Probleme de lenteur sur mon pc

Question

Bonjour, 
je fais appel à vous car depuis quelques temps, mon pc est incroyablement lent voire statique même. Il a de très grandes difficultés à afficher les pages et à ouvrir les fichiers et je ne peux plus rien faire avec (je dois utiliser un autre pc pour vous demander de l'aide). J'aimerais savoir si quelqu'un peut m'aider. J'ai entendu parler de Hijackthis mais je suis incapable d'exploiter le rapport qu'il donne. Par avance merci. 


Configuration: Windows 7 / Internet Explorer 8.0

gen-hackman · Answer

salut laisse tomber hijackthis

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 Coche les 2 cases Lop et Purity

&#9654 Coche la case devant tous les utilisateurs

&#9654 règle age du fichier sur "60 jours"

&#9654 dans les 6 onglets de la moitié gauche , mets tout sur "tous"

ne modifie pas ceci : 

"fichiers créés" et "fichiers Modifiés" 

&#9654Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

Totogeto · Answer

Merci pour ta réponse ! Je vais faire tout ça alors

gen-hackman · Answer

ok :)

Totogeto · Answer

Voilà j'ai fait ce que tu m'as demandé, les rapport sont postés et voici les liens pour OTL.txt et Extras.txt:
http://www.cijoint.fr/cjlink.php?file=cj201101/cijxwL89gI.txt
http://www.cijoint.fr/cjlink.php?file=cj201101/cijd4S9iyn.txt

gen-hackman · Answer

ok bon on va deja degrossir y a du monde ;) ^^

rogues , infections usb , navigateurs infectés lol c'est un nid à virus ton pc ^^

desinstalle :

Spybot (ralentit le system pour rien et gene la desinfection )
Yahoo! Toolbar
tout ce qui a attrait à Eorezo dont Eoengine
Ask Toolbar
SearchSettings
Inbox Toolbar
SweetIM Toolbar 
Google Toolbar
Adobe Reader 7.0
RelevantKnowledge
HijackThis
Shareaza MediaBar
SoftwareUpdate 1.0

==========================


&#9654 Télécharge ici : Ad-remover sur ton bureau : 


&#9654 Déconnecte toi et ferme toutes applications en cours ! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

&#9654 sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut . 

&#9654 clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
 
&#9654 Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

&#9654 Laisse travailler l'outil et ne touche à rien ... 

&#9654 Poste le rapport qui apparait à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

&#9654 Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.     

=======================================

&#9654 Télécharge ici : USBFIX sur ton bureau 

branche tous tes periphériques sans les ouvrir

/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur l'icône Usbfix située sur ton Bureau.
Sur la page, clique sur le bouton :

&#9654 choisi l option Suppression

&#9654 UsbFix scannera ton pc , laisse travailler l outil.

&#9654 Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

&#9654 Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

====================================

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!! (car l'outil est detecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions)

&#9654 Télécharge ici :List_Kill'em

 et enregistre le sur ton bureau 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

&#9830 Executer List_Kill'em

une fois terminée , clic sur "terminer" 

choisis l'option Search

&#9654 laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

&#9654 Poste les rapports qui apparaitront sur ton bureau

&#9654&#9654&#9654 NE LES POSTE PAS SUR LE FORUM 

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/ 

&#9654 Clique sur Parcourir et selectionne , un par un , les fichiers concernés apparus sur ton bureau 

&#9654 Clique sur Ouvrir. 

&#9654 Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt 

est ajouté dans la page. 

&#9654 Copie ce lien dans ta réponse. 

&#9654 Fais de même avec more.txt qui se trouve sur ton bureau

Totogeto · Answer

Ok je vais faire ça mais est ce que je peux désinstaller les programmes que tu m'as dit apres toutes les manipulations car mon pc ne veut meme pas ouvrir le panneau de configuration. (je me dis qu'une fois que j'aurais tout fait, ça remarchera...:) )

gen-hackman · Answer

ok passe les outils , on s'occupe du reste ensuite :)

Totogeto · Answer

Voici le rapport Ad-remover: 

======= RAPPORT D'AD-REMOVER 2.0.0.2,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 29/01/11 à 16:00
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 16:40:19 le 31/01/2011, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86) 
Thomas@ACER-755E621E64 ( ) 
 
============== ACTION(S) ==============


Fichier supprimé: C:\WINDOWS\Downloaded Program Files\Popcaploader.dll
Fichier supprimé: C:\WINDOWS\Downloaded Program Files\Popcaploader.inf
Fichier supprimé: C:\WINDOWS\pack.epk
Fichier supprimé: C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job
Fichier supprimé: C:\WINDOWS\Temp\msksetup.log
Dossier supprimé: C:\Program Files\Ask.com
Dossier supprimé: C:\Documents and Settings\Thomas\Local Settings\Application Data\AskToolbar
Dossier supprimé: C:\Program Files\Crawler
Dossier supprimé: C:\Program Files\GamesBar
Dossier supprimé: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\RelevantKnowledge
Dossier supprimé: C:\Program Files\RelevantKnowledge
Dossier supprimé: C:\Documents and Settings\Thomas\Application Data\Search Settings
Dossier supprimé: C:\Documents and Settings\Patricia\Application Data\Search Settings
Dossier supprimé: C:\Program Files\Search Settings
Dossier supprimé: C:\Documents and Settings\Thomas\Application Data\EoRezo
Dossier supprimé: C:\Documents and Settings\Patricia\Application Data\EoRezo
Dossier supprimé: C:\Program Files\EoRezo
Fichier supprimé: C:\Documents and Settings\Thomas\Local Settings\Application Data\uadczcvps_nav.dat

(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKLM\Software\Classes\CLSID\{183643C8-EE67-4574-9A38-927852E34163}
Clé supprimée: HKLM\Software\Classes\CLSID\{196C3A46-4758-433d-A600-802C804AF39C}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{196C3A46-4758-433d-A600-802C804AF39C}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{196C3A46-4758-433d-A600-802C804AF39C}
Clé supprimée: HKLM\Software\Classes\CLSID\{4278B4EB-8CC5-45E8-8AF4-43DFD0E9D250}
Clé supprimée: HKLM\Software\Classes\CLSID\{4C42E5EB-3A9C-48E2-B2D0-59681B3DBB8C}
Clé supprimée: HKLM\Software\Classes\CLSID\{54ECA872-DB2A-4C6B-BBB2-F3777C6786CC}
Clé supprimée: HKLM\Software\Classes\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{64F56FC1-1272-44CD-BA6E-39723696E350}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
Clé supprimée: HKLM\Software\Classes\CLSID\{8736C681-37A0-40C6-A0F0-4C083409151C}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8736C681-37A0-40C6-A0F0-4C083409151C}
Clé supprimée: HKLM\Software\Classes\CLSID\{C7B76B90-3455-4AE6-A752-EAC4D19689E5}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C7B76B90-3455-4AE6-A752-EAC4D19689E5}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{C7B76B90-3455-4AE6-A752-EAC4D19689E5}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C7B76B90-3455-4AE6-A752-EAC4D19689E5}
Clé supprimée: HKLM\Software\Classes\CLSID\{CDAFD956-97BE-443D-8EF7-F4F094EB5766}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{CDAFD956-97BE-443D-8EF7-F4F094EB5766}
Clé supprimée: HKLM\Software\Classes\CLSID\{CFC4F59B-A2DA-4e12-B337-52A4F871E10C}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CFC4F59B-A2DA-4e12-B337-52A4F871E10C}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{CFC4F59B-A2DA-4e12-B337-52A4F871E10C}
Clé supprimée: HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé supprimée: HKLM\Software\Classes\CLSID\{DB35C569-5624-4CFC-8043-E5139F55A073}
Clé supprimée: HKLM\Software\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Clé supprimée: HKLM\Software\Classes\CLSID\{EFB46ED3-8FD8-4051-8FD6-DD9CE7E63BEF}
Clé supprimée: HKLM\Software\Classes\Interface\{01C78433-6FDF-4E5A-A82D-B535C32E03DF}
Clé supprimée: HKLM\Software\Classes\Interface\{41349826-5C7F-4BF0-8279-5DAF1DE6E9AE}
Clé supprimée: HKLM\Software\Classes\Interface\{604EA016-1EDE-41E6-A23E-76CF8F2A4808}
Clé supprimée: HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Clé supprimée: HKLM\Software\Classes\Interface\{6E4C89CF-3061-4EE4-B22A-B7A8AAEA5CB3}
Clé supprimée: HKLM\Software\Classes\Interface\{819DB72D-1C28-4387-9778-E2FF3DC86F74}
Clé supprimée: HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Clé supprimée: HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Clé supprimée: HKLM\Software\Classes\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
Clé supprimée: HKLM\Software\Classes\Interface\{B3BA5582-79A9-464D-A7FA-711C5888C6E9}
Clé supprimée: HKLM\Software\Classes\Interface\{D5A1EF9A-7948-435D-8B87-D6A598317288}
Clé supprimée: HKLM\Software\Classes\CLSID\{F42C7B47-5234-4BF5-8882-DAAC0D64870F}
Clé supprimée: HKLM\Software\Classes\Interface\{F42C7B47-5234-4BF5-8882-DAAC0D64870F}
Clé supprimée: HKLM\Software\Classes\Interface\{F7BEBBB1-7E6B-4561-9444-6F4866D60C7E}
Clé supprimée: HKLM\Software\Classes\TypeLib\{05070864-9249-4707-9B93-1F86986B0ED3}
Clé supprimée: HKLM\Software\Classes\TypeLib\{1FA7FC2D-1E2B-4220-A506-55B0CEE22DFD}
Clé supprimée: HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
Clé supprimée: HKLM\Software\Classes\TypeLib\{3894347C-6C5A-444B-B49E-35473CB4D010}
Clé supprimée: HKLM\Software\Classes\TypeLib\{506F578A-91E1-46CE-830F-E2F4268E9966}
Clé supprimée: HKLM\Software\Classes\TypeLib\{89807A16-AC31-4449-AB91-06A753813543}
Clé supprimée: HKLM\Software\Classes\TypeLib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
Clé supprimée: HKLM\Software\Classes\TypeLib\{B6ACB3F1-6A83-432C-B854-3E1056F87F4E}
Clé supprimée: HKLM\Software\Classes\TypeLib\{CD082CCA-086F-4FD8-8FD7-247A0DBBD1CC}
Clé supprimée: HKLM\Software\Classes\DiscoveryHelper.iMesh6Discovery
Clé supprimée: HKLM\Software\Classes\DiscoveryHelper.iMesh6Discovery.1
Clé supprimée: HKLM\Software\Classes\EoRezoBHO.EoBho
Clé supprimée: HKLM\Software\Classes\EoRezoBHO.EoBho.1
Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd
Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1
Clé supprimée: HKLM\Software\Classes\PopcapLoader.PopcapLoaderCtrl
Clé supprimée: HKLM\Software\Classes\PopcapLoader.PopcapLoaderCtrl.1
Clé supprimée: HKLM\Software\Classes\PopCapLoader.PopCapLoaderCtrl2
Clé supprimée: HKLM\Software\Classes\PopCapLoader.PopCapLoaderCtrl2.1
Clé supprimée: HKLM\Software\Classes\SearchSettings.BHO
Clé supprimée: HKLM\Software\Classes\SearchSettings.BHO.1
Clé supprimée: HKLM\Software\Classes\AppID\GenericAskToolbar.DLL
Clé supprimée: HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Clé supprimée: HKLM\Software\Classes\AppID\EoRezoBHO.DLL
Clé supprimée: HKLM\Software\Classes\AppID\{362A53B2-2913-4F8A-82F5-7E0A23FDC6F9}
Clé supprimée: HKLM\Software\EoRezo
Clé supprimée: HKLM\Software\CToolbar
Clé supprimée: HKLM\Software\GamesBarSetup
Clé supprimée: HKLM\Software\PopCap
Clé supprimée: HKLM\Software\Search Settings
Clé supprimée: HKCU\Software\EoRezo
Clé supprimée: HKCU\Software\Ask.com
Clé supprimée: HKCU\Software\AskToolbar
Clé supprimée: HKCU\Software\CToolbar
Clé supprimée: HKCU\Software\Search Settings
Clé supprimée: HKCU\Software\AppDataLow\AskBarDis
Clé supprimée: HKCU\Software\AppDataLow\AskHomePage
Clé supprimée: HKCU\Software\AppDataLow\AskToolbarInfo
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Barre d'outils Crawler
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Dealio
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\RelevantKnowledge
Clé supprimée: HKLM\Software\Classes\Installer\Products\5429250945C95B54BB3B1B08AC402F84
Clé supprimée: HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\5429250945C95B54BB3B1B08AC402F84
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\EoEngine_is1
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdate_is1
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{266C7330-C0F4-49E5-8F20-A56F9F822875}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{D08D9F98-1C78-4704-87E6-368B0023D831}
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Search Settings
Clé supprimée: HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\62119EF862C6B3A0D853419B87EB3E2F6C78640A
Clé supprimée: HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\7EE743314C844C7F445B8B1D7617612DF1FDD50F
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB}
Clé supprimée: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RelevantKnowledge

Valeur supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing\Trust Database\0|goicfboogidikkejccmclpieicihhlpo jimddp
Valeur supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing\Trust Database\0|goicfboogidikkejccmclpieicihhlpo hpfanicgkffmccehnpkikogcffaepkfp
Valeur supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing\Trust Database\0|goicfboogidikkejccmclpieicihhlpo dgnckdmmolaijpbbakmplfhlfpdhglgc
Valeur supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\post platform|AskTB5.5
Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Eoengine
Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Softwarehelper
Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|SearchSettings
Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{D4027C7F-154A-4066-A1AD-4243D8127440}
Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}
Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F}
Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{4B3803EA-5230-4DC3-A7FC-33638F3D3542}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [Impossible d'obtenir la version] **

-- C:\Documents and Settings\Thomas\Application Data\Mozilla\FireFox\Profiles\3s5kvf9x.default\Prefs.js --
browser.startup.homepage, hxxp://lo.st
browser.startup.homepage_override.mstone, rv:1.9.0.7

========================================

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Custom Search URL: 1
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 161 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 13 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 31/01/2011 (1700 Octet(s)) 

Fin à: 16:43:32, 31/01/2011 
 
============== E.O.F ==============

gen-hackman · Answer

ok la suite :)

Totogeto · Answer

Et voici le rapport USBFix: 

############################## | UsbFix 7.038 | [Suppression]

Utilisateur: Thomas (Administrateur) # ACER-755E621E64 [ ]
Mis à jour le 14/01/2011 par El Desaparecido / C_XX
Lancé à 16:59:51 | 31/01/2011
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU:  Intel(R) Pentium(R) 4 CPU 3.06GHz
CPU 2:  Intel(R) Pentium(R) 4 CPU 3.06GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Activé
Antivirus: AVG Anti-Virus Free 8.5 [Enabled | Updated]
RAM -> 767 Mo 
C:\ (%systemdrive%) -> Disque fixe # 91 Go (48 Go libre(s) - 53%) [ACER] # NTFS
D:\ -> Disque fixe # 92 Go (92 Go libre(s) - 100%) [ACERDATA] # FAT32
E:\ -> CD-ROM

################## | Éléments infectieux |


Supprimé! C:\Recycler\S-1-5-21-1352976129-4025786766-809395480-1007
Supprimé! C:\Recycler\S-1-5-21-1352976129-4025786766-809395480-1008
Supprimé! C:\Recycler\S-1-5-21-1352976129-4025786766-809395480-1010

################## | Registre |


################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{88f6fe88-19a3-11df-af6c-4d6564696130}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{a5012d03-83e2-11dc-bda1-4d6564696130}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{e864f232-f21f-11de-af38-4d6564696130}

################## | Listing |

[12/09/2010 - 16:51:40 | D ] 	C:\$AVG8.VAULT$
[14/01/2006 - 00:48:18 | D ] 	C:\Acer
[20/09/2008 - 13:10:43 | D ] 	C:\Acrobat3
[31/01/2011 - 16:43:33 | N | 14111] 	C:\Ad-Report-CLEAN[1].txt
[29/08/2010 - 22:17:15 | D ] 	C:\AeriaGames
[28/03/2007 - 16:37:16 | N | 102] 	C:\autoexec.bat
[28/03/2007 - 16:36:30 | N | 155] 	C:\autoexec.plu
[03/08/2006 - 10:27:28 | N | 216] 	C:\boot.ini
[05/08/2004 - 06:00:00 | N | 4952] 	C:\Bootfont.bin
[23/01/2008 - 16:22:40 | D ] 	C:\coktel
[31/01/2011 - 16:46:15 | D ] 	C:\Config.Msi
[16/12/2005 - 02:08:06 | N | 0] 	C:\CONFIG.SYS
[17/01/2008 - 20:48:14 | N | 532] 	C:\DealioAu.log
[08/06/2010 - 17:40:12 | D ] 	C:\Documents and Settings
[14/01/2006 - 00:48:47 | D ] 	C:\dotnetfx
[14/01/2006 - 00:48:49 | D ] 	C:\drv
[17/05/2008 - 13:24:43 | N | 0] 	C:\dumpconsole.txt
[08/06/2008 - 14:53:18 | D ] 	C:\DVDVideoSoft
[14/01/2006 - 00:52:40 | D ] 	C:\GUIDE
[31/01/2011 - 16:46:17 | ASH | 804704256] 	C:\hiberfil.sys
[29/08/2010 - 22:40:38 | D ] 	C:\i386
[16/12/2005 - 02:08:06 | N | 0] 	C:\IO.SYS
[22/07/2008 - 17:09:04 | D ] 	C:\Logs
[08/01/2007 - 19:34:33 | N | 6675] 	C:\lvcoinst.log
[11/11/2008 - 19:28:58 | N | 129304] 	C:\mediamp3.dat
[16/12/2005 - 02:08:06 | N | 0] 	C:\MSDOS.SYS
[08/12/2008 - 17:08:29 | D ] 	C:\My Downloads
[09/01/2010 - 14:33:13 | D ] 	C:\Netts
[05/08/2004 - 06:00:00 | N | 47564] 	C:\NTDETECT.COM
[09/11/2008 - 15:46:35 | N | 252240] 	C:
tldr
[31/01/2011 - 16:46:16 | ASH | 1207959552] 	C:\pagefile.sys
[13/10/2007 - 11:37:34 | N | 7168] 	C:\PDR_ScnDet.grf
[04/03/2010 - 19:38:41 | N | 48570] 	C:\playground.log
[16/12/2005 - 18:57:30 | N | 75] 	C:\Preload.aaa
[31/01/2011 - 16:42:27 | D ] 	C:\Program Files
[09/09/2008 - 21:25:06 | D ] 	C:\ProgramData
[28/03/2007 - 16:37:27 | D ] 	C:\Protector Plus
[31/01/2011 - 17:03:28 | SHD ] 	C:\RECYCLER
[14/05/2008 - 18:36:24 | D ] 	C:\RStrike
[27/09/2007 - 21:13:30 | D ] 	C:\SDFix
[13/02/2010 - 17:49:59 | N | 90] 	C:\Setup.log
[27/09/2009 - 21:31:04 | N | 268] 	C:\sqmdata00.sqm
[28/09/2009 - 22:10:52 | N | 268] 	C:\sqmdata01.sqm
[29/09/2009 - 18:29:14 | N | 268] 	C:\sqmdata02.sqm
[14/10/2009 - 21:34:20 | N | 268] 	C:\sqmdata03.sqm
[15/10/2009 - 21:53:28 | N | 268] 	C:\sqmdata04.sqm
[16/10/2009 - 22:32:22 | N | 268] 	C:\sqmdata05.sqm
[17/10/2009 - 14:11:20 | N | 268] 	C:\sqmdata06.sqm
[17/10/2009 - 22:12:20 | N | 268] 	C:\sqmdata07.sqm
[20/10/2009 - 21:23:02 | N | 268] 	C:\sqmdata08.sqm
[13/11/2009 - 22:52:41 | N | 268] 	C:\sqmdata09.sqm
[16/09/2009 - 21:31:34 | N | 268] 	C:\sqmdata10.sqm
[17/09/2009 - 12:54:24 | N | 268] 	C:\sqmdata11.sqm
[17/09/2009 - 21:33:08 | N | 268] 	C:\sqmdata12.sqm
[19/09/2009 - 22:10:06 | N | 268] 	C:\sqmdata13.sqm
[20/09/2009 - 21:39:49 | N | 268] 	C:\sqmdata14.sqm
[22/09/2009 - 21:43:06 | N | 268] 	C:\sqmdata15.sqm
[23/09/2009 - 20:17:57 | N | 268] 	C:\sqmdata16.sqm
[24/09/2009 - 21:30:19 | N | 268] 	C:\sqmdata17.sqm
[25/09/2009 - 21:12:04 | N | 268] 	C:\sqmdata18.sqm
[26/09/2009 - 20:27:07 | N | 268] 	C:\sqmdata19.sqm
[27/09/2009 - 21:31:04 | N | 244] 	C:\sqmnoopt00.sqm
[28/09/2009 - 22:10:52 | N | 244] 	C:\sqmnoopt01.sqm
[29/09/2009 - 18:29:14 | N | 244] 	C:\sqmnoopt02.sqm
[14/10/2009 - 21:34:20 | N | 244] 	C:\sqmnoopt03.sqm
[15/10/2009 - 21:53:28 | N | 244] 	C:\sqmnoopt04.sqm
[16/10/2009 - 22:32:22 | N | 244] 	C:\sqmnoopt05.sqm
[17/10/2009 - 14:11:20 | N | 244] 	C:\sqmnoopt06.sqm
[17/10/2009 - 22:12:20 | N | 244] 	C:\sqmnoopt07.sqm
[20/10/2009 - 21:23:01 | N | 244] 	C:\sqmnoopt08.sqm
[13/11/2009 - 22:52:41 | N | 244] 	C:\sqmnoopt09.sqm
[16/09/2009 - 21:31:33 | N | 244] 	C:\sqmnoopt10.sqm
[17/09/2009 - 12:54:24 | N | 244] 	C:\sqmnoopt11.sqm
[17/09/2009 - 21:33:07 | N | 244] 	C:\sqmnoopt12.sqm
[19/09/2009 - 22:10:06 | N | 244] 	C:\sqmnoopt13.sqm
[20/09/2009 - 21:39:49 | N | 244] 	C:\sqmnoopt14.sqm
[22/09/2009 - 21:43:05 | N | 244] 	C:\sqmnoopt15.sqm
[23/09/2009 - 20:17:57 | N | 244] 	C:\sqmnoopt16.sqm
[24/09/2009 - 21:30:19 | N | 244] 	C:\sqmnoopt17.sqm
[25/09/2009 - 21:12:04 | N | 244] 	C:\sqmnoopt18.sqm
[26/09/2009 - 20:27:07 | N | 244] 	C:\sqmnoopt19.sqm
[14/01/2006 - 00:50:22 | D ] 	C:\SYSINFO
[03/08/2006 - 10:27:30 | SHD ] 	C:\System Volume Information
[05/07/2008 - 17:22:24 | D ] 	C:\Temp
[30/01/2007 - 12:02:10 | N | 10902073] 	C:	hres.txt
[31/01/2011 - 17:03:28 | D ] 	C:\UsbFix
[31/01/2011 - 17:03:35 | A | 1170] 	C:\UsbFix.txt
[14/01/2006 - 00:50:23 | D ] 	C:\VALUEADD
[31/01/2011 - 16:42:19 | D ] 	C:\WINDOWS
[10/02/2007 - 09:51:37 | N | 7] 	C:\WMDO.CFG
[03/08/2006 - 11:28:32 | SHD ] 	D:\System Volume Information
[10/09/2006 - 12:00:26 | SHD ] 	D:\Recycled
[28/12/2006 - 22:41:52 | D ] 	D:\d7f96212df6a4f818579752f08633610
[13/02/2007 - 21:40:20 | D ] 	D:\78350e040ea1fe3c35
[06/04/2007 - 17:15:26 | D ] 	D:\f82b83dba11b1721eb
[19/09/2007 - 15:33:50 | D ] 	D:\pdwork
[30/08/2009 - 23:08:00 | D ] 	D:\ca3e092de5140a3bbf319f

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_ACER-755E621E64.zip
http://www.teamxscript.org/Upload.php
Merci de votre contribution.

################## | E.O.F |

Totogeto · Answer

Voici le lien vers le rapport List_Kill'em  : http://www.cijoint.fr/cjlink.php?file=cj201101/cijQcyk0DV.txt

Et le lien vers le rapport More: http://www.cijoint.fr/cjlink.php?file=cj201101/cijEm6C74x.txt

gen-hackman · Answer

1/....   

&#9654 Relance List&Kill'em,avec le raccourci sur ton bureau.   

mais cette fois-ci :   

&#9654 choisis l'option Tools puis Script   

une fenêtre noire va s'ouvrir brievement , et List_Kill'em va se fermer   

un nouveau document texte s'ouvre , copie/colle ce en gras si dessous :   

   
REM:"HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "SpybotSD TeaTimer"   
REM:"HKEY_CURRENT_USER\software\EIcouohwuMaclouIFMlneogwlccwcIlohanIIagwuMwn"   
REM:"HKEY_CURRENT_USER\software\Prodiff"   

   
&#9654 enregistre le document texte avec l'onglet fichier (enregistrer) de ce dernier , puis ferme-le   

laisse travailler l'outil   

&#9654 poste le resultat   

&#9654 Ferme List_Kill'em   

Note : le rapport est sur ton bureau : Script_(4 chiffres).txt   

================================   

2/....   

&#9654 Relance List&Kill'em mais cette fois-ci :   

&#9654 choisis l'option Tools puis Command Lines   

un document texte va s'ouvrir    

&#9654copie/colle le texte en gras ci-dessous :   

@echo off   
if exist a.txt ( del /f /q a.txt )   
for %%a in (   
"HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2A3320D6-C805-4280-B423-B665BDE33D8F}"   
"HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{63E49E7B-BC7C-DCC0-673E-23266D694362}"         
"HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{673B8A52-3315-6987-1788-F93EEA0E433B}"   
"HKEY_CURRENT_USER\software\3NITYDVS"   
"HKEY_LOCAL_MACHINE\software\TQ566808"   
) do (   
for /f "skip=4 tokens=*" %%b in ('swreg.exe query %%a') do ( echo %%~b>>a.txt )   
echo.>>a.txt)   
Switch.exe a.txt "REG_SZ" "="   
Switch.exe a.txt "REG_DWORD" "="    
notepad a.txt   
del /f /q a.txt         
        
   

ensuite onglet "Fichier" clic sur enregistrer , puis ferme ce bloc notes   

Laisse travailler l'outil    

un rapport va s'ouvrir , poste le resultat   

===============================  

3/.....

 &#9654 Relance List_Kill'em,avec le raccourci sur ton bureau. 

mais cette fois-ci : 

&#9654 choisis l'Option Clean 

&#9654&#9654&#9654 Ne clique qu'une seule fois sur le bouton !! 

laisse travailler l'outil. 

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau , 

&#9654 colle le contenu dans ta reponse  

G3?-?@¢??@?......Concepteur de List_Kill'em...

Totogeto · Answer

Voici le rapport List_Kill'Em: 

¤¤¤¤¤¤¤¤¤¤ Script of List_Kill'em by gen-hackman ¤¤¤¤¤¤¤¤¤¤

User : Thomas (Administrateurs) 
Update on 31/01/2011 by g3n-h@ckm@n ::::: 12.30
Start at: 18:04:03 | 31/01/2011

              Intel(R) Pentium(R) 4 CPU 3.06GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : AVG Anti-Virus Free 8.5 [ Enabled | Updated ]

C:\ -> Disque fixe local | 90,57 Go (47,91 Go free) [ACER] | NTFS
D:\ -> Disque fixe local | 91,82 Go (91,8 Go free) [ACERDATA] | FAT32
E:\ -> Disque CD-ROM
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque amovible
 

¤¤¤¤¤¤¤¤¤¤ Processes :
 

¤¤¤¤¤¤¤¤¤¤ Added Keys :
 

¤¤¤¤¤¤¤¤¤¤ Removed Keys :
 
Deleted : HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "SpybotSD TeaTimer"    
Deleted : HKEY_CURRENT_USER\software\EIcouohwuMaclouIFMlneogwlccwcIlohanIIagwuMwn"    
Deleted : HKEY_CURRENT_USER\software\Prodiff   

¤¤¤¤¤¤¤¤¤¤ File|Folder deleted :
 

¤¤¤¤¤¤¤¤¤¤ Drivers deleted :
 
 
 

¤¤¤¤¤¤¤¤¤¤ Object Restored :
 

¤¤¤¤¤¤¤¤¤¤ Folder List :
 

¤¤¤¤¤¤¤¤¤¤ Read File :
 

¤¤¤¤¤¤¤¤¤¤ Sign control :
 
 
 

End at 18:05:42

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

Totogeto · Answer

Et le deuxième rapport: HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2a3320d6-c805-4280-b423-b665bde33d8f} Version = 1,1,4322 ComponentID = M979906 = Microsoft .NET Framework 1.1 Security Update (KB979906) Locale = * IsInstalled = 1 (0x1) HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{63e49e7b-bc7c-dcc0-673e-23266d694362} = Internet Explorer ComponentID = IEACCESS IsInstalled = 1 (0x1) Local = EN Version = 2,0,0,0 HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{673b8a52-3315-6987-1788-f93eea0e433b} = Rendu VML (Vector Graphics Rendering) ComponentID = MSVML IsInstalled = 1 (0x1) Local = EN Version = 6,0,2462,0001 HKEY_CURRENT_USER\software\3nitydvs HKEY_LOCAL_MACHINE\software q566808 HKEY_LOCAL_MACHINE\software q566808\SoftwareInstaller

Totogeto · Answer

Et voici le dernier rapport: ¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.3.4 ¤¤¤¤¤¤¤¤¤¤ User : Thomas (Administrateurs) Update on 31/01/2011 by g3n-h@ckm@n ::::: 12.30 Start at: 18:35:58 | 31/01/2011 Intel(R) Pentium(R) 4 CPU 3.06GHz Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3 Internet Explorer 8.0.6001.18702 Windows Firewall Status : Enabled AV : AVG Anti-Virus Free 8.5 [ Enabled | Updated ] C:\ -> Disque fixe local | 90,57 Go (47,91 Go free) [ACER] | NTFS D:\ -> Disque fixe local | 91,82 Go (91,8 Go free) [ACERDATA] | FAT32 E:\ -> Disque CD-ROM G:\ -> Disque amovible H:\ -> Disque amovible I:\ -> Disque amovible J:\ -> Disque amovible Killed : PID 3544 'iexplore.exe' Killed : PID 3544 'iexplore.exe' Killed : PID 3004 'iexplore.exe' Killed : PID 3004 'iexplore.exe' Killed : PID 3004 'iexplore.exe' Killed : PID 3004 'iexplore.exe' Killed : PID 3004 'iexplore.exe' Killed : PID 2112 'explorer.exe' Killed : PID 2112 'explorer.exe' ¤¤¤¤¤¤¤¤¤¤ Files/folders : Quarantined & Deleted !! : C:\Documents and settings\Thomas\Application Data\DriveCleaner 2006 Free Quarantined & Deleted !! : \autoexec.bat Quarantined & Deleted !! : \mediamp3.dat Quarantined & Deleted !! : C:\Documents and Settings\All Users\Application Data\LauncherAccess.dt Quarantined & Deleted !! : C:\Program Files\DriveCleaner 2006 Free Quarantined & Deleted !! : C:\WINDOWS\002826_.tmp Quarantined & Deleted !! : C:\WINDOWS\b.exe Quarantined & Deleted !! : C:\WINDOWS\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE} Quarantined & Deleted !! : C:\WINDOWS\meta4.exe Quarantined & Deleted !! : C:\WINDOWS\System32\_PPCXM_.DLL Quarantined & Deleted !! : C:\WINDOWS\System32\ealregsnapshot1.reg ¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤ 127.0.0.1 localhost ¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤ Deleted : HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions : {6E19037A-12E3-4295-8915-ED48BC341614} Deleted : HKCR\interface\{A439801C-961D-452C-AB42-7848E9CBD289} Deleted : HKCR\interface\{F4EBB1E2-21F3-4786-8CF4-16EC5925867F} ¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤ [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] Start Page = https://www.msn.com/fr-fr/?ocid=iehp Local Page = C:\WINDOWS\system32\blank.htm Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] Start Page = https://www.google.com/?gws_rd=ssl Local Page = C:\WINDOWS\system32\blank.htm Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch ¤¤¤¤¤¤¤¤¤¤ Security Center ¤¤¤¤¤¤¤¤¤¤ [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] FirstRunDisabled = 1 (0x1) AntiVirusDisableNotify = 0 (0x0) FirewallDisableNotify = 0 (0x0) UpdatesDisableNotify = 0 (0x0) AntiVirusOverride = 0 (0x0) FirewallOverride = 0 (0x0) ¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤ Ndisuio : Start = 3 EapHost : Start = 2 Ip6Fw : Start = 2 SharedAccess : Start = 2 wuauserv : Start = 2 wscsvc : Start = 2 ¤¤¤¤¤¤¤¤¤¤ Winlogon [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] AutoRestartShell = 1 (0x1) Shell = explorer.exe Userinit = C:\WINDOWS\System32\userinit.exe, System = ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Disk Cleaned Prefetch cleaned ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ FEATURE_BROWSER_EMULATION | svchost : ==================================== Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net Windows 5.1.2600 Disk: WDC_WD20 rev.02.0 -> Harddisk0\DR0 -> \Device\Scsi\m52871Port2Path0Target0Lun0 device: opened successfully user: MBR read successfully Disk trace: called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys sfsync02.sys hal.dll >>UNKNOWN [0x839681F8]<< C:\WINDOWS\system32\drivers\sfsync02.sys Protection Technology StarForce Protection System 1 ntkrnlpa!IofCallDriver[0x804EF1A6] -> \Device\Harddisk0\DR0[0x838CEAB8] 3 CLASSPNP[0xF764CFD7] -> ntkrnlpa!IofCallDriver[0x804EF1A6] -> \Device\Scsi\m52871Port2Path0Target0Lun0[0x838F5A38] \Driver\m5287[0x8391EA08] -> IRP_MJ_CREATE -> 0x839681F8 kernel: MBR read successfully user & kernel MBR OK copy of MBR has been found in sector 37 ! End of Scan : 18:44:38 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

gen-hackman · Answer

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\ __________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<< ===================================================== ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur Telecharge ici : Combofix Avant d'utiliser ComboFix : Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système. La simple désactivation du résident n'est pas suffisante. Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover Choisis la version adéquate (32 ou 64 bits)/!\ Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement : ▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau ▶ Lance le Une fenêtre apparait : clique sur "Disable" ▶ Fais redémarrer l'ordinateur si l'outil te le demande Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" _________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° si tu as XP => double clique si tu as Vista ou windows 7 => clic droit "executer en tant que...." sur combofix renommé ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

Totogeto · Answer

Bonjour, voici le rapport de combofix: 

ComboFix 11-01-31.02 - Thomas 01/02/2011  12:07:09.1.2 - x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.767.389 [GMT 1:00]
Lancé depuis: c:\documents and settings\Thomas\Bureau	homas.exe

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Thomas\Application Data\inst.exe
c:\windows\system\Color

Une copie infectée de c:\windowsegedit.exe a été trouvée et désinfectée 
Copie restaurée à partir de - c:\windows\$NtServicePackUninstall$egedit.exe 

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_BOONTY_GAMES
-------\Service_Boonty Games


(((((((((((((((((((((((((((((   Fichiers créés du 2011-01-01 au 2011-02-01  ))))))))))))))))))))))))))))))))))))
.

2011-01-31 16:09 . 2011-01-31 17:36	--------	d-----w-	C:\Kill'em
2011-01-31 16:09 . 2011-01-31 17:44	--------	d-----w-	c:\program files\List_Kill'em
2011-01-31 15:58 . 2011-01-31 16:03	--------	d-----w-	C:\UsbFix
2011-01-31 15:40 . 2011-01-31 15:40	--------	d-----w-	c:\program files\Ad-Remover

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-31 16:03 . 2011-01-31 16:03	6749	----a-w-	C:\UsbFix_Upload_Me_ACER-755E621E64.zip
.

------- Sigcheck -------

[-] 2008-04-14 . 3EFE912DD25D2586E6A0341DB0A66F69 . 979968 . . [6.00.2900.5512] . . c:\windows\explorer.exe
[-] 2008-04-14 . 3EFE912DD25D2586E6A0341DB0A66F69 . 979968 . . [6.00.2900.5512] . . c:\windows\ServicePackFiles\i386\explorer.exe
[-] 2007-06-13 . D0288319660EDCFED07C7E74C4EA38A5 . 1037312 . . [6.00.2900.3156] . . c:\windows\$NtServicePackUninstall$\explorer.exe
[-] 2007-06-13 . B795475444D6D57A572C14B9E1A29839 . 1037312 . . [6.00.2900.3156] . . c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe
[7] 2004-08-05 . 4C33E5B9A6197B6ED215F6CFBA0A2DAA . 1036288 . . [6.00.2900.2180] . . c:\windows\$NtUninstallKB938828$\explorer.exe
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{11BF46C6-B3DE-48BD-BF70-3AD85CAB80B5}]
2009-03-04 07:43	311808	----a-w-	c:\progra~1\SITERA~1\SiteRank.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"updateMgr"="c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2004-11-22 307200]
"LDM"="c:\program files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2007-02-27 67128]
"WOOKIT"="c:\progra~1\Wanadoo\Shell.exe" [2004-08-23 122880]
"Shareaza"="c:\program files\Shareaza\Shareaza.exe" [2007-12-02 4677632]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-06 68856]
"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2010-02-13 319280]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"atwtusb"="atwtusb.exe beta" [X]
"SsAAD.exe"="c:\progra~1\Sony\SONICS~1\SsAAD.exe" [2005-01-24 81920]
"SiteRanker"="c:\program files\SiteRanker\SiteRankTray.exe" [2009-03-04 273920]
"WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-08-23 20480]
"WOOTASKBARICON"="c:\progra~1\Wanadoo\GestMaj.exe" [2004-10-14 32768]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"LogitechCommunicationsManager"="c:\program files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe" [2006-06-26 497200]
"LogitechQuickCamRibbon"="c:\program files\Logitech\QuickCam10\QuickCam10.exe" [2006-06-26 614960]
"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2010-02-17 177472]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-03-17 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-03-25 142120]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Valentin\Menu D'marrer\Programmes\D'marrage\
RocketDock.lnk - c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-3-18 630784]

c:\documents and settings\Thomas\Menu D'marrer\Programmes\D'marrage\
RocketDock.lnk - c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-3-18 630784]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Readereader_sl.exe [2004-12-14 29696]
DSLMON.lnk - c:\program files\SAGEM\SAGEM F@st 800-840\dslmon.exe [2009-6-4 962661]
Logitech Desktop Messenger.lnk - c:\program files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2007-2-27 67128]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe"=
"c:\Program Files\LimeWire\LimeWire.exe"=
"c:\Program Files\Shareaza\Shareaza.exe"=
"c:\WINDOWS\system32\fxsclnt.exe"=
"c:\Program Files\Metin2_France\metin2.bin"=
"c:\WINDOWS\system32\dpnsvr.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Shareaza Applications\Shareaza\Shareaza.exe"=
"c:\Program Files\EA Games\Command and Conquer Generals\game.dat"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Metin2_France\metin2client.bin"=
"c:\Program Files\uTorrent\uTorrent.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\iTunes\iTunes.exe"=
"c:\Program Files\EA Games\Command & Conquer Generals - Heure H\game.dat"=

R0 m5287;m5287;c:\windows\system32\drivers\m5287.sys [05/02/2005 08:00 85888]
R2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe -k Akamai [05/08/2004 06:00 14336]
S1 aiptektp;HyperPen;c:\windows\system32\drivers\aiptektp.sys [25/12/2006 10:28 22272]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [02/02/2010 17:08 135664]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [26/06/2008 08:13 576680]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
S3 PPDrv;Protector Plus Driver (UnRegistered);\??\c:\protector plus\PPDrv.sys --> c:\protector plus\PPDrv.sys [?]
S3 PPEMSCAN;Protector Plus Email Scan Driver;\??\c:\protector plus\PPEMSCAN.sys --> c:\protector plus\PPEMSCAN.sys [?]
S3 UsbSagCom;Mobile Device Full USB Driver;c:\windows\system32\drivers\UsbSagCom.sys [29/06/2007 14:20 51712]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [29/01/2008 14:40 715248]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai	REG_MULTI_SZ   	Akamai
.
Contenu du dossier 'Tâches planifiées'

2010-09-11 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2011-02-01 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-02 16:08]

2011-02-01 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-02 16:08]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uInternet Connection Wizard,ShellNext = iexplore
IE: Add to AMV Convert Tool... - c:\program files\MP3 Player Utilities 3.70\AMVConverter\grab.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html
IE: MediaManager tool grab multimedia file - c:\program files\MP3 Player Utilities 3.70\MediaManager\grab.html
IE: {{CDAFD956-97BE-443D-8EF7-F4F094EB5766} - c:\program files\Crawler\SSaver\CSSaver.exe
Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\program files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
.
- - - - ORPHELINS SUPPRIMES - - - -

WebBrowser-{8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - (no file)
WebBrowser-{196C3A46-4758-433D-A600-802C804AF39C} - (no file)
HKCU-Run-CSmileys - c:\progra~1\Crawler\Smileys\CSmileysIM.exe
HKLM-Run-Amazing3DAquariumWallpaper - (no file)
AddRemove-FranceTelecomUninstall_FTBrowser - c:\progra~1\Wanadoo\Shell.exe inst\uninst_FTBrowser.shl
AddRemove-{7B63B2922B174135AFC0E1377DD81EC2} - c:\program files\DivX\DivXCodecUninstall.exe
AddRemove-{CDAFD956-97BE-443D-8EF7-F4F094EB5766}_SAV_3DAQUARIUM - c:\progra~1\crawler\ssaver\cssaver.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-02-01 12:22
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services
pggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\WINDOWS\system32\Macromed\Flash\FlashUtil10h_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\WINDOWS\system32\Macromed\Flash\FlashUtil10h_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(680)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(7120)
c:\windows\system32\SHDOCVW.dll
c:\program files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll
c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.dll
c:\progra~1\WINDOW~1\wmpband.dll
c:\windows\system32
tshrui.dll
c:\windows\system32\NETSHELL.dll
c:\windows\system32\credui.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
c:\program files\Acer\Acer eConsole\MediaServerService.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\System32\FTRTSVC.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\Ati2evxx.exe
c:\progra~1\Wanadoo\TaskBarIcon.exe
c:\program files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
c:\program files\Fichiers communs\Logitech\LComMgr\LVComSX.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\Logitech\QuickCam10\COCIManager.exe
.
**************************************************************************
.
Heure de fin: 2011-02-01  12:30:43 - La machine a redémarré
ComboFix-quarantined-files.txt  2011-02-01 11:30

Avant-CF: 51 107 053 568 octets libres
Après-CF: 52 533 645 312 octets libres

- - End Of File - - 721D793C9BFE52E865E90840248AB0ED

gen-hackman · Answer

bonjour

pourquoi tu n'as pas installé la console de recuperation commme demandé par combofix ?

je peux ravoir un rapport OTL comme t'as fais au debut ? 
G3?-?@¢??@?......Concepteur de List_Kill'em...

Totogeto · Answer

Pendant le scan il me l'a demandé de le faire mais quand j'ai cliqué sur "Ok", l'analyse a continué et du coup j'ai pas pu...

Je refait le rapport OTL

gen-hackman · Answer

ben si ton pc avait planté on aurait pas pu le faire remarcher......

Totogeto · Answer

Voici le lien vers le rapport OTL: 

http://www.cijoint.fr/cjlink.php?file=cj201102/cijtrzygR9.txt

Totogeto · Answer

Et le lien vers le rapport Extras: 

http://www.cijoint.fr/cjlink.php?file=cj201102/cijEi9nTd0.txt

gen-hackman · Answer

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    *  * Colle directement le chemin des fichiers , un par un , dans l'espace "Parcourir" apres chaque analyse :

c:\windows\system32\drivers\m5287.sys 
    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

Totogeto · Answer

Je dois coller le chemin que tu me donnes dans la barre virustotal c'est bien ça ? (le copier/coller ne marche pas)

gen-hackman · Answer

ou alors tu parcours pour trouver le fichier

Totogeto · Answer

Je te passe le lien vers le bilan de l'analyse: 
http://www.virustotal.com/file-scan/report.html?id=b90cea62a21e4cda416b56ca5a6a29cbd13cfb4e49629b3cd02b735ed304e40a-1296568021

gen-hackman · Answer

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

&#9654 Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

Totogeto · Answer

C'est bon, l'analyse est terminée et voici le rapport: 

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5363

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

01/02/2011 16:18:15
mbam-log-2011-02-01 (16-18-15).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 312073
Temps écoulé: 1 heure(s), 1 minute(s), 48 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 25

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PPDRV (Worm.KoobFace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PPDrv (Worm.KoobFace) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\Valentin\application data\EoRezo\softwareupdate\softwareupdate.exe (Rogue.Eorezo) -> Quarantined and deleted successfully.
c:\documents and settings\Valentin\application data\EoRezo\softwareupdate\softwareupdatehp.exe (Rogue.Eorezo) -> Quarantined and deleted successfully.
c:\program files\ad-remover\quarantine\C\program files\EoRezo\eoengine.exe.vir (Rogue.Eorezo) -> Quarantined and deleted successfully.
c:\program files\ad-remover\quarantine\C\program files\EoRezo\EoAdv\eoadv.dll.vir (Rogue.Eorezo) -> Quarantined and deleted successfully.
c:\program files\ad-remover\quarantine\C\program files\EoRezo\EoAdv\eorezobho.dll.vir (Rogue.Eorezo) -> Quarantined and deleted successfully.
c:\program files\ad-remover\quarantine\C\program files\relevantknowledge\rlls.dll.vir (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
c:\program files\ad-remover\quarantine\C\program files\relevantknowledge\rlls.dl_.vir (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
c:\program files\ad-remover\quarantine\C\program files\relevantknowledge\rlls64.dll.vir (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
c:\program files\ad-remover\quarantine\C\program files\relevantknowledge\rlph.dll.vir (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
c:\program files\ad-remover\quarantine\C\program files\relevantknowledge\rlservice.exe.vir (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
c:\program files\ad-remover\quarantine\C\program files\relevantknowledge\rlvknlg.exe.vir (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
c:\program files\ad-remover\quarantine\C\program files\relevantknowledge\rlvknlg64.exe.vir (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
c:\program files\ad-remover\quarantine\C\program files\relevantknowledge\rlxf.dll.vir (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
c:\program files\ad-remover\quarantine\C\program files\relevantknowledge\components\rlxg.dll.vir (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
c:\system volume information\_restore{787dc6c3-51b9-452c-97e3-a31d31627396}\RP1214\A0143061.dll (Rogue.Eorezo) -> Quarantined and deleted successfully.
c:\system volume information\_restore{787dc6c3-51b9-452c-97e3-a31d31627396}\RP1214\A0142996.dll (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
c:\system volume information\_restore{787dc6c3-51b9-452c-97e3-a31d31627396}\RP1214\A0142997.exe (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
c:\system volume information\_restore{787dc6c3-51b9-452c-97e3-a31d31627396}\RP1214\A0142998.exe (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
c:\system volume information\_restore{787dc6c3-51b9-452c-97e3-a31d31627396}\RP1214\A0142999.exe (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
c:\system volume information\_restore{787dc6c3-51b9-452c-97e3-a31d31627396}\RP1214\A0143000.dll (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
c:\system volume information\_restore{787dc6c3-51b9-452c-97e3-a31d31627396}\RP1214\A0143055.dll (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
c:\system volume information\_restore{787dc6c3-51b9-452c-97e3-a31d31627396}\RP1214\A0143056.dll (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
c:\system volume information\_restore{787dc6c3-51b9-452c-97e3-a31d31627396}\RP1214\A0143057.dll (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
c:\system volume information\_restore{787dc6c3-51b9-452c-97e3-a31d31627396}\RP1214\A0143062.dll (Rogue.Eorezo) -> Quarantined and deleted successfully.
c:\system volume information\_restore{787dc6c3-51b9-452c-97e3-a31d31627396}\RP1214\A0143068.exe (Rogue.Eorezo) -> Quarantined and deleted successfully.

gen-hackman · Answer

salut ok refais OTL stp

Totogeto · Answer

Bonjour, le rapport OTL est là: 
http://www.cijoint.fr/cjlink.php?file=cj201102/cijpGAqj5I.txt

Et le rapport Extras ne veut pas se deposer sur le site...

gen-hackman · Answer

essaie de voir si tu peux l'envoyer zippé

Totogeto · Answer

C'est bon le voila: 

http://www.cijoint.fr/cjlink.php?file=cj201102/cijyY9Zmjm.txt

gen-hackman · Answer

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:Services
Bonjour Service

:OTL
FF - prefs.js..browser.startup.homepage: "http://lo.st"      
O4 - HKLM\..\Run: [WOOTASKBARICON]  File not found
O4 - Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe (Adobe Systems Incorporated)    => Adobe®Acrobat Reader  
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present  
O9 - Extra Button: Crawler Screensaver - {CDAFD956-97BE-443D-8EF7-F4F094EB5766} -  File not found
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} file://C:\Documents and Settings\Thomas\Local Settings\Application Data\Oberon Media\Oberon Games Host\popcaploader_v6.cab (PopCapLoader Object)    => Infection Diverse (PopCapLoader.Adw)  
O32 - AutoRun File - [2007/03/28 16:36:30 | 000,000,155 | ---- | M] () - C:\autoexec.plu -- [ NTFS ]      


:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"iTunesHelper"=-
"NeroFilterCheck"=-
"QuickTime Task"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"LDM"=-
"swg"=-

:Files
C:\Documents and Settings\Thomas\Bureau\comctl32.ocx    
C:\Documents and Settings\Thomas\Bureau\mbam-setup-1.50.1.1100.exe      
C:\Documents and Settings\All Users\Application Data\BOONTY  
C:\Documents and Settings\All Users\Application Data\PopCap    
@Alternate Data Stream - 104 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:81405BF2      

 
:commands
[emptytemp]
[start explorer]
[reboot]


&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

==========================

demarrer/executer puis tape :

CHKDSK C: /F /R

puis entrée et redemarre

Totogeto · Answer

Voici le rapport apres redemarrage: 

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
Process iexplore.exe killed successfully!
No active process named firefox.exe was found!
Process msnmsgr.exe killed successfully!
No active process named Teatimer.exe was found!
========== SERVICES/DRIVERS ==========
Service Bonjour Service stopped successfully!
Service Bonjour Service deleted successfully!
========== OTL ==========
Prefs.js: "http://lo.st" removed from browser.startup.homepage
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run not found.
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Reader Speed Launch.lnk moved successfully.
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{CDAFD956-97BE-443D-8EF7-F4F094EB5766}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CDAFD956-97BE-443D-8EF7-F4F094EB5766}\ not found.
File F87-FF2B-4DF8-92D0-73DB16A1543A} file://C:\Documents and Settings\Thomas\Local Settings\Application Data\Oberon Media\Oberon Games Host\popcaploader_v6.cab not found.
Starting removal of ActiveX control {DF780F87-FF2B-4DF8-92D0-73DB16A1543A}
C:\WINDOWS\Downloaded Program Files\popcaploader.inf not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{DF780F87-FF2B-4DF8-92D0-73DB16A1543A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DF780F87-FF2B-4DF8-92D0-73DB16A1543A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{DF780F87-FF2B-4DF8-92D0-73DB16A1543A}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DF780F87-FF2B-4DF8-92D0-73DB16A1543A}\ not found.
C:\autoexec.plu moved successfully.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\iTunesHelper deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\NeroFilterCheck deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\QuickTime Task deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\LDM deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\swg deleted successfully.
========== FILES ==========
C:\Documents and Settings\Thomas\Bureau\comctl32.ocx moved successfully.
C:\Documents and Settings\Thomas\Bureau\mbam-setup-1.50.1.1100.exe moved successfully.
C:\Documents and Settings\All Users\Application Data\BOONTY\Licenses folder moved successfully.
C:\Documents and Settings\All Users\Application Data\BOONTY folder moved successfully.
C:\Documents and Settings\All Users\Application Data\PopCap\PopCapLoader\zone\zuma\sounds folder moved successfully.
C:\Documents and Settings\All Users\Application Data\PopCap\PopCapLoader\zone\zuma\levels\spiral2 folder moved successfully.
C:\Documents and Settings\All Users\Application Data\PopCap\PopCapLoader\zone\zuma\levels\overlap folder moved successfully.
C:\Documents and Settings\All Users\Application Data\PopCap\PopCapLoader\zone\zuma\levels\dynomite folder moved successfully.
C:\Documents and Settings\All Users\Application Data\PopCap\PopCapLoader\zone\zuma\levels\doubledip folder moved successfully.
C:\Documents and Settings\All Users\Application Data\PopCap\PopCapLoader\zone\zuma\levels folder moved successfully.
C:\Documents and Settings\All Users\Application Data\PopCap\PopCapLoader\zone\zuma\images folder moved successfully.
C:\Documents and Settings\All Users\Application Data\PopCap\PopCapLoader\zone\zuma\fonts folder moved successfully.
C:\Documents and Settings\All Users\Application Data\PopCap\PopCapLoader\zone\zuma folder moved successfully.
C:\Documents and Settings\All Users\Application Data\PopCap\PopCapLoader\zone folder moved successfully.
C:\Documents and Settings\All Users\Application Data\PopCap\PopCapLoader\oberon\savedgames\insaniquarium folder moved successfully.
C:\Documents and Settings\All Users\Application Data\PopCap\PopCapLoader\oberon\savedgames folder moved successfully.
C:\Documents and Settings\All Users\Application Data\PopCap\PopCapLoader\oberon\insaniquarium\sounds folder moved successfully.
C:\Documents and Settings\All Users\Application Data\PopCap\PopCapLoader\oberon\insaniquarium\images\upsell folder moved successfully.
C:\Documents and Settings\All Users\Application Data\PopCap\PopCapLoader\oberon\insaniquarium\images folder moved successfully.
C:\Documents and Settings\All Users\Application Data\PopCap\PopCapLoader\oberon\insaniquarium folder moved successfully.
C:\Documents and Settings\All Users\Application Data\PopCap\PopCapLoader\oberon folder moved successfully.
C:\Documents and Settings\All Users\Application Data\PopCap\PopCapLoader folder moved successfully.
C:\Documents and Settings\All Users\Application Data\PopCap folder moved successfully.
ADS C:\Documents and Settings\All Users\Application Data\TEMP:81405BF2 deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: HelpAssistant
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
 
User: LocalService
->Temp folder emptied: 65748 bytes
->Temporary Internet Files folder emptied: 16786 bytes
 
User: MASTER
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 49286 bytes
 
User: Patricia
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
 
User: Thomas
->Temp folder emptied: 72045 bytes
->Temporary Internet Files folder emptied: 5439066 bytes
->Java cache emptied: 268893 bytes
->FireFox cache emptied: 14743476 bytes
->Apple Safari cache emptied: 1983488 bytes
->Flash cache emptied: 2193010 bytes
 
User: Valentin
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 2676224 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1659040 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 13718272 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 41,00 mb
 
 
OTL by OldTimer - Version 3.2.20.6 log created on 02022011_180720

Files\Folders moved on Reboot...
File\Folder C:\WINDOWS	emp\Perflib_Perfdata_224.dat not found!

Registry entries deleted on Reboot...

gen-hackman · Answer

__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
KillAll::
Snapshot::
MBR::

------------------------------------------------------------------

▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes

▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

Totogeto · Answer

Je dois faire le glisser/déposer sur quel fichier combofix ? Sur celui que j'ai utilisé avant ?

gen-hackman · Answer

oui celui que tu as renommé "Thomas"

Totogeto · Answer

L'analyse est faite, je te passe le rapport: 

ComboFix 11-01-31.02 - Thomas 02/02/2011  20:21:58.2.2 - x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.767.375 [GMT 1:00]
Lancé depuis: c:\documents and settings\Thomas\Bureau	homas.exe
Commutateurs utilisés :: c:\documents and settings\Thomas\Bureau\CFScript.txt
.

(((((((((((((((((((((((((((((   Fichiers créés du 2011-01-02 au 2011-02-02  ))))))))))))))))))))))))))))))))))))
.

2011-02-02 17:07 . 2011-02-02 17:07	--------	d-----w-	C:\_OTL
2011-02-01 14:09 . 2011-02-01 14:09	--------	d-----w-	c:\documents and settings\Thomas\Application Data\Malwarebytes
2011-02-01 14:09 . 2010-12-20 17:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-02-01 14:09 . 2011-02-01 14:09	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2011-02-01 14:09 . 2011-02-01 14:09	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2011-02-01 14:09 . 2010-12-20 17:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-02-01 10:34 . 2010-09-18 06:53	953856	------w-	c:\windows\system32\dllcache\mfc40u.dll
2011-02-01 10:34 . 2010-09-18 06:53	974848	------w-	c:\windows\system32\dllcache\mfc42.dll
2011-02-01 10:34 . 2010-08-23 16:12	617472	------w-	c:\windows\system32\dllcache\comctl32.dll
2011-02-01 10:33 . 2010-11-02 15:17	40960	------w-	c:\windows\system32\dllcache
dproxy.sys
2011-02-01 10:31 . 2010-10-11 14:59	45568	------w-	c:\windows\system32\dllcache\wab.exe
2011-01-31 16:09 . 2011-01-31 17:36	--------	d-----w-	C:\Kill'em
2011-01-31 16:09 . 2011-01-31 17:44	--------	d-----w-	c:\program files\List_Kill'em
2011-01-31 15:58 . 2011-01-31 16:03	--------	d-----w-	C:\UsbFix
2011-01-31 15:40 . 2011-01-31 15:40	--------	d-----w-	c:\program files\Ad-Remover

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-31 16:03 . 2011-01-31 16:03	6749	----a-w-	C:\UsbFix_Upload_Me_ACER-755E621E64.zip
2010-11-18 18:12 . 2004-08-05 05:00	86016	----a-w-	c:\windows\system32\isign32.dll
2010-11-09 14:52 . 2004-08-05 05:00	249856	----a-w-	c:\windows\system32\odbc32.dll
2010-11-06 00:21 . 2005-07-03 02:16	916480	----a-w-	c:\windows\system32\wininet.dll
2010-11-06 00:21 . 2004-08-05 05:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2010-11-06 00:21 . 2004-08-05 05:00	1469440	----a-w-	c:\windows\system32\inetcpl.cpl
.

------- Sigcheck -------

[-] 2008-04-14 . 3EFE912DD25D2586E6A0341DB0A66F69 . 979968 . . [6.00.2900.5512] . . c:\windows\explorer.exe
[-] 2008-04-14 . 3EFE912DD25D2586E6A0341DB0A66F69 . 979968 . . [6.00.2900.5512] . . c:\windows\ServicePackFiles\i386\explorer.exe
[-] 2007-06-13 . D0288319660EDCFED07C7E74C4EA38A5 . 1037312 . . [6.00.2900.3156] . . c:\windows\$NtServicePackUninstall$\explorer.exe
[-] 2007-06-13 . B795475444D6D57A572C14B9E1A29839 . 1037312 . . [6.00.2900.3156] . . c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe
[7] 2004-08-05 . 4C33E5B9A6197B6ED215F6CFBA0A2DAA . 1036288 . . [6.00.2900.2180] . . c:\windows\$NtUninstallKB938828$\explorer.exe
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{11BF46C6-B3DE-48BD-BF70-3AD85CAB80B5}]
2009-03-04 07:43	311808	----a-w-	c:\progra~1\SITERA~1\SiteRank.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"updateMgr"="c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2004-11-22 307200]
"WOOKIT"="c:\progra~1\Wanadoo\Shell.exe" [2004-08-23 122880]
"Shareaza"="c:\program files\Shareaza\Shareaza.exe" [2007-12-02 4677632]
"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2010-02-13 319280]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"atwtusb"="atwtusb.exe beta" [X]
"SsAAD.exe"="c:\progra~1\Sony\SONICS~1\SsAAD.exe" [2005-01-24 81920]
"SiteRanker"="c:\program files\SiteRanker\SiteRankTray.exe" [2009-03-04 273920]
"WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-08-23 20480]
"WOOTASKBARICON"="c:\progra~1\Wanadoo\GestMaj.exe" [2004-10-14 32768]
"LogitechCommunicationsManager"="c:\program files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe" [2006-06-26 497200]
"LogitechQuickCamRibbon"="c:\program files\Logitech\QuickCam10\QuickCam10.exe" [2006-06-26 614960]
"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2010-02-17 177472]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Valentin\Menu D'marrer\Programmes\D'marrage\
RocketDock.lnk - c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-3-18 630784]

c:\documents and settings\Thomas\Menu D'marrer\Programmes\D'marrage\
RocketDock.lnk - c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-3-18 630784]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
DSLMON.lnk - c:\program files\SAGEM\SAGEM F@st 800-840\dslmon.exe [2009-6-4 962661]
Logitech Desktop Messenger.lnk - c:\program files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2007-2-27 67128]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe"=
"c:\Program Files\LimeWire\LimeWire.exe"=
"c:\Program Files\Shareaza\Shareaza.exe"=
"c:\WINDOWS\system32\fxsclnt.exe"=
"c:\Program Files\Metin2_France\metin2.bin"=
"c:\WINDOWS\system32\dpnsvr.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Shareaza Applications\Shareaza\Shareaza.exe"=
"c:\Program Files\EA Games\Command and Conquer Generals\game.dat"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Metin2_France\metin2client.bin"=
"c:\Program Files\uTorrent\uTorrent.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\iTunes\iTunes.exe"=
"c:\Program Files\EA Games\Command & Conquer Generals - Heure H\game.dat"=

R0 m5287;m5287;c:\windows\system32\drivers\m5287.sys [05/02/2005 08:00 85888]
R2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe -k Akamai [05/08/2004 06:00 14336]
S1 aiptektp;HyperPen;c:\windows\system32\drivers\aiptektp.sys [25/12/2006 10:28 22272]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [02/02/2010 17:08 135664]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [26/06/2008 08:13 576680]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
S3 PPEMSCAN;Protector Plus Email Scan Driver;\??\c:\protector plus\PPEMSCAN.sys --> c:\protector plus\PPEMSCAN.sys [?]
S3 UsbSagCom;Mobile Device Full USB Driver;c:\windows\system32\drivers\UsbSagCom.sys [29/06/2007 14:20 51712]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [29/01/2008 14:40 715248]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai	REG_MULTI_SZ   	Akamai
.
Contenu du dossier 'Tâches planifiées'

2010-09-11 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2011-02-02 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-02 16:08]

2011-02-02 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-02 16:08]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uInternet Connection Wizard,ShellNext = iexplore
IE: Add to AMV Convert Tool... - c:\program files\MP3 Player Utilities 3.70\AMVConverter\grab.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html
IE: MediaManager tool grab multimedia file - c:\program files\MP3 Player Utilities 3.70\MediaManager\grab.html
Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\program files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-02-02 20:29
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services
pggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\WINDOWS\system32\Macromed\Flash\FlashUtil10h_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\WINDOWS\system32\Macromed\Flash\FlashUtil10h_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(688)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(7352)
c:\windows\system32\SHDOCVW.dll
c:\program files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll
c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.dll
c:\progra~1\WINDOW~1\wmpband.dll
c:\windows\system32
tshrui.dll
c:\windows\system32\NETSHELL.dll
c:\windows\system32\credui.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Acer\Acer eConsole\MediaServerService.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\windows\System32\FTRTSVC.exe
c:\progra~1\Wanadoo\TaskBarIcon.exe
c:\program files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
c:\windows\system32\wscntfy.exe
c:\progra~1\Wanadoo\Toaster.exe
c:\progra~1\Wanadoo\Inactivity.exe
c:\progra~1\Wanadoo\PollingModule.exe
c:\program files\Fichiers communs\Logitech\LComMgr\LVComSX.exe
c:\program files\Logitech\QuickCam10\COCIManager.exe
.
**************************************************************************
.
Heure de fin: 2011-02-02  20:36:40 - La machine a redémarré
ComboFix-quarantined-files.txt  2011-02-02 19:36
ComboFix2.txt  2011-02-01 11:30

Avant-CF: 53 584 703 488 octets libres
Après-CF: 53 559 185 408 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP  dition familiale" /noexecute=optin /fastdetect

- - End Of File - - 3B6BA6DC1606868CDAEF29DF99296B43

gen-hackman · Answer

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    *  * Colle directement le chemin des fichiers , un par un , dans l'espace "Parcourir" apres chaque analyse :

c:\windows\explorer.exe                

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

Totogeto · Answer

Voici le lien: 
http://www.virustotal.com/file-scan/report.html?id=a5538cc03898083d73fed0c0c0a7f3febbfb9af44b1f0f109ef87f8f38c49f7f-1296685204

gen-hackman · Answer

passe ce fichier aussi sur virus total :

c:\protector plus\PPEMSCAN.sys

Totogeto · Answer

Impossible de trouver ce fichier je comprends pas...

gen-hackman · Answer

tu as le dossier au moins ?

c:\protector plus

Totogeto · Answer

oui mais apres protector plus, j'ai juste SETUP

gen-hackman · Answer

fais cette manip il va apparaitre 

&#9654 Relance List&Kill'em mais cette fois-ci : 

&#9654 choisis l'option Tools puis Command Lines 

un document texte va s'ouvrir à l'apparition de : Text Please 

&#9654copie/colle le texte en gras ci-dessous : 

attrib -h -r -s -a "c:\protector plus" /s /d 
exit 

ensuite onglet "Fichier" clic sur enregistrer , puis ferme ce bloc notes 

Laisse travailler l'outil  


G3?-?@¢??@?......Concepteur de List_Kill'em...

Probleme de lenteur sur mon pc - Page 2

Newsletters