Generic Host Process plante Résolu/Fermé

Question

Bonjour, 

Configuration: Windows XP SP3 sans les MAJ activées... / Firefox 3.6.13

J'ai un plantage depuis deux jours qui au démarrage m'affiche un message comme quoi le service Generic Host Process est tombé et puis après plus rien : plus de gestionnaire de tache : en mode sans echec et réseau, j'ai pu lancer mon AVIRA antivir à jour qui n'a détété qu'un TROJAN : TR/BegSMS.A qui d'après sa description ne semble pas lié mais bon il l'a mis en quarantaine.
Toujours en mode sans echec avec réseau, j'ai des message de plantage svchost : est ce que cela vient du problème initial ou d u mode sans echec? je n'arrive as lancer MALWAREBYTES et j'ai juste réussi à lancer HiJack avec le log suivant 
 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:54:21, on 06/02/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Safe mode with network support

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\windows\system32\ctfmon.exe
C:\windows\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\windows\system32\svchost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ycomp/defaults/sp/*https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mystart.incredimail.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\4.1\pdfforgeToolbarIE.dll
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\4.1\pdfforgeToolbarIE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: (no name) - {66886C4D-B307-4ECA-A228-52CA9B9851A4} - (no file)
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\4.1\pdfforgeToolbarIE.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ntiMUI] c:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7
tiMUI.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [DiscWizardMonitor.exe] C:\Program Files\Seagate\DiscWizard\DiscWizardMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files\Seagate\DiscWizard\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Seagate\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [WireLessKeyboard] C:\Program Files\Trust\Trust Keyboard 15036\StartAutorun.exe PS2USBKbdDrv.exe
O4 - HKLM\..\Run: [HomePlayer] C:\Program Files\HomePlayer\HomePlayer.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [SearchSettings] "C:\Program Files\Fichiers communs\Spigot\Search Settings\SearchSettings.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [Rainlendar2] C:\Program Files\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: SyncBack.lnk = C:\Program Files\2BrightSparks\SyncBack\SyncBack.exe
O4 - Global Startup: D-Link AirPlus G+ Wireless Adapter Utility.lnk = C:\Program Files\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\windows\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4378C5CD-F53B-4B0A-BF45-D474B8319861}: NameServer = 212.27.40.241,212.27.40.240
O17 - HKLM\System\CCS\Services\Tcpip\..\{5DAF598F-707C-40AC-ABD1-4915B652742E}: NameServer = 93.188.164.124,93.188.160.204
O17 - HKLM\System\CCS\Services\Tcpip\..\{CCD85EB5-8D11-4E0B-BBA8-A53BDC4C2DC7}: NameServer = 194.2.0.20,194.2.0.50
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 93.188.164.124,93.188.160.204
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 93.188.164.124,93.188.160.204
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.164.124,93.188.160.204
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Seagate\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Application Updater - Spigot, Inc. - C:\Program Files\Application Updater\ApplicationUpdater.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\system32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\windows\system32\IoctlSvc.exe
O23 - Service: VNC Server (winvnc) - RealVNC Ltd. - C:\Program Files\RealVNC\WinVNC\WinVNC.exe

Xplode · Answer

Hello,

Ouep. En général les messages d'erreur " Generic Host process " c'est causé par une infection.. Et en parlant d'infection, tu es pas mal infecté.

T'arrives à naviguer sur internet? Parce que t'as une redirection des sites en ukraine.. Commence par faire ceci :

-+-+-+-+-> AD-Remover <-+-+-+-+-


[x] Télécharge AD-Remover ( de  C_XX ).

[x] Lance AD-Remover puis choisis l'option " Nettoyer ".

Note : Utilisateurs de vista/seven -> Clic droit sur "Ad-R.exe" puis " Exécuter en tant qu'administrateur "

[x] Patiente pendant le scan, un rapport s'ouvrira ensuite. Poste son contenu dans ton prochain message

[x] Note : Le rapport se trouve également sous C:\Ad-Report-CLEAN.txt

Xplode · Answer

Ok fais ceci maintenant :

-+-+-+-+-> ComboFix <-+-+-+- 


[x] Télécharge ComboFix ( de sUBs ) à cette adresse. 

/!\ Ferme toutes les fenêtres de programme ouvertes /!\ 

/!\ Désactive temporairement toutes les protections résidentes ( Antivirus, Pare-Feu, AntiSpyware ) /!\ 

[x] Double clique sur " Combofix.exe " 

[x] Suis les indications qui sont données à l'écran, à un moment tu auras un message te demandant d'installer la console de récupération, fais le.

[x] Pendant le scan, ne touche à rien ( souris, clavier ) 

[x] Tu seras peut être invité à redémarrer ton PC. A la fin du scan, combofix ouvrira un rapport, copie/colle le dans ta prochaine réponse.

Note : Si jamais il ne s'ouvrait pas, il se trouve sous C:\Combofix.txt

Stefs · Answer

Y a un hic , quand je lance Combofix : rien : je suis en mode sans echec avec reseau dois je le lancer sans reseau?

Xplode · Answer

Ok alors on reprends depuis le début :

Télécharge Combofix ici : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Renomme le en "stefs.exe" avant le téléchargement.

Quitte tout programme en cours. Lance ensuite Combofix et patiente jusqu'à ce qu'il aie terminé.

Stef · Answer

Voici enfin le log de combofix : a noter qu'a chaque redemaarage j'ai préféré le faire en mode sans echec reseau.


ComboFix 11-02-05.01 - Foot 06/02/2011  10:46:27.1.1 - x86 NETWORK
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.2550.2293 [GMT 1:00]
Lancé depuis: c:\documents and settings\Foot\Mes documents\Téléchargements\ComboFixn.exe
AV: AntiVir Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\Internet Explorer\SET39.tmp
c:\program files\Internet Explorer\SET3A.tmp
c:\program files\Internet Explorer\SET3B.tmp
c:\program files\Internet Explorer\SET3C.tmp
c:\windows\system32\drivers\snetcfg.exe

.
\.\PhysicalDrive0 - Bootkit TDL4 was found and disinfected
.
(((((((((((((((((((((((((((((   Fichiers créés du 2011-01-06 au 2011-02-06  ))))))))))))))))))))))))))))))))))))
.

2011-02-06 08:17 . 2011-02-06 08:17	--------	d-----w-	c:\program files\Ad-Remover

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-20 17:09 . 2009-01-11 15:11	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-20 17:08 . 2009-01-11 15:12	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-12-15 15:00 . 2010-12-15 15:00	278984	----a-w-	c:\windows\system32\drivers\atksgt.sys
2010-12-15 15:00 . 2010-12-15 15:00	25416	----a-w-	c:\windows\system32\drivers\lirsgt.sys
2010-12-02 03:35 . 2010-12-02 03:35	4280320	----a-w-	c:\windows\system32\GPhotos.scr
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" [2008-02-28 1828136]
"Rainlendar2"="c:\program files\Rainlendar2\Rainlendar2.exe" [2009-08-22 5148672]
"updateMgr"="c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"ntiMUI"="c:\program files\NewTech Infosystems\NTI CD & DVD-Maker 7
tiMUI.exe" [2005-05-11 45056]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 32768]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-05 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"WinVNC"="c:\program files\RealVNC\WinVNC\WinVNC.exe" [2003-03-05 335872]
"RTHDCPL"="RTHDCPL.EXE" [2007-07-02 16377344]
"DiscWizardMonitor.exe"="c:\program files\Seagate\DiscWizard\DiscWizardMonitor.exe" [2007-08-21 1192336]
"AcronisTimounterMonitor"="c:\program files\Seagate\DiscWizard\TimounterMonitor.exe" [2007-08-21 1966128]
"Acronis Scheduler2 Service"="c:\program files\Fichiers communs\Seagate\Schedule2\schedhlp.exe" [2007-08-20 148760]
"NeroFilterCheck"="c:\program files\Fichiers communs\Nero\Lib\NeroCheck.exe" [2008-02-28 570664]
"NBKeyScan"="c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-02-18 2221352]
"WireLessKeyboard"="c:\program files\Trust\Trust Keyboard 15036\StartAutorun.exe" [2005-11-30 94208]
"HomePlayer"="c:\program files\HomePlayer\HomePlayer.exe" [2007-11-06 294912]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-06-27 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-06-27 162328]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-06-27 137752]
"ISUSPM Startup"="c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe" [2005-02-16 221184]
"ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2005-02-16 81920]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-05-14 248552]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Foot\Menu D'marrer\Programmes\D'marrage\
SyncBack.lnk - c:\program files\2BrightSparks\SyncBack\SyncBack.exe [2008-12-24 2721536]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
D-Link AirPlus G+ Wireless Adapter Utility.lnk - c:\program files\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE [2008-12-24 671744]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IncrediMail]
2010-12-17 22:00	353736	----a-w-	c:\program files\IncrediMail\bin\IncMail.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Magentic]
2008-08-04 08:51	488808	----a-w-	c:\progra~1\Magentic\bin\Magentic.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\IncrediMail\bin\ImApp.exe"=
"c:\Program Files\IncrediMail\bin\IncMail.exe"=
"c:\Program Files\IncrediMail\bin\ImpCnt.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\Program Files\Magentic\bin\MgImp.exe"=
"c:\Program Files\Magentic\bin\Magentic.exe"=
"c:\Program Files\Magentic\bin\MgApp.exe"=
"c:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe"=
"c:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe"=
"c:\Program Files\HomePlayer\HomePlayer.exe"=
"c:\Program Files\HomePlayer\VLC\vlc.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Vuze\Azureus.exe"=
"c:\Program Files\IncrediMail\bin\ImLc.exe"=
"c:\Documents and Settings\Foot\Local Settings\Application Data\IM\Runtime\IncrediMail_Install.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R3 KEYBOARDWDFilter;KEYBOARDWDFilter;c:\windows\system32\drivers\KEYBOARDWD.SYS [31/12/2008 10:44 6528]
R3 TNET1130;D-Link AirPlus G+ Wireless Adapter;c:\windows\system32\drivers\GPLUS.sys [24/12/2008 09:32 283392]
S2 eLock2BurnerLockDriver;eLock2BurnerLockDriver;\??\c:\windows\system32\eLock2BurnerLockDriver.sys --> c:\windows\system32\eLock2BurnerLockDriver.sys [?]
S2 eLock2FSCTLDriver;eLock2FSCTLDriver;\??\c:\windows\system32\eLock2FSCTLDriver.sys --> c:\windows\system32\eLock2FSCTLDriver.sys [?]
S4 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [03/10/2009 09:21 108289]
.
Contenu du dossier 'Tâches planifiées'

2011-02-05 c:\windows\Tasks\SyncBack Save Mes Documents.job
- c:\program files\2BrightSparks\SyncBack\SyncBack.exe [2008-12-24 14:16]
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
mWindow Title = 
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Trusted Zone: microsoft.com\download.windowsupdate
Trusted Zone: microsoft.com\update
FF - ProfilePath - c:\documents and settings\Foot\Application Data\Mozilla\Firefox\Profiles\hvjsijfs.default\
FF - prefs.js: browser.search.selectedEngine - MyStart Rechercher
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://mystart.incredimail.com/?loc=ff_address_bar_im2_test_v2&search=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
.
- - - - ORPHELINS SUPPRIMES - - - -

WebBrowser-{00000002-F180-0266-8B20-3A771E000000} - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-02-06 10:59
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h-€|ÿÿÿÿ¤*€|ù*9~*]
"C040110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(1112)
c:\windows\system32\Ati2evxx.dll
.
Heure de fin: 2011-02-06  11:04:48 - La machine a redémarré
ComboFix-quarantined-files.txt  2011-02-06 10:04

Avant-CF: 22 244 990 976 octets libres
Après-CF: 22 137 397 248 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\windows
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\windows="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

- - End Of File - - E827090768023F914114E2729127CD61

Xplode · Answer

Ok bien fais ceci maintenant :

-+-+-+-+-> TDSSKiller <-+-+-+-+-


[x] Télécharge TDSSKiller ( de Kaspersky Labs ) sur ton bureau.

[x] Lance le ( Utilisateurs de vista/Seven -> Clic droit puis " Exécuter en tant qu'administrateur " )

[x] Clique sur [Start Scan] pour démarrer l'analyse.

[x] Si des élements sont trouvés, cliques sur [Continue] puis sur [Reboot Now]

[x]  Un rapport s'ouvrira au redémarrage du PC.

[x] Copie/Colle son contenu dans ta prochaine réponse.

[x] Note : Le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt.


+ Un nouveau rapport Hijackthis

Stef · Answer

voici :

2011/02/06 11:19:14.0843 0636	TDSS rootkit removing tool 2.4.16.0 Feb  1 2011 10:34:03
2011/02/06 11:19:15.0125 0636	================================================================================
2011/02/06 11:19:15.0125 0636	SystemInfo:
2011/02/06 11:19:15.0125 0636	
2011/02/06 11:19:15.0125 0636	OS Version: 5.1.2600 ServicePack: 3.0
2011/02/06 11:19:15.0125 0636	Product type: Workstation
2011/02/06 11:19:15.0125 0636	ComputerName: CLUB_FOOT
2011/02/06 11:19:15.0125 0636	UserName: Foot
2011/02/06 11:19:15.0125 0636	Windows directory: C:\windows
2011/02/06 11:19:15.0125 0636	System windows directory: C:\windows
2011/02/06 11:19:15.0125 0636	Processor architecture: Intel x86
2011/02/06 11:19:15.0125 0636	Number of processors: 1
2011/02/06 11:19:15.0125 0636	Page size: 0x1000
2011/02/06 11:19:15.0125 0636	Boot type: Safe boot with network
2011/02/06 11:19:15.0125 0636	================================================================================
2011/02/06 11:19:15.0234 0636	Initialize success
2011/02/06 11:19:25.0859 0396	================================================================================
2011/02/06 11:19:25.0859 0396	Scan started
2011/02/06 11:19:25.0859 0396	Mode: Manual; 
2011/02/06 11:19:25.0859 0396	================================================================================
2011/02/06 11:19:28.0078 0396	ACPI            (e5e6dbfc41ea8aad005cb9a57a96b43b) C:\windows\system32\DRIVERS\ACPI.sys
2011/02/06 11:19:28.0125 0396	ACPIEC          (e4abc1212b70bb03d35e60681c447210) C:\windows\system32\drivers\ACPIEC.sys
2011/02/06 11:19:28.0250 0396	aec             (8bed39e3c35d6a489438b8141717a557) C:\windows\system32\drivers\aec.sys
2011/02/06 11:19:28.0296 0396	AFD             (7e775010ef291da96ad17ca4b17137d7) C:\windows\System32\drivers\afd.sys
2011/02/06 11:19:28.0640 0396	Arp1394         (b5b8a80875c1dededa8b02765642c32f) C:\windows\system32\DRIVERS\arp1394.sys
2011/02/06 11:19:28.0890 0396	Aspi32          (ed8cee58c1e4c5893f5b2fd686a272bf) C:\windows\system32\drivers\Aspi32.sys
2011/02/06 11:19:28.0968 0396	AsyncMac        (b153affac761e7f5fcfa822b9c4e97bc) C:\windows\system32\DRIVERS\asyncmac.sys
2011/02/06 11:19:29.0046 0396	atapi           (9f3a2f5aa6875c72bf062c712cfa2674) C:\windows\system32\DRIVERS\atapi.sys
2011/02/06 11:19:29.0187 0396	ati2mtag        (669a8717dbe1a6b03898a190e4708b2f) C:\windows\system32\DRIVERS\ati2mtag.sys
2011/02/06 11:19:29.0359 0396	atksgt          (3c4b9850a2631c2263507400d029057b) C:\windows\system32\DRIVERS\atksgt.sys
2011/02/06 11:19:29.0437 0396	Atmarpc         (9916c1225104ba14794209cfa8012159) C:\windows\system32\DRIVERS\atmarpc.sys
2011/02/06 11:19:29.0500 0396	audstub         (d9f724aa26c010a217c97606b160ed68) C:\windows\system32\DRIVERS\audstub.sys
2011/02/06 11:19:29.0625 0396	avgio           (f1d43170fdd7399ee17ea32d4f868b0c) C:\Program Files\Avira\AntiVir Desktop\avgio.sys
2011/02/06 11:19:29.0687 0396	avgntflt        (14fe36d8f2c6a2435275338d061a0b66) C:\windows\system32\DRIVERS\avgntflt.sys
2011/02/06 11:19:29.0750 0396	avipbb          (ad9bd66a862116e79cb45bb6be46055f) C:\windows\system32\DRIVERS\avipbb.sys
2011/02/06 11:19:29.0875 0396	Beep            (da1f27d85e0d1525f6621372e7b685e9) C:\windows\system32\drivers\Beep.sys
2011/02/06 11:19:30.0031 0396	cbidf2k         (90a673fc8e12a79afbed2576f6a7aaf9) C:\windows\system32\drivers\cbidf2k.sys
2011/02/06 11:19:30.0156 0396	Cdaudio         (c1b486a7658353d33a10cc15211a873b) C:\windows\system32\drivers\Cdaudio.sys
2011/02/06 11:19:30.0203 0396	Cdfs            (c885b02847f5d2fd45a24e219ed93b32) C:\windows\system32\drivers\Cdfs.sys
2011/02/06 11:19:30.0265 0396	Cdrom           (1f4260cc5b42272d71f79e570a27a4fe) C:\windows\system32\DRIVERS\cdrom.sys
2011/02/06 11:19:30.0656 0396	Disk            (044452051f3e02e7963599fc8f4f3e25) C:\windows\system32\DRIVERS\disk.sys
2011/02/06 11:19:30.0750 0396	dmboot          (f5deadd42335fb33edca74ecb2f36cba) C:\windows\system32\drivers\dmboot.sys
2011/02/06 11:19:30.0843 0396	dmio            (5a7c47c9b3f9fb92a66410a7509f0c71) C:\windows\system32\drivers\dmio.sys
2011/02/06 11:19:30.0890 0396	dmload          (e9317282a63ca4d188c0df5e09c6ac5f) C:\windows\system32\drivers\dmload.sys
2011/02/06 11:19:30.0968 0396	DMusic          (8a208dfcf89792a484e76c40e5f50b45) C:\windows\system32\drivers\DMusic.sys
2011/02/06 11:19:31.0078 0396	drmkaud         (8f5fcff8e8848afac920905fbd9d33c8) C:\windows\system32\drivers\drmkaud.sys
2011/02/06 11:19:31.0296 0396	Fastfat         (38d332a6d56af32635675f132548343e) C:\windows\system32\drivers\Fastfat.sys
2011/02/06 11:19:31.0359 0396	Fdc             (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\windows\system32\DRIVERS\fdc.sys
2011/02/06 11:19:31.0421 0396	Fips            (31f923eb2170fc172c81abda0045d18c) C:\windows\system32\drivers\Fips.sys
2011/02/06 11:19:31.0468 0396	Flpydisk        (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\windows\system32\DRIVERS\flpydisk.sys
2011/02/06 11:19:31.0515 0396	FltMgr          (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\windows\system32\drivers\fltmgr.sys
2011/02/06 11:19:31.0593 0396	fssfltr         (e0087225b137e57239ff40f8ae82059b) C:\windows\system32\DRIVERS\fssfltr_tdi.sys
2011/02/06 11:19:31.0656 0396	Fs_Rec          (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\windows\system32\drivers\Fs_Rec.sys
2011/02/06 11:19:31.0718 0396	Ftdisk          (a86859b77b908c18c2657f284aa29fe3) C:\windows\system32\DRIVERS\ftdisk.sys
2011/02/06 11:19:31.0765 0396	Gpc             (0a02c63c8b144bd8c86b103dee7c86a2) C:\windows\system32\DRIVERS\msgpc.sys
2011/02/06 11:19:31.0828 0396	HDAudBus        (573c7d0a32852b48f3058cfd8026f511) C:\windows\system32\DRIVERS\HDAudBus.sys
2011/02/06 11:19:31.0906 0396	HidUsb          (ccf82c5ec8a7326c3066de870c06daf1) C:\windows\system32\DRIVERS\hidusb.sys
2011/02/06 11:19:32.0046 0396	HSFHWBS2        (6db36593abdda54c505b77a4f135d5f3) C:\windows\system32\DRIVERS\USR_BSC2.sys
2011/02/06 11:19:32.0187 0396	HSF_DPV         (01dc6300bd5b4eaa3de6fc3fa4adb82a) C:\windows\system32\DRIVERS\USR_MDMV.sys
2011/02/06 11:19:32.0281 0396	HTTP            (f6aacf5bce2893e0c1754afeb672e5c9) C:\windows\system32\Drivers\HTTP.sys
2011/02/06 11:19:32.0453 0396	i8042prt        (a09bdc4ed10e3b2e0ec27bb94af32516) C:\windows\system32\DRIVERS\i8042prt.sys
2011/02/06 11:19:32.0625 0396	ialm            (8717f0297bbefac86264a233e4fb28c9) C:\windows\system32\DRIVERS\igxpmp32.sys
2011/02/06 11:19:32.0828 0396	Imapi           (083a052659f5310dd8b6a6cb05edcf8e) C:\windows\system32\DRIVERS\imapi.sys
2011/02/06 11:19:33.0078 0396	IntcAzAudAddService (9f6320e7b0c43e4e5693e1515ba5595c) C:\windows\system32\drivers\RtkHDAud.sys
2011/02/06 11:19:33.0296 0396	intelppm        (ad340800c35a42d4de1641a37feea34c) C:\windows\system32\DRIVERS\intelppm.sys
2011/02/06 11:19:33.0328 0396	Ip6Fw           (3bb22519a194418d5fec05d800a19ad0) C:\windows\system32\drivers\ip6fw.sys
2011/02/06 11:19:33.0390 0396	IpFilterDriver  (731f22ba402ee4b62748adaf6363c182) C:\windows\system32\DRIVERS\ipfltdrv.sys
2011/02/06 11:19:33.0437 0396	IpInIp          (b87ab476dcf76e72010632b5550955f5) C:\windows\system32\DRIVERS\ipinip.sys
2011/02/06 11:19:33.0500 0396	IpNat           (cc748ea12c6effde940ee98098bf96bb) C:\windows\system32\DRIVERS\ipnat.sys
2011/02/06 11:19:33.0578 0396	IPSec           (23c74d75e36e7158768dd63d92789a91) C:\windows\system32\DRIVERS\ipsec.sys
2011/02/06 11:19:33.0640 0396	IRENUM          (c93c9ff7b04d772627a3646d89f7bf89) C:\windows\system32\DRIVERS\irenum.sys
2011/02/06 11:19:33.0734 0396	isapnp          (355836975a67b6554bca60328cd6cb74) C:\windows\system32\DRIVERS\isapnp.sys
2011/02/06 11:19:33.0796 0396	Kbdclass        (16813155807c6881f4bfbf6657424659) C:\windows\system32\DRIVERS\kbdclass.sys
2011/02/06 11:19:33.0843 0396	kbdhid          (94c59cb884ba010c063687c3a50dce8e) C:\windows\system32\DRIVERS\kbdhid.sys
2011/02/06 11:19:33.0906 0396	KEYBOARDWDFilter (b8db5221c6faba98e31f101fa6e547f1) C:\windows\System32\Drivers\KEYBOARDWD.SYS
2011/02/06 11:19:33.0968 0396	kmixer          (692bcf44383d056aed41b045a323d378) C:\windows\system32\drivers\kmixer.sys
2011/02/06 11:19:34.0015 0396	KSecDD          (1705745d900dabf2d89f90ebaddc7517) C:\windows\system32\drivers\KSecDD.sys
2011/02/06 11:19:34.0203 0396	lirsgt          (4127e8b6ddb4090e815c1f8852c277d3) C:\windows\system32\DRIVERS\lirsgt.sys
2011/02/06 11:19:34.0296 0396	mdmxsdk         (3c318b9cd391371bed62126581ee9961) C:\windows\system32\DRIVERS\mdmxsdk.sys
2011/02/06 11:19:34.0359 0396	mnmdd           (4ae068242760a1fb6e1a44bf4e16afa6) C:\windows\system32\drivers\mnmdd.sys
2011/02/06 11:19:34.0468 0396	Modem           (510ade9327fe84c10254e1902697e25f) C:\windows\system32\drivers\Modem.sys
2011/02/06 11:19:34.0515 0396	Mouclass        (027c01bd7ef3349aaebc883d8a799efb) C:\windows\system32\DRIVERS\mouclass.sys
2011/02/06 11:19:34.0578 0396	mouhid          (124d6846040c79b9c997f78ef4b2a4e5) C:\windows\system32\DRIVERS\mouhid.sys
2011/02/06 11:19:34.0625 0396	MountMgr        (a80b9a0bad1b73637dbcbba7df72d3fd) C:\windows\system32\drivers\MountMgr.sys
2011/02/06 11:19:34.0750 0396	MRxDAV          (11d42bb6206f33fbb3ba0288d3ef81bd) C:\windows\system32\DRIVERS\mrxdav.sys
2011/02/06 11:19:34.0828 0396	MRxSmb          (60ae98742484e7ab80c3c1450e708148) C:\windows\system32\DRIVERS\mrxsmb.sys
2011/02/06 11:19:34.0937 0396	Msfs            (c941ea2454ba8350021d774daf0f1027) C:\windows\system32\drivers\Msfs.sys
2011/02/06 11:19:35.0000 0396	MSKSSRV         (d1575e71568f4d9e14ca56b7b0453bf1) C:\windows\system32\drivers\MSKSSRV.sys
2011/02/06 11:19:35.0031 0396	MSPCLOCK        (325bb26842fc7ccc1fcce2c457317f3e) C:\windows\system32\drivers\MSPCLOCK.sys
2011/02/06 11:19:35.0093 0396	MSPQM           (bad59648ba099da4a17680b39730cb3d) C:\windows\system32\drivers\MSPQM.sys
2011/02/06 11:19:35.0156 0396	mssmbios        (af5f4f3f14a8ea2c26de30f7a1e17136) C:\windows\system32\DRIVERS\mssmbios.sys
2011/02/06 11:19:35.0218 0396	Mup             (2f625d11385b1a94360bfc70aaefdee1) C:\windows\system32\drivers\Mup.sys
2011/02/06 11:19:35.0296 0396	NDIS            (1df7f42665c94b825322fae71721130d) C:\windows\system32\drivers\NDIS.sys
2011/02/06 11:19:35.0343 0396	NdisTapi        (1ab3d00c991ab086e69db84b6c0ed78f) C:\windows\system32\DRIVERS
distapi.sys
2011/02/06 11:19:35.0390 0396	Ndisuio         (f927a4434c5028758a842943ef1a3849) C:\windows\system32\DRIVERS
disuio.sys
2011/02/06 11:19:35.0453 0396	NdisWan         (edc1531a49c80614b2cfda43ca8659ab) C:\windows\system32\DRIVERS
diswan.sys
2011/02/06 11:19:35.0484 0396	NDProxy         (6215023940cfd3702b46abc304e1d45a) C:\windows\system32\drivers\NDProxy.sys
2011/02/06 11:19:35.0546 0396	NetBIOS         (5d81cf9a2f1a3a756b66cf684911cdf0) C:\windows\system32\DRIVERS
etbios.sys
2011/02/06 11:19:35.0593 0396	NetBT           (74b2b2f5bea5e9a3dc021d685551bd3d) C:\windows\system32\DRIVERS
etbt.sys
2011/02/06 11:19:35.0734 0396	NIC1394         (e9e47cfb2d461fa0fc75b7a74c6383ea) C:\windows\system32\DRIVERS
ic1394.sys
2011/02/06 11:19:35.0843 0396	Npfs            (3182d64ae053d6fb034f44b6def8034a) C:\windows\system32\drivers\Npfs.sys
2011/02/06 11:19:35.0890 0396	Ntfs            (78a08dd6a8d65e697c18e1db01c5cdca) C:\windows\system32\drivers\Ntfs.sys
2011/02/06 11:19:35.0937 0396	NTIDrvr         (7f1c1f78d709c4a54cbb46ede7e0b48d) C:\windows\system32\DRIVERS\NTIDrvr.sys
2011/02/06 11:19:36.0015 0396	Null            (73c1e1f395918bc2c6dd67af7591a3ad) C:\windows\system32\drivers\Null.sys
2011/02/06 11:19:36.0062 0396	NwlnkFlt        (b305f3fad35083837ef46a0bbce2fc57) C:\windows\system32\DRIVERS
wlnkflt.sys
2011/02/06 11:19:36.0156 0396	NwlnkFwd        (c99b3415198d1aab7227f2c88fd664b9) C:\windows\system32\DRIVERS
wlnkfwd.sys
2011/02/06 11:19:36.0218 0396	odysseyIM3      (5dcc587deba479b1f8e33aa8fb079b8a) C:\windows\system32\DRIVERS\odysseyIM3.sys
2011/02/06 11:19:36.0296 0396	ohci1394        (df82529ee7591e49cfd4de65dd11ce54) C:\windows\system32\DRIVERS\ohci1394.sys
2011/02/06 11:19:36.0296 0396	Suspicious file (Forged): C:\windows\system32\DRIVERS\ohci1394.sys. Real md5: df82529ee7591e49cfd4de65dd11ce54, Fake md5: ca33832df41afb202ee7aeb05145922f
2011/02/06 11:19:36.0312 0396	ohci1394 - detected Rootkit.Win32.TDSS.tdl3 (0)
2011/02/06 11:19:36.0390 0396	Parport         (8fd0bdbea875d06ccf6c945ca9abaf75) C:\windows\system32\DRIVERS\parport.sys
2011/02/06 11:19:36.0437 0396	PartMgr         (beb3ba25197665d82ec7065b724171c6) C:\windows\system32\drivers\PartMgr.sys
2011/02/06 11:19:36.0500 0396	ParVdm          (9575c5630db8fb804649a6959737154c) C:\windows\system32\drivers\ParVdm.sys
2011/02/06 11:19:36.0546 0396	PCANDIS5        (58c5ea3de400fe1d08cfeca6d5c14ebd) C:\windows\system32\PCANDIS5.SYS
2011/02/06 11:19:36.0593 0396	PCI             (043410877bda580c528f45165f7125bc) C:\windows\system32\DRIVERS\pci.sys
2011/02/06 11:19:36.0687 0396	PCIIde          (f4bfde7209c14a07aaa61e4d6ae69eac) C:\windows\system32\DRIVERS\pciide.sys
2011/02/06 11:19:36.0750 0396	Pcmcia          (f0406cbc60bdb0394a0e17ffb04cdd3d) C:\windows\system32\drivers\Pcmcia.sys
2011/02/06 11:19:37.0171 0396	PptpMiniport    (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\windows\system32\DRIVERSaspptp.sys
2011/02/06 11:19:37.0218 0396	PSched          (09298ec810b07e5d582cb3a3f9255424) C:\windows\system32\DRIVERS\psched.sys
2011/02/06 11:19:37.0375 0396	Ptilink         (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\windows\system32\DRIVERS\ptilink.sys
2011/02/06 11:19:37.0421 0396	PxHelp20        (49452bfcec22f36a7a9b9c2181bc3042) C:\windows\system32\Drivers\PxHelp20.sys
2011/02/06 11:19:37.0703 0396	RasAcd          (fe0d99d6f31e4fad8159f690d68ded9c) C:\windows\system32\DRIVERSasacd.sys
2011/02/06 11:19:37.0750 0396	Rasl2tp         (11b4a627bc9614b885c4969bfa5ff8a6) C:\windows\system32\DRIVERSasl2tp.sys
2011/02/06 11:19:37.0828 0396	RasPppoe        (5bc962f2654137c9909c3d4603587dee) C:\windows\system32\DRIVERSaspppoe.sys
2011/02/06 11:19:37.0875 0396	Raspti          (fdbb1d60066fcfbb7452fd8f9829b242) C:\windows\system32\DRIVERSaspti.sys
2011/02/06 11:19:37.0937 0396	Rdbss           (7ad224ad1a1437fe28d89cf22b17780a) C:\windows\system32\DRIVERSdbss.sys
2011/02/06 11:19:37.0984 0396	RDPCDD          (4912d5b403614ce99c28420f75353332) C:\windows\system32\DRIVERS\RDPCDD.sys
2011/02/06 11:19:38.0062 0396	rdpdr           (15cabd0f7c00c47c70124907916af3f1) C:\windows\system32\DRIVERSdpdr.sys
2011/02/06 11:19:38.0125 0396	RDPWD           (6728e45b66f93c08f11de2e316fc70dd) C:\windows\system32\drivers\RDPWD.sys
2011/02/06 11:19:38.0203 0396	redbook         (d8eb2a7904db6c916eb5361878ddcbae) C:\windows\system32\DRIVERSedbook.sys
2011/02/06 11:19:38.0343 0396	RTLE8023xp      (e6e5af7d6920824b066832d3e1665506) C:\windows\system32\DRIVERS\Rtenicxp.sys
2011/02/06 11:19:38.0515 0396	Secdrv          (90a3935d05b494a5a39d37e71f09a677) C:\windows\system32\DRIVERS\secdrv.sys
2011/02/06 11:19:38.0578 0396	serenum         (0f29512ccd6bead730039fb4bd2c85ce) C:\windows\system32\DRIVERS\serenum.sys
2011/02/06 11:19:38.0609 0396	Serial          (93d313c31f7ad9ea2b75f26075413c7c) C:\windows\system32\DRIVERS\serial.sys
2011/02/06 11:19:38.0718 0396	Sfloppy         (8e6b8c671615d126fdc553d1e2de5562) C:\windows\system32\drivers\Sfloppy.sys
2011/02/06 11:19:38.0859 0396	snapman         (b6aa9bbff890ffea333ffe81d0b888ff) C:\windows\system32\DRIVERS\snapman.sys
2011/02/06 11:19:38.0968 0396	splitter        (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\windows\system32\drivers\splitter.sys
2011/02/06 11:19:39.0046 0396	sr              (39626e6dc1fb39434ec40c42722b660a) C:\windows\system32\DRIVERS\sr.sys
2011/02/06 11:19:39.0109 0396	Srv             (4f8a43adef66f135564085a9dca96a26) C:\windows\system32\DRIVERS\srv.sys
2011/02/06 11:19:39.0203 0396	ssmdrv          (3ad0362cf68de3ac500e981700242cca) C:\windows\system32\DRIVERS\ssmdrv.sys
2011/02/06 11:19:39.0312 0396	swenum          (3941d127aef12e93addf6fe6ee027e0f) C:\windows\system32\DRIVERS\swenum.sys
2011/02/06 11:19:39.0375 0396	swmidi          (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\windows\system32\drivers\swmidi.sys
2011/02/06 11:19:39.0640 0396	sysaudio        (8b83f3ed0f1688b4958f77cd6d2bf290) C:\windows\system32\drivers\sysaudio.sys
2011/02/06 11:19:39.0734 0396	Tcpip           (93ea8d04ec73a85db02eb8805988f733) C:\windows\system32\DRIVERS	cpip.sys
2011/02/06 11:19:39.0781 0396	TDPIPE          (6471a66807f5e104e4885f5b67349397) C:\windows\system32\drivers\TDPIPE.sys
2011/02/06 11:19:39.0828 0396	TDTCP           (c56b6d0402371cf3700eb322ef3aaf61) C:\windows\system32\drivers\TDTCP.sys
2011/02/06 11:19:39.0875 0396	TermDD          (88155247177638048422893737429d9e) C:\windows\system32\DRIVERS	ermdd.sys
2011/02/06 11:19:39.0953 0396	tifsfilter      (b84b82c0cbeb1b0d7eb7a946bade5830) C:\windows\system32\DRIVERS	ifsfilt.sys
2011/02/06 11:19:40.0015 0396	timounter       (68b3daa08ea06737022832fccffb9b75) C:\windows\system32\DRIVERS	imntr.sys
2011/02/06 11:19:40.0093 0396	TNET1130        (96e5d1f45fb555c913553701efab6ecc) C:\windows\system32\DRIVERS\GPlus.sys
2011/02/06 11:19:40.0203 0396	UBHelper        (e0c67be430c6de490d6ccaecfa071f9e) C:\windows\system32\drivers\UBHelper.sys
2011/02/06 11:19:40.0265 0396	Udfs            (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\windows\system32\drivers\Udfs.sys
2011/02/06 11:19:40.0437 0396	Update          (402ddc88356b1bac0ee3dd1580c76a31) C:\windows\system32\DRIVERS\update.sys
2011/02/06 11:19:40.0562 0396	usbccgp         (173f317ce0db8e21322e71b7e60a27e8) C:\windows\system32\DRIVERS\usbccgp.sys
2011/02/06 11:19:40.0640 0396	usbehci         (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\windows\system32\DRIVERS\usbehci.sys
2011/02/06 11:19:40.0703 0396	usbhub          (1ab3cdde553b6e064d2e754efe20285c) C:\windows\system32\DRIVERS\usbhub.sys
2011/02/06 11:19:40.0781 0396	usbohci         (0daecce65366ea32b162f85f07c6753b) C:\windows\system32\DRIVERS\usbohci.sys
2011/02/06 11:19:40.0843 0396	usbprint        (a717c8721046828520c9edf31288fc00) C:\windows\system32\DRIVERS\usbprint.sys
2011/02/06 11:19:40.0890 0396	usbscan         (a0b8cf9deb1184fbdd20784a58fa75d4) C:\windows\system32\DRIVERS\usbscan.sys
2011/02/06 11:19:40.0937 0396	USBSTOR         (a32426d9b14a089eaa1d922e0c5801a9) C:\windows\system32\DRIVERS\USBSTOR.SYS
2011/02/06 11:19:41.0000 0396	usbuhci         (26496f9dee2d787fc3e61ad54821ffe6) C:\windows\system32\DRIVERS\usbuhci.sys
2011/02/06 11:19:41.0046 0396	VgaSave         (0d3a8fafceacd8b7625cd549757a7df1) C:\windows\System32\drivers\vga.sys
2011/02/06 11:19:41.0156 0396	VolSnap         (46de1126684369bace4849e4fc8c43ca) C:\windows\system32\drivers\VolSnap.sys
2011/02/06 11:19:41.0296 0396	Wanarp          (e20b95baedb550f32dd489265c1da1f6) C:\windows\system32\DRIVERS\wanarp.sys
2011/02/06 11:19:41.0406 0396	wdmaud          (6768acf64b18196494413695f0c3a00f) C:\windows\system32\drivers\wdmaud.sys
2011/02/06 11:19:41.0484 0396	winachsf        (35104d888a90ebc18f71fdc2374d2bb9) C:\windows\system32\DRIVERS\HSF_USR.sys
2011/02/06 11:19:41.0843 0396	yukonwxp        (518c4d4dcb93c88316303694163bbd63) C:\windows\system32\DRIVERS\yk51x86.sys
2011/02/06 11:19:41.0921 0396	ZD1211BU(ZyDAS) (478b4415dfb3a45b6fe61ec781e07d7b) C:\windows\system32\DRIVERS\zd1211Bu.sys
2011/02/06 11:19:42.0000 0396	ZD1211U(ZyDAS)  (3c185892dd5c13975966e8d1c2a65290) C:\windows\system32\DRIVERS\zd1211u.sys
2011/02/06 11:19:42.0062 0396	ZDPSp50         (00ae175b903d45ed4a62384d3315dc2a) C:\windows\system32\Drivers\ZDPSp50.sys
2011/02/06 11:19:42.0359 0396	================================================================================
2011/02/06 11:19:42.0359 0396	Scan finished
2011/02/06 11:19:42.0359 0396	================================================================================
2011/02/06 11:19:42.0421 0656	Detected object count: 1
2011/02/06 11:20:07.0296 0656	ohci1394        (df82529ee7591e49cfd4de65dd11ce54) C:\windows\system32\DRIVERS\ohci1394.sys
2011/02/06 11:20:07.0296 0656	Suspicious file (Forged): C:\windows\system32\DRIVERS\ohci1394.sys. Real md5: df82529ee7591e49cfd4de65dd11ce54, Fake md5: ca33832df41afb202ee7aeb05145922f
2011/02/06 11:20:08.0359 0656	Backup copy found, using it..
2011/02/06 11:20:08.0359 0656	C:\windows\system32\DRIVERS\ohci1394.sys - will be cured after reboot
2011/02/06 11:20:08.0359 0656	Rootkit.Win32.TDSS.tdl3(ohci1394) - User select action: Cure 
2011/02/06 11:20:19.0343 0508	Deinitialize success


Après redémarrage : je n'ai plus de message : pour le moment...

Xplode · Answer

Normal étant donné que TDSSKiller a viré le rootkit. Peux-tu me refaire un rapport Hijackthis stp ?

Stef · Answer

voici :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:42:52, on 06/02/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\windows\Explorer.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\windows\RTHDCPL.EXE
C:\Program Files\Seagate\DiscWizard\DiscWizardMonitor.exe
C:\Program Files\Seagate\DiscWizard\TimounterMonitor.exe
C:\Program Files\Fichiers communs\Seagate\Schedule2\schedhlp.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\Rainlendar2\Rainlendar2.exe
C:\Program Files\HomePlayer\HomePlayer.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
C:\Program Files\Trust\Trust Keyboard 15036\PS2USBKbdDrv.exe
C:\Program Files\2BrightSparks\SyncBack\SyncBack.exe
C:\Program Files\Fichiers communs\Seagate\Schedule2\schedul2.exe
C:\Program Files\Java\jre6\bin\jqs.exe
c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\windows\system32\IoctlSvc.exe
C:\windows\system32\svchost.exe
C:\Program Files\UPHClean\uphclean.exe
C:\Program Files\RealVNC\WinVNC\WinVNC.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\Program Files\Mozilla Firefox\firefox.exe
c:\progra~1\fichie~1\instal~1\update~1\isuspm.exe
C:\windows\system32\wscntfy.exe
C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\agent.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\windows\system32\ctfmon.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\windows\system32\wuauclt.exe
C:\windows\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ntiMUI] c:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7
tiMUI.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [DiscWizardMonitor.exe] C:\Program Files\Seagate\DiscWizard\DiscWizardMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files\Seagate\DiscWizard\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Seagate\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [WireLessKeyboard] C:\Program Files\Trust\Trust Keyboard 15036\StartAutorun.exe PS2USBKbdDrv.exe
O4 - HKLM\..\Run: [HomePlayer] C:\Program Files\HomePlayer\HomePlayer.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [Rainlendar2] C:\Program Files\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: SyncBack.lnk = C:\Program Files\2BrightSparks\SyncBack\SyncBack.exe
O4 - Global Startup: D-Link AirPlus G+ Wireless Adapter Utility.lnk = C:\Program Files\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\windows\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Seagate\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\system32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\windows\system32\IoctlSvc.exe
O23 - Service: VNC Server (winvnc) - RealVNC Ltd. - C:\Program Files\RealVNC\WinVNC\WinVNC.exe

Xplode · Answer

Ok RaS sur le rapport.

On va faire un scan généraliste afin de supprimer les éventuels résidus d'infection avant de boucler tout ça :

-+-+-+-+-> Malwarebytes' Anti-Malware <-+-+-+-+-


[x] Télécharge Malwarebytes' Anti-malware sur ton bureau.

[x] Installe le en laissant les options par défaut ( Cocher seulement " Créer une icône sur le bureau " )

[x] A la fin de l'installation, MBAM se mettra à jour automatiquement puis s'exécutera.

[x] Une fois lancé, clique sur " Exécuter un examen complet " puis sur " Rechercher "

[x] Sélectionne tout tes disques locaux et amovibles.

[x] Patiente pendant toute la durée du scan, puis clique sur " Ok " une fois l'analyse effectuée.

[x] Clique ensuite sur " Afficher les résultats " puis sur " Supprimer la sélection ". Valide ensuite par " Ok ".

[x] MBAM ouvrira un rapport, copie/colle son contenu dans ta prochaine réponse.

[x] Tu peux ensuite vider la quarantaine de MBAM.

[x] Note : MBAM t'invitera peut être à redémarrer ton PC, fais le. Le rapport se trouve dans la partie " Rapports/Logs " de MBAM.

[x] Si tu as des soucis, un tutoriel est disponible à cette adresse.

Stef · Answer

voivi : Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5688

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

06/02/2011 12:58:53
mbam-log-2011-02-06 (12-58-53).txt

Type d'examen: Examen complet (C:\|E:\|)
Elément(s) analysé(s): 244632
Temps écoulé: 46 minute(s), 29 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\program files\ad-remover\quarantine\C\program files\application updater\applicationupdater.exe.vir (PUP.Dealio) -> Quarantined and deleted successfully.
c:\program files\ad-remover\quarantine\C\program files\fichiers communs\Spigot\wtxpcom\components\widgitoolbarff.dll.vir (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
c:\program files\ad-remover\quarantine\C\program files\pdfforge toolbar\widgihelper.exe.vir (PUP.Dealio) -> Quarantined and deleted successfully.
c:\program files\ad-remover\quarantine\C\program files\pdfforge toolbar\IE\4.1\pdfforgetoolbarie.dll.vir (PUP.Dealio) -> Quarantined and deleted successfully.

Xplode · Answer

La désinfection est maintenant terminée, merci de l'avoir suivie jusqu'au bout :) Nous allons maintenant terminer la procédure avec la mise à jour de ton PC, la suppression des outils que nous avons utilisés, un peu d'optimisation et plusieurs liens utiles. Si nous avons utilisé Malwarebytes' Anti-Malware, tu peux le garder et passer un scan complet une fois par semaine en prenant soin de bien le mettre à jour avant de lancer le scan. Mise à jour des logiciels [o] Il est primordial de garder tes logiciels à jour. Pour ce faire, il existe un petit utilitaire, Update Checker. [o] Télécharge le [o] Un tutoriel pour son utilisation est disponible ici. -+-+-+-+-> DelFix <-+-+-+-+- [x] Télécharge DelFix sur ton bureau. [x] Lance le et appuie sur [Suppression] [x] Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message. Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt ) [x] Une fois le rapport posté sur le forum, relance DelFix et appuie sur [Désinstallation]. -+-+-+-+-> Optimisation <-+-+-+-+- 1ère étape : Suppression des fichiers inutiles [o] Télécharge CCleaner [o] Installe le, puis lance le. [o] Va dans l'onglet "Options" puis " Avancé " et décoche " Effacer uniquement les fichiers[...] ". [o] Cliques sur l'onglet " Nettoyeur " puis cliques sur [Analyser] . A la fin de l'analyse, clique sur [Nettoyer]. [o] Rends toi à l'onglet " Registre " puis cliques sur [Chercher les erreurs]. Cliques ensuite sur [Corriger les erreurs séléctionnées. [o] Accepte la sauvegarde puis enregistre la dans tes documents ( tu pourras la supprimer si aucun problème n'apparaît après la suppression ) [o] Cliques ensuite sur [Corriger toutes les erreurs sélectionnées] puis sur [Fermer] [o] Tu peux renouveller ces opérations tous les jours. 2ème étape : Défragmentation [x] Au fur et à mesure que tu installes des logiciels, copies des fichiers etc.. le disque dur se fragmente et les accès en lecture/écriture sont plus longs. [o] Télécharge Defraggler. [o] Un tutoriel pour son utilisation est disponible ici. 3ème étape : Vérification des disques [x] Ouvre l'explorateur, puis fais un clique droit sur ta partition principale ( généralement C:\ ) [x] Clique sur [Propriété] puis sur l'onglet [Outils] [x] Clique sur [Vérifier maintenant] puis coche les deux cases présentes. [x] Clique sur [Démarrer] ( Tu devras éventuellement redémarrer ton PC et le scan du disque s'effectuera au prochain démarrage ) 4ème étape : Désactivation des programmes au démarrage [x] Clique sur [Démarrer] puis [Exécuter]. [x] Tape msconfig et valide par [ok]. [x] A l'onglet [Démarrage] , décoche tout les éléments sauf ceux se rapportant à ton antivirus / pare-feu. [x] Clique sur [Appliquer] puis [ok] et redémarre ton PC. -+-+-+-+-> Purger la restauration système <-+-+-+-+- [x] La restauration système est un endroit que windows utilise pour créer des sauvegardes. En cas de soucis, tu peux utiliser ces sauvegardes pour revenir à un état antérieur au problème. [x] Après une désinfection, il faut purger la restauration système pour supprimer toutes traces de malwares y résidant. [x] Tutoriels : - Windows XP - Windows Vista - Windows 7 -+-+-+-+-> Liens utiles <-+-+-+-+- Ces liens sont en rapport direct avec la sécurité de ton PC. Prends le temps de les lire pour comprendre pourquoi tu as été infecté. - Les dangers du P2P - La sécurité de son PC, c'est quoi? - Sécuriser son ordinateur - Pourquoi maintenir son navigateur à jour? - Les toolbars c'est pas obligatoire

Stef · Answer

delfix  log :

# DelFix v7.3 - Rapport créé le 06/02/2011 à 14:17
# Mis à jour le 06/02/11 à 10h00 par Xplode
# Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
# Nom d'utilisateur : Foot - CLUB_FOOT (Administrateur)
# Exécuté depuis : C:\Documents and Settings\Foot\Mes documents\Téléchargements\DelFix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

-> C:\Qoobox\BackEnv ... ACL modifié avec succès.
Supprimé : C:\Qoobox
Supprimé : C:\ToolBar SD
Supprimé : C:\Program Files\Ad-Remover
Supprimé : C:\Program Files	rend micro\Hijackthis
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Hijackthis

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\Documents and Settings\Foot\Mes documents\Téléchargements\ComboFixn.exe <-- Combofix
Supprimé : C:\ComboFix.txt
Supprimé : C:\TB.txt
Supprimé : C:\Ad-Report-CLEAN[1].txt
Supprimé : C:\TDSSKiller.2.4.16.0_06.02.2011_11.19.14_log.txt
Supprimé : C:\windows\grep.exe
Supprimé : C:\windows\PEV.exe
Supprimé : C:\windows\NIRCMD.exe
Supprimé : C:\windows\MBR.exe
Supprimé : C:\windows\sed.exe
Supprimé : C:\windows\SWREG.exe
Supprimé : C:\windows\SWSC.exe
Supprimé : C:\windows\SWXCACLS.exe
Supprimé : C:\windows\zip.exe
Supprimé : C:\windows\System32eboot.exe
Supprimé : C:\Documents and Settings\Foot\Bureau\ComboFix.exe
Supprimé : C:\Documents and Settings\Foot\Bureau\ToolBarSD.exe
Supprimé : C:\Documents and Settings\Foot\Bureau\AD-R.lnk
Supprimé : C:\Documents and Settings\Foot\Bureau\HijackThis.lnk
Supprimé : C:\Documents and Settings\Foot\Mes documents\Téléchargements	dsskiller.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\SOFTWARE\Ad-Remover
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\HijackThis
Clé Supprimée : HKLM\Software\swearware
Clé Supprimée : HKLM\Software\Classes\.cfxxe
Clé Supprimée : HKLM\Software\Classes\cfxxefile
Clé Supprimée : HKLM\Software\TrendMicro\Hijackthis
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Hijackthis
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

~~~~~~ Autre ~~~~~~

-> Prefetch vidé

########## EOF - "C:\DelFixSuppr.txt" - [2500 octets] ##########

Xplode · Answer

Ok. Si tu n'as plus de soucis, je mets ce sujet en résolu ! Si tu as des questions, n'hésite pas..

@+

Stef · Answer

merci à toi Xplode!!!

Xplode · Answer

Pas de quoi ! ;-)

Bonne journée.

Generic Host Process plante

16 réponses

Discussions similaires

Newsletters