Thinkpoint - débutant
Résolu
Jojola7575
-
moment de grace Messages postés 30049 Statut Contributeur sécurité -
moment de grace Messages postés 30049 Statut Contributeur sécurité -
Bonjour,
voilà le problème est apparu hier vers 15H , j'ai reçu un message avec win32/trojan, j'ai paniqué et j'ai démarré avira (la version 10) ! Il arrive à supprimer ce fichier suspect, j'arrête l'ordinateur et là, plus rien ! Je surfe sur internet tranquillement, je le laisse tranquillement le temps de manger (19H-20H) et quand je reviens, il réapparait ! Je panique, je met le scan, et il me propose Thinkpoint, comme je ne savais pas quoi faire, je l'ai pris, puis j'ai supprimé les raccourcis en mode sans échec, je redémarre le pc ! Et là, je vois : Thinkpoint : safe startup ! Je reviens en mode sans échec, je supprime win32.ddl (ou dll) qui me paraissait suspect et j'essaye de trouver thinkpoint ! Mais je le trouve pas (j'ai supprimé les raccourcis thinkpoint avant la fenêtre thinkpoint(redémarrage)), j'ai surfé pour trouver des informations, j'ai cherché hotfix.exe, je ne le trouve pas !
Pour l'instant, j'ai commencé la solution de benurrr, j'ai téléchargé combofix.exe, je l'ai renommé CCM.exe, je reçois un avertissement où je dois répondre par oui ou par non ! J'ai cherché sur internet et on m'a déconseillé de le faire quand on est débutant ! Le problème, c'est que je ne connais personne qui soit capable de m'aider et les magasins spécialisés sont des arnaqueurs qui me proposent 100 euros/heure pour ce genre de problème alors que je n'ai pas les moyens !
J'aimerais savoir si quelqu'un pouvait aider un débutant comme moi à supprimer thinkpoint, sans que je rencontre des problèmes que je ne pourrais pas résoudre seul !
J'attends votre aide !
P.S. : J'ai déjà rencontré le problème win32/trojan, où j'avais téléchargé spy...., mon grand frère (qui n'habite plus chez moi) m'a aidé à le supprimé mais il m'a dit que c'était la dernière fois qui m'aider (véridique, puisque après j'ai reçu des virus que j'ai du supprimé tout seul, mais heureusement j'avais avira sinon je serais encore entrain de paniquer) !
voilà le problème est apparu hier vers 15H , j'ai reçu un message avec win32/trojan, j'ai paniqué et j'ai démarré avira (la version 10) ! Il arrive à supprimer ce fichier suspect, j'arrête l'ordinateur et là, plus rien ! Je surfe sur internet tranquillement, je le laisse tranquillement le temps de manger (19H-20H) et quand je reviens, il réapparait ! Je panique, je met le scan, et il me propose Thinkpoint, comme je ne savais pas quoi faire, je l'ai pris, puis j'ai supprimé les raccourcis en mode sans échec, je redémarre le pc ! Et là, je vois : Thinkpoint : safe startup ! Je reviens en mode sans échec, je supprime win32.ddl (ou dll) qui me paraissait suspect et j'essaye de trouver thinkpoint ! Mais je le trouve pas (j'ai supprimé les raccourcis thinkpoint avant la fenêtre thinkpoint(redémarrage)), j'ai surfé pour trouver des informations, j'ai cherché hotfix.exe, je ne le trouve pas !
Pour l'instant, j'ai commencé la solution de benurrr, j'ai téléchargé combofix.exe, je l'ai renommé CCM.exe, je reçois un avertissement où je dois répondre par oui ou par non ! J'ai cherché sur internet et on m'a déconseillé de le faire quand on est débutant ! Le problème, c'est que je ne connais personne qui soit capable de m'aider et les magasins spécialisés sont des arnaqueurs qui me proposent 100 euros/heure pour ce genre de problème alors que je n'ai pas les moyens !
J'aimerais savoir si quelqu'un pouvait aider un débutant comme moi à supprimer thinkpoint, sans que je rencontre des problèmes que je ne pourrais pas résoudre seul !
J'attends votre aide !
P.S. : J'ai déjà rencontré le problème win32/trojan, où j'avais téléchargé spy...., mon grand frère (qui n'habite plus chez moi) m'a aidé à le supprimé mais il m'a dit que c'était la dernière fois qui m'aider (véridique, puisque après j'ai reçu des virus que j'ai du supprimé tout seul, mais heureusement j'avais avira sinon je serais encore entrain de paniquer) !
A voir également:
- Thinkpoint - débutant
- Logiciel montage vidéo débutant - Guide
- Logiciel de programmation pour débutant - Guide
- Platine dj debutant - Forum Enregistrement / Traitement audio
- Apprendre le coran pour débutant (+ pdf) - Télécharger - Histoire & Religion
- Comment utiliser un ordinateur pour un débutant - Astuces et Solutions
40 réponses
ok
en mode normal, on refait Tdssuiller
* Lance load_tdsskiller en faisant un double-clic dessus / Lance par un clic-droit dessus ? Exécuter en temps qu'administrateur
* L'outil va se connecter pour télécharger une copie à jour de TDSSKiller, puis va lancer une analyse
* Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés, vérifier que l'option (Cure) est sélectionnée,
* Si des objects suspects ("Suspicious objects") ont été détectés, sur l'écran de demande de confirmation, modifier l'action à entreprendre et indiquer Quarantine (au lieu de Skip),
* A la fin, il te sera demandé d'appuyer sur une touche, puis le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (C:\tdsskiller\report.txt)
en mode normal, on refait Tdssuiller
* Lance load_tdsskiller en faisant un double-clic dessus / Lance par un clic-droit dessus ? Exécuter en temps qu'administrateur
* L'outil va se connecter pour télécharger une copie à jour de TDSSKiller, puis va lancer une analyse
* Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés, vérifier que l'option (Cure) est sélectionnée,
* Si des objects suspects ("Suspicious objects") ont été détectés, sur l'écran de demande de confirmation, modifier l'action à entreprendre et indiquer Quarantine (au lieu de Skip),
* A la fin, il te sera demandé d'appuyer sur une touche, puis le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (C:\tdsskiller\report.txt)
je ne vois pas le rapport
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
o,k
redemarre si ce n'est pas déjà fait
puis
/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\
* Télécharge mbr.exe de Gmer ici : http://www2.gmer.net/mbr/mbr.exe et enregistre le fichier sur le Bureau.
* Merci à Malekal pour le tutoriel
* Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
* Double clique sur mbr.exe
* Un rapport sera généré : mbr.log
* En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.
* Pour supprimer le rootkit aller dans le menu Démarrer=> Exécuter et tapez la commande en gras:
=> Sous XP : "%userprofile%\Bureau\mbr" -f
=> Sous Vista/Seven : "%userprofile%\Desktop\mbr" -f
* (veuillez à bien respecter les guillemets)
* Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"
* Réactive tes protections .Poste ce rapport et supprime le ensuite.
o Pour vérifier désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
o Relance mbr.exe
o Réactive tes protections.
o Le nouveau mbr.log devrait être celui-ci :
o Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
o device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
redemarre si ce n'est pas déjà fait
puis
/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\
* Télécharge mbr.exe de Gmer ici : http://www2.gmer.net/mbr/mbr.exe et enregistre le fichier sur le Bureau.
* Merci à Malekal pour le tutoriel
* Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
* Double clique sur mbr.exe
* Un rapport sera généré : mbr.log
* En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.
* Pour supprimer le rootkit aller dans le menu Démarrer=> Exécuter et tapez la commande en gras:
=> Sous XP : "%userprofile%\Bureau\mbr" -f
=> Sous Vista/Seven : "%userprofile%\Desktop\mbr" -f
* (veuillez à bien respecter les guillemets)
* Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"
* Réactive tes protections .Poste ce rapport et supprime le ensuite.
o Pour vérifier désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
o Relance mbr.exe
o Réactive tes protections.
o Le nouveau mbr.log devrait être celui-ci :
o Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
o device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Et moi qui croyait que c'était fini ! Bon, par contre :
Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
Je fais comment vu qu'avec combofix, j'ai du laisser les messages d'alerte pour les antivirus ! Et coupêr la connexion ? Je fais comment ? J'enlève ma clé USB qui me sert de port pour internet ! et puis c'est bon ?
C'est quoi HIPS ?
Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
Je fais comment vu qu'avec combofix, j'ai du laisser les messages d'alerte pour les antivirus ! Et coupêr la connexion ? Je fais comment ? J'enlève ma clé USB qui me sert de port pour internet ! et puis c'est bon ?
C'est quoi HIPS ?
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: ST3500320AS rev.SD15 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP3T1L0-10
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
je fais quoi après ? Je peux réactiver mon antivirus ?
Windows 5.1.2600 Disk: ST3500320AS rev.SD15 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP3T1L0-10
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
je fais quoi après ? Je peux réactiver mon antivirus ?
1)
Téléchargez USBFIX de El Desaparecido, C_xx
http://www.teamxscript.org/usbfixTelechargement.html
ou
http://teamxscript.changelog.fr/UsbFix.html
/!\ Utilisateur de vista et windows 7 :
ne pas oublier de désactiver Le contrôle des comptes utilisateurs
https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
Double clic sur le raccourci UsbFix présent sur le bureau .
Choisir l'option suppression
(d'autres options disponibles, voir le tutoriel).
Laissez travailler l'outil.
Le menu démarrer et les icônes vont disparaître.. c'est normal.
Si un message te demande de redémarrer l'ordinateur fais le ...
Au redémarrage, le fix se relance... laisses l'opération s'effectuer.
Le bloc note s'ouvre avec un rapport, envoies le dans la prochaine réponse
* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
UsbFix peut te demander d'uploader un dossier compressé à cette adresse : http://www.teamxscript.org/Sample/Upload.php
Il est enregistré sur ton bureau.
Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.
.................
2)
Fais un nouveau rapport ZHPdiag stp
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
Téléchargez USBFIX de El Desaparecido, C_xx
http://www.teamxscript.org/usbfixTelechargement.html
ou
http://teamxscript.changelog.fr/UsbFix.html
/!\ Utilisateur de vista et windows 7 :
ne pas oublier de désactiver Le contrôle des comptes utilisateurs
https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
Double clic sur le raccourci UsbFix présent sur le bureau .
Choisir l'option suppression
(d'autres options disponibles, voir le tutoriel).
Laissez travailler l'outil.
Le menu démarrer et les icônes vont disparaître.. c'est normal.
Si un message te demande de redémarrer l'ordinateur fais le ...
Au redémarrage, le fix se relance... laisses l'opération s'effectuer.
Le bloc note s'ouvre avec un rapport, envoies le dans la prochaine réponse
* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
UsbFix peut te demander d'uploader un dossier compressé à cette adresse : http://www.teamxscript.org/Sample/Upload.php
Il est enregistré sur ton bureau.
Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.
.................
2)
Fais un nouveau rapport ZHPdiag stp
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Fais un nouveau rapport ZHPdiag stp
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
Rends toi sur ce site :
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier :
- c:\windows\system32\alk83.dll
- c:\windows\system32\dllcache\kbdjpn.dll
"="c:\windows\dotrhe.dll
Clique sur Send File.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Copie le lien de Virus Total dans ta réponse.
Si tu ne trouves pas le fichier alors
Affiche tous les fichiers et dossiers :
Pour cela :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cachés
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Décocher masquer les extensions dont le type est connu
Puis fais «appliquer» pour valider les changements.
Et OK
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier :
- c:\windows\system32\alk83.dll
- c:\windows\system32\dllcache\kbdjpn.dll
"="c:\windows\dotrhe.dll
Clique sur Send File.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Copie le lien de Virus Total dans ta réponse.
Si tu ne trouves pas le fichier alors
Affiche tous les fichiers et dossiers :
Pour cela :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cachés
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Décocher masquer les extensions dont le type est connu
Puis fais «appliquer» pour valider les changements.
Et OK
http://www.virustotal.com/file-scan/report.html?id=aa19fd0b24981a8d4fd29ade3337f7efdb139582588ded966028b0f03d9610cc-1290190338
Pour le 2ème, ils disent que ça a déjà été fait ! Donc il faut se reporter à celui qu'on a déjà fait !
http://www.virustotal.com/file-scan/report.html?id=e9417e3a8799410b15f84a6d335b2fc9e044276ae5ec92eb4a65e98d7ddc510a-1290190773
Pour le 2ème, ils disent que ça a déjà été fait ! Donc il faut se reporter à celui qu'on a déjà fait !
http://www.virustotal.com/file-scan/report.html?id=e9417e3a8799410b15f84a6d335b2fc9e044276ae5ec92eb4a65e98d7ddc510a-1290190773
ils sont bien infectés ceux là
retente à la place du deuxième celui
- c:\windows\system32\dllcache\kbd103.dll
retente à la place du deuxième celui
- c:\windows\system32\dllcache\kbd103.dll
/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet utilisateur, il n'est pas transposable sur un autre ordinateur !
crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
Copies y ce texte dedans et enregistres le
KillAll::
File::
c:\windows\system32\alk83.dll
c:\windows\system32\alk83.tmp
c:\windows\system32\alk7A.dll
c:\windows\system32\alk7A.tmp
c:\windows\system32\alk20.dll
c:\windows\system32\alk20.tmp
c:\windows\system32\alk1F.dll
c:\windows\system32\alk1F.tmp
c:\windows\dotrhe.dll
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Gcajut"=-
* Désactive tes logiciels de protection
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme le lien suivant)
http://sd-2.archive-host.com/membres/images/135518691112296573/cfscriptop0.gif
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
Copies y ce texte dedans et enregistres le
KillAll::
File::
c:\windows\system32\alk83.dll
c:\windows\system32\alk83.tmp
c:\windows\system32\alk7A.dll
c:\windows\system32\alk7A.tmp
c:\windows\system32\alk20.dll
c:\windows\system32\alk20.tmp
c:\windows\system32\alk1F.dll
c:\windows\system32\alk1F.tmp
c:\windows\dotrhe.dll
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Gcajut"=-
* Désactive tes logiciels de protection
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme le lien suivant)
http://sd-2.archive-host.com/membres/images/135518691112296573/cfscriptop0.gif
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
voici le compte rendu :
ComboFix 10-11-18.05 - Administrateur 19/11/2010 20:30:07.2.1 - x86 NETWORK
Lancé depuis: c:\documents and settings\Administrateur.PIERRE\Mes documents\Téléchargements\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Administrateur.PIERRE\Mes documents\Téléchargements\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Bitdefender Antivirus *On-access scanning enabled* (Updated) {6C4BB89C-B0ED-4F41-A29C-4373888923BB}
FW: Bitdefender Firewall *enabled* {4055920F-2E99-48A8-A270-4243D2B8F242}
FILE ::
"c:\windows\dotrhe.dll"
"c:\windows\system32\alk1F.dll"
"c:\windows\system32\alk1F.tmp"
"c:\windows\system32\alk20.dll"
"c:\windows\system32\alk20.tmp"
"c:\windows\system32\alk7A.dll"
"c:\windows\system32\alk7A.tmp"
"c:\windows\system32\alk83.dll"
"c:\windows\system32\alk83.tmp"
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\dotrhe.dll
c:\windows\system32\alk1F.dll
c:\windows\system32\alk1F.tmp
c:\windows\system32\alk20.dll
c:\windows\system32\alk20.tmp
c:\windows\system32\alk7A.dll
c:\windows\system32\alk7A.tmp
c:\windows\system32\alk83.dll
c:\windows\system32\alk83.tmp
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-10-19 au 2010-11-19 ))))))))))))))))))))))))))))))))))))
.
2010-11-15 19:17 . 2010-11-19 17:53 -------- d-----w- c:\program files\ZHPDiag
2010-11-15 13:17 . 2010-04-29 14:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-11-15 13:17 . 2010-11-15 13:17 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-11-15 13:17 . 2010-11-15 13:17 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-11-15 13:17 . 2010-04-29 14:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-11-15 09:43 . 2010-11-15 09:43 -------- d-----w- C:\Adobe
2010-11-14 22:12 . 2010-11-15 09:43 -------- d-----w- c:\documents and settings\Administrateur.PIERRE
2010-11-14 14:07 . 2010-11-15 09:43 -------- d-----w- c:\windows\system32\NtmsData
2010-11-10 14:07 . 2001-08-23 16:47 8704 -c--a-w- c:\windows\system32\dllcache\kbdjpn.dll
2010-11-10 14:07 . 2001-08-23 16:47 8704 ----a-w- c:\windows\system32\kbdjpn.dll
2010-11-10 14:07 . 2001-08-23 16:47 8192 -c--a-w- c:\windows\system32\dllcache\kbdkor.dll
2010-11-10 14:07 . 2001-08-23 16:47 8192 ----a-w- c:\windows\system32\kbdkor.dll
2010-11-10 14:07 . 2001-08-17 21:55 6144 -c--a-w- c:\windows\system32\dllcache\kbd101c.dll
2010-11-10 14:07 . 2001-08-17 21:55 6144 ----a-w- c:\windows\system32\kbd101c.dll
2010-11-10 14:07 . 2001-08-17 21:55 5632 -c--a-w- c:\windows\system32\dllcache\kbd103.dll
2010-11-10 14:07 . 2001-08-17 21:55 5632 ----a-w- c:\windows\system32\kbd103.dll
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-29 17:57 . 2009-03-29 17:57 34561 ----a-w- c:\program files\uninstall.exe
2009-01-03 08:10 . 2009-01-03 08:10 1031848 ----a-w- c:\program files\fraps.exe
2009-01-03 08:09 . 2009-01-03 08:09 74920 ----a-w- c:\program files\fraps64.dat
2009-01-03 08:07 . 2009-01-03 08:07 188416 ----a-w- c:\program files\fraps.dll
2009-01-03 08:06 . 2009-01-03 08:06 128512 ----a-w- c:\program files\fraps64.dll
2009-01-03 08:06 . 2009-01-03 08:06 159744 ----a-w- c:\program files\frapslcd.dll
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
2006-05-03 10:06 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 11:47 31744 --sh--r- c:\windows\system32\msfDX.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0B5785FC-BC8C-48c5-B932-6B1ED67B226F}]
2010-11-14 20:31 131072 ----a-w- c:\documents and settings\user\Local Settings\Application Data\SharpTender\sharptendie.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-04-20 8429568]
"ISUSPM Startup"="c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-04-17 196608]
"ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-04-13 69632]
"nwiz"="nwiz.exe" [2007-04-20 1626112]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-01-05 413696]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2009-09-09 198160]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Utilitaire r'seau pour SAGEM Wi-Fi 11g USB adapter.lnk - c:\program files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe [2010-5-7 741376]
WG111v2 Smart Wizard Wireless Setting.lnk - c:\program files\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe [2008-10-11 745472]
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^forteManager.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\forteManager.lnk
backup=c:\windows\pss\forteManager.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-09-23 03:47 35760 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2005-05-03 10:43 69632 ------r- c:\windows\Alcmtr.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BDAgent]
2008-10-11 12:17 368640 ----a-w- c:\program files\BitDefender\BitDefender 2008\bdagent.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitDefender Antiphishing Helper]
2007-10-09 14:46 61440 ----a-w- c:\program files\BitDefender\BitDefender 2008\IEShow.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-14 02:33 15360 ----a-w- c:\windows\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
2007-05-15 13:55 1057328 ----a-w- c:\program files\Nero\Nero 7\InCD\InCD.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
2006-12-05 20:55 54832 ----a-w- c:\program files\CyberLink\PowerDVD\Language\Language.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 02:34 1695232 ------w- c:\program files\Messenger\msmsgs.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2007-03-01 13:57 153136 ----a-w- c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2007-04-20 13:32 8429568 ----a-w- c:\windows\system32\nvcpl.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2007-04-20 13:32 81920 ----a-w- c:\windows\system32\nvmctray.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
2007-04-20 13:32 1626112 ----a-w- c:\windows\system32\nwiz.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-01-05 15:18 413696 ----a-w- c:\program files\QuickTime\QTTask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2006-11-23 13:10 56928 ------w- c:\program files\CyberLink\PowerDVD\PDVDServ.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2006-10-30 11:49 16269312 ------r- c:\windows\RTHDCPL.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SecurDisc]
2007-05-15 13:55 1628208 ----a-w- c:\program files\Nero\Nero 7\InCD\NBHGui.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
2006-05-16 10:04 2879488 ------r- c:\windows\SkyTel.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG]
2006-11-03 07:59 204288 ------w- c:\program files\Windows Media Player\wmpnscfg.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
R0 bjfkax;bjfkax;c:\windows\system32\drivers\weepvhfjuq.sys [x]
R0 gdoxarerymlsqy;gdoxarerymlsqy;c:\windows\system32\drivers\ggiqi.sys [x]
R0 uoymwlqq;uoymwlqq;c:\windows\system32\drivers\raicwemmwtuxcys.sys [x]
R0 vxtxuhduxxc;vxtxuhduxxc;c:\windows\system32\drivers\puvrlasxlar.sys [x]
R2 AMService;AMService;c:\windows\TEMP\tpqb\setup.exe run [x]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-08-17 135336]
R2 EAPPkt;Realtek EAPPkt Protocol;c:\windows\system32\DRIVERS\EAPPkt.sys [2005-04-01 66048]
R2 gupdate1ca1dd83d989352;Service Google Update (gupdate1ca1dd83d989352);c:\program files\Google\Update\GoogleUpdate.exe [2009-08-15 133104]
R3 LGDDCDevice;LGDDCDevice;c:\program files\LG Soft India\forteManager\bin\I2CDriver.sys [2008-12-12 14336]
R3 LGII2CDevice;LGII2CDevice;c:\program files\LG Soft India\forteManager\bin\PII2CDriver.sys [2008-12-12 18432]
R3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;c:\windows\system32\DRIVERS\wg111v2.sys [2005-04-21 112384]
S3 Bdfndisf;BitDefender Firewall NDIS Filter Service;c:\windows\system32\DRIVERS\bdfndisf.sys [2008-06-02 86792]
S3 WlanUIG;Sagem 802.11g Wireless LAN USB Adapter Driver;c:\windows\system32\DRIVERS\WlanUIG.sys [2005-06-17 379456]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx REG_MULTI_SZ scan
.
Contenu du dossier 'Tâches planifiées'
2010-07-09 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
2010-11-19 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-08-15 18:43]
2010-11-19 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-08-15 18:43]
2010-11-19 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-18Core.job
- c:\documents and settings\NetworkService\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-10-20 18:43]
2010-11-19 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-18UA.job
- c:\documents and settings\NetworkService\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-10-20 18:43]
.
.
------- Examen supplémentaire -------
.
FF - ProfilePath - c:\documents and settings\Administrateur.PIERRE\Application Data\Mozilla\Firefox\Profiles\jrwp8wid.default\
FF - component: c:\program files\Real\RealPlayer\browserrecord\firefox\ext\components\nprpffbrowserrecordext.dll
FF - plugin: c:\program files\Google\Update\1.2.183.39\npGoogleOneClick8.dll
---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true); // Traditional
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true); // Simplified
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - ORPHELINS SUPPRIMES - - - -
SafeBoot-klmdb.sys
AddRemove-Usbfix - c:\usbfix\Un-UsbFix.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-11-19 20:35
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_USERS\S-1-5-21-602162358-1500820517-725345543-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,3f,7a,ad,14,a7,26,9f,4f,b8,b6,d5,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,3f,7a,ad,14,a7,26,9f,4f,b8,b6,d5,\
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'explorer.exe'(1548)
c:\windows\system32\eappprxy.dll
.
Heure de fin: 2010-11-19 20:38:07 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-11-19 19:38
Avant-CF: 55 957 381 120 octets libres
Après-CF: 55 938 609 152 octets libres
- - End Of File - - 9ADF1B16D98D921ED26DF7A449106FA6
ComboFix 10-11-18.05 - Administrateur 19/11/2010 20:30:07.2.1 - x86 NETWORK
Lancé depuis: c:\documents and settings\Administrateur.PIERRE\Mes documents\Téléchargements\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Administrateur.PIERRE\Mes documents\Téléchargements\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Bitdefender Antivirus *On-access scanning enabled* (Updated) {6C4BB89C-B0ED-4F41-A29C-4373888923BB}
FW: Bitdefender Firewall *enabled* {4055920F-2E99-48A8-A270-4243D2B8F242}
FILE ::
"c:\windows\dotrhe.dll"
"c:\windows\system32\alk1F.dll"
"c:\windows\system32\alk1F.tmp"
"c:\windows\system32\alk20.dll"
"c:\windows\system32\alk20.tmp"
"c:\windows\system32\alk7A.dll"
"c:\windows\system32\alk7A.tmp"
"c:\windows\system32\alk83.dll"
"c:\windows\system32\alk83.tmp"
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\dotrhe.dll
c:\windows\system32\alk1F.dll
c:\windows\system32\alk1F.tmp
c:\windows\system32\alk20.dll
c:\windows\system32\alk20.tmp
c:\windows\system32\alk7A.dll
c:\windows\system32\alk7A.tmp
c:\windows\system32\alk83.dll
c:\windows\system32\alk83.tmp
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-10-19 au 2010-11-19 ))))))))))))))))))))))))))))))))))))
.
2010-11-15 19:17 . 2010-11-19 17:53 -------- d-----w- c:\program files\ZHPDiag
2010-11-15 13:17 . 2010-04-29 14:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-11-15 13:17 . 2010-11-15 13:17 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-11-15 13:17 . 2010-11-15 13:17 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-11-15 13:17 . 2010-04-29 14:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-11-15 09:43 . 2010-11-15 09:43 -------- d-----w- C:\Adobe
2010-11-14 22:12 . 2010-11-15 09:43 -------- d-----w- c:\documents and settings\Administrateur.PIERRE
2010-11-14 14:07 . 2010-11-15 09:43 -------- d-----w- c:\windows\system32\NtmsData
2010-11-10 14:07 . 2001-08-23 16:47 8704 -c--a-w- c:\windows\system32\dllcache\kbdjpn.dll
2010-11-10 14:07 . 2001-08-23 16:47 8704 ----a-w- c:\windows\system32\kbdjpn.dll
2010-11-10 14:07 . 2001-08-23 16:47 8192 -c--a-w- c:\windows\system32\dllcache\kbdkor.dll
2010-11-10 14:07 . 2001-08-23 16:47 8192 ----a-w- c:\windows\system32\kbdkor.dll
2010-11-10 14:07 . 2001-08-17 21:55 6144 -c--a-w- c:\windows\system32\dllcache\kbd101c.dll
2010-11-10 14:07 . 2001-08-17 21:55 6144 ----a-w- c:\windows\system32\kbd101c.dll
2010-11-10 14:07 . 2001-08-17 21:55 5632 -c--a-w- c:\windows\system32\dllcache\kbd103.dll
2010-11-10 14:07 . 2001-08-17 21:55 5632 ----a-w- c:\windows\system32\kbd103.dll
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-29 17:57 . 2009-03-29 17:57 34561 ----a-w- c:\program files\uninstall.exe
2009-01-03 08:10 . 2009-01-03 08:10 1031848 ----a-w- c:\program files\fraps.exe
2009-01-03 08:09 . 2009-01-03 08:09 74920 ----a-w- c:\program files\fraps64.dat
2009-01-03 08:07 . 2009-01-03 08:07 188416 ----a-w- c:\program files\fraps.dll
2009-01-03 08:06 . 2009-01-03 08:06 128512 ----a-w- c:\program files\fraps64.dll
2009-01-03 08:06 . 2009-01-03 08:06 159744 ----a-w- c:\program files\frapslcd.dll
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
2006-05-03 10:06 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 11:47 31744 --sh--r- c:\windows\system32\msfDX.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0B5785FC-BC8C-48c5-B932-6B1ED67B226F}]
2010-11-14 20:31 131072 ----a-w- c:\documents and settings\user\Local Settings\Application Data\SharpTender\sharptendie.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-04-20 8429568]
"ISUSPM Startup"="c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-04-17 196608]
"ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-04-13 69632]
"nwiz"="nwiz.exe" [2007-04-20 1626112]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-01-05 413696]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2009-09-09 198160]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Utilitaire r'seau pour SAGEM Wi-Fi 11g USB adapter.lnk - c:\program files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe [2010-5-7 741376]
WG111v2 Smart Wizard Wireless Setting.lnk - c:\program files\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe [2008-10-11 745472]
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^forteManager.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\forteManager.lnk
backup=c:\windows\pss\forteManager.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-09-23 03:47 35760 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2005-05-03 10:43 69632 ------r- c:\windows\Alcmtr.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BDAgent]
2008-10-11 12:17 368640 ----a-w- c:\program files\BitDefender\BitDefender 2008\bdagent.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitDefender Antiphishing Helper]
2007-10-09 14:46 61440 ----a-w- c:\program files\BitDefender\BitDefender 2008\IEShow.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-14 02:33 15360 ----a-w- c:\windows\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
2007-05-15 13:55 1057328 ----a-w- c:\program files\Nero\Nero 7\InCD\InCD.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
2006-12-05 20:55 54832 ----a-w- c:\program files\CyberLink\PowerDVD\Language\Language.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 02:34 1695232 ------w- c:\program files\Messenger\msmsgs.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2007-03-01 13:57 153136 ----a-w- c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2007-04-20 13:32 8429568 ----a-w- c:\windows\system32\nvcpl.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2007-04-20 13:32 81920 ----a-w- c:\windows\system32\nvmctray.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
2007-04-20 13:32 1626112 ----a-w- c:\windows\system32\nwiz.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-01-05 15:18 413696 ----a-w- c:\program files\QuickTime\QTTask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2006-11-23 13:10 56928 ------w- c:\program files\CyberLink\PowerDVD\PDVDServ.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2006-10-30 11:49 16269312 ------r- c:\windows\RTHDCPL.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SecurDisc]
2007-05-15 13:55 1628208 ----a-w- c:\program files\Nero\Nero 7\InCD\NBHGui.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
2006-05-16 10:04 2879488 ------r- c:\windows\SkyTel.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG]
2006-11-03 07:59 204288 ------w- c:\program files\Windows Media Player\wmpnscfg.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
R0 bjfkax;bjfkax;c:\windows\system32\drivers\weepvhfjuq.sys [x]
R0 gdoxarerymlsqy;gdoxarerymlsqy;c:\windows\system32\drivers\ggiqi.sys [x]
R0 uoymwlqq;uoymwlqq;c:\windows\system32\drivers\raicwemmwtuxcys.sys [x]
R0 vxtxuhduxxc;vxtxuhduxxc;c:\windows\system32\drivers\puvrlasxlar.sys [x]
R2 AMService;AMService;c:\windows\TEMP\tpqb\setup.exe run [x]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-08-17 135336]
R2 EAPPkt;Realtek EAPPkt Protocol;c:\windows\system32\DRIVERS\EAPPkt.sys [2005-04-01 66048]
R2 gupdate1ca1dd83d989352;Service Google Update (gupdate1ca1dd83d989352);c:\program files\Google\Update\GoogleUpdate.exe [2009-08-15 133104]
R3 LGDDCDevice;LGDDCDevice;c:\program files\LG Soft India\forteManager\bin\I2CDriver.sys [2008-12-12 14336]
R3 LGII2CDevice;LGII2CDevice;c:\program files\LG Soft India\forteManager\bin\PII2CDriver.sys [2008-12-12 18432]
R3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;c:\windows\system32\DRIVERS\wg111v2.sys [2005-04-21 112384]
S3 Bdfndisf;BitDefender Firewall NDIS Filter Service;c:\windows\system32\DRIVERS\bdfndisf.sys [2008-06-02 86792]
S3 WlanUIG;Sagem 802.11g Wireless LAN USB Adapter Driver;c:\windows\system32\DRIVERS\WlanUIG.sys [2005-06-17 379456]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx REG_MULTI_SZ scan
.
Contenu du dossier 'Tâches planifiées'
2010-07-09 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
2010-11-19 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-08-15 18:43]
2010-11-19 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-08-15 18:43]
2010-11-19 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-18Core.job
- c:\documents and settings\NetworkService\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-10-20 18:43]
2010-11-19 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-18UA.job
- c:\documents and settings\NetworkService\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-10-20 18:43]
.
.
------- Examen supplémentaire -------
.
FF - ProfilePath - c:\documents and settings\Administrateur.PIERRE\Application Data\Mozilla\Firefox\Profiles\jrwp8wid.default\
FF - component: c:\program files\Real\RealPlayer\browserrecord\firefox\ext\components\nprpffbrowserrecordext.dll
FF - plugin: c:\program files\Google\Update\1.2.183.39\npGoogleOneClick8.dll
---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true); // Traditional
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true); // Simplified
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - ORPHELINS SUPPRIMES - - - -
SafeBoot-klmdb.sys
AddRemove-Usbfix - c:\usbfix\Un-UsbFix.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-11-19 20:35
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_USERS\S-1-5-21-602162358-1500820517-725345543-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,3f,7a,ad,14,a7,26,9f,4f,b8,b6,d5,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,3f,7a,ad,14,a7,26,9f,4f,b8,b6,d5,\
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'explorer.exe'(1548)
c:\windows\system32\eappprxy.dll
.
Heure de fin: 2010-11-19 20:38:07 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-11-19 19:38
Avant-CF: 55 957 381 120 octets libres
Après-CF: 55 938 609 152 octets libres
- - End Of File - - 9ADF1B16D98D921ED26DF7A449106FA6
bien
Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Rends toi dans l'onglet rapport/log
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller
Si tu as besoin d'aide regarde ces tutoriels :
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam
Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Rends toi dans l'onglet rapport/log
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller
Si tu as besoin d'aide regarde ces tutoriels :
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 5120
Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702
19/11/2010 21:18:15
mbam-log-2010-11-19 (21-18-15).txt
Type d'examen: Examen complet (A:\|C:\|D:\|E:\|F:\|)
Elément(s) analysé(s): 229100
Temps écoulé: 30 minute(s), 32 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\System Volume Information\_restore{B7B73922-BC5A-406B-AC94-44810EB81A6A}\RP6\A0022223.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{B7B73922-BC5A-406B-AC94-44810EB81A6A}\RP6\A0022224.exe (Rogue.FakeMSE) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{B7B73922-BC5A-406B-AC94-44810EB81A6A}\RP6\A0022225.exe (Trojan.FraudPack) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{B7B73922-BC5A-406B-AC94-44810EB81A6A}\RP6\A0022226.exe (Trojan.FraudPack) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{B7B73922-BC5A-406B-AC94-44810EB81A6A}\RP6\A0022227.dll (Trojan.FraudPack) -> Quarantined and deleted successfully.
www.malwarebytes.org
Version de la base de données: 5120
Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702
19/11/2010 21:18:15
mbam-log-2010-11-19 (21-18-15).txt
Type d'examen: Examen complet (A:\|C:\|D:\|E:\|F:\|)
Elément(s) analysé(s): 229100
Temps écoulé: 30 minute(s), 32 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\System Volume Information\_restore{B7B73922-BC5A-406B-AC94-44810EB81A6A}\RP6\A0022223.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{B7B73922-BC5A-406B-AC94-44810EB81A6A}\RP6\A0022224.exe (Rogue.FakeMSE) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{B7B73922-BC5A-406B-AC94-44810EB81A6A}\RP6\A0022225.exe (Trojan.FraudPack) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{B7B73922-BC5A-406B-AC94-44810EB81A6A}\RP6\A0022226.exe (Trojan.FraudPack) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{B7B73922-BC5A-406B-AC94-44810EB81A6A}\RP6\A0022227.dll (Trojan.FraudPack) -> Quarantined and deleted successfully.
ok
juste la restauration systeme, pas de soucis
à l'avenir tu garderas MBAM mais tu le mets à jour AVANT de lancer un examen !!!
sur ce coup là , ca ira
..........
comment va le pc maintenant ?
..........
Fais un nouveau rapport ZHPdiag stp
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
juste la restauration systeme, pas de soucis
à l'avenir tu garderas MBAM mais tu le mets à jour AVANT de lancer un examen !!!
sur ce coup là , ca ira
..........
comment va le pc maintenant ?
..........
Fais un nouveau rapport ZHPdiag stp
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
Pour le pc, quand je l'allume, il y a une page de 4 secondes où ils me demandent windows edition familiale ou autre (comme pour le mode sans echec sauf que ça s'en va) ! Ensuite, il reste juste internet avec ses pubs (les onglets et les fenêtres qui s'ouvrent toutes seules) ! Et aussi j'ai des tas de dossiers combofix dans mon disque C !
http://www.cijoint.fr/cjlink.php?file=cj201011/cijVN3InpL.txt
http://www.cijoint.fr/cjlink.php?file=cj201011/cijVN3InpL.txt
ok
on procède par ordre
ils me demandent windows edition familiale ou autre (comme pour le mode sans echec sauf que ça s'en va)
=> ca pas compris
il reste juste internet avec ses pubs (les onglets et les fenêtres qui s'ouvrent toutes seules)
=> pas normal
on s'en occupe
=> et pour combofix on nettoiera tout ca, c'est prévu
.................
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
O2 - BHO: sharHelper Class - {0B5785FC-BC8C-48c5-B932-6B1ED67B226F} . (.Pas de propriétaire - SharpTender IE Module.) -- C:\Documents and Settings\user\Local Settings\Application Data\SharpTender\sharptendie.dll
O64 - Services: CurCS - C:\WINDOWS\TEMP\tpqb\setup.exe (.not file.) - AMService (AMService) .(.Pas de propriétaire - Pas de description.) - LEGACY_AMSERVICE
[MD5.C1BE7BDF79452D5445A33F3002F89060] [SPRF] (.Beepa P/L - Fraps.) -- C:\Program Files\fraps.dll [188416]
[MD5.660A60936E67C926FA9860356CF48EB8] [SPRF] (.Beepa P/L - Fraps.) -- C:\Program Files\fraps.exe [1031848]
[MD5.5DDF964622A3F8B6CAE486110ABCDB58] [SPRF] (.Beepa P/L - Fraps.) -- C:\Program Files\fraps64.dat [74920]
[MD5.310A975A07C9D8A1161B46866D7D9AB8] [SPRF] (.Beepa P/L - Fraps.) -- C:\Program Files\fraps64.dll [128512]
[MD5.F4E44BCFBA270560B0CBDE2D0ED35B45] [SPRF] (.Beepa P/L - Fraps.) -- C:\Program Files\frapslcd.dll [159744]
SS - | Auto 0 | C:\WINDOWS\TEMP\tpqb\setup.exe (AMService) . (.Pas de propriétaire.) - C:\WINDOWS\TEMP\tpqb\setup.exe
Puis Lance ZHPFix depuis le raccourci du bureau .
* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".
Copie/Colle le rapport à l'écran dans ton prochain message
le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport
on procède par ordre
ils me demandent windows edition familiale ou autre (comme pour le mode sans echec sauf que ça s'en va)
=> ca pas compris
il reste juste internet avec ses pubs (les onglets et les fenêtres qui s'ouvrent toutes seules)
=> pas normal
on s'en occupe
=> et pour combofix on nettoiera tout ca, c'est prévu
.................
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
O2 - BHO: sharHelper Class - {0B5785FC-BC8C-48c5-B932-6B1ED67B226F} . (.Pas de propriétaire - SharpTender IE Module.) -- C:\Documents and Settings\user\Local Settings\Application Data\SharpTender\sharptendie.dll
O64 - Services: CurCS - C:\WINDOWS\TEMP\tpqb\setup.exe (.not file.) - AMService (AMService) .(.Pas de propriétaire - Pas de description.) - LEGACY_AMSERVICE
[MD5.C1BE7BDF79452D5445A33F3002F89060] [SPRF] (.Beepa P/L - Fraps.) -- C:\Program Files\fraps.dll [188416]
[MD5.660A60936E67C926FA9860356CF48EB8] [SPRF] (.Beepa P/L - Fraps.) -- C:\Program Files\fraps.exe [1031848]
[MD5.5DDF964622A3F8B6CAE486110ABCDB58] [SPRF] (.Beepa P/L - Fraps.) -- C:\Program Files\fraps64.dat [74920]
[MD5.310A975A07C9D8A1161B46866D7D9AB8] [SPRF] (.Beepa P/L - Fraps.) -- C:\Program Files\fraps64.dll [128512]
[MD5.F4E44BCFBA270560B0CBDE2D0ED35B45] [SPRF] (.Beepa P/L - Fraps.) -- C:\Program Files\frapslcd.dll [159744]
SS - | Auto 0 | C:\WINDOWS\TEMP\tpqb\setup.exe (AMService) . (.Pas de propriétaire.) - C:\WINDOWS\TEMP\tpqb\setup.exe
Puis Lance ZHPFix depuis le raccourci du bureau .
* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".
Copie/Colle le rapport à l'écran dans ton prochain message
le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport
=> ca pas compris : simple pourtant ! J'allume le pc, le pc commence à démarrer, puis comme pour sélectionner le mode sans echec, j'obtiens une page de 4 secondes où ils me demandent de sélectionner quel lecteur windows (familial, professionnel,...)
=> pas normal
on s'en occupe : merci !^^
ZHPFixReport : Rapport de ZHPFix 1.12.3217 par Nicolas Coolman, Update du 12/11/2010
Fichier d'export Registre : C:\ZHPExportRegistry-19-11-2010-22-20-40.txt
Run by user at 19/11/2010 22:20:43
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Processus mémoire ==========
C:\Program Files\fraps.exe [1031848] => Supprimé et mis en quarantaine
========== Module(s) mémoire ==========
C:\Program Files\fraps.dll [188416] => Supprimé et mis en quarantaine
C:\Program Files\fraps64.dll [128512] => Supprimé et mis en quarantaine
C:\Program Files\frapslcd.dll [159744] => Supprimé et mis en quarantaine
========== Clé(s) du Registre ==========
O2 - BHO: sharHelper Class - {0B5785FC-BC8C-48c5-B932-6B1ED67B226F} . (.Pas de propriétaire - SharpTender IE Module.) -- C:\Documents and Settings\user\Local Settings\Application Data\SharpTender\sharptendie.dll => Clé absente
O64 - Services: CurCS - C:\WINDOWS\TEMP\tpqb\setup.exe (.not file.) - AMService (AMService) .(.Pas de propriétaire - Pas de description.) - LEGACY_AMSERVICE => Clé absente
SS - | Auto 0 | C:\WINDOWS\TEMP\tpqb\setup.exe (AMService) . (.Pas de propriétaire.) - C:\WINDOWS\TEMP\tpqb\setup.exe => Clé supprimée avec succès
========== Fichier(s) ==========
c:\documents and settings\user\local settings\application data\sharptender\sharptendie.dll () => Fichier absent
C:\Program Files\fraps64.dat [74920] => Supprimé et mis en quarantaine
c:\windows\temp\tpqb\setup.exe => Supprimé et mis en quarantaine
========== Récapitulatif ==========
1 : Processus mémoire
3 : Module(s) mémoire
3 : Clé(s) du Registre
3 : Fichier(s)
End of the scan
=> pas normal
on s'en occupe : merci !^^
ZHPFixReport : Rapport de ZHPFix 1.12.3217 par Nicolas Coolman, Update du 12/11/2010
Fichier d'export Registre : C:\ZHPExportRegistry-19-11-2010-22-20-40.txt
Run by user at 19/11/2010 22:20:43
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Processus mémoire ==========
C:\Program Files\fraps.exe [1031848] => Supprimé et mis en quarantaine
========== Module(s) mémoire ==========
C:\Program Files\fraps.dll [188416] => Supprimé et mis en quarantaine
C:\Program Files\fraps64.dll [128512] => Supprimé et mis en quarantaine
C:\Program Files\frapslcd.dll [159744] => Supprimé et mis en quarantaine
========== Clé(s) du Registre ==========
O2 - BHO: sharHelper Class - {0B5785FC-BC8C-48c5-B932-6B1ED67B226F} . (.Pas de propriétaire - SharpTender IE Module.) -- C:\Documents and Settings\user\Local Settings\Application Data\SharpTender\sharptendie.dll => Clé absente
O64 - Services: CurCS - C:\WINDOWS\TEMP\tpqb\setup.exe (.not file.) - AMService (AMService) .(.Pas de propriétaire - Pas de description.) - LEGACY_AMSERVICE => Clé absente
SS - | Auto 0 | C:\WINDOWS\TEMP\tpqb\setup.exe (AMService) . (.Pas de propriétaire.) - C:\WINDOWS\TEMP\tpqb\setup.exe => Clé supprimée avec succès
========== Fichier(s) ==========
c:\documents and settings\user\local settings\application data\sharptender\sharptendie.dll () => Fichier absent
C:\Program Files\fraps64.dat [74920] => Supprimé et mis en quarantaine
c:\windows\temp\tpqb\setup.exe => Supprimé et mis en quarantaine
========== Récapitulatif ==========
1 : Processus mémoire
3 : Module(s) mémoire
3 : Clé(s) du Registre
3 : Fichier(s)
End of the scan
question
tu es bien revenu en mode normal ?
..............
DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)
Télécharge ici :List_Kill'em et enregistre le sur ton bureau
http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur le raccourci sur ton bureau pour lancer l'installation
Laisse coché :
Executer List_Kill'em
une fois terminée , clic sur "terminer" et le programme se lancera seul
choisis l'option Search
laisse travailler l'outil
il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"
à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.
Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"
NE LE POSTE PAS SUR LE FORUM
Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/
Clique sur Parcourir et cherche le fichier ci-dessus.
Clique sur Ouvrir.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
Fais de même avec more.txt qui se trouve sur ton bureau
tu es bien revenu en mode normal ?
..............
DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)
Télécharge ici :List_Kill'em et enregistre le sur ton bureau
http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur le raccourci sur ton bureau pour lancer l'installation
Laisse coché :
Executer List_Kill'em
une fois terminée , clic sur "terminer" et le programme se lancera seul
choisis l'option Search
laisse travailler l'outil
il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"
à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.
Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"
NE LE POSTE PAS SUR LE FORUM
Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/
Clique sur Parcourir et cherche le fichier ci-dessus.
Clique sur Ouvrir.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
Fais de même avec more.txt qui se trouve sur ton bureau
Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :
choisis l'option CLEAN
laisse travailler l'outil.
en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,
colle le contenu dans ta reponse
mais cette fois-ci :
choisis l'option CLEAN
laisse travailler l'outil.
en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,
colle le contenu dans ta reponse
List'em : Boot: Normal
Kill'em :
¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.2.0 ¤¤¤¤¤¤¤¤¤¤
User : user (Administrateurs)
Update on 18/11/2010 by g3n-h@ckm@n ::::: 11.00
Start at: 23:44:53 | 19/11/2010
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : Bitdefender Antivirus 8.0 [ Enabled | Updated ]
AV : AntiVir Desktop 10.0.1.52 [ Enabled | Updated ]
FW : Bitdefender Firewall[ Enabled ]8.0
¤¤¤¤¤¤¤¤¤¤ Files/folders :
Quarantined & Deleted !! : C:\Documents and settings\user\Application Data\completescan
Quarantined & Deleted !! : C:\Documents and settings\user\Application Data\install
Quarantined & Deleted !! : \AUTOEXEC.BAT
Quarantined & Deleted !! : C:\WINDOWS\002543_.tmp
Quarantined & Deleted !! : C:\WINDOWS\005017_.tmp
Quarantined & Deleted !! : C:\WINDOWS\SET25.tmp
Quarantined & Deleted !! : C:\WINDOWS\SET3.tmp
Quarantined & Deleted !! : C:\WINDOWS\SET4.tmp
Quarantined & Deleted !! : C:\WINDOWS\SET8.tmp
Quarantined & Deleted !! : C:\WINDOWS\meta4.exe
¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤
127.0.0.1 localhost
¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤
Deleted : "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" : "NoDrives"
Deleted : HKCU\SOFTWARE\NtWqIVLZEWZU
Deleted : HKCU\SOFTWARE\OTGV1DNWQQ
Deleted : HKCU\Software\XBV6RD5SZF
¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
Local Page = C:\WINDOWS\system32\blank.htm
Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page = https://www.google.com/?gws_rd=ssl
Local Page = C:\WINDOWS\system32\blank.htm
Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
¤¤¤¤¤¤¤¤¤¤ Security Center ¤¤¤¤¤¤¤¤¤¤
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
FirstRunDisabled = 1 (0x1)
AntiVirusDisableNotify = 0 (0x0)
FirewallDisableNotify = 0 (0x0)
UpdatesDisableNotify = 0 (0x0)
AntiVirusOverride = 0 (0x0)
FirewallOverride = 0 (0x0)
¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤
Ndisuio : Start = 3
EapHost : Start = 2
Ip6Fw : Start = 2
SharedAccess : Start = 2
wuauserv : Start = 2
wscsvc : Start = 2
¤¤¤¤¤¤¤¤¤¤ Winlogon
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell = explorer.exe
Userinit = C:\WINDOWS\System32\userinit.exe,
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Disk Cleaned
anti-ver blaster : OK
Prefetch cleaned
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
FEATURE_BROWSER_EMULATION | svchost :
====================================
Deleted : HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main\featurecontrol\FEATURE_BROWSER_EMULATION : svchost.exe
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: ST3500320AS rev.SD15 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP3T1L0-10
device: opened successfully
user: MBR read successfully
Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS
1 ntkrnlpa!IofCallDriver[0x804EE130] -> \Device\Harddisk0\DR0[0x85290AB8]
3 CLASSPNP[0xF74E7FD7] -> ntkrnlpa!IofCallDriver[0x804EE130] -> \Device\00000078[0x8530E980]
5 ACPI[0xF735D620] -> ntkrnlpa!IofCallDriver[0x804EE130] -> \Device\Ide\IdeDeviceP3T1L0-10[0x852D7D98]
kernel: MBR read successfully
user & kernel MBR OK
End of Scan : 23:47:59,50
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Kill'em :
¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.2.0 ¤¤¤¤¤¤¤¤¤¤
User : user (Administrateurs)
Update on 18/11/2010 by g3n-h@ckm@n ::::: 11.00
Start at: 23:44:53 | 19/11/2010
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : Bitdefender Antivirus 8.0 [ Enabled | Updated ]
AV : AntiVir Desktop 10.0.1.52 [ Enabled | Updated ]
FW : Bitdefender Firewall[ Enabled ]8.0
¤¤¤¤¤¤¤¤¤¤ Files/folders :
Quarantined & Deleted !! : C:\Documents and settings\user\Application Data\completescan
Quarantined & Deleted !! : C:\Documents and settings\user\Application Data\install
Quarantined & Deleted !! : \AUTOEXEC.BAT
Quarantined & Deleted !! : C:\WINDOWS\002543_.tmp
Quarantined & Deleted !! : C:\WINDOWS\005017_.tmp
Quarantined & Deleted !! : C:\WINDOWS\SET25.tmp
Quarantined & Deleted !! : C:\WINDOWS\SET3.tmp
Quarantined & Deleted !! : C:\WINDOWS\SET4.tmp
Quarantined & Deleted !! : C:\WINDOWS\SET8.tmp
Quarantined & Deleted !! : C:\WINDOWS\meta4.exe
¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤
127.0.0.1 localhost
¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤
Deleted : "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" : "NoDrives"
Deleted : HKCU\SOFTWARE\NtWqIVLZEWZU
Deleted : HKCU\SOFTWARE\OTGV1DNWQQ
Deleted : HKCU\Software\XBV6RD5SZF
¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
Local Page = C:\WINDOWS\system32\blank.htm
Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page = https://www.google.com/?gws_rd=ssl
Local Page = C:\WINDOWS\system32\blank.htm
Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
¤¤¤¤¤¤¤¤¤¤ Security Center ¤¤¤¤¤¤¤¤¤¤
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
FirstRunDisabled = 1 (0x1)
AntiVirusDisableNotify = 0 (0x0)
FirewallDisableNotify = 0 (0x0)
UpdatesDisableNotify = 0 (0x0)
AntiVirusOverride = 0 (0x0)
FirewallOverride = 0 (0x0)
¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤
Ndisuio : Start = 3
EapHost : Start = 2
Ip6Fw : Start = 2
SharedAccess : Start = 2
wuauserv : Start = 2
wscsvc : Start = 2
¤¤¤¤¤¤¤¤¤¤ Winlogon
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell = explorer.exe
Userinit = C:\WINDOWS\System32\userinit.exe,
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Disk Cleaned
anti-ver blaster : OK
Prefetch cleaned
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
FEATURE_BROWSER_EMULATION | svchost :
====================================
Deleted : HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main\featurecontrol\FEATURE_BROWSER_EMULATION : svchost.exe
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: ST3500320AS rev.SD15 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP3T1L0-10
device: opened successfully
user: MBR read successfully
Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS
1 ntkrnlpa!IofCallDriver[0x804EE130] -> \Device\Harddisk0\DR0[0x85290AB8]
3 CLASSPNP[0xF74E7FD7] -> ntkrnlpa!IofCallDriver[0x804EE130] -> \Device\00000078[0x8530E980]
5 ACPI[0xF735D620] -> ntkrnlpa!IofCallDriver[0x804EE130] -> \Device\Ide\IdeDeviceP3T1L0-10[0x852D7D98]
kernel: MBR read successfully
user & kernel MBR OK
End of Scan : 23:47:59,50
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
ok
toujours en mode normal
supprime usbfix et on le refait
Téléchargez USBFIX de El Desaparecido, C_xx
http://www.teamxscript.org/usbfixTelechargement.html
ou
http://teamxscript.changelog.fr/UsbFix.html
/!\ Utilisateur de vista et windows 7 :
ne pas oublier de désactiver Le contrôle des comptes utilisateurs
https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
Double clic sur le raccourci UsbFix présent sur le bureau .
Choisir l'option suppression
(d'autres options disponibles, voir le tutoriel).
Laissez travailler l'outil.
Le menu démarrer et les icônes vont disparaître.. c'est normal.
Si un message te demande de redémarrer l'ordinateur fais le ...
Au redémarrage, le fix se relance... laisses l'opération s'effectuer.
Le bloc note s'ouvre avec un rapport, envoies le dans la prochaine réponse
* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
* Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html
UsbFix peut te demander d'uploader un dossier compressé à cette adresse : http://www.teamxscript.org/Sample/Upload.php
Il est enregistré sur ton bureau.
Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.
toujours en mode normal
supprime usbfix et on le refait
Téléchargez USBFIX de El Desaparecido, C_xx
http://www.teamxscript.org/usbfixTelechargement.html
ou
http://teamxscript.changelog.fr/UsbFix.html
/!\ Utilisateur de vista et windows 7 :
ne pas oublier de désactiver Le contrôle des comptes utilisateurs
https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
Double clic sur le raccourci UsbFix présent sur le bureau .
Choisir l'option suppression
(d'autres options disponibles, voir le tutoriel).
Laissez travailler l'outil.
Le menu démarrer et les icônes vont disparaître.. c'est normal.
Si un message te demande de redémarrer l'ordinateur fais le ...
Au redémarrage, le fix se relance... laisses l'opération s'effectuer.
Le bloc note s'ouvre avec un rapport, envoies le dans la prochaine réponse
* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
* Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html
UsbFix peut te demander d'uploader un dossier compressé à cette adresse : http://www.teamxscript.org/Sample/Upload.php
Il est enregistré sur ton bureau.
Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.
ok laisse tomber je pige pas...
encore des pubs ?
encore des pubs ?
Je laisse tomber Usbfix ? Si oui, dois-je le supprimer ? Les tas de dossiers combofix, je les garde ou je les supprime?
Pour les pubs, je me demande si c'est pas quelque chose qe j'avais activer sur mozilla firefox ! Je me rappelle avoir cliquer sur quelque chose pour avoir des pubs mais après je sais pas où je peux désactiver les pubs !
Pour les pubs, je me demande si c'est pas quelque chose qe j'avais activer sur mozilla firefox ! Je me rappelle avoir cliquer sur quelque chose pour avoir des pubs mais après je sais pas où je peux désactiver les pubs !
Fais un nouveau rapport ZHPdiag stp
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
on y vient
1)
* Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
[HKCU\Software\MNTK1K67YO]
[HKCU\Software\U36VRSFLG6]
O51 - MPSK:{3ec776a8-9846-11dd-89d1-000fb5cc0364}\Shell\auto\command. (.Pas de propriétaire - Pas de description.) -- E:\Start.exe (.not file.)
Puis Lance ZHPFix depuis le raccourci du bureau .
* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".
Copie/Colle le rapport à l'écran dans ton prochain message
( ce rapport est sauvegardé dans ce dossier C:\Program files\ZHPDiag\ZHPFixReport.txt )
..........................
2)
Mettre à jour la Console Java ? :
https://www.java.com/fr/download/uninstalltool.jsp
et installer la nouvelle version si besoin est (dans ce cas désinstalle avant l'ancienne version).
voici pour desinstaller :
JavaRa
http://raproducts.org/click/click.php?id=1
Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).
* Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa.
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).
* Choisis Français puis clique sur Select.
* Clique sur Recherche de mises à jour.
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.
* Ferme l'application.
Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.
.............
3)
* Lancez Adobe Reader
* Cliquez sur Edition --> Préférences --> JavaScript
* Décochez "Activer Acrobat JavaScript"
* Validez
....................
4)
IMPORTANT
Purger les points de restauration système:
Télécharge OneClick2RestorePoint
http://www.multifa7.be/Laddy/OneClick2RP.exe
Mirroirs si non accessible :
http://batchdhelus.open-web.fr/Laddy/OneClick2RP.exe
https://app.box.com/s/cqcsz5m0oz
* Double clic sur OneClick2RP pour l'exécuter (Clic-droit choisir Executer en tant qu'administrateur sous Vista/Seven)
* Clic sur le bouton "Purger", l'outil de nettoyage de windows va s'ouvrir
* Choisis ton disque dur principal en général (C:\) ... Patiente pendant le scan...
* Rends toi dans l'onglet "Autres options"
* Dans la zone restauration système, clic sur le bouton nettoyer puis sur le bouton Supprimer.
* Les points de restauration système seront purgés sauf le dernier créé.
Ensuite avec le même outil
Créer un nouveau point de restauration reconnaissable
.................
5)
Télécharge DelFix sur ton bureau.
http://sd-1.archive-host.com/membres/up/17959594961240255/DelFix.exe
1. Lance le, choisis le bouton SUPPRESSION
2. Patiente pendant le scan jusqu'à l'ouverture du rapport.
3. Copie/Colle le contenu du rapport dans ta prochaine réponse.
Note : Le rapport se trouve également sous C:\DelFixSearch
...............................
Recommandations pour l'avenir
Tu es la meilleure protection pour ton pc que tout autre antivirus, si tu admets un minimum de rigueur dans son utilisation...Les virus sont vigilants et pénètrent ta machine par toutes les portes que tu laisseras ouvertes...
- logiciels non à jour (windows, internet explorer, java, adobe reader etc)
- installation de toolbar
- fréquentation de sites piégés
- P2P
- Application de cracks
- Supports usb
Pour t'aider dans cette tâche, voici quelques pistes
Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur firefox
http://www.mozilla-europe.org/fr/firefox/
Une fois que c'est fait, lances le et installe l'extension de sécurité adblock plus
pour bloquer les publicités
http://www.clubic.com/telecharger-fiche45912-adblock-plus.html
............................
WOT - Extension pour ton navigateur internet :
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC :
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp
........................
Pour éviter une infection toolbar, il faut tout lire attentivement lorsque tu installes un programme gratuit, et décocher tous les programmes additionnels qui sont proposés, en particulier les barres d'outils !
..........................
Vaccines tes disques amovibles à l'aide de USBFix (de Chiquitine29 et C_XX)
http://www.teamxscript.org/usbfixTelechargement.html
Au menu principal, choisis l'option 3 (Vaccination).
............................
garder Malwarebytes et faire un examen de temps en temps ton PC, avec mise à jour avant chaque scan
.......................
Pour savoir si ton PC est à jour utilise Sécunia
https://www.donnemoilinfo.com/sujet/Securiser/secunia-personal-inspector.php
...................
Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
* Lance-le.(clic droit "en tant qu'administrateur" pour Vista) Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse
..........................
utilitaire pour défragmenter , utilises pour ce faire Defraggler https://www.clubic.com/telecharger-fiche44314-defraggler.html
........................
A lire pour mieux comprendre l'environnement qui t'entoure
http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html
https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
http://www.libellules.ch/...
1)
* Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
[HKCU\Software\MNTK1K67YO]
[HKCU\Software\U36VRSFLG6]
O51 - MPSK:{3ec776a8-9846-11dd-89d1-000fb5cc0364}\Shell\auto\command. (.Pas de propriétaire - Pas de description.) -- E:\Start.exe (.not file.)
Puis Lance ZHPFix depuis le raccourci du bureau .
* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".
Copie/Colle le rapport à l'écran dans ton prochain message
( ce rapport est sauvegardé dans ce dossier C:\Program files\ZHPDiag\ZHPFixReport.txt )
..........................
2)
Mettre à jour la Console Java ? :
https://www.java.com/fr/download/uninstalltool.jsp
et installer la nouvelle version si besoin est (dans ce cas désinstalle avant l'ancienne version).
voici pour desinstaller :
JavaRa
http://raproducts.org/click/click.php?id=1
Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).
* Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa.
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).
* Choisis Français puis clique sur Select.
* Clique sur Recherche de mises à jour.
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.
* Ferme l'application.
Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.
.............
3)
* Lancez Adobe Reader
* Cliquez sur Edition --> Préférences --> JavaScript
* Décochez "Activer Acrobat JavaScript"
* Validez
....................
4)
IMPORTANT
Purger les points de restauration système:
Télécharge OneClick2RestorePoint
http://www.multifa7.be/Laddy/OneClick2RP.exe
Mirroirs si non accessible :
http://batchdhelus.open-web.fr/Laddy/OneClick2RP.exe
https://app.box.com/s/cqcsz5m0oz
* Double clic sur OneClick2RP pour l'exécuter (Clic-droit choisir Executer en tant qu'administrateur sous Vista/Seven)
* Clic sur le bouton "Purger", l'outil de nettoyage de windows va s'ouvrir
* Choisis ton disque dur principal en général (C:\) ... Patiente pendant le scan...
* Rends toi dans l'onglet "Autres options"
* Dans la zone restauration système, clic sur le bouton nettoyer puis sur le bouton Supprimer.
* Les points de restauration système seront purgés sauf le dernier créé.
Ensuite avec le même outil
Créer un nouveau point de restauration reconnaissable
.................
5)
Télécharge DelFix sur ton bureau.
http://sd-1.archive-host.com/membres/up/17959594961240255/DelFix.exe
1. Lance le, choisis le bouton SUPPRESSION
2. Patiente pendant le scan jusqu'à l'ouverture du rapport.
3. Copie/Colle le contenu du rapport dans ta prochaine réponse.
Note : Le rapport se trouve également sous C:\DelFixSearch
...............................
Recommandations pour l'avenir
Tu es la meilleure protection pour ton pc que tout autre antivirus, si tu admets un minimum de rigueur dans son utilisation...Les virus sont vigilants et pénètrent ta machine par toutes les portes que tu laisseras ouvertes...
- logiciels non à jour (windows, internet explorer, java, adobe reader etc)
- installation de toolbar
- fréquentation de sites piégés
- P2P
- Application de cracks
- Supports usb
Pour t'aider dans cette tâche, voici quelques pistes
Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur firefox
http://www.mozilla-europe.org/fr/firefox/
Une fois que c'est fait, lances le et installe l'extension de sécurité adblock plus
pour bloquer les publicités
http://www.clubic.com/telecharger-fiche45912-adblock-plus.html
............................
WOT - Extension pour ton navigateur internet :
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC :
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp
........................
Pour éviter une infection toolbar, il faut tout lire attentivement lorsque tu installes un programme gratuit, et décocher tous les programmes additionnels qui sont proposés, en particulier les barres d'outils !
..........................
Vaccines tes disques amovibles à l'aide de USBFix (de Chiquitine29 et C_XX)
http://www.teamxscript.org/usbfixTelechargement.html
Au menu principal, choisis l'option 3 (Vaccination).
............................
garder Malwarebytes et faire un examen de temps en temps ton PC, avec mise à jour avant chaque scan
.......................
Pour savoir si ton PC est à jour utilise Sécunia
https://www.donnemoilinfo.com/sujet/Securiser/secunia-personal-inspector.php
...................
Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
* Lance-le.(clic droit "en tant qu'administrateur" pour Vista) Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse
..........................
utilitaire pour défragmenter , utilises pour ce faire Defraggler https://www.clubic.com/telecharger-fiche44314-defraggler.html
........................
A lire pour mieux comprendre l'environnement qui t'entoure
http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html
https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
http://www.libellules.ch/...
1) Rapport de ZHPFix 1.12.3217 par Nicolas Coolman, Update du 12/11/2010
Fichier d'export Registre :
Run by user at 20/11/2010 14:01:41
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Clé(s) du Registre ==========
HKCU\Software\MNTK1K67YO => Clé supprimée avec succès
HKCU\Software\U36VRSFLG6 => Clé supprimée avec succès
O51 - MPSK:{3ec776a8-9846-11dd-89d1-000fb5cc0364}\Shell\auto\command. (.Pas de propriétaire - Pas de description.) -- E:\Start.exe (.not file.) => Clé supprimée avec succès
========== Récapitulatif ==========
3 : Clé(s) du Registre
End of the scan
Pour Java, j'ai le version 6 !
Fichier d'export Registre :
Run by user at 20/11/2010 14:01:41
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Clé(s) du Registre ==========
HKCU\Software\MNTK1K67YO => Clé supprimée avec succès
HKCU\Software\U36VRSFLG6 => Clé supprimée avec succès
O51 - MPSK:{3ec776a8-9846-11dd-89d1-000fb5cc0364}\Shell\auto\command. (.Pas de propriétaire - Pas de description.) -- E:\Start.exe (.not file.) => Clé supprimée avec succès
========== Récapitulatif ==========
3 : Clé(s) du Registre
End of the scan
Pour Java, j'ai le version 6 !
Logiciel: Java 6 Update 15 -
on en est à la version update 22
https://www.commentcamarche.net/telecharger/developpement/12917-java-runtime-environment/
on en est à la version update 22
https://www.commentcamarche.net/telecharger/developpement/12917-java-runtime-environment/
voici pour desinstaller :
JavaRa
http://raproducts.org/click/click.php?id=1
Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).
* Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa.
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).
* Choisis Français puis clique sur Select.
* Clique sur Recherche de mises à jour.
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.
* Ferme l'application.
Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.
JavaRa
http://raproducts.org/click/click.php?id=1
Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).
* Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa.
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).
* Choisis Français puis clique sur Select.
* Clique sur Recherche de mises à jour.
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.
* Ferme l'application.
Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.
Télécharger Flash_Disinfector (de sUBs) sur le Bureau :
https://download.bleepingcomputer.com/sUBs/Flash_Disinfector.exe
Note : Ce programme risque de déclencher une alerte de l'antivirus : si c'est le cas, il faut le désactiver temporairement, c'est une fausse alerte. Double-cliquer sur Flash_Disinfector.exe pour le lancer.
Si la clé n'est pas introduite, il sera demandé de la connecter.
Quand le message : "Plug in your flash drive & clic Ok to begin disinfection" apparaîtra :
connecter les clés USB et/ou périphériques USB externes susceptibles d'avoir été infectés.
Puis cliquer sur OK
Les icônes sur le bureau vont disparaître jusqu'à l'apparition du message: "Finish"
Appuyer ensuite sur "OK", pour faire réapparaître le bureau.
https://download.bleepingcomputer.com/sUBs/Flash_Disinfector.exe
Note : Ce programme risque de déclencher une alerte de l'antivirus : si c'est le cas, il faut le désactiver temporairement, c'est une fausse alerte. Double-cliquer sur Flash_Disinfector.exe pour le lancer.
Si la clé n'est pas introduite, il sera demandé de la connecter.
Quand le message : "Plug in your flash drive & clic Ok to begin disinfection" apparaîtra :
connecter les clés USB et/ou périphériques USB externes susceptibles d'avoir été infectés.
Puis cliquer sur OK
Les icônes sur le bureau vont disparaître jusqu'à l'apparition du message: "Finish"
Appuyer ensuite sur "OK", pour faire réapparaître le bureau.
2010/11/19 17:39:20.0109 ================================================================================
2010/11/19 17:39:20.0109 SystemInfo:
2010/11/19 17:39:20.0109
2010/11/19 17:39:20.0109 OS Version: 5.1.2600 ServicePack: 3.0
2010/11/19 17:39:20.0109 Product type: Workstation
2010/11/19 17:39:20.0109 ComputerName: PIERRE
2010/11/19 17:39:20.0109 UserName: user
2010/11/19 17:39:20.0109 Windows directory: C:\WINDOWS
2010/11/19 17:39:20.0109 System windows directory: C:\WINDOWS
2010/11/19 17:39:20.0109 Processor architecture: Intel x86
2010/11/19 17:39:20.0109 Number of processors: 1
2010/11/19 17:39:20.0109 Page size: 0x1000
2010/11/19 17:39:20.0109 Boot type: Normal boot
2010/11/19 17:39:20.0109 ================================================================================
2010/11/19 17:39:20.0328 Initialize success
2010/11/19 17:39:27.0437 ================================================================================
2010/11/19 17:39:27.0437 Scan started
2010/11/19 17:39:27.0437 Mode: Manual;
2010/11/19 17:39:27.0437 ================================================================================
2010/11/19 17:39:28.0750 ACPI (e5e6dbfc41ea8aad005cb9a57a96b43b) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2010/11/19 17:39:28.0890 ACPIEC (e4abc1212b70bb03d35e60681c447210) C:\WINDOWS\system32\drivers\ACPIEC.sys
2010/11/19 17:39:29.0234 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
2010/11/19 17:39:29.0328 AFD (7e775010ef291da96ad17ca4b17137d7) C:\WINDOWS\System32\drivers\afd.sys
2010/11/19 17:39:29.0593 Arp1394 (b5b8a80875c1dededa8b02765642c32f) C:\WINDOWS\system32\DRIVERS\arp1394.sys
2010/11/19 17:39:29.0750 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2010/11/19 17:39:29.0781 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
2010/11/19 17:39:29.0843 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2010/11/19 17:39:29.0906 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2010/11/19 17:39:30.0015 avgio (0b497c79824f8e1bf22fa6aacd3de3a0) C:\Program Files\Avira\AntiVir Desktop\avgio.sys
2010/11/19 17:39:30.0171 avgntflt (1eb7d72a82f94f7e9496d363fce00b68) C:\WINDOWS\system32\DRIVERS\avgntflt.sys
2010/11/19 17:39:30.0312 avipbb (f8c56231ed5ecf7d1b46b0330880ccef) C:\WINDOWS\system32\DRIVERS\avipbb.sys
2010/11/19 17:39:30.0500 Bdfndisf (3e2a2b4d7f4e1cba53bc0762cf85c422) C:\WINDOWS\system32\DRIVERS\bdfndisf.sys
2010/11/19 17:39:30.0656 bdfsfltr (7118d3ddae7d01ffe459a2e9788d8b08) C:\WINDOWS\system32\drivers\bdfsfltr.sys
2010/11/19 17:39:30.0875 bdftdif (1e0ce61748a8a193cae16415952daa65) C:\Program Files\Fichiers communs\BitDefender\BitDefender Firewall\bdftdif.sys
2010/11/19 17:39:31.0031 BDSelfPr (69a26ca6a374a63afc716b2a86a089ef) C:\Program Files\BitDefender\BitDefender 2008\bdselfpr.sys
2010/11/19 17:39:31.0187 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2010/11/19 17:39:31.0468 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2010/11/19 17:39:31.0687 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2010/11/19 17:39:31.0812 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
2010/11/19 17:39:31.0890 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2010/11/19 17:39:32.0250 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
2010/11/19 17:39:32.0359 dmboot (f5deadd42335fb33edca74ecb2f36cba) C:\WINDOWS\system32\drivers\dmboot.sys
2010/11/19 17:39:32.0609 dmio (5a7c47c9b3f9fb92a66410a7509f0c71) C:\WINDOWS\system32\drivers\dmio.sys
2010/11/19 17:39:32.0812 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2010/11/19 17:39:33.0000 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
2010/11/19 17:39:33.0453 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
2010/11/19 17:39:34.0687 EAPPkt (efacd8d57a42a93e244a0dbd357e8cb8) C:\WINDOWS\system32\DRIVERS\EAPPkt.sys
2010/11/19 17:39:35.0046 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
2010/11/19 17:39:35.0296 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys
2010/11/19 17:39:35.0437 Fips (31f923eb2170fc172c81abda0045d18c) C:\WINDOWS\system32\drivers\Fips.sys
2010/11/19 17:39:35.0562 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\DRIVERS\flpydisk.sys
2010/11/19 17:39:35.0890 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
2010/11/19 17:39:36.0093 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2010/11/19 17:39:36.0187 Ftdisk (a86859b77b908c18c2657f284aa29fe3) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2010/11/19 17:39:36.0390 gameenum (065639773d8b03f33577f6cdaea21063) C:\WINDOWS\system32\DRIVERS\gameenum.sys
2010/11/19 17:39:36.0453 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2010/11/19 17:39:36.0484 HDAudBus (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
2010/11/19 17:39:36.0531 hidusb (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
2010/11/19 17:39:36.0656 HTTP (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
2010/11/19 17:39:36.0734 i8042prt (a09bdc4ed10e3b2e0ec27bb94af32516) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2010/11/19 17:39:36.0796 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
2010/11/19 17:39:36.0859 InCDfs (7bfc3eda22190c0fe8c2ca19e5379da5) C:\WINDOWS\system32\drivers\InCDFs.sys
2010/11/19 17:39:36.0906 InCDPass (fc4dbf18a4eb0d2fe3171471a3d0f9a8) C:\WINDOWS\system32\drivers\InCDPass.sys
2010/11/19 17:39:36.0968 InCDrec (f8e7c551def07fdc12ca5cc7ae5d975b) C:\WINDOWS\system32\drivers\InCDrec.sys
2010/11/19 17:39:37.0015 incdrm (31a5a3809249a326eb0ef58d563a9654) C:\WINDOWS\system32\drivers\InCDRm.sys
2010/11/19 17:39:37.0250 IntcAzAudAddService (47f27af890da3e51c633fdd510910115) C:\WINDOWS\system32\drivers\RtkHDAud.sys
2010/11/19 17:39:37.0671 Ip6Fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
2010/11/19 17:39:37.0718 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2010/11/19 17:39:37.0765 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2010/11/19 17:39:37.0828 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2010/11/19 17:39:37.0859 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2010/11/19 17:39:37.0906 irda (aca5e7b54409f9cb5eed97ed0c81120e) C:\WINDOWS\system32\DRIVERS\irda.sys
2010/11/19 17:39:37.0937 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
2010/11/19 17:39:38.0000 irsir (0501f0b9ab08425f8c0eacbdcc04aa32) C:\WINDOWS\system32\DRIVERS\irsir.sys
2010/11/19 17:39:38.0031 isapnp (355836975a67b6554bca60328cd6cb74) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2010/11/19 17:39:38.0062 Kbdclass (16813155807c6881f4bfbf6657424659) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2010/11/19 17:39:38.0109 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
2010/11/19 17:39:38.0156 KSecDD (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
2010/11/19 17:39:38.0375 L8042Kbd (d88846f9f4f27ae9be584a6e5b6b8753) C:\WINDOWS\system32\DRIVERS\L8042Kbd.sys
2010/11/19 17:39:38.0593 LGDDCDevice (9dcb9d9bdb7e3c0f66f86ee09a392cbb) C:\Program Files\LG Soft India\forteManager\bin\I2CDriver.sys
2010/11/19 17:39:38.0906 LGII2CDevice (21a62a7a95b1905634e7c12e5158ec32) C:\Program Files\LG Soft India\forteManager\bin\PII2CDriver.sys
2010/11/19 17:39:39.0046 MDC8021X (d7010580bf4e45d5e793a1fe75758c69) C:\WINDOWS\system32\DRIVERS\mdc8021x.sys
2010/11/19 17:39:39.0562 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2010/11/19 17:39:39.0703 Modem (510ade9327fe84c10254e1902697e25f) C:\WINDOWS\system32\drivers\Modem.sys
2010/11/19 17:39:39.0796 Mouclass (027c01bd7ef3349aaebc883d8a799efb) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2010/11/19 17:39:39.0859 mouhid (124d6846040c79b9c997f78ef4b2a4e5) C:\WINDOWS\system32\DRIVERS\mouhid.sys
2010/11/19 17:39:39.0968 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
2010/11/19 17:39:40.0140 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2010/11/19 17:39:40.0421 MRxSmb (f3aefb11abc521122b67095044169e98) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2010/11/19 17:39:40.0671 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
2010/11/19 17:39:40.0843 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2010/11/19 17:39:41.0171 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2010/11/19 17:39:41.0515 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
2010/11/19 17:39:41.0546 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2010/11/19 17:39:41.0593 ms_mpu401 (ca3e22598f411199adc2dfee76cd0ae0) C:\WINDOWS\system32\drivers\msmpu401.sys
2010/11/19 17:39:41.0640 Mup (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
2010/11/19 17:39:41.0828 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
2010/11/19 17:39:41.0875 NdisTapi (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
2010/11/19 17:39:41.0937 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
2010/11/19 17:39:41.0984 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
2010/11/19 17:39:42.0031 NDProxy (6215023940cfd3702b46abc304e1d45a) C:\WINDOWS\system32\drivers\NDProxy.sys
2010/11/19 17:39:42.0062 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
2010/11/19 17:39:42.0125 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
2010/11/19 17:39:42.0218 NIC1394 (e9e47cfb2d461fa0fc75b7a74c6383ea) C:\WINDOWS\system32\DRIVERS\nic1394.sys
2010/11/19 17:39:42.0265 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
2010/11/19 17:39:42.0328 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
2010/11/19 17:39:42.0437 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2010/11/19 17:39:42.0625 nv (f43b110e1e97eb5606ab51aea2a26247) C:\WINDOWS\system32\DRIVERS\nv4_mini.sys
2010/11/19 17:39:43.0250 NVENETFD (d875346596bd48d74ac9b9be791b8d69) C:\WINDOWS\system32\DRIVERS\NVENETFD.sys
2010/11/19 17:39:43.0312 nvnetbus (f02c1c5e84c37667ecd3eea5958449bc) C:\WINDOWS\system32\DRIVERS\nvnetbus.sys
2010/11/19 17:39:43.0359 nvsmu (9aebc32f9d6e02ebee0369ab296fe7c8) C:\WINDOWS\system32\DRIVERS\nvsmu.sys
2010/11/19 17:39:43.0468 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
2010/11/19 17:39:43.0562 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
2010/11/19 17:39:43.0609 ohci1394 (ca33832df41afb202ee7aeb05145922f) C:\WINDOWS\system32\DRIVERS\ohci1394.sys
2010/11/19 17:39:43.0640 Parport (8fd0bdbea875d06ccf6c945ca9abaf75) C:\WINDOWS\system32\DRIVERS\parport.sys
2010/11/19 17:39:43.0656 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
2010/11/19 17:39:43.0703 ParVdm (9575c5630db8fb804649a6959737154c) C:\WINDOWS\system32\drivers\ParVdm.sys
2010/11/19 17:39:43.0765 PCANDIS5 (58c5ea3de400fe1d08cfeca6d5c14ebd) C:\WINDOWS\system32\PCANDIS5.SYS
2010/11/19 17:39:43.0796 PCI (043410877bda580c528f45165f7125bc) C:\WINDOWS\system32\DRIVERS\pci.sys
2010/11/19 17:39:43.0875 PCIIde (f4bfde7209c14a07aaa61e4d6ae69eac) C:\WINDOWS\system32\DRIVERS\pciide.sys
2010/11/19 17:39:43.0921 Pcmcia (f0406cbc60bdb0394a0e17ffb04cdd3d) C:\WINDOWS\system32\drivers\Pcmcia.sys
2010/11/19 17:39:44.0156 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2010/11/19 17:39:44.0203 Processor (e19c9632ac828f6f214391e2bdda11cb) C:\WINDOWS\system32\DRIVERS\processr.sys
2010/11/19 17:39:44.0359 Profos (688dbb446b61e7aa9d0198a39b0d3a3f) C:\Program Files\Fichiers communs\BitDefender\BitDefender Threat Scanner\profos.sys
2010/11/19 17:39:44.0437 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
2010/11/19 17:39:44.0484 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2010/11/19 17:39:44.0531 PxHelp20 (d86b4a68565e444d76457f14172c875a) C:\WINDOWS\system32\Drivers\PxHelp20.sys
2010/11/19 17:39:44.0687 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2010/11/19 17:39:44.0734 Rasirda (0207d26ddf796a193ccd9f83047bb5fc) C:\WINDOWS\system32\DRIVERS\rasirda.sys
2010/11/19 17:39:44.0781 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2010/11/19 17:39:44.0812 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2010/11/19 17:39:44.0859 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
2010/11/19 17:39:44.0890 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2010/11/19 17:39:44.0937 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2010/11/19 17:39:44.0984 RDPWD (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
2010/11/19 17:39:45.0015 redbook (d8eb2a7904db6c916eb5361878ddcbae) C:\WINDOWS\system32\DRIVERS\redbook.sys
2010/11/19 17:39:45.0093 RTLWUSB (f564f1c5813b47a86903d42cd778311c) C:\WINDOWS\system32\DRIVERS\wg111v2.sys
2010/11/19 17:39:45.0171 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2010/11/19 17:39:45.0218 serenum (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
2010/11/19 17:39:45.0265 Serial (93d313c31f7ad9ea2b75f26075413c7c) C:\WINDOWS\system32\DRIVERS\serial.sys
2010/11/19 17:39:45.0296 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
2010/11/19 17:39:45.0390 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
2010/11/19 17:39:45.0437 sr (39626e6dc1fb39434ec40c42722b660a) C:\WINDOWS\system32\DRIVERS\sr.sys
2010/11/19 17:39:45.0484 Srv (89220b427890aa1dffd1a02648ae51c3) C:\WINDOWS\system32\DRIVERS\srv.sys
2010/11/19 17:39:45.0546 ssmdrv (debc9c5329d147eaab8c47bb7c8ace22) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
2010/11/19 17:39:45.0562 Suspicious file (Forged): C:\WINDOWS\system32\DRIVERS\ssmdrv.sys. Real md5: debc9c5329d147eaab8c47bb7c8ace22, Fake md5: 3ad0362cf68de3ac500e981700242cca
2010/11/19 17:39:45.0562 ssmdrv - detected Rootkit.Win32.TDSS.tdl3 (0)
2010/11/19 17:39:45.0593 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
2010/11/19 17:39:45.0640 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
2010/11/19 17:39:45.0781 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
2010/11/19 17:39:45.0859 Tcpip (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2010/11/19 17:39:45.0906 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
2010/11/19 17:39:45.0984 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
2010/11/19 17:39:46.0015 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
2010/11/19 17:39:46.0156 Trufos (2d81f753af1093877572d8a0b680f924) C:\Program Files\Fichiers communs\BitDefender\BitDefender Threat Scanner\trufos.sys
2010/11/19 17:39:46.0234 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
2010/11/19 17:39:46.0343 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
2010/11/19 17:39:46.0406 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2010/11/19 17:39:46.0437 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2010/11/19 17:39:46.0468 usbohci (0daecce65366ea32b162f85f07c6753b) C:\WINDOWS\system32\DRIVERS\usbohci.sys
2010/11/19 17:39:46.0531 usbscan (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys
2010/11/19 17:39:46.0609 USBSTOR (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2010/11/19 17:39:46.0656 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
2010/11/19 17:39:46.0718 VolSnap (46de1126684369bace4849e4fc8c43ca) C:\WINDOWS\system32\drivers\VolSnap.sys
2010/11/19 17:39:46.0796 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2010/11/19 17:39:46.0875 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
2010/11/19 17:39:47.0015 WlanUIG (c383926d4ba41afbca592b2ad1fe4109) C:\WINDOWS\system32\DRIVERS\WlanUIG.sys
2010/11/19 17:39:47.0062 WmiAcpi (c42584fd66ce9e17403aebca199f7bdb) C:\WINDOWS\system32\DRIVERS\wmiacpi.sys
2010/11/19 17:39:47.0140 WudfPf (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
2010/11/19 17:39:47.0187 WudfRd (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
2010/11/19 17:39:47.0359 ================================================================================
2010/11/19 17:39:47.0359 Scan finished
2010/11/19 17:39:47.0359 ================================================================================
2010/11/19 17:39:47.0390 Detected object count: 1
2010/11/19 17:40:48.0343 ssmdrv (debc9c5329d147eaab8c47bb7c8ace22) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
2010/11/19 17:40:48.0343 Suspicious file (Forged): C:\WINDOWS\system32\DRIVERS\ssmdrv.sys. Real md5: debc9c5329d147eaab8c47bb7c8ace22, Fake md5: 3ad0362cf68de3ac500e981700242cca
2010/11/19 17:40:48.0484 Backup copy found, using it..
2010/11/19 17:40:48.0515 C:\WINDOWS\system32\DRIVERS\ssmdrv.sys - will be cured after reboot
2010/11/19 17:40:48.0515 Rootkit.Win32.TDSS.tdl3(ssmdrv) - User select action: Cure
2010/11/19 17:41:18.0203 Deinitialize success