Bon soir besoin d aide pour analyse hijack pc Fermé

Question

Bonjour,
Mon pc rame , voire bloque... voici le log hjt

Logfile
of Trend Micro HijackThis v2.0.2
Scan saved at 16:22:50, on 16/11/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVG\AVG9\avgchsvx.exe
C:\Program Files\AVG\AVG9\avgrsx.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Philips ToUcam Camera\VProperty.exe
C:\PROGRA~1\AVG\AVG9\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\AVG\AVG9\avgwdsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\WINDOWS\System32\vssvc.exe
C:\Program Files\AVG\AVG9\avgam.exe
C:\Program Files\AVG\AVG9\avgnsx.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Jacques\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
<a href="http://www.google.fr/R1" target="_blank">https://www.google.fr/?gws_rd=ssl
R1</a> - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
<a href="http://go.microsoft.com/fwlink/?LinkId=69157R1" target="_blank">http://go.microsoft.com/fwlink/?LinkId=69157
R1</a> - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
<a href="http://go.microsoft.com/fwlink/?LinkId=54896R1" target="_blank">http://go.microsoft.com/fwlink/?LinkId=54896
R1</a> - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
<a href="http://go.microsoft.com/fwlink/?LinkId=54896R0" target="_blank">http://go.microsoft.com/fwlink/?LinkId=54896
R0</a> - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
<a href="http://go.microsoft.com/fwlink/?LinkId=69157R0" target="_blank">http://go.microsoft.com/fwlink/?LinkId=69157
R0</a> - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title =
Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
Liens
R3 - URLSearchHook: AVG Security Toolbar BHO -
{A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program
Files\AVG\AVG9\Toolbar\IEToolbar.dll
R3 - URLSearchHook: Yahoo! Toolbar -
{EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} -
C:\Program Files\Fichiers
communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter -
{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program
Files\AVG\AVG9\avgssie.dll
O2 - BHO: AVG Security Toolbar BHO -
{A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program
Files\AVG\AVG9\Toolbar\IEToolbar.dll
O3 - Toolbar: AVG Security Toolbar -
{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Program
Files\AVG\AVG9\Toolbar\IEToolbar.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE"
/Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002]
C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync]
C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A]
C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut]
HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [ToUcamVProperty] C:\Program Files\Philips ToUcam
Camera\VProperty.exe
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program
Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers
communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program
Files\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe"
/nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
(User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
(User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
(User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
(User 'Default user')
O8 - Extra context menu item: Add to Google Photos Screensa&ver -
res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Add to Windows &Live Favorites -
<a href="http://favorites.live.com/quickadd.aspxO8" target="_blank">https://onedrive.live.com/?id=favorites
O8</a> - Extra context menu item: E&xporter vers Microsoft Excel -
res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: PokerStars.fr -
{90EAE591-7E7E-434a-8E28-ECFD00071806} - C:\Program
Files\PokerStars.FR\PokerStarsUpdate.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} -
C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 -
{e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network
Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program
Files\Messenger\msmsgs.exe
O17 -
HKLM\System\CCS\Services\Tcpip\..\{667E9F8F-C62D-46C0-95AC-6E11F67C6053}:
NameServer = 86.64.145.140,84.103.237.142
O18 - Protocol: avgsecuritytoolbar -
{F2DDE6B2-9684-4A55-86D4-E255E237B77C} - C:\Program
Files\AVG\AVG9\Toolbar\IEToolbar.dll
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} -
C:\Program Files\AVG\AVG9\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} -
C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: AVG Security Toolbar Service - Unknown owner - C:\Program
Files\AVG\AVG9\Toolbar\ToolbarBroker.exe
O23 - Service: AVG WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. -
C:\Program Files\AVG\AVG9\avgwdsvc.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program
Files\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program
Files\Google\Common\Google Updater\GoogleUpdaterService.exe

archet9 · Answer

Bonsoir,

Hijack est un peu dépassé.....



Pour un diagnostic du pc:


Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions. 

/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur » 

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 
- Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer. 
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix) 
- Clique sur la loupe pour lancer l'analyse. 
- Laisse l'outil travailler, il peut être assez long. 
- Ferme ZHPDiag en fin d'analyse. 
- Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/ 
- Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 
- Sélectionne le fichier ZHPDiag.txt. 
- Clique sur "Cliquez ici pour déposer le fichier". 
- Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page. 
- Copie ce lien dans ta réponse.

elise · Answer

http://www.cijoint.fr/cjlink.php?file=cj201011/cijzyPmlDi.txt 

Merci pour ta reponse ... Voici le lien ;o)

archet9 · Answer

Télécharge MBAM et installe le selon l'emplacement par défaut 

* Effectue la mise à jour et lance Malwarebytes' Anti-Malware 
* Clique dans l'onglet du haut "Recherche" 
* Coche l'option "Exécuter un examen rapide" puis sur le bouton "Rechercher" 
* Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen" 

A la fin de l'analyse, si MBAM n'a rien trouvé : 

* Clique sur OK, le rapport s'ouvre spontanément 

Si des menaces ont été détectées : 

* Clique sur OK puis "Afficher les résultats" 
* Choisis l'option "Supprimer la sélection" 
* Si MBAM demande le redémarrage de Windows : Clique sur "Oui" 
* Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs" 
* Sinon le rapport s'ouvre automatiquement après la suppression 

Quelque soit le résultat, copie/colle le rapport dans le prochain message

elise · Answer

Voici le rapport MBAM
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 5135

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

17/11/2010 15:09:20
mbam-log-2010-11-17 (15-09-20).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 153420
Temps écoulé: 7 minute(s), 14 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Documents and Settings\Jacques\Application Data\OfferBox (PUP.OfferBox) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Documents and Settings\Jacques\Application Data\OfferBox\config.xml (PUP.OfferBox) -> Quarantined and deleted successfully.

elise · Answer

ET J AI CELA AUSSI QUI S AFFICHE 
 firefox google outils console d'erreurs :Avertissement : La propriété « charCode » d'un événement « keydown » ne doit pas être utilisée. Cette valeur n'a pas de sens.
Fichier Source : https://accounts.google.com/ServiceLogin?service=mail&passive=true&rm=false&continue=https://mail.google.com/mail/?ui%3D2%26view%3Dbsp%26ver%3Dohhl4rw8mbn4&scc=1&ltmpl=default&ltmplcache=2&emr=1&osid=1
Ligne : 0

archet9 · Answer

Télécharge UsbFix (par C_XX & El Desaparecido) sur le Bureau 
http://www.teamxscript.org/usbfixTelechargement.html

! ! Branche tous tes supports amovibles (Clés USB, DD externes, etc...) sans les ouvrir !! 
* lance UsbFix 
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
* Clique sur le bouton "Suppression" 
* Patiente le temps du balayage qui peut durer plusieurs minutes 
* Le rapport doit s'ouvrir spontanément à la fin du scan 
* Copie/colle le rapport dans le prochain message 

Le rapport est sauvegardé à la racine du disque C:\Usbfix.txt 

"Process.exe" est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Le mieux étant de désactiver temporairement ton antivirus

elise · Answer

pARDOnne moi pour le temps de repondre
J ai telechargé usbfix le souci est qu il ne veut rien savoir. Note que mes prises usb deconnent et elles ne servent que pour les telechargements de photos avec mon appareil
Je recommence  en enlevant et je retelecharge .
A dans 5 mn

elise · Answer

RIEN A FAIRE  .QUAND JE CLIQUE SUR RECHERCHE DE USBFIX IL MET LE SABLIER EN ROUTE ET PLUS RIEN NE SE PASSE

elise · Answer

Rebonjour Archet ...merci pour les premiers pas mais la je bloque... imùpossible de faire usbfix mais surtout je ne sais pas quoi faire avec les premiers rapports ..;Peux tu encore m aider? mERCI MILLE FOIS

archet9 · Answer

Télécharges ComboFix à partir de ce lien : 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 


Enregistre le sur le bureau (Important) 

Avant d'utiliser ComboFix : 

 Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours. 

 Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, 
la protection en temps réel de ton Antivirus et de tes Antispywares, 
qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 


Une fois fait, sur ton bureau double-clic sur Combofix.exe. 

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. 

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes. 

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt,. 
est automatiquement sauvegardé et rangé à C:\Combofix.txt) 

 Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, 
avant de te reconnecter à internet. 

Copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

elise · Answer

Milles mercis ...je le fais tout de suite ;o)

elise · Answer

Voila...j essaie d installer combo mais impossible car avg ne veut pas se fermer j ai donc decider de le supprimer et le remplacer par avast mais pour l instant j essaie avec des tutoriels de le desinstaller completement ce qu il refuse de fare . J y passe encore une heure et si j y arrive enfin je mets le combo sinon je te tiens au courant demain matin. En tous cas merci d avoir repris le contact A tout a l heure ou demain.

elise · Answer

OUF;;; ENFIN REUSSI 5JE VAIS FINIR PAR APPRENDRE .O°
Je lance combofix et je depose le rapport... en attendant je te souhaite une tres belle nuit ;o)

elise · Answer

Ouf et oualaaaaaaaaaa Apres une lutte horrible contre l ordi qui rame rame rame... voici le rapport combo ;o))
ComboFix 10-11-19.01 - Jacques 19/11/2010  23:47:30.1.2 - FAT32x86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.503.134 [GMT 1:00]
Lancé depuis: c:\documents and settings\Jacques\Bureau\ComboFix.exe
AV: avast! Antivirus *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
c:\documents and settings\Jacques\Local Settings\Temporary Internet Files\Sys5889.Data Repository.sys
c:\documents and settings\Jacques\System
c:\documents and settings\Jacques\System\win_qd.jqx
c:\windows\a3kebook.ini
c:\windows\akebook.ini
c:\windows\ANS2000.INI
D:\install.exe

----- BITS: Il y a peut-être des sites infectés -----

hxxp://au.download.windowsj+|Cv+@J:NGD_DQ{zcxLJS@tNNGiv'{AC76BA86-7AD7-1036-7B44-A94000000001}
.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SSHNAS


(((((((((((((((((((((((((((((   Fichiers créés du 2010-10-19 au 2010-11-19  ))))))))))))))))))))))))))))))))))))
.

2010-11-19 22:54 . 2010-11-19 22:54	53248	----a-w-	c:	emp\catchme.dll
2010-11-19 22:16 . 2010-11-19 22:16	--------	d-----w-	C:\AVGTemp
2010-11-19 21:24 . 2010-11-19 21:24	--------	d-----w-	c:\program files\Conduit
2010-11-19 21:24 . 2010-11-19 21:24	--------	d-----w-	c:\documents and settings\Jacques\Local Settings\Application Data\Conduit
2010-11-19 21:24 . 2010-11-19 21:24	--------	d-----w-	c:\documents and settings\Jacques\Local Settings\Application Data\Softonic_France
2010-11-19 21:24 . 2010-11-19 21:24	--------	d-----w-	c:\program files\Softonic_France
2010-11-19 21:11 . 2010-09-07 15:47	17744	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2010-11-19 21:11 . 2010-09-07 15:52	165584	----a-w-	c:\windows\system32\drivers\aswSP.sys
2010-11-19 21:11 . 2010-09-07 15:52	46672	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2010-11-19 21:11 . 2010-09-07 15:47	23376	----a-w-	c:\windows\system32\drivers\aswRdr.sys
2010-11-19 21:11 . 2010-09-07 15:47	100176	----a-w-	c:\windows\system32\drivers\aswmon2.sys
2010-11-19 21:11 . 2010-09-07 15:47	94544	----a-w-	c:\windows\system32\drivers\aswmon.sys
2010-11-19 21:11 . 2010-09-07 15:46	28880	----a-w-	c:\windows\system32\drivers\aavmker4.sys
2010-11-19 21:11 . 2010-09-07 16:12	38848	----a-w-	c:\windows\avastSS.scr
2010-11-19 21:11 . 2010-09-07 16:11	167592	----a-w-	c:\windows\system32\aswBoot.exe
2010-11-19 21:11 . 2010-11-19 21:11	--------	d-----w-	c:\documents and settings\All Users\Application Data\Alwil Software
2010-11-19 14:43 . 2010-11-19 14:43	22	--sha-w-	c:\windows\Sys3390 SettingsCollection.bin
2010-11-19 14:43 . 2010-11-19 14:43	22	--sha-w-	c:\documents and settings\Jacques\Application Data\Sys6925.Config Collection.sys
2010-11-19 14:43 . 2010-11-19 14:43	--------	d-----w-	c:\program files\jv16 PowerTools 2010
2010-11-18 14:34 . 2010-11-18 14:34	--------	d-----w-	C:\UsbFix
2010-11-18 08:53 . 2010-10-27 06:15	25048	----a-w-	c:\program files\Mozilla Firefox\components\browserdirprovider.dll
2010-11-18 08:53 . 2010-10-27 06:15	140248	----a-w-	c:\program files\Mozilla Firefox\components\brwsrcmp.dll
2010-11-17 10:26 . 2010-11-17 10:26	--------	d-----w-	c:\program files\ZHPDiag
2010-11-16 14:44 . 2010-11-16 14:44	--------	d-----w-	c:\program files\Trend Micro
2010-11-15 20:27 . 2010-11-15 20:27	--------	d-----w-	c:\windows\system32\wbem\Repository
2010-11-11 01:02 . 2010-11-11 01:02	--------	d-----w-	c:\documents and settings\Administrateur\Local Settings\Application Data\AVG Security Toolbar
2010-11-11 01:00 . 2010-11-11 01:00	--------	d-----w-	c:\documents and settings\Administrateur\Local Settings\Application Data\Mozilla
2010-11-04 21:31 . 2010-11-04 21:31	--------	d-----w-	c:\documents and settings\All Users\Application Data\SweetIM
2010-11-04 21:27 . 2010-11-04 21:27	--------	d-----w-	c:\documents and settings\Jacques\Application Data\widestream
2010-11-04 21:27 . 2010-11-04 21:27	--------	d-----w-	c:\documents and settings\Jacques\Local Settings\Application Data\widestream6 Air
2010-11-04 21:26 . 2010-11-04 21:26	--------	d-----w-	c:\documents and settings\Jacques\Application Data\FissaSearch
2010-11-04 21:26 . 2010-11-04 21:26	--------	d-----w-	c:\program files\Widestream6

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-20 13:35 . 2010-10-20 13:35	8627568	----a-w-	c:\program files\Firefox_Setup_3.6.11.exe
2010-10-08 16:00 . 2010-10-08 16:00	6153352	----a-w-	c:\program files\mbam-setup.exe
2010-09-18 11:23 . 2005-09-13 11:38	974848	----a-w-	c:\windows\system32\mfc42u.dll
2010-09-18 07:53 . 2005-09-13 11:38	974848	----a-w-	c:\windows\system32\mfc42.dll
2010-09-18 07:53 . 2005-09-13 11:38	954368	----a-w-	c:\windows\system32\mfc40.dll
2010-09-18 07:53 . 2005-09-13 11:38	953856	----a-w-	c:\windows\system32\mfc40u.dll
2010-09-10 05:50 . 2005-09-13 11:38	916480	----a-w-	c:\windows\system32\wininet.dll
2010-09-10 05:50 . 2005-09-13 11:38	43520	----a-w-	c:\windows\system32\licmgr10.dll
2010-09-10 05:50 . 2005-09-13 11:38	1469440	----a-w-	c:\windows\system32\inetcpl.cpl
2010-09-08 10:17 . 2010-09-08 10:17	94208	----a-w-	c:\windows\system32\QuickTimeVR.qtx
2010-09-08 10:17 . 2010-09-08 10:17	69632	----a-w-	c:\windows\system32\QuickTime.qts
2010-09-01 12:51 . 2005-09-13 11:37	285824	----a-w-	c:\windows\system32\atmfd.dll
2010-09-01 08:55 . 2005-09-13 11:38	1852928	----a-w-	c:\windows\system32\win32k.sys
2010-08-27 09:02 . 2005-09-13 11:38	119808	----a-w-	c:\windows\system32	2embed.dll
2010-08-27 06:58 . 2005-09-13 11:38	99840	----a-w-	c:\windows\system32\srvsvc.dll
2010-08-27 02:43 . 2008-05-05 06:25	5632	----a-w-	c:\windows\system32\xpsp4res.dll
2010-08-26 14:39 . 2005-09-13 11:38	357248	----a-w-	c:\windows\system32\drivers\srv.sys
2010-08-23 17:12 . 2005-09-13 11:37	617472	----a-w-	c:\windows\system32\comctl32.dll
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{4daac69c-cba7-45e2-9bc8-1044483d3352}"= "c:\program files\Softonic_France	bSoft.dll" [2010-10-18 3908192]

[HKEY_CLASSES_ROOT\clsid\{4daac69c-cba7-45e2-9bc8-1044483d3352}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
2010-10-18 11:26	3908192	----a-w-	c:\program files\ConduitEngine\ConduitEngine.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4daac69c-cba7-45e2-9bc8-1044483d3352}]
2010-10-18 11:26	3908192	----a-w-	c:\program files\Softonic_France	bSoft.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{4daac69c-cba7-45e2-9bc8-1044483d3352}"= "c:\program files\Softonic_France	bSoft.dll" [2010-10-18 3908192]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\program files\ConduitEngine\ConduitEngine.dll" [2010-10-18 3908192]

[HKEY_CLASSES_ROOT\clsid\{4daac69c-cba7-45e2-9bc8-1044483d3352}]

[HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{4DAAC69C-CBA7-45E2-9BC8-1044483D3352}"= "c:\program files\Softonic_France	bSoft.dll" [2010-10-18 3908192]

[HKEY_CLASSES_ROOT\clsid\{4daac69c-cba7-45e2-9bc8-1044483d3352}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-10-09 25623336]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-05 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 61952]
"RTHDCPL"="RTHDCPL.EXE" [2005-06-08 14565376]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-06-08 94208]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-06-08 77824]
"Persistence"="c:\windows\system32\igfxpers.exe" [2005-06-08 114688]
"ToUcamVProperty"="c:\program files\Philips ToUcam Camera\VProperty.exe" [2003-04-02 131072]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-09-08 421888]
"avast5"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2010-09-07 2838912]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.exe.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.exe.lnk
backup=c:\windows\pss\Adobe Gamma Loader.exe.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\carpediem
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ewssy
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Malwarebytes Anti-Malware (reboot)
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Uniblue RegistryBooster 2009
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-09-23 03:47	35760	----a-w-	c:\program files\Adobe\Reader 9.0\Readereader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eRecoveryService]
2005-08-16 08:56	368640	----a-w-	c:\acer\Empowering Technology\eRecovery\Monitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg
tiMUI]
2005-05-11 17:15	45056	----a-w-	c:\program files\NewTech Infosystems\NTI CD & DVD-Maker 7
tiMUI.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2004-11-02 19:24	32768	----a-w-	c:\program files\CyberLink\PowerDVD\PDVDServ.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\WINDOWS\System32\dpvsetup.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\WINDOWS\System32\mmc.exe"=
"c:\Program Files\Skype\Plugin Manager\skypePM.exe"=
"c:\Program Files\Mozilla Firefox\firefox.exe"=
"c:\Program Files\Skype\Phone\Skype.exe"=

R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [19/11/2010 22:11 165584]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [19/11/2010 22:11 17744]
R3 Camdrv30;Philips ToUcam XS;c:\windows\system32\drivers\camdrv30.sys [05/05/2006 15:47 171264]
S3 AVG Security Toolbar Service;AVG Security Toolbar Service;c:\program files\AVG\AVG9\Toolbar\ToolbarBroker.exe --> c:\program files\AVG\AVG9\Toolbar\ToolbarBroker.exe [?]
S3 nosGetPlusHelper;getPlus(R) Helper 3004;c:\windows\System32\svchost.exe -k nosGetPlusHelper [13/09/2005 12:38 14336]
S3 PALLADIA;Palladia 300/400 Usb Adsl Modem;c:\windows\system32\drivers\usbiad.sys [05/05/2006 16:19 31547]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
nosGetPlusHelper	REG_MULTI_SZ   	nosGetPlusHelper
.
Contenu du dossier 'Tâches planifiées'
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2542115
uDefault_Search_URL = hxxp://www.google.com/ie
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Connection Wizard,ShellNext = iexplore
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
Trusted Zone: scolastance.com\.www
TCP: {667E9F8F-C62D-46C0-95AC-6E11F67C6053} = 86.64.145.140,84.103.237.142
Handler: avgsecuritytoolbar - {F2DDE6B2-9684-4A55-86D4-E255E237B77C} - 
FF - ProfilePath - c:\documents and settings\Jacques\Application Data\Mozilla\Firefox\Profiles\fhaxg6bw.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2542115&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Softonic_France Customized Web Search
FF - prefs.js: browser.startup.homepage - hxxp://search.conduit.com/?ctid=CT2542115&SearchSource=13
FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2542115&q=
FF - plugin: c:\program files\Google\Picasa3
pPicasa2.dll
FF - plugin: c:\program files\Google\Picasa3
pPicasa3.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - true
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true);  // Traditional
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true);  // Simplified
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - ORPHELINS SUPPRIMES - - - -

Notify-avgrsstarter - avgrsstx.dll
SafeBoot-AVG Anti-Spyware Driver
SafeBoot-AVG Anti-Spyware Guard



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-11-19 23:54
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  ToUcamVProperty = c:\program files\Philips ToUcam Camera\VProperty.exe??U?c?a?m? ?C?a?m?e?r?a?\?V?P?r?o?p?e?r?t?y?.?e?x?e??????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????? 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-2841579094-2284655795-2851511003-1005\RemoteAccess\Profile\x	*]
"EnableAutodisconnect"=dword:00000001
"EnableExitDisconnect"=dword:00000001
"DisconnectIdleTime"=dword:00000014
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(3852)
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Heure de fin: 2010-11-19  23:57:05 - La machine a redémarré
ComboFix-quarantined-files.txt  2010-11-19 22:57

Avant-CF: 14 966 456 320 octets libres
Après-CF: 15 122 661 376 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

- - End Of File - - 954DBD998772050F6AF975F3878045A3

elise · Answer

Bonjour Archet Pour info je viens de supprimer de l ordi de mon pere plein de programmes bidons du genre conduit engine poker machin etc Bref plein de *.exe pour des sites bidons...mais le pc rame toujours autant voire il mets carrement 3 mn montre en main pour ouvrir une page ...;((((
A plus tard et merci encore

archet9 · Answer

Lance un scan Avast et colle moi le rapport stp....

elise · Answer

Je viens de rentrer Je le lance de suite et le met des que c est fait;o)

elise · Answer

Voila c est fait mais je n ai aucun rapport Il me dit juste que sur tous les dossiers il n y en a aucun infectes.
La il va un peu moins lentement en revanche , sur gmail et ebay par exemple il met un temps fou et surtout si on  m envoie un lien impossible de l ouvrir en cliquant dessus ..

archet9 · Answer

Télécharge et enregistre List_Kill'em (de gen-hackman) sur le Bureau. 
http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe

!! Important => Désactive ton antivirus !! 

* Lance l'installation 
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
* Laisse toi guider par le programme, en cliquant à chaque fois sur suivant 
* Clique enfin sur "Terminer" et le programme va se lancer 
* Choisis l'option "Search" 
* Patiente pendant le travail de l'outil qui peut prendre plusieurs minutes 
* A l'apparition d'une fenêtre blanche, même si c'est long, c'est normal, le programme n'est pas bloqué. 
* Un rapport "catchme" apparait sur le bureau, ignore-le, il disparaitra en fin de scan 
* Le rapport s'ouvre spontanément après 100 % du scan à l'ecran "COMPLETED" 
* Héberge le rapport sur http://www.cijoint.fr

elise · Answer

He vouici le lien du rapport de kill ;o)

http://www.cijoint.fr/cjlink.php?file=cj201011/cijPcrnNNv.txt

elise · Answer

Je ne trouve plus le fil de la conversation... Voici le raport de kill

http://www.cijoint.fr/cjlink.php?file=cj201011/cijPcrnNNv.txt

archet9 · Answer

Pour retrouver aisément le fil de nos dsiscussions, il te suffit de t'inscrire sur   
CCM....et tu verras en haut à droite dans "mes discussions suivies" nos messages et réponses s'affcheront en gras.....    




Relance List_Kill'em avec le raccourci blanc créé sur ton bureau.      

- Sous XP double-clic sur l'icône pour lancer l'outil.      
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.      

* Choisis l'Option Clean      
* Une boite de dialogue t'indique que le PC va redémarrer      
* Patiente pendant le travail de l'outil qui peut prendre plusieurs minutes      
* Lorsque le scan est fini, la fenêtre se ferme et un rapport va se créer      
* Héberge le rapport sur http://www.cijoint.fr      
....."contributeur sécurité".....o°ô"

elise · Answer

Desolee , je n ai pas vu ta reponse hier soir
Voici le rapport qui refuse de rentrer dans ci joint


¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.2.0 ¤¤¤¤¤¤¤¤¤¤ 
 
User : Jacques (Administrateurs) 
Update on 21/11/2010 by g3n-h@ckm@n ::::: 01.15
Start at: 10:45:49 | 21/11/2010

              Intel(R) Pentium(R) 4 CPU 3.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : avast! Antivirus 5.0.83886757 [ (!) Disabled | Updated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local | 35,6 Go (14,64 Go free) [ACER] | FAT32
D:\ -> Disque fixe local | 35,98 Go (21,04 Go free) [ACERDATA] | FAT32
J:\ -> Disque CD-ROM
 

¤¤¤¤¤¤¤¤¤¤ Files/folders : 

Deleted !! : C:\RECYCLED\Dc2.txt   
 
¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤

127.0.0.1       localhost   

¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤


¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page	=         	http://go.microsoft.com/fwlink/?LinkId=69157
Local Page	=         	C:\WINDOWS\system32\blank.htm
Default_Search_URL	=         	http://go.microsoft.com/fwlink/?LinkId=54896
Default_Page_URL	=         	http://go.microsoft.com/fwlink/?LinkId=69157
Search Page	=         	http://go.microsoft.com/fwlink/?LinkId=54896

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page	=         	https://www.google.com/?gws_rd=ssl
Local Page	=         	C:\WINDOWS\system32\blank.htm
Search Page	=         	http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

¤¤¤¤¤¤¤¤¤¤ Security Center ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] 
FirstRunDisabled	=      	1 (0x1) 
AntiVirusDisableNotify	=      	0 (0x0) 
FirewallDisableNotify	=      	0 (0x0) 
AntiVirusOverride	=      	0 (0x0) 
FirewallOverride	=      	0 (0x0) 
UpdatesDisableNotify	=      	0 (0x0) 
 
¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

 Ndisuio : Start = 3   
 EapHost : Start = 2   
 Ip6Fw : Start = 2   
 SharedAccess : Start = 2   
 wuauserv : Start = 2   
 wscsvc : Start = 2   
 
 ¤¤¤¤¤¤¤¤¤¤ Winlogon
 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 
 Shell	=         	explorer.exe 
 Userinit	=         	C:\WINDOWS\System32\userinit.exe, 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Disk Cleaned
anti-ver blaster : OK  
Prefetch cleaned 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

FEATURE_BROWSER_EMULATION | svchost : 
====================================
 

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: HDS728080PLA380 rev.PF2OA60A -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-e 

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys atapi.sys hal.dll pciide.sys PCIIDEX.SYS 
1 ntkrnlpa!IofCallDriver[0x804EF1A6] -> \Device\Harddisk0\DR0[0x823879C0]
3 CLASSPNP[0xF84B2FD7] -> ntkrnlpa!IofCallDriver[0x804EF1A6] -> \Device\Ide\IdeDeviceP1T0L0-e[0x823CFD98]
kernel: MBR read successfully
user & kernel MBR OK 
 


End of Scan : 10:46:02,18

 
 
 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

archet9 · Answer

Comment se comporte le PC ?

elise · Answer

A peine mieux ... gmail ca va a peu pres...Mozilla c est l horreur pendant une recherche ... Il demande de rafraichir et souvent quand on veut l ouvrir il faut d abord aller fermer son processus  pour le reouvrir sinon il reste invisble Quant a l acces ebay , c est carrement presque impossible EEt les liens .. pour les ouvrir il faut copié coller dans la barre d adresse sinon avec un clic direct ca ne marche pas ...;o(

elise · Answer

Pour le pc..;si je n ai pas besoin d acces au net ..;tout va bien.... ca ne concerne que l acces au net ;o(

archet9 · Answer

Fais ceci et dis moi....
https://www.commentcamarche.net/faq/9525-reinitialiser-firefox-reset

elise · Answer

bON alors c est mieux pour l ensemble meme si ca n est pas top et gmail et ebay toujours horrible..;quant aux liens impossible d y acceder sauf par copié dans l adresse... ;o( Je suis desolee de t embeter comme ca et c super gentil de m aider ...

elise · Answer

Mais c est quand meme bien mieux qu il y a 3 jours ;o)

archet9 · Answer

un nouveau ZHPdiag stp

elise · Answer

Voila ;o)
http://www.cijoint.fr/cjlink.php?file=cj201011/cijzmOAzfa.txt

archet9 · Answer

Avec ZHPfix présent sur ton bureau..... 


-+-+-+-+-> ZHPFix <-+-+-+-+- 


/!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\ 

[x] Copie le texte en gras ci-dessous ( CTRL + C pour copier ) 


[HKCU\Software\OfferBox] 
[HKCU\Software\PriceGong] 
[HKLM\Software\ImInstaller] 
M2 - MFEP: prefs.js [Jacques - fhaxg6bw.default\engine@conduit.com] [] Conduit Engine v3.2.1.3 (.Conduit Ltd..) 
O20 - Winlogon Notify: igfxcui . (.Intel Corporation - igfxdev Module.) -- C:\Windows\System32\igfxdev.dll 
[HKCU\Software\Poker 770] 
[HKCU\Software\SweetIM] 
[HKCU\Software\pacificpoker] 
[HKLM\Software\Poker 770] 
[HKLM\Software\SweetIM] 
O43 - CFD:Common File Directory ----D- C:\Program Files\Crawler 
O44 - LFC:[MD5.6DAC494EE521ECBCDA3A2E80196F2CB8] - 16/05/2018 - 21:25:15 ---A- . (.Pas de propriÃ©taire - Pas de description.) -- C:\WINDOWS\MF_C420.lfa [3120] 
O44 - LFC:[MD5.6CD3CDE898DA3A69B709E59AA2AB36B2] - 16/05/2018 - 21:25:15 ---A- . (.Pas de propriÃ©taire - Pas de description.) -- C:\WINDOWS\MF_C421.lfa [3120] 
O44 - LFC:[MD5.893FD12830FD0C002F707FF1897A295C] - 21/11/2010 - 13:12:42 ---A- . (.Pas de propriÃ©taire - Pas de description.) -- C:\InstallHelper.log [3689] 
O69 - SBI: C:\Documents and Settings\Jacques\Application Data\Mozilla\Firefox\Profiles\fhaxg6bw.default\searchplugins\conduit.xml 
M2 - MFEP: prefs.js [Jacques - fhaxg6bw.default\{4daac69c-cba7-45e2-9bc8-1044483d3352}] [] Softonic_France Community Toolbar v3.2.1.3 (.Conduit Ltd..) 
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} ClÃ© orpheline 
R3 - URLSearchHook: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) (6.2.2.4) -- C:\Program Files\Softonic_France	bSoft.dll 
O2 - BHO: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic_France	bSoft.dll 
O3 - Toolbar: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic_France	bSoft.dll 
O8 - Extra context menu item: Add to Windows &Live Favorites - (.not file.) - http:\favorites.live.com\quickadd.aspx 
O42 - Logiciel: Softonic_France Toolbar - (.Softonic_France.) [HKLM] -- Softonic_France Toolbar 
[HKCU\Software\Conduit] 
[HKLM\Software\Conduit] 




 Lance ZHPFix qui est présent sur ton bureau. 

 Clique sur le "H" bleu ( Coller les lignes Helper ) 

 Les lignes précédemment copiées apparaîtront à l'écran dans l'encadré jaune pâle.

 Vérifie que seules les lignes indiquées plus haut sont présentes puis clique sur [Ok] 

 Clique maintenant sur [Tous] , puis sur [Nettoyer] 

 Copie/Colle le contenu du rapport à l'écran dans ton prochain message. 

 Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt 

 Clique maintenant sur [Tous] , puis sur [Nettoyer] 

 Copie/Colle le contenu du rapport à l'écran dans ton prochain message. 

 Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt

elise · Answer

Voici le dernier rapport 

http://www.cijoint.fr/cjlink.php?file=cj201011/cij8rgEQCW.txt

elise · Answer

en fait je viens de realiser que c est le rapport du fix
je relance un diag general et je le colle ici

elise · Answer

http://www.cijoint.fr/cjlink.php?file=cj201011/cij4sUg6xG.txt Voici le diag
Mille mercissssssssss  ... ça rame encore un peu a l ouverture mais une fois que c est lancé c est quasi normal  ;o) FORMIDABLE ton boulot ...

archet9 · Answer

je coupes  ce soir a demain ....



 
 do 
....."contributeur sécurité".....o°ô"

elise · Answer

Merci encore ... passe une douce nuit ;o)

archet9 · Answer

Pour désinstaller les outils utilisés

Télécharge DelFix de Xplode 
http://sd-1.archive-host.com/membres/up/17959594961240255/DelFix.exe

* Lance le. 
* A l'invite, ==> Suppression  
* Un rapport va s'ouvrir à la fin, colle le dans la réponse 

Ensuite pour le désinstaller ; tu relances et tu passes à l'option [Désinstallation]

elise · Answer

Bonjour Archet
Voici le rapport de dll fix ;o)
########## DelFix - Nettoyeur d'outils de désinfection ##########
#
# DelFix v6.5 - Rapport créé le 22/11/2010 à 19:17
# Mis à jour le 20/11/10 à 16h30 par Xplode
# Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
# Nom d'utilisateur : Jacques - ACER-52D007CA4E (Administrateur)
# Exécuté depuis : C:\Documents and Settings\Jacques\Mes documents\Téléchargements\DelFix(2).exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

-> C:\Qoobox\BackEnv ... ACL modifié avec succès.
Supprimé : C:\Qoobox
Supprimé : C:\USBFix
Supprimé : C:\RSIT
Supprimé : C:\Kill'em
Supprimé : C:\Combofix
Supprimé : C:\Program Files\Navilog1
Supprimé : C:\Program Files\List_Kill'em
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\Program Files	rend micro
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\List_Kill'em
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\ComboFix.txt
Supprimé : C:\cleannavi.txt
Supprimé : C:\List'em.txt
Supprimé : C:\UsbFix.txt
Supprimé : C:apport.txt
Supprimé : C:\ZHPExportRegistry-21-11-2010-18-13-27.txt
Supprimé : C:\WINDOWS\grep.exe
Supprimé : C:\WINDOWS\PEV.exe
Supprimé : C:\WINDOWS\NIRCMD.exe
Supprimé : C:\WINDOWS\MBR.exe
Supprimé : C:\WINDOWS\sed.exe
Supprimé : C:\WINDOWS\SWREG.exe
Supprimé : C:\WINDOWS\SWSC.exe
Supprimé : C:\WINDOWS\SWXCACLS.exe
Supprimé : C:\WINDOWS\zip.exe
Supprimé : C:\WINDOWS\System32	mp.txt
Supprimé : C:\Documents and Settings\Jacques\Bureau\List_Killem_Install.exe
Supprimé : C:\Documents and Settings\Jacques\Bureau\ComboFix.exe
Supprimé : C:\Documents and Settings\Jacques\Bureau\RSIT.exe
Supprimé : C:\Documents and Settings\Jacques\Bureau\ZHPDiag.txt
Supprimé : C:\Documents and Settings\Jacques\Bureau\ZHPFixReport.txt
Supprimé : C:\Documents and Settings\Jacques\Bureau\Kill'em.txt
Supprimé : C:\Documents and Settings\Jacques\Bureau\More.txt
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\SOFTWARE\USBFix
Clé Supprimée : HKLM\Software\swearware
Clé Supprimée : HKLM\Software\TrendMicro
Clé Supprimée : HKLM\Software\Classes\.cfxxe
Clé Supprimée : HKLM\Software\Classes\cfxxefile
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\USBFix
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{E88BA4E8-6B36-4D39-9499-C10B439819E1}_is1
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe
Clé Supprimée : HKCU\console_combofixbackup

~~~~~~ Autre ~~~~~~


########## EOF - "C:\DelFixSuppr.txt" - [3263 octets] ##########

elise · Answer

Pour info , Firefox rame moins qu avant  et gmail rame enormement , voire bloque quand on l ouvre...o'(

elise · Answer

Me suis trompee de fenetre ... et merci Archt ....., depuis  cet apres midi le pc ne rame plus pour rien et tout est rentré dans l ordre ... Mille merci ... et vrai de vrai pour les saumons c est avec grand plaisir A bientot Sophie

elise · Answer

Voila Me suis trompee de fenetre ... et merci Archt ....., depuis cet apres midi le pc ne rame plus pour rien et tout est rentré dans l ordre ... Mille merci ... et vrai de vrai pour les saumons c est avec grand plaisir A bientot Sophie

archet9 · Answer

C'est vraiment gentil de te part, mais tes remerciements me suffisent amplement....;)