans l'espace "Parcourir" apres chaque analyse :

c:\users\Oli C. Kan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktopComic.exe



* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.

==============================

2/.......


__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
KillAll::

Driver::
cjynl

------------------------------------------------------------------

▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes

▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt


0
Réponse 19 / 30
Kan
24 oct. 2010 à 03:04
Alors, voici l'analyse Virus Total refaite après le scan de ComboFix puisque ce dernier m'a fermé Firefox au visage ainsi je n'ai donc pas pu garder le lien de la première analyse :
http://www.virustotal.com/file-scan/report.html?id=3a65feb02bef9935f85931562aa746b7dc9be2071a0ce6dbbb19e6d18f5a57c1-1287882041

Et le rapport de scan de ComboFix :

ComboFix 10-10-22.05 - Oli C. Kan 2010-10-23 20:38:17.2.3 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6001.1.1252.2.1036.18.3070.1851 [GMT -4:00]
Lancé depuis: c:\users\Oli C. Kan\Desktop\Kan.exe
Commutateurs utilisés :: c:\users\Oli C. Kan\Desktop\CFScript.txt
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\Oli C. Kan\AppData\Local\Temp\mProjector1968935612\File.3.1.1hj.mfx
c:\users\Oli C. Kan\AppData\Local\Temp\mProjector1968935612\Flash6MovieV2.3.1.1hj.mvx
c:\users\Oli C. Kan\AppData\Local\Temp\mProjector1968935612\FlashPlayer.3.1.1k.ocx
c:\users\Oli C. Kan\AppData\Local\Temp\mProjector1968935612\mPlayer.3.1.1k.dll
c:\users\Oli C. Kan\AppData\Local\Temp\mProjector1968935612\Registry.3.1.1hj.mfx
c:\users\Oli C. Kan\AppData\Local\Temp\mProjector1968935612\System.3.1.1hj.mfx
c:\users\OLIC~1.KAN\AppData\Local\Temp\mProjector1968935612\File.3.1.1hj.mfx
c:\users\OLIC~1.KAN\AppData\Local\Temp\mProjector1968935612\Flash6MovieV2.3.1.1hj.mvx
c:\users\OLIC~1.KAN\AppData\Local\Temp\mProjector1968935612\FlashPlayer.3.1.1k.ocx
c:\users\OLIC~1.KAN\AppData\Local\Temp\mProjector1968935612\mPlayer.3.1.1k.dll
c:\users\OLIC~1.KAN\AppData\Local\Temp\mProjector1968935612\Registry.3.1.1hj.mfx
c:\users\OLIC~1.KAN\AppData\Local\Temp\mProjector1968935612\System.3.1.1hj.mfx

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CJYNL
-------\Service_cjynl


((((((((((((((((((((((((((((( Fichiers créés du 2010-09-24 au 2010-10-24 ))))))))))))))))))))))))))))))))))))
.

2010-10-21 00:01 . 2010-10-21 00:59 -------- d-----w- C:\Kan
2010-10-20 03:13 . 2010-10-20 03:13 -------- d-----w- C:\found.002
2010-10-19 21:44 . 2010-10-19 21:44 -------- d-----w- c:\users\Oli C. Kan\AppData\Roaming\Malwarebytes
2010-10-19 21:44 . 2010-04-29 19:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-19 21:44 . 2010-10-19 21:44 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-10-19 21:44 . 2010-10-19 21:44 -------- d-----w- c:\programdata\Malwarebytes
2010-10-19 21:44 . 2010-04-29 19:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-10-19 20:40 . 2010-10-19 20:41 -------- d-----w- c:\program files\List_Kill'em
2010-10-19 16:17 . 2010-10-19 16:17 0 ----a-w- c:\users\Oli C. Kan\AppData\Local\Qtizagiqetetabej.bin
2010-10-19 16:17 . 2010-10-19 16:17 -------- d-----w- c:\users\Oli C. Kan\AppData\Local\{5B99ED75-4F0A-4691-AB88-E4CB6A9828B2}
2010-10-19 16:16 . 2010-10-19 16:16 199 ----a-w- c:\users\Oli C. Kan\AppData\Roaming\21910.bat
2010-10-07 19:33 . 2010-10-07 19:33 119808 ----a-w- c:\program files\Mozilla Firefox\components\GoogleDesktopMozilla.dll
2010-10-06 22:57 . 2000-01-04 10:39 212992 ----a-w- c:\program files\Common Files\InstallShield\Engine\6\Intel 32\ILog.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-07 19:33 . 2010-10-07 19:33 119808 ----a-w- c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\users\Oli C. Kan\AppData\Local\Google\Update\GoogleUpdate.exe" [2009-08-17 133104]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"CTSyncU.exe"="c:\program files\Creative\Sync Manager Unicode\CTSyncU.exe" [2006-08-07 700416]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"RtHDVCpl"="RtHDVCpl.exe" [2008-03-26 5369856]
"hpsysdrv"="c:\hp\support\hpsysdrv.exe" [2007-04-18 65536]
"KBD"="c:\hp\KBD\KbdStub.EXE" [2006-12-08 65536]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-04-17 13535776]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-04-17 92704]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-12 39792]
"googletalk"="c:\program files\Google\Google Talk\googletalk.exe" [2007-01-01 3739648]
"UVS10 Preload"="c:\program files\Ulead Systems\Ulead VideoStudio 10\uvPL.exe" [2006-08-10 36864]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-07-15 2065760]
"BrMfcWnd"="c:\program files\Brother\Brmfcmon\BrMfcWnd.exe" [2008-02-19 1089536]
"ControlCenter3"="c:\program files\Brother\ControlCenter3\brctrcen.exe" [2007-12-21 86016]
"WTClient"="WTClient.exe" [2007-04-11 40960]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-18 421888]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2010-10-07 30192]

c:\users\Oli C. Kan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
desktopComic.exe [2008-10-4 604877]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2009-8-17 110592]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\System32\avgrsstx.dll c:\progra~1\Google\GO333C~1\GoogleDesktopNetwork3.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux3"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

R2 gupdate1ca2e34196502ef;Service Google Update (gupdate1ca2e34196502ef);c:\program files\Google\Update\GoogleUpdate.exe [2009-09-05 133104]
R3 FANTOM;LEGO MINDSTORMS NXT Driver;c:\windows\system32\DRIVERS\fantom.sys [2006-03-10 39424]
R3 GoogleDesktopManager-051210-111108;Google Desktop Manager 5.9.1005.12335;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2010-10-07 30192]
R3 HRMACPI;DSF ACPI Redirection Module;c:\windows\system32\DRIVERS\HRMACPI.SYS [x]
R3 HRMCFGSPC;DSF General Configuration Space Redirection Module;c:\windows\system32\DRIVERS\HRMCFGSPC.SYS [2009-07-13 90176]
R3 HRMINTS;DSF Interrupt Redirection Module;c:\windows\system32\DRIVERS\HRMINTS.SYS [2009-07-13 87504]
R3 HRMPORTS;DSF IO Port Redirection Module;c:\windows\system32\DRIVERS\HRMPORTS.SYS [2009-07-13 100688]
R3 PCD5SRVC{BD6912E3-AC9D80E8-05040000};PCD5SRVC{BD6912E3-AC9D80E8-05040000} - PCDR Kernel Mode Service Helper Driver;c:\progra~1\PC-DOC~1\PCD5SRVC.pkms [2008-03-26 21280]
R3 SCREAMINGBDRIVER;Screaming Bee Audio;c:\windows\system32\drivers\ScreamingBAudio.sys [x]
R3 SOFTHIDUSBK;USB HID Layer;c:\windows\system32\DRIVERS\SOFTHIDUSBK.SYS [x]
R3 SOFTUSBK;Generic USB device;c:\windows\system32\DRIVERS\SOFTUSBK.SYS [x]
R3 SOFTUSBTESTHUB;Generic USB Test Hub;c:\windows\system32\DRIVERS\SOFTUSBTESTHUB.SYS [x]
R3 SOFTWADP;Wireless adapter devices;c:\windows\system32\DRIVERS\SOFTWADP.SYS [x]
R3 WSOFTUSBK;Generic wireless USB device;c:\windows\system32\DRIVERS\WSOFTUSBK.SYS [x]
R4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys [2009-08-17 717296]
S0 DSFKSVCS;Kernel Services for DSF;c:\windows\system32\DRIVERS\dsfksvcs.sys [2009-07-13 477504]
S0 dsfroot;root enumerated bus driver;c:\windows\system32\DRIVERS\dsfroot.sys [2009-07-13 29136]
S1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\System32\Drivers\avgldx86.sys [2010-07-15 216400]
S1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\System32\Drivers\avgtdix.sys [2010-07-15 243024]
S2 avg9emc;AVG Free E-mail Scanner;c:\program files\AVG\AVG9\avgemc.exe [2010-07-22 921952]
S2 avg9wd;AVG Free WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [2010-07-15 308136]
S3 PTSimBus;PenTablet Bus Enumerator;c:\windows\system32\DRIVERS\PTSimBus.sys [2007-06-07 18944]
S3 PTSimHid;PenTablet Simulated HID MiniDriver;c:\windows\system32\DRIVERS\PTSimHid.sys [2007-04-23 10752]


--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - CJYNL
*Deregistered* - cjynl

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
.
Contenu du dossier 'Tâches planifiées'

2010-10-24 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-09-05 14:20]

2010-10-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-09-05 14:20]

2010-10-24 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-09-05 14:20]

2010-10-18 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1051007490-1479361568-1584414429-1000Core.job
- c:\users\Oli C. Kan\AppData\Local\Google\Update\GoogleUpdate.exe [2009-08-17 00:58]

2010-10-24 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1051007490-1479361568-1584414429-1000UA.job
- c:\users\Oli C. Kan\AppData\Local\Google\Update\GoogleUpdate.exe [2009-08-17 00:58]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_ca&c=83&bd=Pavilion&pf=cndt
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_ca&c=83&bd=Pavilion&pf=cndt
FF - ProfilePath - c:\users\Oli C. Kan\AppData\Roaming\Mozilla\Firefox\Profiles\b7kteekl.default\
FF - prefs.js: browser.startup.homepage - hxxp://sites.google.com/site/kancestmoi/
FF - component: c:\program files\AVG\AVG9\Firefox\components\avgssff.dll
FF - plugin: c:\program files\Google\Google Updater\2.4.1487.6512\npCIDetect13.dll
FF - plugin: c:\program files\Google\Update\1.2.183.39\npGoogleOneClick8.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npcnc32.dll
FF - plugin: c:\users\Oli C. Kan\AppData\Local\Google\Update\1.2.183.39\npGoogleOneClick8.dll
FF - plugin: c:\users\Oli C. Kan\AppData\Roaming\Mozilla\Firefox\Profiles\b7kteekl.default\extensions\yyginstantplay@yoyogames.com\plugins\NPYYGInstantPlay.dll
FF - plugin: c:\users\Oli C. Kan\AppData\Roaming\Mozilla\plugins\npgoogletalk.dll
FF - plugin: c:\users\Oli C. Kan\AppData\Roaming\Mozilla\plugins\npgtpo3dautoplugin.dll
FF - HiddenExtension: XULRunner: {5B99ED75-4F0A-4691-AB88-E4CB6A9828B2} - c:\users\Oli C. Kan\AppData\Local\{5B99ED75-4F0A-4691-AB88-E4CB6A9828B2}

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true); // Traditional
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true); // Simplified
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-10-23 20:50
Windows 6.0.6001 Service Pack 1 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\DSFKSVCS\MofImagePath]


[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\PCD5SRVC{BD6912E3-AC9D80E8-05040000}]
"ImagePath"="\??\c:\progra~1\PC-DOC~1\PCD5SRVC.pkms"

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\cjynl]

.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'Explorer.exe'(4856)
c:\program files\Microsoft Virtual PC\VPCShExH.DLL
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\windows\system32\rundll32.exe
c:\windows\SYSTEM32\WISPTIS.EXE
c:\program files\Common Files\microsoft shared\ink\TabTip.exe
c:\windows\SYSTEM32\WISPTIS.EXE
c:\program files\Common Files\microsoft shared\ink\TabTip.exe
c:\windows\system32\conime.exe
c:\windows\RtHDVCpl.exe
c:\windows\System32\rundll32.exe
c:\program files\AVG\AVG9\avgtray.exe
c:\windows\system32\CTsvcCDA.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
c:\windows\System32\Drivers\WTSRV.EXE
c:\windows\system32\DRIVERS\xaudio.exe
c:\windows\System32\WTClient.exe
c:\windows\system32\WUDFHost.exe
c:\program files\AVG\AVG9\avgnsx.exe
c:\users\Oli C. Kan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktopComic.exe
c:\windows\ehome\ehmsas.exe
c:\program files\AVG\AVG9\avgchsvx.exe
c:\program files\AVG\AVG9\avgrsx.exe
c:\program files\AVG\AVG9\avgcsrvx.exe
c:\program files\AVG\AVG9\avgcsrvx.exe
c:\windows\servicing\TrustedInstaller.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\Common Files\Microsoft Shared\Ink\InputPersonalization.exe
c:\program files\Hewlett-Packard\HP Health Check\hphc_service.exe
.
**************************************************************************
.
Heure de fin: 2010-10-23 20:55:09 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-10-24 00:55
ComboFix2.txt 2010-10-21 00:59

Avant-CF: 42 949 074 944 octets libres
Après-CF: 42 689 474 560 octets libres

- - End Of File - - 6E57AE4811E60E838D0854D817D6D5CE
0
Réponse 20 / 30
Utilisateur anonyme
Modifié par gen-hackman le 24/10/2010 à 13:24
encore des opérations à faire :

peux-tu m'envoyer ce fichier zippé via cijoint.fr .?

c:\users\Oli C. Kan\AppData\Roaming\21910.bat
¤¤¤¤¤¤?G3?-?@¢??@?(TM)©®?¤¤¤¤¤¤
0

Discussions similaires

Antimalware service Executable consomme 45% de RAM.
KalenShiv -
KalenShiv -

8 réponses
Antimalware service Executable qui surcharge la mémoire
KumaCreep -
bazfile -

14 réponses
Antimalware Service Executable : Processeur saturé
Arcadhias -
Malekal_morte- -

3 réponses
supprimer antimalware service executable
noisette2727 -
Malekal_morte- -

6 réponses
Antimalware Service Executable RAM
Bulle23 -
bazfile -

4 réponses