Analyse de mon PC - Quelques BUGS
DeJaneiro
-
DeJaneiro -
DeJaneiro -
--------------------------------------------------------------------------------
Bonjour,
J'ai quelques trucs byzarroides en ce moment sur mon ordi qui me font penser qu'il serait intéressant de le netoyer un peu.
Exemples:
- message d'erreur au démarrage, fermetures intempestives de WMPRWISE.EXE, generic host process for win32 services et 1 logiciel .pdf,
- Apparence windows XP modifié en windows antérieur, style windows 98 ou 2000,
- message d'orange de non transmission d'un mail concernant une adresse qui m'est inconnue asjajjhahhsda9@yahoo.com à chaque démarrage d'outlook.
- lenteur à certain moment et le soir par rapport au serveur de mon entreprise.
- reroutage des recherches google et ouverture fenêtre Google analitycs.
Je vous post pour l'instant un rapport HiJackThis, pour me dire ce que vous en pensez.
Je vous remercie par avance.
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 14:51:25, on 07/02/2011
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17055)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Application Updater\ApplicationUpdater.exe
C:\Program Files\EPSON Projector\EMP NS Connection V2\EMP_NSWLSV.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe
C:\Program Files\Visagesoft\eXPert PDF\vspdfprsrv.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Fichiers communs\Spigot\Search Settings\SearchSettings.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe
C:\Program Files\McAfee Security Scan\2.0.181\SSScheduler.exe
C:\Program Files\Panasonic\PHOTOfunSTUDIO -viewer-\PhAutoRun.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\Program Files\Rainlendar\Rainlendar.exe
C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\Program Files\Trend Micro\OfficeScan Client\ofcdog.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
C:\Program Files\Tracker Software\PDF Viewer\PDFXCview.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\WINDOWS\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\4.1\pdfforgeToolbarIE.dll
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\Program Files\epmnexsp\mveaoxcg.exe
O1 - Hosts: ::1 localhost
O1 - Hosts: 209.44.111.57 antivguardian.com
O1 - Hosts: 209.44.111.57 www.antivguardian.com
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Documents and Settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\4.1\pdfforgeToolbarIE.dll
O2 - BHO: (no name) - {BBD4551A-9B23-41cd-9BCD-818AA2DA7B63} - (no file)
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\4.1\pdfforgeToolbarIE.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [vspdfprsrv.exe] C:\Program Files\Visagesoft\eXPert PDF\vspdfprsrv.exe --background
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SearchSettings] "C:\Program Files\Fichiers communs\Spigot\Search Settings\SearchSettings.exe"
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ISUSPM] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKCU\..\Run: [Microsoft Firewall 2.9] C:\Documents and Settings\U10\Application Data\WMPRWISE.EXE
O4 - HKCU\..\Run: [mssend] "C:\Documents and Settings\U10\Application Data\xssend2\svcnost.exe"
O4 - HKUS\S-1-5-18\..\Run: [Microsoft Firewall 2.9] C:\WINDOWS\system32\config\systemprofile\Application Data\WMPRWISE.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Msarofuyip] rundll32.exe "C:\WINDOWS\ndmhli20.dll",Startup (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Microsoft Firewall 2.9] C:\WINDOWS\system32\config\systemprofile\Application Data\WMPRWISE.EXE (User 'Default user')
O4 - Startup: Rainlendar.lnk = C:\Program Files\Rainlendar\Rainlendar.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: McAfee Security Scan Plus.lnk = ?
O4 - Global Startup: PHOTOfunSTUDIO -viewer-.lnk = C:\Program Files\Panasonic\PHOTOfunSTUDIO -viewer-\PhAutoRun.exe
O4 - Global Startup: Windows Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://download.microsoft.com/download/C/B/F/CBF23A2C-3E55-4664-BC5C-762780D79BA0/OGAControl.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.sosordi.net/libs/KaspWebscanner/kavwebscan_unicode.cab
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.5.0.cab
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://copainsdavant.linternaute.com/...
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = OFFHLM2.local
O17 - HKLM\Software\..\Telephony: DomainName = OFFHLM2.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{13CC5AFE-D909-489D-A46A-D4A4B6D353FB}: NameServer = 93.188.164.126,93.188.160.206
O17 - HKLM\System\CCS\Services\Tcpip\..\{29D57CE1-E025-45E2-AEC7-BC6B3DCF851A}: NameServer = 93.188.164.126,93.188.160.206
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = OFFHLM2.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 93.188.164.126,93.188.160.206
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.164.126,93.188.160.206
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Application Updater - Spigot, Inc. - C:\Program Files\Application Updater\ApplicationUpdater.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: EMP_NSWLSV - SEIKO EPSON CORPORATION - C:\Program Files\EPSON Projector\EMP NS Connection V2\EMP_NSWLSV.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: McAfee Security Scan Component Host Service (McComponentHostService) - McAfee, Inc. - C:\Program Files\McAfee Security Scan\2.0.181\McCHSvc.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Service SNMP (SNMP) - Unknown owner - C:\WINDOWS\System32\snmp.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Fichiers communs\SureThing Shared\stllssvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
Bonjour,
J'ai quelques trucs byzarroides en ce moment sur mon ordi qui me font penser qu'il serait intéressant de le netoyer un peu.
Exemples:
- message d'erreur au démarrage, fermetures intempestives de WMPRWISE.EXE, generic host process for win32 services et 1 logiciel .pdf,
- Apparence windows XP modifié en windows antérieur, style windows 98 ou 2000,
- message d'orange de non transmission d'un mail concernant une adresse qui m'est inconnue asjajjhahhsda9@yahoo.com à chaque démarrage d'outlook.
- lenteur à certain moment et le soir par rapport au serveur de mon entreprise.
- reroutage des recherches google et ouverture fenêtre Google analitycs.
Je vous post pour l'instant un rapport HiJackThis, pour me dire ce que vous en pensez.
Je vous remercie par avance.
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 14:51:25, on 07/02/2011
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17055)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Application Updater\ApplicationUpdater.exe
C:\Program Files\EPSON Projector\EMP NS Connection V2\EMP_NSWLSV.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe
C:\Program Files\Visagesoft\eXPert PDF\vspdfprsrv.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Fichiers communs\Spigot\Search Settings\SearchSettings.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe
C:\Program Files\McAfee Security Scan\2.0.181\SSScheduler.exe
C:\Program Files\Panasonic\PHOTOfunSTUDIO -viewer-\PhAutoRun.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\Program Files\Rainlendar\Rainlendar.exe
C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\Program Files\Trend Micro\OfficeScan Client\ofcdog.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
C:\Program Files\Tracker Software\PDF Viewer\PDFXCview.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\WINDOWS\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\4.1\pdfforgeToolbarIE.dll
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\Program Files\epmnexsp\mveaoxcg.exe
O1 - Hosts: ::1 localhost
O1 - Hosts: 209.44.111.57 antivguardian.com
O1 - Hosts: 209.44.111.57 www.antivguardian.com
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Documents and Settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\4.1\pdfforgeToolbarIE.dll
O2 - BHO: (no name) - {BBD4551A-9B23-41cd-9BCD-818AA2DA7B63} - (no file)
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\4.1\pdfforgeToolbarIE.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [vspdfprsrv.exe] C:\Program Files\Visagesoft\eXPert PDF\vspdfprsrv.exe --background
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SearchSettings] "C:\Program Files\Fichiers communs\Spigot\Search Settings\SearchSettings.exe"
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ISUSPM] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKCU\..\Run: [Microsoft Firewall 2.9] C:\Documents and Settings\U10\Application Data\WMPRWISE.EXE
O4 - HKCU\..\Run: [mssend] "C:\Documents and Settings\U10\Application Data\xssend2\svcnost.exe"
O4 - HKUS\S-1-5-18\..\Run: [Microsoft Firewall 2.9] C:\WINDOWS\system32\config\systemprofile\Application Data\WMPRWISE.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Msarofuyip] rundll32.exe "C:\WINDOWS\ndmhli20.dll",Startup (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Microsoft Firewall 2.9] C:\WINDOWS\system32\config\systemprofile\Application Data\WMPRWISE.EXE (User 'Default user')
O4 - Startup: Rainlendar.lnk = C:\Program Files\Rainlendar\Rainlendar.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: McAfee Security Scan Plus.lnk = ?
O4 - Global Startup: PHOTOfunSTUDIO -viewer-.lnk = C:\Program Files\Panasonic\PHOTOfunSTUDIO -viewer-\PhAutoRun.exe
O4 - Global Startup: Windows Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://download.microsoft.com/download/C/B/F/CBF23A2C-3E55-4664-BC5C-762780D79BA0/OGAControl.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.sosordi.net/libs/KaspWebscanner/kavwebscan_unicode.cab
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.5.0.cab
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://copainsdavant.linternaute.com/...
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = OFFHLM2.local
O17 - HKLM\Software\..\Telephony: DomainName = OFFHLM2.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{13CC5AFE-D909-489D-A46A-D4A4B6D353FB}: NameServer = 93.188.164.126,93.188.160.206
O17 - HKLM\System\CCS\Services\Tcpip\..\{29D57CE1-E025-45E2-AEC7-BC6B3DCF851A}: NameServer = 93.188.164.126,93.188.160.206
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = OFFHLM2.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 93.188.164.126,93.188.160.206
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.164.126,93.188.160.206
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Application Updater - Spigot, Inc. - C:\Program Files\Application Updater\ApplicationUpdater.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: EMP_NSWLSV - SEIKO EPSON CORPORATION - C:\Program Files\EPSON Projector\EMP NS Connection V2\EMP_NSWLSV.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: McAfee Security Scan Component Host Service (McComponentHostService) - McAfee, Inc. - C:\Program Files\McAfee Security Scan\2.0.181\McCHSvc.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Service SNMP (SNMP) - Unknown owner - C:\WINDOWS\System32\snmp.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Fichiers communs\SureThing Shared\stllssvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
A voir également:
- Analyse de mon PC - Quelques BUGS
- Mon pc est lent - Guide
- Plus de son sur mon pc - Guide
- Reinitialiser pc - Guide
- Analyse composant pc - Guide
- Downloader for pc - Télécharger - Téléchargement & Transfert
36 réponses
Bonjour,
Ton PC est pas mal infecté. Par contre Hijackthis est maintenant obsolète, il ne montre plus les infections récentes. On va donc commencer par supprimer une partie de l'infection :
-+-+-+-+-> AD-Remover <-+-+-+-+-
[x] Télécharge AD-Remover ( de C_XX ).
[x] Lance AD-Remover puis choisis l'option " Nettoyer ".
Note : Utilisateurs de vista/seven -> Clic droit sur "Ad-R.exe" puis " Exécuter en tant qu'administrateur "
[x] Patiente pendant le scan, un rapport s'ouvrira ensuite. Poste son contenu dans ton prochain message
[x] Note : Le rapport se trouve également sous C:\Ad-Report-CLEAN.txt
Puis ceci :
-+-+-+-+-> ZHPDiag <-+-+-+-+-
[x] Nous allons effectuer un diagnostic de ton ordinateur, pour ce faire, télécharge ZHPDiag ( de Nicolas Coolman ).
[x] Exécute l'installateur -> /!\ Coche la case " créer une icône sur le bureau " /!\
[x] Lance le en double cliquant sur l'icône ZHPDiag qui se trouve sur ton bureau ( Sous Vista/Seven : Clic droit sur l'icône -> " Exécuter en tant qu'administrateur " )
[x] Clique sur l'icône en forme de loupe en haut à gauche ( Lancer le diagnostic ).
[x] Une fois l'analyse terminée, clique sur l'icône en forme de disquette bleue puis sauvegarde le fichier sur ton bureau.
[x] Rend toi sur cjoint puis clique sur " Parcourir ".
[x] Sélectionne le fichier ZHPDiag.txt présent sur ton bureau, puis clique sur " Ouvrir ".
[x] Clique ensuite sur " Créer le lien cjoint " puis copie/colle dans ta prochaine réponse le lien créé.
Ton PC est pas mal infecté. Par contre Hijackthis est maintenant obsolète, il ne montre plus les infections récentes. On va donc commencer par supprimer une partie de l'infection :
-+-+-+-+-> AD-Remover <-+-+-+-+-
[x] Télécharge AD-Remover ( de C_XX ).
[x] Lance AD-Remover puis choisis l'option " Nettoyer ".
Note : Utilisateurs de vista/seven -> Clic droit sur "Ad-R.exe" puis " Exécuter en tant qu'administrateur "
[x] Patiente pendant le scan, un rapport s'ouvrira ensuite. Poste son contenu dans ton prochain message
[x] Note : Le rapport se trouve également sous C:\Ad-Report-CLEAN.txt
Puis ceci :
-+-+-+-+-> ZHPDiag <-+-+-+-+-
[x] Nous allons effectuer un diagnostic de ton ordinateur, pour ce faire, télécharge ZHPDiag ( de Nicolas Coolman ).
[x] Exécute l'installateur -> /!\ Coche la case " créer une icône sur le bureau " /!\
[x] Lance le en double cliquant sur l'icône ZHPDiag qui se trouve sur ton bureau ( Sous Vista/Seven : Clic droit sur l'icône -> " Exécuter en tant qu'administrateur " )
[x] Clique sur l'icône en forme de loupe en haut à gauche ( Lancer le diagnostic ).
[x] Une fois l'analyse terminée, clique sur l'icône en forme de disquette bleue puis sauvegarde le fichier sur ton bureau.
[x] Rend toi sur cjoint puis clique sur " Parcourir ".
[x] Sélectionne le fichier ZHPDiag.txt présent sur ton bureau, puis clique sur " Ouvrir ".
[x] Clique ensuite sur " Créer le lien cjoint " puis copie/colle dans ta prochaine réponse le lien créé.
Bonjour,
Tout d'abord merci de prendre le temps de t'occuper de moi car cela devient de plus en plus genant.
Voici le rapprot AD-R:
======= RAPPORT D'AD-REMOVER 2.0.0.2,E | UNIQUEMENT XP/VISTA/7 =======
Mis à jour par TeamXscript le 06/02/11 à 20:40
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org
C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 08:52:50 le 08/02/2011, Mode normal
Microsoft Windows XP Professionnel Service Pack 2 (X86)
U10@POSTE10 ( )
============== ACTION(S) ==============
Service: "Application Updater" Stoppé et supprimé
Dossier supprimé: C:\Program Files\Application Updater
Dossier supprimé: C:\Documents and Settings\U10\Application Data\pdfforge
Dossier supprimé: C:\Program Files\pdfforge Toolbar
Dossier supprimé: C:\Documents and Settings\U10\Application Data\Search Settings
Dossier supprimé: C:\Program Files\Fichiers communs\Spigot
(!) -- Fichiers temporaires supprimés.
Clé supprimée: HKLM\Software\Classes\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé supprimée: HKLM\Software\Application Updater
Clé supprimée: HKLM\Software\pdfforge
Clé supprimée: HKLM\Software\Search Settings
Clé supprimée: HKCU\Software\AppDataLow\Software\pdfforge
Clé supprimée: HKCU\Software\AppDataLow\Software\Search Settings
Clé supprimée: HKLM\Software\Classes\Installer\Products\B6FDFB1B30C3ef645B7DABBB00368D0E
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\B6FDFB1B30C3ef645B7DABBB00368D0E
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{B1BFDF6B-3C03-46fe-B5D7-BABB0063D8E0}
Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|SearchSettings
Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{B922D405-6D13-4A2B-AE89-08A030DA4402}
============== SCAN ADDITIONNEL ==============
-- C:\Documents and Settings\U10\Application Data\Mozilla\FireFox\Profiles\b74rr3w9.default --
Prefs.js - browser.startup.homepage, hxxp://www.orange.fr/
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.10
Prefs.js - keyword.URL, hxxp://search.yahoo.com/search?ei=utf-8&fr=greentree_ff1&type=302398&p=
========================================
**** Internet Explorer Version [7.0.5730.13] ****
HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_URLSearchHooks|{B922D405-6D13-4A2B-AE89-08A030DA4402} (x)
HKCU_URLSearchHooks|{EF99BD32-C1FB-11D2-892F-0090271D4F88} - "Yahoo! Toolbar avec bloqueur de fenêtres pop-up" (x)
HKCU_Toolbar\ShellBrowser|{01E04581-4EEE-11D0-BFE9-00AA005B4383} (%SystemRoot%\system32\browseui.dll)
HKCU_Toolbar\ShellBrowser|{2318C2B1-4965-11D4-9B18-009027A5CD4F} (x)
HKCU_Toolbar\WebBrowser|{01E04581-4EEE-11D0-BFE9-00AA005B4383} (%SystemRoot%\system32\browseui.dll)
HKCU_Toolbar\WebBrowser|{EF99BD32-C1FB-11D2-892F-0090271D4F88} (x)
HKLM_ElevationPolicy\{58F04068-17A5-41a3-B5B7-111004DDF5DC} - c:\program files\real\realplayer\realplay.exe (RealNetworks, Inc.)
HKLM_ElevationPolicy\{5A2777DF-310A-49ca-A9E8-6C9D608D257E} - C:\Program Files\Real\RealUpgrade\realupgrade.exe (RealNetworks, Inc.)
HKLM_ElevationPolicy\{E56200D6-445E-45ce-89D8-E0EF39ECF849} - c:\program files\real\realplayer\RecordingManager.exe (RealNetworks, Inc.)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{3049C3E9-B461-4BC5-8870-4C09146192CA} - "RealPlayer Download and Record Plugin for Internet Explorer" (C:\Documents and Settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll)
BHO\{BBD4551A-9B23-41cd-9BCD-818AA2DA7B63} (?)
========================================
C:\Program Files\Ad-Remover\Quarantine: 25 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 13 Fichier(s)
C:\Ad-Report-CLEAN[1].txt - 08/02/2011 (2449 Octet(s))
Fin à: 08:54:18, 08/02/2011
============== E.O.F ==============
Et le fichier ZHPDiag:
https://www.cjoint.com/?0cikgFHcnNu
Tout d'abord merci de prendre le temps de t'occuper de moi car cela devient de plus en plus genant.
Voici le rapprot AD-R:
======= RAPPORT D'AD-REMOVER 2.0.0.2,E | UNIQUEMENT XP/VISTA/7 =======
Mis à jour par TeamXscript le 06/02/11 à 20:40
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org
C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 08:52:50 le 08/02/2011, Mode normal
Microsoft Windows XP Professionnel Service Pack 2 (X86)
U10@POSTE10 ( )
============== ACTION(S) ==============
Service: "Application Updater" Stoppé et supprimé
Dossier supprimé: C:\Program Files\Application Updater
Dossier supprimé: C:\Documents and Settings\U10\Application Data\pdfforge
Dossier supprimé: C:\Program Files\pdfforge Toolbar
Dossier supprimé: C:\Documents and Settings\U10\Application Data\Search Settings
Dossier supprimé: C:\Program Files\Fichiers communs\Spigot
(!) -- Fichiers temporaires supprimés.
Clé supprimée: HKLM\Software\Classes\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé supprimée: HKLM\Software\Application Updater
Clé supprimée: HKLM\Software\pdfforge
Clé supprimée: HKLM\Software\Search Settings
Clé supprimée: HKCU\Software\AppDataLow\Software\pdfforge
Clé supprimée: HKCU\Software\AppDataLow\Software\Search Settings
Clé supprimée: HKLM\Software\Classes\Installer\Products\B6FDFB1B30C3ef645B7DABBB00368D0E
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\B6FDFB1B30C3ef645B7DABBB00368D0E
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{B1BFDF6B-3C03-46fe-B5D7-BABB0063D8E0}
Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|SearchSettings
Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{B922D405-6D13-4A2B-AE89-08A030DA4402}
============== SCAN ADDITIONNEL ==============
-- C:\Documents and Settings\U10\Application Data\Mozilla\FireFox\Profiles\b74rr3w9.default --
Prefs.js - browser.startup.homepage, hxxp://www.orange.fr/
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.10
Prefs.js - keyword.URL, hxxp://search.yahoo.com/search?ei=utf-8&fr=greentree_ff1&type=302398&p=
========================================
**** Internet Explorer Version [7.0.5730.13] ****
HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_URLSearchHooks|{B922D405-6D13-4A2B-AE89-08A030DA4402} (x)
HKCU_URLSearchHooks|{EF99BD32-C1FB-11D2-892F-0090271D4F88} - "Yahoo! Toolbar avec bloqueur de fenêtres pop-up" (x)
HKCU_Toolbar\ShellBrowser|{01E04581-4EEE-11D0-BFE9-00AA005B4383} (%SystemRoot%\system32\browseui.dll)
HKCU_Toolbar\ShellBrowser|{2318C2B1-4965-11D4-9B18-009027A5CD4F} (x)
HKCU_Toolbar\WebBrowser|{01E04581-4EEE-11D0-BFE9-00AA005B4383} (%SystemRoot%\system32\browseui.dll)
HKCU_Toolbar\WebBrowser|{EF99BD32-C1FB-11D2-892F-0090271D4F88} (x)
HKLM_ElevationPolicy\{58F04068-17A5-41a3-B5B7-111004DDF5DC} - c:\program files\real\realplayer\realplay.exe (RealNetworks, Inc.)
HKLM_ElevationPolicy\{5A2777DF-310A-49ca-A9E8-6C9D608D257E} - C:\Program Files\Real\RealUpgrade\realupgrade.exe (RealNetworks, Inc.)
HKLM_ElevationPolicy\{E56200D6-445E-45ce-89D8-E0EF39ECF849} - c:\program files\real\realplayer\RecordingManager.exe (RealNetworks, Inc.)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{3049C3E9-B461-4BC5-8870-4C09146192CA} - "RealPlayer Download and Record Plugin for Internet Explorer" (C:\Documents and Settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll)
BHO\{BBD4551A-9B23-41cd-9BCD-818AA2DA7B63} (?)
========================================
C:\Program Files\Ad-Remover\Quarantine: 25 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 13 Fichier(s)
C:\Ad-Report-CLEAN[1].txt - 08/02/2011 (2449 Octet(s))
Fin à: 08:54:18, 08/02/2011
============== E.O.F ==============
Et le fichier ZHPDiag:
https://www.cjoint.com/?0cikgFHcnNu
Ok y'a du boulot..
-+-+-+-+-> RstHosts <-+-+-+-+-
[x] Télécharge RstHosts sur ton bureau.
[x] Lance le et clique sur [Restaurer]
[x] Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.
Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\RstHosts.txt )
-+-+-+-+-> TDSSKiller <-+-+-+-+-
[x] Télécharge TDSSKiller ( de Kaspersky Labs ) sur ton bureau.
[x] Lance le ( Utilisateurs de vista/Seven -> Clic droit puis " Exécuter en tant qu'administrateur " )
[x] Clique sur [Start Scan] pour démarrer l'analyse.
[x] Si des élements sont trouvés, cliques sur [Continue] puis sur [Reboot Now]
[x] Un rapport s'ouvrira au redémarrage du PC.
[x] Copie/Colle son contenu dans ta prochaine réponse.
[x] Note : Le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt.
-+-+-+-+-> RstHosts <-+-+-+-+-
[x] Télécharge RstHosts sur ton bureau.
[x] Lance le et clique sur [Restaurer]
[x] Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.
Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\RstHosts.txt )
-+-+-+-+-> TDSSKiller <-+-+-+-+-
[x] Télécharge TDSSKiller ( de Kaspersky Labs ) sur ton bureau.
[x] Lance le ( Utilisateurs de vista/Seven -> Clic droit puis " Exécuter en tant qu'administrateur " )
[x] Clique sur [Start Scan] pour démarrer l'analyse.
[x] Si des élements sont trouvés, cliques sur [Continue] puis sur [Reboot Now]
[x] Un rapport s'ouvrira au redémarrage du PC.
[x] Copie/Colle son contenu dans ta prochaine réponse.
[x] Note : Le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Le fichier Host
https://www.cjoint.com/?0cinbvgSzXL
Je m'attelle au prochain.
J'ai réussi à télécharger les logiciels sur un autre ordi.
https://www.cjoint.com/?0cinbvgSzXL
Je m'attelle au prochain.
J'ai réussi à télécharger les logiciels sur un autre ordi.
Voici le second TDSSKiller : https://www.cjoint.com/?0cinlyGVzn6
J'ai un message à chaque ouverture de windows qui me dit que pour protéger mon ordinateur, windows a fermé explorateur windows. Je ne clique pas sur fermer le message car il m'a déjà mis en carraf et je ne peu plus rien faire à part redémarrer donc je garde le message ouvert.
J'ai un message à chaque ouverture de windows qui me dit que pour protéger mon ordinateur, windows a fermé explorateur windows. Je ne clique pas sur fermer le message car il m'a déjà mis en carraf et je ne peu plus rien faire à part redémarrer donc je garde le message ouvert.
Oups en effet désolé pour RstHosts le lien a changé depuis peu et j'ai oublié de mettre à jour mes canned speech.. enfin apparemment tu as quand même réussi à le trouver !
Donc ok pour les deux rapports. le message d'erreur que tu as est sûrement dû aux infections présentes sur le PC.. Fais maintenant ceci :
-+-+-+-+-> Malwarebytes' Anti-Malware <-+-+-+-+-
[x] Télécharge Malwarebytes' Anti-malware sur ton bureau.
[x] Installe le en laissant les options par défaut ( Cocher seulement " Créer une icône sur le bureau " )
[x] A la fin de l'installation, MBAM se mettra à jour automatiquement puis s'exécutera.
[x] Une fois lancé, clique sur " Exécuter un examen complet " puis sur " Rechercher "
[x] Sélectionne tout tes disques locaux et amovibles.
[x] Patiente pendant toute la durée du scan, puis clique sur " Ok " une fois l'analyse effectuée.
[x] Clique ensuite sur " Afficher les résultats " puis sur " Supprimer la sélection ". Valide ensuite par " Ok ".
[x] MBAM ouvrira un rapport, copie/colle son contenu dans ta prochaine réponse.
[x] Tu peux ensuite vider la quarantaine de MBAM.
[x] Note : MBAM t'invitera peut être à redémarrer ton PC, fais le. Le rapport se trouve dans la partie " Rapports/Logs " de MBAM.
[x] Si tu as des soucis, un tutoriel est disponible à cette adresse.
Donc ok pour les deux rapports. le message d'erreur que tu as est sûrement dû aux infections présentes sur le PC.. Fais maintenant ceci :
-+-+-+-+-> Malwarebytes' Anti-Malware <-+-+-+-+-
[x] Télécharge Malwarebytes' Anti-malware sur ton bureau.
[x] Installe le en laissant les options par défaut ( Cocher seulement " Créer une icône sur le bureau " )
[x] A la fin de l'installation, MBAM se mettra à jour automatiquement puis s'exécutera.
[x] Une fois lancé, clique sur " Exécuter un examen complet " puis sur " Rechercher "
[x] Sélectionne tout tes disques locaux et amovibles.
[x] Patiente pendant toute la durée du scan, puis clique sur " Ok " une fois l'analyse effectuée.
[x] Clique ensuite sur " Afficher les résultats " puis sur " Supprimer la sélection ". Valide ensuite par " Ok ".
[x] MBAM ouvrira un rapport, copie/colle son contenu dans ta prochaine réponse.
[x] Tu peux ensuite vider la quarantaine de MBAM.
[x] Note : MBAM t'invitera peut être à redémarrer ton PC, fais le. Le rapport se trouve dans la partie " Rapports/Logs " de MBAM.
[x] Si tu as des soucis, un tutoriel est disponible à cette adresse.
MBAM n'arrive pas à mettre à jour sa base de donnée.
Message d'erreur Program-Error-Updating (120070,0,WinHttpSendRequest).
Ensuite, il me dit que la base de donnée est périmée depuis 71 jours. Dois-je quand même faire l'analyse?
Message d'erreur Program-Error-Updating (120070,0,WinHttpSendRequest).
Ensuite, il me dit que la base de donnée est périmée depuis 71 jours. Dois-je quand même faire l'analyse?
Pas étonnant vu la redirection des DNS que t'as choppé. On va déblayer le chemin déjà :
-+-+-+-+-> ComboFix <-+-+-+-
[x] Télécharge ComboFix ( de sUBs ) à cette adresse.
/!\ Ferme toutes les fenêtres de programme ouvertes /!\
/!\ Désactive temporairement toutes les protections résidentes ( Antivirus, Pare-Feu, AntiSpyware ) /!\
[x] Double clique sur " Combofix.exe "
[x] Suis les indications qui sont données à l'écran, à un moment tu auras un message te demandant d'installer la console de récupération, fais le.
[x] Pendant le scan, ne touche à rien ( souris, clavier )
[x] Tu seras peut être invité à redémarrer ton PC. A la fin du scan, combofix ouvrira un rapport, copie/colle le dans ta prochaine réponse.
Note : Si jamais il ne s'ouvrait pas, il se trouve sous C:\Combofix.txt
-+-+-+-+-> ComboFix <-+-+-+-
[x] Télécharge ComboFix ( de sUBs ) à cette adresse.
/!\ Ferme toutes les fenêtres de programme ouvertes /!\
/!\ Désactive temporairement toutes les protections résidentes ( Antivirus, Pare-Feu, AntiSpyware ) /!\
[x] Double clique sur " Combofix.exe "
[x] Suis les indications qui sont données à l'écran, à un moment tu auras un message te demandant d'installer la console de récupération, fais le.
[x] Pendant le scan, ne touche à rien ( souris, clavier )
[x] Tu seras peut être invité à redémarrer ton PC. A la fin du scan, combofix ouvrira un rapport, copie/colle le dans ta prochaine réponse.
Note : Si jamais il ne s'ouvrait pas, il se trouve sous C:\Combofix.txt
Et voilà le rapport ComboFix. Dois-je lancer maintenant MBAM ?
ComboFix 11-02-08.01 - U10 08/02/2011 18:36:37.1.4 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.3071.2435 [GMT 1:00]
Lancé depuis: c:\documents and settings\U10\Bureau\ComboFix.exe
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\U10\Application Data\desktop.ini
c:\documents and settings\U10\Application Data\WMPRWISE.EXE
c:\documents and settings\U10\Application Data\xssend2\svcnost.exe
c:\program files\Internet Explorer\complete.dat
c:\program files\Internet Explorer\dmlconf.dat
c:\program files\temp0\1setup.exe
c:\windows\ndmhli20.dll
c:\windows\system32\404Fix.exe
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\config\systemprofile\Application Data\desktop.ini
c:\windows\system32\config\systemprofile\Application Data\WMPRWISE.EXE
c:\windows\system32\dumphive.exe
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\Ijl11.dll
c:\windows\system32\o4Patch.exe
c:\windows\system32\Process.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\tmp.reg
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-01-09 au 2011-02-09 ))))))))))))))))))))))))))))))))))))
.
2011-02-08 16:24 . 2011-02-08 16:24 -------- d-----w- c:\documents and settings\U10\Application Data\Malwarebytes
2011-02-08 16:24 . 2011-02-08 16:24 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2011-02-08 16:24 . 2010-11-29 16:42 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-02-08 16:24 . 2011-02-08 16:24 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-02-08 16:24 . 2010-11-29 16:42 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-02-08 09:03 . 2011-02-08 09:07 -------- d-----w- c:\program files\ZHPDiag
2011-02-08 07:52 . 2011-02-08 07:52 -------- d-----w- c:\program files\Ad-Remover
2011-02-07 14:50 . 2011-02-07 15:07 -------- d-----w- C:\rsit
2011-02-04 11:24 . 2011-02-04 11:24 -------- d-----w- c:\windows\system32\Kaspersky Lab
2011-02-03 13:53 . 2011-02-03 13:53 1409 ----a-w- c:\windows\QTFont.for
2011-02-03 10:44 . 2011-02-03 10:44 29996 ---h--w- c:\windows\system32\config\systemprofile\Application Data\ntuser.dat
2011-02-03 10:18 . 2011-02-03 10:18 -------- d-----w- c:\program files\Tracker Software
2011-02-03 09:17 . 2011-02-03 09:17 148476 ----a-w- c:\windows\Explorermgr.exe
2011-02-02 10:09 . 2011-02-09 07:17 -------- d-----w- c:\documents and settings\U10\Application Data\xssend2
2011-02-02 10:09 . 2011-02-08 17:16 29996 ---h--w- c:\documents and settings\U10\Application Data\ntuser.dat
2011-02-02 10:09 . 2011-02-04 17:00 -------- d-----w- c:\program files\temp
2011-02-02 10:09 . 2011-02-09 07:17 -------- d-----w- c:\program files\epmnexsp
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2006-07-07 1052672]
"ISUSPM"="c:\program files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe" [2007-08-30 205480]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-11-30 8523776]
"nwiz"="nwiz.exe" [2007-11-30 1626112]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-11-30 81920]
"RTHDCPL"="RTHDCPL.EXE" [2007-04-12 16132608]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-10-03 178712]
"OfficeScanNT Monitor"="c:\program files\Trend Micro\OfficeScan Client\pccntmon.exe" [2003-11-06 303104]
"RoxWatchTray"="c:\program files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" [2007-01-16 377316]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"vspdfprsrv.exe"="c:\program files\Visagesoft\eXPert PDF\vspdfprsrv.exe" [2006-05-04 998912]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-06-29 438678]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2010-10-18 202256]
c:\documents and settings\U10\Menu D'marrer\Programmes\D'marrage\
igfxtray.exe [2004-8-5 241544]
Rainlendar.lnk - c:\program files\Rainlendar\Rainlendar.exe [2005-3-1 118784]
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2008-6-17 262646]
EPSON Status Monitor 3 Environment Check 2.lnk - c:\windows\system32\spool\drivers\w32x86\3\E_SRCV02.EXE [2008-6-10 135680]
McAfee Security Scan Plus.lnk - c:\program files\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536]
PHOTOfunSTUDIO -viewer-.lnk - c:\program files\Panasonic\PHOTOfunSTUDIO -viewer-\PhAutoRun.exe [2008-6-30 192858]
Windows Search.lnk - c:\program files\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 455564]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,,c:\program files\epmnexsp\mveaoxcg.exe"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2009-09-17 133104]
R3 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files\McAfee Security Scan\2.0.181\McCHSvc.exe [2010-01-15 227232]
R3 Ndisprot;EP_NSWD NDIS Protocol Driver;c:\windows\system32\DRIVERS\EP_NSWD.sys [2007-08-13 19584]
R4 megasas;megasas;c:\windows\system32\drivers\megasas.sys [2007-08-14 19840]
S0 mv61xx;mv61xx;c:\windows\system32\DRIVERS\mv61xx.sys [2007-06-15 143256]
S1 EMP_MAP;EPSON Network Presentation Driver Service;c:\windows\system32\DRIVERS\EMP_Map.sys [2007-08-13 6400]
S2 EMP_NSWLSV;EMP_NSWLSV;c:\program files\EPSON Projector\EMP NS Connection V2\EMP_NSWLSV.exe [2008-02-15 98304]
S2 TmFilter;Trend Micro Filter;c:\program files\Trend Micro\OfficeScan Client\TmXPFlt.sys [2005-12-05 190480]
S2 TmPreFilter;Trend Micro PreFilter;c:\program files\Trend Micro\OfficeScan Client\TmPreFlt.sys [2005-12-05 31248]
S3 vdisp;vdisp;c:\windows\system32\DRIVERS\EMP_Vd1.sys [2005-04-03 6656]
.
Contenu du dossier 'Tâches planifiées'
2011-02-08 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-09-17 14:13]
2011-02-08 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-09-17 14:13]
2011-02-08 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-3773743367-518495109-4260094832-1141.job
- c:\program files\Real\RealUpgrade\realupgrade.exe [2010-06-03 01:02]
2011-02-08 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-3773743367-518495109-4260094832-1141.job
- c:\program files\Real\RealUpgrade\realupgrade.exe [2010-06-03 01:02]
.
.
------- Examen supplémentaire -------
.
uInternet Connection Wizard,ShellNext = "c:\program files\Outlook Express\msimn.exe"
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
.
.
------- Associations de fichier -------
.
.scr=AutoCADLTScriptFile
.
- - - - ORPHELINS SUPPRIMES - - - -
HKCU-Run-Microsoft Firewall 2.9 - c:\documents and settings\U10\Application Data\WMPRWISE.EXE
HKCU-Run-mssend - c:\documents and settings\U10\Application Data\xssend2\svcnost.exe
HKCU-Run-Msarofuyip - c:\windows\ndmhli20.dll
HKU-Default-Run-Msarofuyip - c:\windows\ndmhli20.dll
SafeBoot-klmdb.sys
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-02-09 08:17
Windows 5.1.2600 Service Pack 2 NTFS
detected NTDLL code modification:
ZwQueryDirectoryFile
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
c:\documents and settings\U10\Menu Démarrer\Programmes\Démarrage\mveaoxcg.exe 148476 bytes executable
C:\mveaoxcg.exe 148476 bytes executable
Scan terminé avec succès
Fichiers cachés: 2
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\c:\docume~1\U10\LOCALS~1\Temp\mc226.tmp"
.
Heure de fin: 2011-02-09 08:19:48
ComboFix-quarantined-files.txt 2011-02-09 07:19
Avant-CF: 4 765 093 888 octets libres
Après-CF: 7 049 297 920 octets libres
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
- - End Of File - - 95021CFF83C1BD11C9E9C5B51E303BB2
ComboFix 11-02-08.01 - U10 08/02/2011 18:36:37.1.4 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.3071.2435 [GMT 1:00]
Lancé depuis: c:\documents and settings\U10\Bureau\ComboFix.exe
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\U10\Application Data\desktop.ini
c:\documents and settings\U10\Application Data\WMPRWISE.EXE
c:\documents and settings\U10\Application Data\xssend2\svcnost.exe
c:\program files\Internet Explorer\complete.dat
c:\program files\Internet Explorer\dmlconf.dat
c:\program files\temp0\1setup.exe
c:\windows\ndmhli20.dll
c:\windows\system32\404Fix.exe
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\config\systemprofile\Application Data\desktop.ini
c:\windows\system32\config\systemprofile\Application Data\WMPRWISE.EXE
c:\windows\system32\dumphive.exe
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\Ijl11.dll
c:\windows\system32\o4Patch.exe
c:\windows\system32\Process.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\tmp.reg
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-01-09 au 2011-02-09 ))))))))))))))))))))))))))))))))))))
.
2011-02-08 16:24 . 2011-02-08 16:24 -------- d-----w- c:\documents and settings\U10\Application Data\Malwarebytes
2011-02-08 16:24 . 2011-02-08 16:24 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2011-02-08 16:24 . 2010-11-29 16:42 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-02-08 16:24 . 2011-02-08 16:24 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-02-08 16:24 . 2010-11-29 16:42 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-02-08 09:03 . 2011-02-08 09:07 -------- d-----w- c:\program files\ZHPDiag
2011-02-08 07:52 . 2011-02-08 07:52 -------- d-----w- c:\program files\Ad-Remover
2011-02-07 14:50 . 2011-02-07 15:07 -------- d-----w- C:\rsit
2011-02-04 11:24 . 2011-02-04 11:24 -------- d-----w- c:\windows\system32\Kaspersky Lab
2011-02-03 13:53 . 2011-02-03 13:53 1409 ----a-w- c:\windows\QTFont.for
2011-02-03 10:44 . 2011-02-03 10:44 29996 ---h--w- c:\windows\system32\config\systemprofile\Application Data\ntuser.dat
2011-02-03 10:18 . 2011-02-03 10:18 -------- d-----w- c:\program files\Tracker Software
2011-02-03 09:17 . 2011-02-03 09:17 148476 ----a-w- c:\windows\Explorermgr.exe
2011-02-02 10:09 . 2011-02-09 07:17 -------- d-----w- c:\documents and settings\U10\Application Data\xssend2
2011-02-02 10:09 . 2011-02-08 17:16 29996 ---h--w- c:\documents and settings\U10\Application Data\ntuser.dat
2011-02-02 10:09 . 2011-02-04 17:00 -------- d-----w- c:\program files\temp
2011-02-02 10:09 . 2011-02-09 07:17 -------- d-----w- c:\program files\epmnexsp
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2006-07-07 1052672]
"ISUSPM"="c:\program files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe" [2007-08-30 205480]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-11-30 8523776]
"nwiz"="nwiz.exe" [2007-11-30 1626112]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-11-30 81920]
"RTHDCPL"="RTHDCPL.EXE" [2007-04-12 16132608]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-10-03 178712]
"OfficeScanNT Monitor"="c:\program files\Trend Micro\OfficeScan Client\pccntmon.exe" [2003-11-06 303104]
"RoxWatchTray"="c:\program files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" [2007-01-16 377316]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"vspdfprsrv.exe"="c:\program files\Visagesoft\eXPert PDF\vspdfprsrv.exe" [2006-05-04 998912]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-06-29 438678]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2010-10-18 202256]
c:\documents and settings\U10\Menu D'marrer\Programmes\D'marrage\
igfxtray.exe [2004-8-5 241544]
Rainlendar.lnk - c:\program files\Rainlendar\Rainlendar.exe [2005-3-1 118784]
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2008-6-17 262646]
EPSON Status Monitor 3 Environment Check 2.lnk - c:\windows\system32\spool\drivers\w32x86\3\E_SRCV02.EXE [2008-6-10 135680]
McAfee Security Scan Plus.lnk - c:\program files\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536]
PHOTOfunSTUDIO -viewer-.lnk - c:\program files\Panasonic\PHOTOfunSTUDIO -viewer-\PhAutoRun.exe [2008-6-30 192858]
Windows Search.lnk - c:\program files\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 455564]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,,c:\program files\epmnexsp\mveaoxcg.exe"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2009-09-17 133104]
R3 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files\McAfee Security Scan\2.0.181\McCHSvc.exe [2010-01-15 227232]
R3 Ndisprot;EP_NSWD NDIS Protocol Driver;c:\windows\system32\DRIVERS\EP_NSWD.sys [2007-08-13 19584]
R4 megasas;megasas;c:\windows\system32\drivers\megasas.sys [2007-08-14 19840]
S0 mv61xx;mv61xx;c:\windows\system32\DRIVERS\mv61xx.sys [2007-06-15 143256]
S1 EMP_MAP;EPSON Network Presentation Driver Service;c:\windows\system32\DRIVERS\EMP_Map.sys [2007-08-13 6400]
S2 EMP_NSWLSV;EMP_NSWLSV;c:\program files\EPSON Projector\EMP NS Connection V2\EMP_NSWLSV.exe [2008-02-15 98304]
S2 TmFilter;Trend Micro Filter;c:\program files\Trend Micro\OfficeScan Client\TmXPFlt.sys [2005-12-05 190480]
S2 TmPreFilter;Trend Micro PreFilter;c:\program files\Trend Micro\OfficeScan Client\TmPreFlt.sys [2005-12-05 31248]
S3 vdisp;vdisp;c:\windows\system32\DRIVERS\EMP_Vd1.sys [2005-04-03 6656]
.
Contenu du dossier 'Tâches planifiées'
2011-02-08 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-09-17 14:13]
2011-02-08 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-09-17 14:13]
2011-02-08 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-3773743367-518495109-4260094832-1141.job
- c:\program files\Real\RealUpgrade\realupgrade.exe [2010-06-03 01:02]
2011-02-08 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-3773743367-518495109-4260094832-1141.job
- c:\program files\Real\RealUpgrade\realupgrade.exe [2010-06-03 01:02]
.
.
------- Examen supplémentaire -------
.
uInternet Connection Wizard,ShellNext = "c:\program files\Outlook Express\msimn.exe"
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
.
.
------- Associations de fichier -------
.
.scr=AutoCADLTScriptFile
.
- - - - ORPHELINS SUPPRIMES - - - -
HKCU-Run-Microsoft Firewall 2.9 - c:\documents and settings\U10\Application Data\WMPRWISE.EXE
HKCU-Run-mssend - c:\documents and settings\U10\Application Data\xssend2\svcnost.exe
HKCU-Run-Msarofuyip - c:\windows\ndmhli20.dll
HKU-Default-Run-Msarofuyip - c:\windows\ndmhli20.dll
SafeBoot-klmdb.sys
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-02-09 08:17
Windows 5.1.2600 Service Pack 2 NTFS
detected NTDLL code modification:
ZwQueryDirectoryFile
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
c:\documents and settings\U10\Menu Démarrer\Programmes\Démarrage\mveaoxcg.exe 148476 bytes executable
C:\mveaoxcg.exe 148476 bytes executable
Scan terminé avec succès
Fichiers cachés: 2
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\c:\docume~1\U10\LOCALS~1\Temp\mc226.tmp"
.
Heure de fin: 2011-02-09 08:19:48
ComboFix-quarantined-files.txt 2011-02-09 07:19
Avant-CF: 4 765 093 888 octets libres
Après-CF: 7 049 297 920 octets libres
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
- - End Of File - - 95021CFF83C1BD11C9E9C5B51E303BB2
Hello,
Il reste encore pas mal d'éléments infectieux..
-+-+-+-+-> CFScript <-+-+-+-+-
/!\ Attention : Cette procédure n'est valable que pour DeJaneiro /!\
[x] Copie le texte en gras ci dessous :
KillAll::
Driver::
mchInjDrv
File::
c:\windows\Explorermgr.exe
c:\documents and settings\U10\Menu Démarrer\Programmes\Démarrage\mveaoxcg.exe
Folder::
c:\documents and settings\U10\Application Data\xssend2
c:\program files\epmnexsp
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,,"
[x] Ouvre le bloc-note puis colle le texte ci dessus dedans.
[x] Enregistre ce fichier sur ton bureau ( appelle le CFScript.txt ).
[x] Fais un glisser/déposer de ce fichier sur combofix.exe comme expliqué ici.
[x] Combofix va se lancer, patiente le temps du scan.
/!\ Ne fais rien pendant le scan ( clavier/souris ) /!\
[x] Poste le contenu du rapport qui s'ouvrira dans ta prochaine réponse.
Il reste encore pas mal d'éléments infectieux..
-+-+-+-+-> CFScript <-+-+-+-+-
/!\ Attention : Cette procédure n'est valable que pour DeJaneiro /!\
[x] Copie le texte en gras ci dessous :
KillAll::
Driver::
mchInjDrv
File::
c:\windows\Explorermgr.exe
c:\documents and settings\U10\Menu Démarrer\Programmes\Démarrage\mveaoxcg.exe
Folder::
c:\documents and settings\U10\Application Data\xssend2
c:\program files\epmnexsp
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,,"
[x] Ouvre le bloc-note puis colle le texte ci dessus dedans.
[x] Enregistre ce fichier sur ton bureau ( appelle le CFScript.txt ).
[x] Fais un glisser/déposer de ce fichier sur combofix.exe comme expliqué ici.
[x] Combofix va se lancer, patiente le temps du scan.
/!\ Ne fais rien pendant le scan ( clavier/souris ) /!\
[x] Poste le contenu du rapport qui s'ouvrira dans ta prochaine réponse.
Voilà le rapport:
https://www.cjoint.com/?0cjok6vMXOG
A noter qu'en cours de marche, ComboFix m'a indiqué sur deux lignes "Accès refusé", sur une autre "Mémoire principale insuffisante pour achever le tri" et un programme PEV.cfxxe doit fermé. Je clique sur Ok et ComboFix continue.
https://www.cjoint.com/?0cjok6vMXOG
A noter qu'en cours de marche, ComboFix m'a indiqué sur deux lignes "Accès refusé", sur une autre "Mémoire principale insuffisante pour achever le tri" et un programme PEV.cfxxe doit fermé. Je clique sur Ok et ComboFix continue.
Ok fais ceci :
-+-+-+-+-> OtMoveIt <-+-+-+-+-
[x] Télécharge OtMoveIt sur ton bureau.
[x] Lance le , puis copie/colle le texte ci dessous dans l'encadré " Paste instructions for items to be moved ".
[x] Clique maintenant sur " MoveIt! "
[x] Copie/Colle le contenu du rapport qui s'ouvrira dans ton prochain message.
Note : Le rapport est également sauvegardé sous C:\_OTM\MovedFiles
-+-+-+-+-> OtMoveIt <-+-+-+-+-
[x] Télécharge OtMoveIt sur ton bureau.
[x] Lance le , puis copie/colle le texte ci dessous dans l'encadré " Paste instructions for items to be moved ".
:reg [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "Userinit"="c:\windows\system32\userinit.exe" :files c:\windows\Explorermgr.exe c:\documents and settings\U10\Application Data\xssend2 c:\program files\epmnexsp :commands [emptytemp] [emptyflash]
[x] Clique maintenant sur " MoveIt! "
[x] Copie/Colle le contenu du rapport qui s'ouvrira dans ton prochain message.
Note : Le rapport est également sauvegardé sous C:\_OTM\MovedFiles
Le voilà:
https://www.cjoint.com/?0cjshQIEnMj
La situation s'est nettement améliorée.
Par contre, la fenêtre de prévention qui veut fermer explorateur windows esr réapparue alors que cela ne me le faisait plus et que je commencais à être tranquille.
https://www.cjoint.com/?0cjshQIEnMj
La situation s'est nettement améliorée.
Par contre, la fenêtre de prévention qui veut fermer explorateur windows esr réapparue alors que cela ne me le faisait plus et que je commencais à être tranquille.
Bon, je suis obligé de te laisser. Et oui, je suis déjà en week-end!
Je te remercie déjà pour tout et te dit à lundi.
Bonne fin de semaine à toi et bon week-end en avance!
Bie!
Je te remercie déjà pour tout et te dit à lundi.
Bonne fin de semaine à toi et bon week-end en avance!
Bie!
Bonjour,
Télécharge ce fichier : http://sd-1.archive-host.com/membres/up/17959594961240255/Userinit.reg
Exécute le et accepte la fusion au registre.
Ensuite fais ceci :
▶▷▶▷▶▷▶▷▶▷ ZHPFix ◁◀◁◀◁◀◁◀◁◀
/!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\
◈ Copie le texte en gras ci-dessous ( CTRL + C pour copier )
O4 - HKCU\..\Run: [Microsoft Firewall 2.9] . (.Pas de propriétaire - Uninstaller.) -- C:\Documents and Settings\U10\Application Data\WMPRWISE.exe
O4 - HKUS\S-1-5-21-3773743367-518495109-4260094832-1141\..\Run: [Microsoft Firewall 2.9] . (.Pas de propriétaire - Uninstaller.) -- C:\Documents and Settings\U10\Application Data\WMPRWISE.exe
[MD5.677767C96C3B0034CE8CE91315209640] [SPRF] (.Pas de propriétaire - Uninstaller.) -- C:\Documents and Settings\U10\Application Data\WMPRWISE.EXE [251391]
O4 - HKCU\..\Run: [Msarofuyip] . (.Pas de propriétaire - Masktools Dynamic Link Library.) -- C:\WINDOWS\ndmhli20.dll
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} Clé orpheline
O43 - CFD: 09/02/2011 - 18:06:22 ----D- C:\Program Files\epmnexsp
O43 - CFD: 09/02/2011 - 08:17:18 ----D- C:\Program Files\temp0
O43 - CFD: 27/05/2008 - 16:35:42 ----D- C:\Documents and Settings\U10\Application Data\TMP
◈ Lance ZHPFix qui est présent sur ton bureau.
◈ Clique sur le "H" bleu ( Coller les lignes Helper )
◈ Les lignes précédemment copiées apparaîtront à l'écran dans l'encadré jaune pâle.
◈ Vérifie que seules les lignes indiquées plus haut sont présentes puis clique sur [Ok]
◈ Clique maintenant sur [Tous] , puis sur [Nettoyer]
◈ Copie/Colle le contenu du rapport à l'écran dans ton prochain message.
◈ Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt
==================================================================================================================
+ Un nouveau rapport ZHPDiag.
Télécharge ce fichier : http://sd-1.archive-host.com/membres/up/17959594961240255/Userinit.reg
Exécute le et accepte la fusion au registre.
Ensuite fais ceci :
▶▷▶▷▶▷▶▷▶▷ ZHPFix ◁◀◁◀◁◀◁◀◁◀
/!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\
◈ Copie le texte en gras ci-dessous ( CTRL + C pour copier )
O4 - HKCU\..\Run: [Microsoft Firewall 2.9] . (.Pas de propriétaire - Uninstaller.) -- C:\Documents and Settings\U10\Application Data\WMPRWISE.exe
O4 - HKUS\S-1-5-21-3773743367-518495109-4260094832-1141\..\Run: [Microsoft Firewall 2.9] . (.Pas de propriétaire - Uninstaller.) -- C:\Documents and Settings\U10\Application Data\WMPRWISE.exe
[MD5.677767C96C3B0034CE8CE91315209640] [SPRF] (.Pas de propriétaire - Uninstaller.) -- C:\Documents and Settings\U10\Application Data\WMPRWISE.EXE [251391]
O4 - HKCU\..\Run: [Msarofuyip] . (.Pas de propriétaire - Masktools Dynamic Link Library.) -- C:\WINDOWS\ndmhli20.dll
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} Clé orpheline
O43 - CFD: 09/02/2011 - 18:06:22 ----D- C:\Program Files\epmnexsp
O43 - CFD: 09/02/2011 - 08:17:18 ----D- C:\Program Files\temp0
O43 - CFD: 27/05/2008 - 16:35:42 ----D- C:\Documents and Settings\U10\Application Data\TMP
◈ Lance ZHPFix qui est présent sur ton bureau.
◈ Clique sur le "H" bleu ( Coller les lignes Helper )
◈ Les lignes précédemment copiées apparaîtront à l'écran dans l'encadré jaune pâle.
◈ Vérifie que seules les lignes indiquées plus haut sont présentes puis clique sur [Ok]
◈ Clique maintenant sur [Tous] , puis sur [Nettoyer]
◈ Copie/Colle le contenu du rapport à l'écran dans ton prochain message.
◈ Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt
==================================================================================================================
+ Un nouveau rapport ZHPDiag.
