Antimalware (tiens donc...) Fermé

Question

Bonjour,

je sais pas comment j'ai fait mais me voilà assiégé par cette m**** d'Antimalware. Non seulement m'énerve-t-il avec une nouvelle fenêtre ''infections trouvées'' toutes les 5 secondes, mais en plus il m'empêche d'ouvrir le gestionnaire de tâches et m'a fermé Firefox au nez. :-/
J'ai redémarré deux fois avant de réaliser qu'il n'y avait rien à faire.

Donc là j'ai redémarré sous Ubuntu et j'aimerais régler le problème à partir d'ici. 
Quelqu'un a une idée de comment faire?

Toute idée pour les décourager de recommencer de pareils sales coups est aussi acceptée. ):-(

Merci à l'avance!

gen-hackman · Answer

salut c'est quel systeme qui est infecté ?

Kan · Answer

J'ai oublié de préciser qu'il n'y aucun dossier ni fichier portant le nom ''Antimalware'' dans Program Files.

Karel7 · Answer

Salut,

Tu doit désinfecter ton Windows sous ce dernier, utilise MBAM :

¤ Télécharge Malwarebytes Antimalware
¤¤¤> Tutoriel MBAM
¤ Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
¤ Lance une analyse complète en cliquant sur "Exécuter un examen complet"
¤ Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
¤ L'analyse peut durer un bon moment.....
¤ Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
¤ Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
¤ Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

¤¤¤  Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée


Puis fait un diagnostic ;) :

¤ Télécharge ZHPDiag (de Nicolas Coolman).
¤ Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
¤ Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
¤ Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
¤ Rend toi sur Cijoint et indique l'emplacement du rapport à l'aide du bouton "Parcourir..." Ensuite Clique sur "Cliquez ici pour déposer le fichier"
¤ Un lien se ra généré, copie colle le dans ta prochaine réponse.

Bonne chance @+

gen-hackman · Answer

je vous laisse......

Kan · Answer

Salut Karel7,

je viens d'essayer mais je ne peux absolument rien ouvrir sous Windows. Ni le bloc-notes dans lequel j'avais copié tes instructions, ni le setup de Malwarebytes Antimalware, ni Firefox. À chaque fois que j'essaie d'ouvrir quoi que ce soit, y'a une fenêtre de Protection PC chépaquoi qui me dit que le fichier essaie de transmettre mon numéro de carte de crédit à travers une connexion. C'est assez con comme prétexte d'ailleurs puisque je n'ai pas de carte de crédit et encore moins de numéro de carte sauvegardé quelque part dans mon ordi.

Je peux vraiment rien faire à partir de Windows. :-/
Est-ce que t'as une autre idée?

Je démarre Malwarebytes avec Wine sous Linux et j'essaie de faire quelque chose?

gen-hackman · Answer

ok prends ceci , et copie-le sur le bureau de la session interessée pour le retrouver au redemarrage et telecharge les logiciels que tu utiliseras sous windows quand meme ^^


Télécharge rkill :

&#9654 https://download.bleepingcomputer.com/grinler/rkill.exe
&#9654 https://download.bleepingcomputer.com/grinler/rkill.com
&#9654 https://download.bleepingcomputer.com/grinler/rkill.scr
&#9654 Enregistre-le sur ton Bureau

&#9654 Double-clique sur l'icone rkill ( pour Vista/Seven clic-droit Exécuter en tant qu'Administrateur)


Un bref écran noir t'indiquera que le tool s'est correctement exécuté, s'il ne se lance pas,change de lien de téléchargement.

si le logiciel ne fonctionne pas , force-le en cliquant plusieurs fois vite , au bout d'un moment ca devrait aller

une fois qu'il aura terminé

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!! (car l'outil est detecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions)

&#9654 Télécharge ici :List_Kill'em

 et enregistre le sur ton bureau 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

&#9830 Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

Il commencera par telecharger et installer ses mises à jour , puis te donnera son menu

choisis l'option Search

&#9654 laisse travailler l'outil

il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

&#9654 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM 

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/ 

&#9654 Clique sur Parcourir et cherche le fichier C:\List'em.txt 

&#9654 Clique sur Ouvrir. 

&#9654 Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt 

est ajouté dans la page. 

&#9654 Copie ce lien dans ta réponse. 

&#9654 Fais de même avec more.txt qui se trouve sur ton bureau

Kan · Answer

J'EN SUIS ENFIN DÉBARASSÉ! 8-D
vous avez déjà joué à Legend of Zelda? Et bien c'était comme si mon épée était le bouton gauche de la souris et que j'étais attaqué par une armée!

Merci beaucoup gen-hackman, et à tous les deux en fait. :-)
Malheureusement, vu que j'ai du à plusieurs reprises lancer rkill, il y a une quantité prodigieuse de logs qui ont été créés. Sauf que c'est pas ça que tu voulais que je t'envoie, n'est-ce pas?

J'ai rapidement cliqué sur CLEAN à l'ouverture de Lisk_Kill'em à plusieurs reprises avant que ça fonctionne, puis tout mes problèmes ont disparu. Puis j'ai relu que tu m'avais dit de cliquer sur SEARCH. Désolé, je viens de le faire, mais il ne trouve aucun fichier nommé List'em.txt  :-/

Merci pour tout! Si jamais vous avez quand même besoin d'un témoignage au lieu d'un fichier txt (je sais que c'est pas du tout pareil, mais vu que c'est tout ce que je peux offrir), répondez à nouveau à ce sujet et je repasserai voir. :-)

Bonne fin de journée (soirée dans votre cas j'imagine?) et merci encore!

gen-hackman · Answer

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 Coche les 2 cases Lop et Purity

&#9654 Coche la case devant tous les utilisateurs

&#9654 règle age du fichier sur "60 jours"

&#9654 dans la moitié gauche , mets tout sur "tous"

ne modifie pas ceci : 

"fichiers créés" et "fichiers Modifiés" 

&#9654Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

Kan · Answer

Erreur : je viens de redémarrer et j'ai encore les mêmes problèmes!

Donc, je télécharge OTL quand même?

gen-hackman · Answer

oui

Kan · Answer

Analyse en cours...

Dis-moi, ce Antimaware et toutes ses cochonneries, ça ne peut pas endommager mes fichiers au moins?
Je veux dire, à part de me rendre dingue, est-ce qu'il est dangereux ou est-ce que c'est pas grave s'il continue d'exister pendant que je fais toutes ces étapes?

Et il vient d'où au juste cette espèce de faux-antivirus?

gen-hackman · Answer

navigation pourrie ^^

non tes fichiers craignent rien ton ordi non plus (pour l'instant )
il est que là pour te faire ch****r

Kan · Answer

Voilà, j'ai fait l'analyse une première fois en oubliant de mettre à 60 jours, puis je l'ai refait deux fois en oubliant pas, et ces deux fois là elle a planté avant de pouvoir me fournir le fichier Extras.txt.

Donc j'ai joins le fichier OTL.txt d'un analayse à 60 jours et je fichier Extra.txt d'une analyse à 30 jours :
OTL : http://www.cijoint.fr/cjlink.php?file=cj201010/cijjJirS0W.txt
Extras : http://www.cijoint.fr/cjlink.php?file=cj201010/cijZO4WPvX.txt

gen-hackman · Answer

tu as vraiment fait n'importe quoi avec list_kill'em /!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\ __________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<< ===================================================== ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur Telecharge ici : Combofix Avant d'utiliser ComboFix : Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement : ▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau ▶ Lance le Une fenêtre apparait : clique sur "Disable" ▶ Fais redémarrer l'ordinateur si l'outil te le demande Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" _________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° si tu as XP => double clique si tu as Vista ou windows 7 => clic droit "executer en tant que...." sur combofix renommé ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

Kan · Answer

Ouais mai le truc c'est que j'ai bien essayé de désactiver mon antivirus mais y'a rien à faire. Non seulement je sais pas comment parce que Windows de lui-même ne me laissera jamais trouver l'info pour le faire (j'ai AVG 9), mais en plus cet imbécile de Antimalware Dr me ferme tout au nez ou bien pendant que l'endors avec rkill, rien qui est relié à l'explorateur Windows ne fonctionne. :-(

Mais qui fabrique ces trucs?!? )8-O

gen-hackman · Answer

bonjour

force avec  rkill  puis  fais combofix , j'attends le rapport

Kan · Answer

Après 3 redémarrages (celui de ComboFix, un que j'ai fait, puis celui de Defogger) il semble que je sois débarrassé de Antimalware Doctor.
Merci bien. :-)

Puisse plus jamais personne en être accablé!

Voici le rapport de ComboFix :

ComboFix 10-10-20.01 - Oli C. Kan 2010-10-20  20:04:40.1.3 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium   6.0.6001.1.1252.2.1036.18.3070.2075 [GMT -4:00]
Lancé depuis: c:\users\Oli C. Kan\Desktop\Kan.exe
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\Oli C. Kan\AppData\Roaming\EBC45F11BD8DDEB7DD94998B80304AD8
c:\users\Oli C. Kan\AppData\Roaming\EBC45F11BD8DDEB7DD94998B80304AD8\aerovisionsetup70700.exe
c:\users\Oli C. Kan\AppData\Roaming\EBC45F11BD8DDEB7DD94998B80304AD8\enemies-names.txt
c:\users\Oli C. Kan\AppData\Roaming\EBC45F11BD8DDEB7DD94998B80304AD8\local.ini
c:\users\Oli C. Kan\AppData\Roaming\EBC45F11BD8DDEB7DD94998B80304AD8\mediarealease70x700hh.exe
c:\users\Oli C. Kan\AppData\Roaming\hotfix.exe
c:\users\Oli C. Kan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Security Tool.lnk
c:\users\Oli C. Kan\AppData\Roaming\Pydza
c:\users\Oli C. Kan\AppData\Roaming\Pydza\config.xml
c:\users\Oli C. Kan\AppData\Roaming\Pydza\save.xml
c:\users\Public\Documents\Server\admin.txt
c:\users\Public\Documents\Server\server.dat
c:\windows\Client.ini
c:\windows\system32\jusched.exe
c:\windows\system32\msvcsv60.dll

Une copie infectée de c:\windows\explorer.exe a été trouvée et désinfectée 
Copie restaurée à partir de - c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.18000_none_51b4a71279bc6ebf\explorer.exe 

Une copie infectée de c:\windows\System32\wininit.exe a été trouvée et désinfectée 
Copie restaurée à partir de - c:\windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.0.6001.18000_none_30f2b8cf0450a6a2\wininit.exe 

Une copie infectée de c:\windows\explorer.exe a été trouvée et désinfectée 
Copie restaurée à partir de - c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.18000_none_51b4a71279bc6ebf\explorer.exe
.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-09-21 au 2010-10-21  ))))))))))))))))))))))))))))))))))))
.

2010-10-20 03:13 . 2010-10-20 03:13	--------	d-----w-	C:\found.002
2010-10-19 21:44 . 2010-10-19 21:44	--------	d-----w-	c:\users\Oli C. Kan\AppData\Roaming\Malwarebytes
2010-10-19 21:44 . 2010-04-29 19:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-19 21:44 . 2010-10-19 21:44	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-10-19 21:44 . 2010-10-19 21:44	--------	d-----w-	c:\programdata\Malwarebytes
2010-10-19 21:44 . 2010-04-29 19:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-10-19 20:40 . 2010-10-19 20:41	--------	d-----w-	c:\program files\List_Kill'em
2010-10-19 16:17 . 2010-10-19 16:17	0	----a-w-	c:\users\Oli C. Kan\AppData\Local\Qtizagiqetetabej.bin
2010-10-19 16:17 . 2010-10-19 16:17	--------	d-----w-	c:\users\Oli C. Kan\AppData\Local\{5B99ED75-4F0A-4691-AB88-E4CB6A9828B2}
2010-10-19 16:16 . 2010-10-19 16:16	199	----a-w-	c:\users\Oli C. Kan\AppData\Roaming\21910.bat
2010-10-07 19:33 . 2010-10-07 19:33	119808	----a-w-	c:\program files\Mozilla Firefox\components\GoogleDesktopMozilla.dll
2010-10-06 22:57 . 2000-01-04 10:39	212992	----a-w-	c:\program files\Common Files\InstallShield\Engine\6\Intel 32\ILog.dll

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-07 19:33 . 2010-10-07 19:33	119808	----a-w-	c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\users\Oli C. Kan\AppData\Local\Google\Update\GoogleUpdate.exe" [2009-08-17 133104]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"CTSyncU.exe"="c:\program files\Creative\Sync Manager Unicode\CTSyncU.exe" [2006-08-07 700416]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"RtHDVCpl"="RtHDVCpl.exe" [2008-03-26 5369856]
"hpsysdrv"="c:\hp\support\hpsysdrv.exe" [2007-04-18 65536]
"KBD"="c:\hp\KBD\KbdStub.EXE" [2006-12-08 65536]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-04-17 13535776]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-04-17 92704]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-12 39792]
"googletalk"="c:\program files\Google\Google Talk\googletalk.exe" [2007-01-01 3739648]
"UVS10 Preload"="c:\program files\Ulead Systems\Ulead VideoStudio 10\uvPL.exe" [2006-08-10 36864]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-07-15 2065760]
"BrMfcWnd"="c:\program files\Brother\Brmfcmon\BrMfcWnd.exe" [2008-02-19 1089536]
"ControlCenter3"="c:\program files\Brother\ControlCenter3\brctrcen.exe" [2007-12-21 86016]
"WTClient"="WTClient.exe" [2007-04-11 40960]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-18 421888]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2010-10-07 30192]

c:\users\Oli C. Kan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
desktopComic.exe [2008-10-4 604877]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2009-8-17 110592]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\System32\avgrsstx.dll c:\progra~1\Google\GO333C~1\GoogleDesktopNetwork3.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux3"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

R3 FANTOM;LEGO MINDSTORMS NXT Driver;c:\windows\system32\DRIVERS\fantom.sys [2006-03-10 39424]
R3 GoogleDesktopManager-051210-111108;Google Desktop Manager 5.9.1005.12335;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2010-10-07 30192]
R3 HRMACPI;DSF ACPI Redirection Module;c:\windows\system32\DRIVERS\HRMACPI.SYS [x]
R3 HRMCFGSPC;DSF General Configuration Space Redirection Module;c:\windows\system32\DRIVERS\HRMCFGSPC.SYS [2009-07-13 90176]
R3 HRMINTS;DSF Interrupt Redirection Module;c:\windows\system32\DRIVERS\HRMINTS.SYS [2009-07-13 87504]
R3 HRMPORTS;DSF IO Port Redirection Module;c:\windows\system32\DRIVERS\HRMPORTS.SYS [2009-07-13 100688]
R3 PCD5SRVC{BD6912E3-AC9D80E8-05040000};PCD5SRVC{BD6912E3-AC9D80E8-05040000} - PCDR Kernel Mode Service Helper Driver;c:\progra~1\PC-DOC~1\PCD5SRVC.pkms [2008-03-26 21280]
R3 SCREAMINGBDRIVER;Screaming Bee Audio;c:\windows\system32\drivers\ScreamingBAudio.sys [x]
R3 SOFTHIDUSBK;USB HID Layer;c:\windows\system32\DRIVERS\SOFTHIDUSBK.SYS [x]
R3 SOFTUSBK;Generic USB device;c:\windows\system32\DRIVERS\SOFTUSBK.SYS [x]
R3 SOFTUSBTESTHUB;Generic USB Test Hub;c:\windows\system32\DRIVERS\SOFTUSBTESTHUB.SYS [x]
R3 SOFTWADP;Wireless adapter devices;c:\windows\system32\DRIVERS\SOFTWADP.SYS [x]
R3 WSOFTUSBK;Generic wireless USB device;c:\windows\system32\DRIVERS\WSOFTUSBK.SYS [x]
R4 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2009-08-17 717296]
S0 DSFKSVCS;Kernel Services for DSF;c:\windows\system32\DRIVERS\dsfksvcs.sys [2009-07-13 477504]
S0 dsfroot;root enumerated bus driver;c:\windows\system32\DRIVERS\dsfroot.sys [2009-07-13 29136]
S1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\System32\Drivers\avgldx86.sys [2010-07-15 216400]
S1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\System32\Drivers\avgtdix.sys [2010-07-15 243024]
S2 avg9emc;AVG Free E-mail Scanner;c:\program files\AVG\AVG9\avgemc.exe [2010-07-22 921952]
S2 avg9wd;AVG Free WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [2010-07-15 308136]
S2 gupdate1ca2e34196502ef;Service Google Update (gupdate1ca2e34196502ef);c:\program files\Google\Update\GoogleUpdate.exe [2009-09-05 133104]
S3 PTSimBus;PenTablet Bus Enumerator;c:\windows\system32\DRIVERS\PTSimBus.sys [2007-06-07 18944]
S3 PTSimHid;PenTablet Simulated HID MiniDriver;c:\windows\system32\DRIVERS\PTSimHid.sys [2007-04-23 10752]


--- Autres Services/Pilotes en mémoire ---

*Deregistered* - cjynl

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
.
Contenu du dossier 'Tâches planifiées'

2010-10-21 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-09-05 14:20]

2010-10-21 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-09-05 14:20]

2010-10-18 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1051007490-1479361568-1584414429-1000Core.job
- c:\users\Oli C. Kan\AppData\Local\Google\Update\GoogleUpdate.exe [2009-08-17 00:58]

2010-10-21 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1051007490-1479361568-1584414429-1000UA.job
- c:\users\Oli C. Kan\AppData\Local\Google\Update\GoogleUpdate.exe [2009-08-17 00:58]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_ca&c=83&bd=Pavilion&pf=cndt
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_ca&c=83&bd=Pavilion&pf=cndt
FF - ProfilePath - c:\users\Oli C. Kan\AppData\Roaming\Mozilla\Firefox\Profiles\b7kteekl.default\
FF - prefs.js: browser.startup.homepage - hxxp://sites.google.com/site/kancestmoi/
FF - component: c:\program files\AVG\AVG9\Firefox\components\avgssff.dll
FF - plugin: c:\program files\Google\Google Updater\2.4.1487.6512
pCIDetect13.dll
FF - plugin: c:\program files\Google\Update\1.2.183.39
pGoogleOneClick8.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins
pcnc32.dll
FF - plugin: c:\users\Oli C. Kan\AppData\Local\Google\Update\1.2.183.39
pGoogleOneClick8.dll
FF - plugin: c:\users\Oli C. Kan\AppData\Roaming\Mozilla\Firefox\Profiles\b7kteekl.default\extensions\yyginstantplay@yoyogames.com\plugins\NPYYGInstantPlay.dll
FF - plugin: c:\users\Oli C. Kan\AppData\Roaming\Mozilla\plugins
pgoogletalk.dll
FF - plugin: c:\users\Oli C. Kan\AppData\Roaming\Mozilla\plugins
pgtpo3dautoplugin.dll
FF - HiddenExtension: XULRunner: {5B99ED75-4F0A-4691-AB88-E4CB6A9828B2} - c:\users\Oli C. Kan\AppData\Local\{5B99ED75-4F0A-4691-AB88-E4CB6A9828B2}

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-mediarealease70x700hh.exe - c:\users\Oli C. Kan\AppData\Roaming\EBC45F11BD8DDEB7DD94998B80304AD8\mediarealease70x700hh.exe
HKLM-Run-HP Health Check Scheduler - [ProgramFilesFolder]Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe



[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\DSFKSVCS\MofImagePath]


[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\PCD5SRVC{BD6912E3-AC9D80E8-05040000}]
"ImagePath"="\??\c:\progra~1\PC-DOC~1\PCD5SRVC.pkms"

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\cjynl]

.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'Explorer.exe'(1444)
c:\program files\Microsoft Virtual PC\VPCShExH.DLL
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32
vvsvc.exe
c:\windows\system32undll32.exe
c:\windows\SYSTEM32\WISPTIS.EXE
c:\program files\Common Files\microsoft shared\ink\TabTip.exe
c:\windows\SYSTEM32\WISPTIS.EXE
c:\program files\Common Files\microsoft shared\ink\TabTip.exe
c:\windows\system32\conime.exe
c:\windows\system32\CTsvcCDA.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
c:\windows\System32\Drivers\WTSRV.EXE
c:\windows\system32\DRIVERS\xaudio.exe
c:\windows\system32\WUDFHost.exe
c:\windows\RtHDVCpl.exe
c:\windows\System32undll32.exe
c:\program files\AVG\AVG9\avgtray.exe
c:\windows\System32\WTClient.exe
c:\windows\ehome\ehmsas.exe
c:\users\Oli C. Kan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktopComic.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\AVG\AVG9\avgcsrvx.exe
c:\windows\servicing\TrustedInstaller.exe
c:\program files\Common Files\Microsoft Shared\Ink\InputPersonalization.exe
c:\program files\Hewlett-Packard\HP Health Check\hphc_service.exe
.
**************************************************************************
.
Heure de fin: 2010-10-20  20:59:13 - La machine a redémarré
ComboFix-quarantined-files.txt  2010-10-21 00:59

Avant-CF: 37 409 787 904 octets libres
Après-CF: 44 207 374 336 octets libres

- - End Of File - - ACE3ABE793204AE007D60B778914D2A6

gen-hackman · Answer

1/..... Fais analyser le(s) fichier(s) suivants sur Virustotal : Virus Total * * Colle directement le chemin des fichiers , un par un , dans l'espace "Parcourir" apres chaque analyse : c:\users\Oli C. Kan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktopComic.exe * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché. * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page. * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse. ============================== 2/....... __________________________________________________ =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <= =>il est fort déconseillé de le transposer sur un autre ordinateur !<= ---------------------------------------------------------------------------- Toujours avec toutes les protections désactivées, fais ceci : ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) : ---------------------------------------------------------- KillAll:: Driver:: cjynl ------------------------------------------------------------------ ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt ▶ Quitte le Bloc Notes ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu. ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

Kan · Answer

Alors, voici l'analyse Virus Total refaite après le scan de ComboFix puisque ce dernier m'a fermé Firefox au visage ainsi je n'ai donc pas pu garder le lien de la première analyse :
http://www.virustotal.com/file-scan/report.html?id=3a65feb02bef9935f85931562aa746b7dc9be2071a0ce6dbbb19e6d18f5a57c1-1287882041

Et le rapport de scan de ComboFix :

ComboFix 10-10-22.05 - Oli C. Kan 2010-10-23  20:38:17.2.3 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium   6.0.6001.1.1252.2.1036.18.3070.1851 [GMT -4:00]
Lancé depuis: c:\users\Oli C. Kan\Desktop\Kan.exe
Commutateurs utilisés :: c:\users\Oli C. Kan\Desktop\CFScript.txt
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\Oli C. Kan\AppData\Local\Temp\mProjector1968935612\File.3.1.1hj.mfx
c:\users\Oli C. Kan\AppData\Local\Temp\mProjector1968935612\Flash6MovieV2.3.1.1hj.mvx
c:\users\Oli C. Kan\AppData\Local\Temp\mProjector1968935612\FlashPlayer.3.1.1k.ocx
c:\users\Oli C. Kan\AppData\Local\Temp\mProjector1968935612\mPlayer.3.1.1k.dll
c:\users\Oli C. Kan\AppData\Local\Temp\mProjector1968935612\Registry.3.1.1hj.mfx
c:\users\Oli C. Kan\AppData\Local\Temp\mProjector1968935612\System.3.1.1hj.mfx
c:\users\OLIC~1.KAN\AppData\Local\Temp\mProjector1968935612\File.3.1.1hj.mfx
c:\users\OLIC~1.KAN\AppData\Local\Temp\mProjector1968935612\Flash6MovieV2.3.1.1hj.mvx
c:\users\OLIC~1.KAN\AppData\Local\Temp\mProjector1968935612\FlashPlayer.3.1.1k.ocx
c:\users\OLIC~1.KAN\AppData\Local\Temp\mProjector1968935612\mPlayer.3.1.1k.dll
c:\users\OLIC~1.KAN\AppData\Local\Temp\mProjector1968935612\Registry.3.1.1hj.mfx
c:\users\OLIC~1.KAN\AppData\Local\Temp\mProjector1968935612\System.3.1.1hj.mfx

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CJYNL
-------\Service_cjynl


(((((((((((((((((((((((((((((   Fichiers créés du 2010-09-24 au 2010-10-24  ))))))))))))))))))))))))))))))))))))
.

2010-10-21 00:01 . 2010-10-21 00:59	--------	d-----w-	C:\Kan
2010-10-20 03:13 . 2010-10-20 03:13	--------	d-----w-	C:\found.002
2010-10-19 21:44 . 2010-10-19 21:44	--------	d-----w-	c:\users\Oli C. Kan\AppData\Roaming\Malwarebytes
2010-10-19 21:44 . 2010-04-29 19:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-19 21:44 . 2010-10-19 21:44	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-10-19 21:44 . 2010-10-19 21:44	--------	d-----w-	c:\programdata\Malwarebytes
2010-10-19 21:44 . 2010-04-29 19:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-10-19 20:40 . 2010-10-19 20:41	--------	d-----w-	c:\program files\List_Kill'em
2010-10-19 16:17 . 2010-10-19 16:17	0	----a-w-	c:\users\Oli C. Kan\AppData\Local\Qtizagiqetetabej.bin
2010-10-19 16:17 . 2010-10-19 16:17	--------	d-----w-	c:\users\Oli C. Kan\AppData\Local\{5B99ED75-4F0A-4691-AB88-E4CB6A9828B2}
2010-10-19 16:16 . 2010-10-19 16:16	199	----a-w-	c:\users\Oli C. Kan\AppData\Roaming\21910.bat
2010-10-07 19:33 . 2010-10-07 19:33	119808	----a-w-	c:\program files\Mozilla Firefox\components\GoogleDesktopMozilla.dll
2010-10-06 22:57 . 2000-01-04 10:39	212992	----a-w-	c:\program files\Common Files\InstallShield\Engine\6\Intel 32\ILog.dll

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-07 19:33 . 2010-10-07 19:33	119808	----a-w-	c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\users\Oli C. Kan\AppData\Local\Google\Update\GoogleUpdate.exe" [2009-08-17 133104]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"CTSyncU.exe"="c:\program files\Creative\Sync Manager Unicode\CTSyncU.exe" [2006-08-07 700416]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"RtHDVCpl"="RtHDVCpl.exe" [2008-03-26 5369856]
"hpsysdrv"="c:\hp\support\hpsysdrv.exe" [2007-04-18 65536]
"KBD"="c:\hp\KBD\KbdStub.EXE" [2006-12-08 65536]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-04-17 13535776]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-04-17 92704]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-12 39792]
"googletalk"="c:\program files\Google\Google Talk\googletalk.exe" [2007-01-01 3739648]
"UVS10 Preload"="c:\program files\Ulead Systems\Ulead VideoStudio 10\uvPL.exe" [2006-08-10 36864]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-07-15 2065760]
"BrMfcWnd"="c:\program files\Brother\Brmfcmon\BrMfcWnd.exe" [2008-02-19 1089536]
"ControlCenter3"="c:\program files\Brother\ControlCenter3\brctrcen.exe" [2007-12-21 86016]
"WTClient"="WTClient.exe" [2007-04-11 40960]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-18 421888]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2010-10-07 30192]

c:\users\Oli C. Kan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
desktopComic.exe [2008-10-4 604877]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2009-8-17 110592]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\System32\avgrsstx.dll c:\progra~1\Google\GO333C~1\GoogleDesktopNetwork3.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux3"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

R2 gupdate1ca2e34196502ef;Service Google Update (gupdate1ca2e34196502ef);c:\program files\Google\Update\GoogleUpdate.exe [2009-09-05 133104]
R3 FANTOM;LEGO MINDSTORMS NXT Driver;c:\windows\system32\DRIVERS\fantom.sys [2006-03-10 39424]
R3 GoogleDesktopManager-051210-111108;Google Desktop Manager 5.9.1005.12335;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2010-10-07 30192]
R3 HRMACPI;DSF ACPI Redirection Module;c:\windows\system32\DRIVERS\HRMACPI.SYS [x]
R3 HRMCFGSPC;DSF General Configuration Space Redirection Module;c:\windows\system32\DRIVERS\HRMCFGSPC.SYS [2009-07-13 90176]
R3 HRMINTS;DSF Interrupt Redirection Module;c:\windows\system32\DRIVERS\HRMINTS.SYS [2009-07-13 87504]
R3 HRMPORTS;DSF IO Port Redirection Module;c:\windows\system32\DRIVERS\HRMPORTS.SYS [2009-07-13 100688]
R3 PCD5SRVC{BD6912E3-AC9D80E8-05040000};PCD5SRVC{BD6912E3-AC9D80E8-05040000} - PCDR Kernel Mode Service Helper Driver;c:\progra~1\PC-DOC~1\PCD5SRVC.pkms [2008-03-26 21280]
R3 SCREAMINGBDRIVER;Screaming Bee Audio;c:\windows\system32\drivers\ScreamingBAudio.sys [x]
R3 SOFTHIDUSBK;USB HID Layer;c:\windows\system32\DRIVERS\SOFTHIDUSBK.SYS [x]
R3 SOFTUSBK;Generic USB device;c:\windows\system32\DRIVERS\SOFTUSBK.SYS [x]
R3 SOFTUSBTESTHUB;Generic USB Test Hub;c:\windows\system32\DRIVERS\SOFTUSBTESTHUB.SYS [x]
R3 SOFTWADP;Wireless adapter devices;c:\windows\system32\DRIVERS\SOFTWADP.SYS [x]
R3 WSOFTUSBK;Generic wireless USB device;c:\windows\system32\DRIVERS\WSOFTUSBK.SYS [x]
R4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys [2009-08-17 717296]
S0 DSFKSVCS;Kernel Services for DSF;c:\windows\system32\DRIVERS\dsfksvcs.sys [2009-07-13 477504]
S0 dsfroot;root enumerated bus driver;c:\windows\system32\DRIVERS\dsfroot.sys [2009-07-13 29136]
S1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\System32\Drivers\avgldx86.sys [2010-07-15 216400]
S1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\System32\Drivers\avgtdix.sys [2010-07-15 243024]
S2 avg9emc;AVG Free E-mail Scanner;c:\program files\AVG\AVG9\avgemc.exe [2010-07-22 921952]
S2 avg9wd;AVG Free WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [2010-07-15 308136]
S3 PTSimBus;PenTablet Bus Enumerator;c:\windows\system32\DRIVERS\PTSimBus.sys [2007-06-07 18944]
S3 PTSimHid;PenTablet Simulated HID MiniDriver;c:\windows\system32\DRIVERS\PTSimHid.sys [2007-04-23 10752]


--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - CJYNL
*Deregistered* - cjynl

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
.
Contenu du dossier 'Tâches planifiées'

2010-10-24 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-09-05 14:20]

2010-10-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-09-05 14:20]

2010-10-24 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-09-05 14:20]

2010-10-18 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1051007490-1479361568-1584414429-1000Core.job
- c:\users\Oli C. Kan\AppData\Local\Google\Update\GoogleUpdate.exe [2009-08-17 00:58]

2010-10-24 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1051007490-1479361568-1584414429-1000UA.job
- c:\users\Oli C. Kan\AppData\Local\Google\Update\GoogleUpdate.exe [2009-08-17 00:58]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_ca&c=83&bd=Pavilion&pf=cndt
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_ca&c=83&bd=Pavilion&pf=cndt
FF - ProfilePath - c:\users\Oli C. Kan\AppData\Roaming\Mozilla\Firefox\Profiles\b7kteekl.default\
FF - prefs.js: browser.startup.homepage - hxxp://sites.google.com/site/kancestmoi/
FF - component: c:\program files\AVG\AVG9\Firefox\components\avgssff.dll
FF - plugin: c:\program files\Google\Google Updater\2.4.1487.6512
pCIDetect13.dll
FF - plugin: c:\program files\Google\Update\1.2.183.39
pGoogleOneClick8.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins
pcnc32.dll
FF - plugin: c:\users\Oli C. Kan\AppData\Local\Google\Update\1.2.183.39
pGoogleOneClick8.dll
FF - plugin: c:\users\Oli C. Kan\AppData\Roaming\Mozilla\Firefox\Profiles\b7kteekl.default\extensions\yyginstantplay@yoyogames.com\plugins\NPYYGInstantPlay.dll
FF - plugin: c:\users\Oli C. Kan\AppData\Roaming\Mozilla\plugins
pgoogletalk.dll
FF - plugin: c:\users\Oli C. Kan\AppData\Roaming\Mozilla\plugins
pgtpo3dautoplugin.dll
FF - HiddenExtension: XULRunner: {5B99ED75-4F0A-4691-AB88-E4CB6A9828B2} - c:\users\Oli C. Kan\AppData\Local\{5B99ED75-4F0A-4691-AB88-E4CB6A9828B2}

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true);  // Traditional
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true);  // Simplified
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-10-23 20:50
Windows 6.0.6001 Service Pack 1 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\DSFKSVCS\MofImagePath]


[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\PCD5SRVC{BD6912E3-AC9D80E8-05040000}]
"ImagePath"="\??\c:\progra~1\PC-DOC~1\PCD5SRVC.pkms"

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\cjynl]

.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'Explorer.exe'(4856)
c:\program files\Microsoft Virtual PC\VPCShExH.DLL
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32
vvsvc.exe
c:\windows\system32undll32.exe
c:\windows\SYSTEM32\WISPTIS.EXE
c:\program files\Common Files\microsoft shared\ink\TabTip.exe
c:\windows\SYSTEM32\WISPTIS.EXE
c:\program files\Common Files\microsoft shared\ink\TabTip.exe
c:\windows\system32\conime.exe
c:\windows\RtHDVCpl.exe
c:\windows\System32undll32.exe
c:\program files\AVG\AVG9\avgtray.exe
c:\windows\system32\CTsvcCDA.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
c:\windows\System32\Drivers\WTSRV.EXE
c:\windows\system32\DRIVERS\xaudio.exe
c:\windows\System32\WTClient.exe
c:\windows\system32\WUDFHost.exe
c:\program files\AVG\AVG9\avgnsx.exe
c:\users\Oli C. Kan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktopComic.exe
c:\windows\ehome\ehmsas.exe
c:\program files\AVG\AVG9\avgchsvx.exe
c:\program files\AVG\AVG9\avgrsx.exe
c:\program files\AVG\AVG9\avgcsrvx.exe
c:\program files\AVG\AVG9\avgcsrvx.exe
c:\windows\servicing\TrustedInstaller.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\Common Files\Microsoft Shared\Ink\InputPersonalization.exe
c:\program files\Hewlett-Packard\HP Health Check\hphc_service.exe
.
**************************************************************************
.
Heure de fin: 2010-10-23  20:55:09 - La machine a redémarré
ComboFix-quarantined-files.txt  2010-10-24 00:55
ComboFix2.txt  2010-10-21 00:59

Avant-CF: 42 949 074 944 octets libres
Après-CF: 42 689 474 560 octets libres

- - End Of File - - 6E57AE4811E60E838D0854D817D6D5CE

gen-hackman · Answer

encore des opérations à faire : 

peux-tu m'envoyer ce fichier zippé via cijoint.fr .?  

c:\users\Oli C. Kan\AppData\Roaming\21910.bat  
¤¤¤¤¤¤?G3?-?@¢??@?(TM)©®?¤¤¤¤¤&#164

Kan · Answer

On ne peut pas joindre les fichiers .bat sur cijoint alors je l'ai changé pour .txt
Selon le texte que je peux y lire, on dirait que ce fichier n'a pour mission que de supprimer un programme pour ensuite se supprimer lui-même...

http://www.cijoint.fr/cjlink.php?file=cj201010/cijHBSnFSk.txt

gen-hackman · Answer

pour se supprimer soi-même j aurais plutot mis :

del %~0 

m'enfin bon......ca marche aussi .......

Kan · Answer

Eh...en fait j'ai pas vraiment décidé quoique ce soit puisque ce n'est pas moi qui ai conçu le fichier en question...

Est-ce qu'il y a autre chose que je devrais t'envoyer?

gen-hackman · Answer

hello

__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
KillAll::

File::
c:\users\Oli C. Kan\AppData\Local\Qtizagiqetetabej.bin
c:\users\Oli C. Kan\AppData\Roaming\21910.bat

Folder::
c:\users\Oli C. Kan\AppData\Local\{5B99ED75-4F0A-4691-AB88-E4CB6A9828B2}

Driver::
CJYNL

------------------------------------------------------------------

▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes

▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

Kan · Answer

M.... 
Combofix m'a dit qu'il est périmé. Cliquer sur OUI était sensé le faire fonctionner en fonctionnalités réduites, mais au lieu de ça, il s'est fermé et auto-supprimé.

Je peux avoir une nouvelle version quelque part ou je sais pas?

gen-hackman · Answer

bonjour il y a le lien plus haut :)

Kan · Answer

ComboFix 10-11-11.01 - Oli C. Kan 2010-11-13  23:28:30.3.3 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium   6.0.6001.1.1252.2.1036.18.3070.2081 [GMT -5:00]
Lancé depuis: c:\users\Oli C. Kan\Desktop\Kan.exe
Commutateurs utilisés :: c:\users\Oli C. Kan\Desktop\CFScript.txt
 * Un nouveau point de restauration a été créé

FILE ::
"c:\users\Oli C. Kan\AppData\Local\Qtizagiqetetabej.bin"
"c:\users\Oli C. Kan\AppData\Roaming\21910.bat"
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\Oli C. Kan\AppData\Local\{5B99ED75-4F0A-4691-AB88-E4CB6A9828B2}
c:\users\Oli C. Kan\AppData\Local\{5B99ED75-4F0A-4691-AB88-E4CB6A9828B2}\chrome.manifest
c:\users\Oli C. Kan\AppData\Local\{5B99ED75-4F0A-4691-AB88-E4CB6A9828B2}\chrome\content\_cfg.js
c:\users\Oli C. Kan\AppData\Local\{5B99ED75-4F0A-4691-AB88-E4CB6A9828B2}\chrome\content\overlay.xul
c:\users\Oli C. Kan\AppData\Local\{5B99ED75-4F0A-4691-AB88-E4CB6A9828B2}\install.rdf
c:\users\Oli C. Kan\AppData\Local\Qtizagiqetetabej.bin

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CJYNL
-------\Service_cjynl


(((((((((((((((((((((((((((((   Fichiers créés du 2010-10-14 au 2010-11-14  ))))))))))))))))))))))))))))))))))))
.

2010-11-14 04:35 . 2010-11-14 04:35	--------	d-----w-	c:\windows\system32\config\systemprofile\AppData\Local	emp
2010-11-14 04:35 . 2010-11-14 04:35	--------	d-----w-	c:\users\Default\AppData\Local	emp
2010-10-29 03:29 . 2010-10-29 03:29	--------	d-----w-	c:\users\Oli C. Kan\AppData\Roaming\AVG10
2010-10-29 02:33 . 2010-10-29 02:33	--------	d--h--w-	c:\programdata\Common Files
2010-10-29 02:31 . 2010-11-11 19:43	--------	d-----w-	c:\windows\system32\drivers\AVG
2010-10-29 02:31 . 2010-10-29 02:33	--------	d-----w-	c:\programdata\AVG10
2010-10-29 01:47 . 2010-10-29 02:24	--------	d-----w-	c:\programdata\MFAData
2010-10-21 00:01 . 2010-10-21 00:59	--------	d-----w-	C:\Kan
2010-10-20 03:13 . 2010-10-20 03:13	--------	d-----w-	C:\found.002
2010-10-19 21:44 . 2010-10-19 21:44	--------	d-----w-	c:\users\Oli C. Kan\AppData\Roaming\Malwarebytes
2010-10-19 21:44 . 2010-04-29 19:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-19 21:44 . 2010-10-19 21:44	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-10-19 21:44 . 2010-10-19 21:44	--------	d-----w-	c:\programdata\Malwarebytes
2010-10-19 21:44 . 2010-04-29 19:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-10-19 20:40 . 2010-10-27 22:25	--------	d-----w-	c:\program files\List_Kill'em
2010-10-19 16:15 . 2010-11-14 04:35	843776	----a-w-	c:\windows\system32\drivers\cjynl.sys

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-13 20:27 . 2010-09-13 20:27	25680	----a-w-	c:\windows\system32\drivers\AVGIDSEH.sys
2010-09-07 07:49 . 2010-09-07 07:49	298448	----a-w-	c:\windows\system32\drivers\avgtdix.sys
2010-09-07 07:48 . 2010-09-07 07:48	34384	----a-w-	c:\windows\system32\drivers\avgmfx86.sys
2010-09-07 07:48 . 2010-09-07 07:48	249424	----a-w-	c:\windows\system32\drivers\avgldx86.sys
2010-09-07 07:48 . 2010-09-07 07:48	26064	----a-w-	c:\windows\system32\drivers\avgrkx86.sys
2010-08-20 01:42 . 2010-08-20 01:42	27216	----a-w-	c:\windows\system32\drivers\AVGIDSShim.sys
2010-08-20 01:42 . 2010-08-20 01:42	123472	----a-w-	c:\windows\system32\drivers\AVGIDSDriver.sys
2010-08-20 01:42 . 2010-08-20 01:42	30288	----a-w-	c:\windows\system32\drivers\AVGIDSFilter.sys
2010-10-07 19:33 . 2010-10-07 19:33	119808	----a-w-	c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\users\Oli C. Kan\AppData\Local\Google\Update\GoogleUpdate.exe" [2009-08-17 133104]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"CTSyncU.exe"="c:\program files\Creative\Sync Manager Unicode\CTSyncU.exe" [2006-08-07 700416]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="RtHDVCpl.exe" [2008-03-26 5369856]
"hpsysdrv"="c:\hp\support\hpsysdrv.exe" [2007-04-18 65536]
"KBD"="c:\hp\KBD\KbdStub.EXE" [2006-12-08 65536]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-04-17 13535776]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-04-17 92704]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-12 39792]
"googletalk"="c:\program files\Google\Google Talk\googletalk.exe" [2007-01-01 3739648]
"UVS10 Preload"="c:\program files\Ulead Systems\Ulead VideoStudio 10\uvPL.exe" [2006-08-10 36864]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
"BrMfcWnd"="c:\program files\Brother\Brmfcmon\BrMfcWnd.exe" [2008-02-19 1089536]
"ControlCenter3"="c:\program files\Brother\ControlCenter3\brctrcen.exe" [2007-12-21 86016]
"WTClient"="WTClient.exe" [2007-04-11 40960]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-18 421888]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2010-10-07 30192]
"AVG_TRAY"="c:\program files\AVG\AVG10\avgtray.exe" [2010-09-15 2745696]

c:\users\Oli C. Kan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
desktopComic.exe [2008-10-4 604877]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2009-8-17 110592]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Google\GO333C~1\GoogleDesktopNetwork3.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux3"=wdmaud.drv

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0c:\progra~1\AVG\AVG10\avgchsvx.exe /sync\0c:\progra~1\AVG\AVG10\avgrsx.exe /sync /restart

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiSpywareOverride"=dword:00000001

R1 Avgldx86;AVG AVI Loader Driver;c:\windows\system32\DRIVERS\avgldx86.sys [2010-09-07 249424]
S0 AVGIDSEH;AVGIDSEH;c:\windows\system32\DRIVERS\AVGIDSEH.Sys [2010-09-13 25680]
S0 Avgrkx86;AVG Anti-Rootkit Driver;c:\windows\system32\DRIVERS\avgrkx86.sys [2010-09-07 26064]
S1 Avgtdix;AVG TDI Driver;c:\windows\system32\DRIVERS\avgtdix.sys [2010-09-07 298448]
S2 AVGIDSAgent;AVGIDSAgent;c:\program files\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe [2010-10-11 6104656]
S2 avgwd;AVG WatchDog;c:\program files\AVG\AVG10\avgwdsvc.exe [2010-09-10 265400]
S3 AVGIDSDriver;AVGIDSDriver;c:\windows\system32\DRIVERS\AVGIDSDriver.Sys [2010-08-20 123472]
S3 AVGIDSFilter;AVGIDSFilter;c:\windows\system32\DRIVERS\AVGIDSFilter.Sys [2010-08-20 30288]
S3 AVGIDSShim;AVGIDSShim;c:\windows\system32\DRIVERS\AVGIDSShim.Sys [2010-08-20 27216]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
.
Contenu du dossier 'Tâches planifiées'

2010-11-14 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-09-05 14:20]

2010-11-14 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-09-05 14:20]

2010-11-14 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-09-05 14:20]

2010-11-13 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1051007490-1479361568-1584414429-1000Core.job
- c:\users\Oli C. Kan\AppData\Local\Google\Update\GoogleUpdate.exe [2009-08-17 00:58]

2010-11-14 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1051007490-1479361568-1584414429-1000UA.job
- c:\users\Oli C. Kan\AppData\Local\Google\Update\GoogleUpdate.exe [2009-08-17 00:58]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_ca&c=83&bd=Pavilion&pf=cndt
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_ca&c=83&bd=Pavilion&pf=cndt
FF - ProfilePath - c:\users\Oli C. Kan\AppData\Roaming\Mozilla\Firefox\Profiles\b7kteekl.default\
FF - prefs.js: browser.startup.homepage - hxxp://sites.google.com/site/kancestmoi/
FF - component: c:\program files\AVG\AVG10\Firefox\components\avgssff.dll
FF - plugin: c:\program files\Google\Google Updater\2.4.1487.6512
pCIDetect13.dll
FF - plugin: c:\program files\Google\Update\1.2.183.39
pGoogleOneClick8.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins
pcnc32.dll
FF - plugin: c:\users\Oli C. Kan\AppData\Local\Google\Update\1.2.183.39
pGoogleOneClick8.dll
FF - plugin: c:\users\Oli C. Kan\AppData\Roaming\Mozilla\Firefox\Profiles\b7kteekl.default\extensions\yyginstantplay@yoyogames.com\plugins\NPYYGInstantPlay.dll
FF - plugin: c:\users\Oli C. Kan\AppData\Roaming\Mozilla\plugins
pgoogletalk.dll
FF - plugin: c:\users\Oli C. Kan\AppData\Roaming\Mozilla\plugins
pgtpo3dautoplugin.dll

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true);  // Traditional
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true);  // Simplified
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************
Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\DSFKSVCS\MofImagePath]


[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\PCD5SRVC{BD6912E3-AC9D80E8-05040000}]
"ImagePath"="\??\c:\progra~1\PC-DOC~1\PCD5SRVC.pkms"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'Explorer.exe'(5644)
c:\program files\Microsoft Virtual PC\VPCShExH.DLL
.
------------------------ Autres processus actifs ------------------------
.
c:\progra~1\AVG\AVG10\avgchsvx.exe
c:\windows\system32
vvsvc.exe
c:\windows\system32undll32.exe
c:\windows\SYSTEM32\WISPTIS.EXE
c:\program files\Common Files\microsoft shared\ink\TabTip.exe
c:\windows\SYSTEM32\WISPTIS.EXE
c:\program files\Common Files\microsoft shared\ink\TabTip.exe
c:\windows\system32\CTsvcCDA.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\windows\system32\conime.exe
c:\windows\RtHDVCpl.exe
c:\windows\System32undll32.exe
c:\windows\System32\WTClient.exe
c:\users\Oli C. Kan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktopComic.exe
c:\windows\ehome\ehmsas.exe
c:\program files\AVG\AVG10\avgnsx.exe
c:\program files\AVG\AVG10\avgemcx.exe
c:\program files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
c:\windows\System32\Drivers\WTSRV.EXE
c:\windows\system32\WUDFHost.exe
c:\windows\system32\DRIVERS\xaudio.exe
c:\windows\servicing\TrustedInstaller.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\Common Files\Microsoft Shared\Ink\InputPersonalization.exe
c:\program files\Hewlett-Packard\HP Health Check\hphc_service.exe
.
**************************************************************************
.
Heure de fin: 2010-11-13  23:42:34 - La machine a redémarré
ComboFix-quarantined-files.txt  2010-11-14 04:42
ComboFix2.txt  2010-10-24 00:55
ComboFix3.txt  2010-10-21 00:59

Avant-CF: 77 258 317 824 octets libres
Après-CF: 77 971 165 184 octets libres

- - End Of File - - 6D778DC5F060C1158585A6C8C16C3336

gen-hackman · Answer

bonsoir quelle evolution a-t-on ?

Kan · Answer

Ben en fait, je n'ai plus rien depuis...quelques semaines maintenant (depuis la première fois que j'ai utilisé ComboFix en fait.)

Une journée avant cette date, notre fournisseur Internet nous avait contacté pour nous dire que des compagnies partenaires recevaient des messages de publicité pour des produits pharmaceutiques depuis notre adresse IP. C'est arrivé de nouveau il y a environ une semaine alors j'ai continué les étapes que tu m'envoyais même si comme tu as pu le voir, j'ai été beaucoup moins souvent présent. :-)

Merci de ce temps et cette aide. Devrais-je faire autre chose pour conclure, ou devrait-il être bel et bien disparu?

gen-hackman · Answer

Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.



&#9654 Télécharge ici :
	
Malwarebytes  

ou  :

Malwarebytes

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

&#9654 Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

Antimalware (tiens donc...)

30 réponses

Discussions similaires