infecté par win32/cycbot.bRésolu/Fermé

Question

Bonjour, 

mon PC est infecté par win32/cycbot.b (détection faite par Windows defender) et je me permet de vous solliciter pour m'aider à résoudre ce probleme.
Je dois vous dire avant tout que j'avais lancé mam qui m'avait détecté une infection dans fichier csrss.exe . j'ai désactivé UAC et fait supprimé par mam les fichiers infectés. mam ne détecte plus de virus depuis mais windows defender m'a détecté win32/cycbot.b.

merci par avance pour votre aide.

Configuration: Windows Vista / Internet Explorer 8.0

jfkpresident · Answer

Bonsoir,

Peux tu me donner le chemin du fichier détecté par Windowsdefender ?

 Télécharge ZhpDiag de Nicolas Coolman .
  
    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe(clic droit ,"éxécuter en tant qu'administrateur" pour Vista/7).

    Une fois installé le programme s'ouvre automatiquement .

    Clique sur la loupe pour lancer l'analyse.

    A la fin de l'analyse, clique sur la "disquette" (enregistrer sous..) .

    Rend toi sur ce site : http://www.cijoint.fr/index.php
     
    Clique sur parcourir et sélectionne le fichier ZhpDiag.txt (Une aide au cas ou])

    Un lien va etre créer ,poste ce lien dans ta prochaine réponse.

timorititi · Answer

Merci JFK voici le lien:
http://www.cijoint.fr/cjlink.php?file=cj201102/cijG0qmkmg.txt 
windows defender ne m'indique pas de chemin...

timorititi · Answer

nouvelle analyse windows defender aprés redémarrage PC:
meme virus:
Ressources :
file:
C:\Users\TIMO\AppData\Roaming\Microsoft\conhost.exe

file:
C:\Users\TIMO\AppData\Roaming\dwm.exe

file:
c:\users	imo\AppData\Local\Temp\csrss.exe

et avira s'est ouvert signalant ça:

Dans le fichier 'C:\Windows\System32\config\systemprofile\AppData\Local\Application Policy Service\svchost.exe'
un virus ou un programme indésirable 'TR/Malex.E.17' [trojan] a été détecté.
Action exécutée : Refuser l'accès
...

jfkpresident · Answer

Télécharge OTM de OldTimer sur ton Bureau en cliquant sur ce lien :

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

Double-clique sur OTMoveIt3.exe pour le lancer.

Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans le cadre de gauche de OTMoveIt : "Paste instructions for item to be moved".


:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4C4AD71D-52E1-4402-9E5B-CBFC295EC9BA}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4C4AD71D-52E1-4402-9E5B-CBFC295EC9BA}]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"conhost"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"conhost"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Application Policy Service]

:files
C:\Users\TIMO\AppData\Roaming\dwm.exe   
C:\Users\TIMO\AppData\Roaming\Microsoft\conhost.exe   
C:\Users\TIMO\AppData\Local\Temp\csrss.exe   
C:\Program Files\freeTVRadio
C:\Windows\system32\config\systemprofile\AppData\Local\Application Policy Service\svchost.exe    
C:\Users\TIMO\AppData\Roaming\FissaSearch    
C:\Users\TIMO\AppData\Roaming\freeTVRadio    
C:\Users\TIMO\AppData\Local\Temp\AskInstallChecker.exe   

:services
Application Policy Service

:commands
[emptytemp]
[start explorer]
[reboot]



Clique sur "MoveIt!" pour lancer la suppression.

Le résultat apparaitra dans le cadre "Results".

Clique sur "Exit" pour fermer.

Poste le rapport situé dans C:\_OTMoveIt\MovedFiles sous le nom xxxxxx_xxxxxxxxxx.log .

Il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

Utilises tu un Proxy ?

timorititi · Answer

bonjour JFK,
vista plante écran bleu lorsque lors de l'éxécution du  moveit d'OTM
pas de rapport dans le répertoire.

je n'utilise pas de Proxy

jfkpresident · Answer

lance ZhpFix (icone seringue) puis clique sur le bouton "ProxyFix" .

Ensuite recolle moi un nouveau rapport ZhpDiag pour vérifier si OTM a bien fait la suppression .

timorititi · Answer

proxyfix effectué : configuration proxy supprimée avec succés
voici le nouveau rapport ZhpDiag:
http://www.cijoint.fr/cjlink.php?file=cj201102/ciju7NQzJj.txt

jfkpresident · Answer

Essaie un nouvel hébergement pour le rapport ZhpDiag ...Je n'arrive pas a ouvrir ton lien :(

timorititi · Answer

http://www.cijoint.fr/cjlink.php?file=cj201102/cijCQMMvmE.txt

jfkpresident · Answer

OTM n'as pas fonctionné du tout ...

Télécharges ComboFix à partir d'un de ces liens :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
https://forospyware.com
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Et important, enregistre le sur le bureau.

Avant d'utiliser ComboFix :

? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
la protection en temps réel de ton Antivirus et de tes Antispywares,
qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.


Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt,.
est automatiquement sauvegardé et rangé à C:\Combofix.txt)

? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares,
avant de te reconnecter à internet.

? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

timorititi · Answer

voilà le rapport (pour info avira vient juste de me détecter TR/MALEX.E.17 dans le fichier C:\Windows\System32\config\systemprofile\AppData\Local\Application Policy Service\svchost.exe')


combofix.txt:

ComboFix 11-02-25.01 - TIMO 26/02/2011  15:54:49.1.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium   6.0.6002.2.1252.33.1036.18.2046.1189 [GMT 1:00]
Lancé depuis: c:\users\TIMO\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\TIMO\AppData\Local\Microsoft\Windows\Temporary Internet Files\33acbe05
c:\users\TIMO\AppData\Local\Microsoft\Windows\Temporary Internet Files\8227d33b
c:\users\TIMO\AppData\Roaming\dwm.exe
c:\users\TIMO\AppData\Roaming\Microsoft\conhost.exe
c:\windows\hide.exe
c:\windows\system32\pthreadVC.dll
c:\windows\system32\UNWISE.EXE

.
(((((((((((((((((((((((((((((   Fichiers créés du 2011-01-26 au 2011-02-26  ))))))))))))))))))))))))))))))))))))
.

2011-02-26 15:06 . 2011-02-26 15:07	--------	d-----w-	c:\users\TIMO\AppData\Local	emp
2011-02-26 15:06 . 2011-02-26 15:06	--------	d-----w-	c:\users\Default\AppData\Local	emp
2011-02-26 15:06 . 2011-02-26 15:06	--------	d-----w-	c:\users\Administrateur\AppData\Local	emp
2011-02-26 08:48 . 2011-02-26 08:48	--------	d-----w-	C:\_OTM
2011-02-26 08:45 . 2011-02-11 06:54	5943120	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{89E6159E-D575-4BE2-B384-893B92138781}\mpengine.dll
2011-02-25 18:22 . 2011-02-26 11:25	--------	d-----w-	c:\program files\ZHPDiag
2011-02-22 20:18 . 2011-02-22 20:19	--------	d-----w-	c:\windows\system32\ca-ES
2011-02-22 20:18 . 2011-02-22 20:19	--------	d-----w-	c:\windows\system32\eu-ES
2011-02-22 20:18 . 2011-02-22 20:18	--------	d-----w-	c:\windows\system32\vi-VN
2011-02-22 19:36 . 2011-02-22 19:36	--------	d-----w-	c:\windows\system32\EventProviders
2011-02-22 19:35 . 2009-04-11 05:03	12240896	----a-w-	c:\windows\system32\NlsLexicons0007.dll
2011-02-22 19:35 . 2009-04-11 06:28	1081344	----a-w-	c:\windows\system32\SLCExt.dll
2011-02-22 19:35 . 2009-04-11 06:27	3408896	----a-w-	c:\windows\system32\SLsvc.exe
2011-02-22 19:35 . 2009-04-11 06:28	2134528	----a-w-	c:\windows\system32\FunctionDiscoveryFolder.dll
2011-02-22 19:35 . 2009-04-11 06:27	65536	----a-w-	c:\windows\system32\DevicePairingWizard.exe
2011-02-22 19:33 . 2009-04-11 06:28	217088	----a-w-	c:\windows\system32\WerFault.exe
2011-02-22 19:06 . 2011-02-22 19:06	--------	d-----w-	c:\windows\Sun
2011-02-22 19:05 . 2011-02-22 19:05	--------	d-----w-	c:\program files\Common Files\Java
2011-02-22 18:24 . 2008-05-27 04:59	18904	----a-w-	c:\windows\system32\StructuredQuerySchemaTrivial.bin
2011-02-22 18:05 . 2010-10-15 14:08	3602320	----a-w-	c:\windows\system32
tkrnlpa.exe
2011-02-22 18:04 . 2010-06-28 17:00	1316864	----a-w-	c:\windows\system32\ole32.dll
2011-02-22 18:03 . 2010-06-16 16:04	905088	----a-w-	c:\windows\system32\drivers	cpip.sys
2011-02-22 18:01 . 2010-05-27 20:08	739328	----a-w-	c:\windows\system32\inetcomm.dll
2011-02-22 18:01 . 2010-08-31 15:44	531968	----a-w-	c:\windows\system32\comctl32.dll
2011-02-21 21:10 . 2011-02-21 21:16	--------	d-----w-	c:\program files\Microsoft Money 2005
2011-02-18 11:31 . 2011-02-21 21:53	--------	d-----w-	C:\Tmp
2011-02-18 11:28 . 2011-02-21 21:55	--------	d-----w-	C:\Comptes
2011-02-18 11:28 . 2000-10-01 22:00	119568	----a-w-	c:\windows\system32\VB6FR.DLL
2011-02-18 11:28 . 1998-04-27 21:00	570128	----a-w-	c:\program files\Common Files\Microsoft Shared\DAO\DAO350.DLL
2011-02-16 17:04 . 2011-02-16 17:10	--------	d-----w-	c:\program files\FMS
2011-02-14 18:29 . 2011-02-14 18:29	--------	d-----w-	C:\PerfLogs
2011-02-14 17:02 . 2008-01-19 07:29	705536	----a-w-	c:\windows\system32\imagesp1.dll
2011-02-14 17:02 . 2008-01-19 07:36	116736	----a-w-	c:\windows\system32\sstpsvc.dll
2011-02-14 17:02 . 2008-01-19 07:36	175104	----a-w-	c:\windows\system32\winrscmd.dll
2011-02-14 17:02 . 2008-01-19 07:38	1008184	----a-w-	c:\program files\Windows Defender\MSASCui.exe
2011-02-14 17:02 . 2008-01-19 07:37	1675264	----a-w-	c:\windows\system32\xpssvcs.dll
2011-02-14 17:02 . 2008-01-19 07:38	671288	----a-w-	c:\program files\Windows Defender\MpRtMon.dll
2011-02-14 17:02 . 2008-01-19 07:33	41472	----a-w-	c:\windows\system32\lpremove.exe
2011-02-14 17:02 . 2008-01-19 07:33	58880	----a-w-	c:\windows\bfsvc.exe
2011-02-14 17:02 . 2008-01-19 05:31	8322048	----a-w-	c:\windows\system32\spwizimg.dll
2011-02-14 17:02 . 2008-01-19 07:33	193024	----a-w-	c:\windows\system32ecdisc.exe
2011-02-14 17:02 . 2008-01-19 07:33	145408	----a-w-	c:\windows\system32\CompMgmtLauncher.exe
2011-02-14 17:00 . 2008-01-19 07:36	240128	----a-w-	c:\windows\system32\uxtheme.dll
2011-02-14 16:59 . 2008-01-19 07:34	45056	----a-w-	c:\windows\system32\mmcss.dll
2011-02-14 16:58 . 2008-01-19 07:36	15360	----a-w-	c:\windows\system32asctrs.dll
2011-02-14 16:57 . 2008-01-19 07:36	357888	----a-w-	c:\windows\system32\wbemcomn.dll
2011-02-14 16:57 . 2008-01-19 07:34	102400	----a-w-	c:\windows\system32\wbem\mofinstall.dll
2011-02-14 16:57 . 2008-01-19 07:36	129536	----a-w-	c:\windows\system32\sqmapi.dll
2011-02-14 16:57 . 2008-01-19 07:36	139264	----a-w-	c:\windows\system32\SmiInstaller.dll
2011-02-14 16:57 . 2008-01-19 07:35	35328	----a-w-	c:\windows\system32\mspatcha.dll
2011-02-14 16:57 . 2008-01-19 07:34	305152	----a-w-	c:\windows\system32\msdelta.dll
2011-02-14 16:57 . 2008-01-19 07:34	258560	----a-w-	c:\windows\system32\dpx.dll
2011-02-14 16:57 . 2006-11-02 09:39	6656	----a-w-	c:\windows\system32\kbd106.dll
2011-02-13 09:41 . 2007-10-12 14:14	3734536	----a-w-	c:\windows\system32\d3dx9_36.dll
2011-02-05 11:41 . 2005-11-09 07:44	24064	----a-w-	c:\windows\system32\drivers\hardlock.sys
2011-02-05 11:40 . 2011-02-05 11:40	191488	----a-w-	c:\windows\system32\hlvdd.dll
2011-02-05 11:40 . 2006-12-20 10:55	3066968	----a-w-	c:\windows\system32\hinstd.dll
2011-02-05 11:40 . 2006-12-20 09:00	671112	----a-w-	c:\windows\system32\hdinst_windows.dll
2011-02-05 11:40 . 2006-12-20 09:00	2511360	----a-w-	c:\windows\system32\haspds_windows.dll
2011-02-05 11:40 . 2006-11-30 10:06	69632	----a-w-	c:\windows\system32\hasp_inst_help1.dll
2011-02-05 11:40 . 2005-09-06 16:06	28672	----a-w-	c:\windows\system32\hlduinst.exe
2011-02-05 11:29 . 2011-02-05 11:29	--------	d-----w-	C:\Tecar Forum
2011-01-30 13:57 . 2011-01-30 13:57	103864	----a-w-	c:\program files\Mozilla Firefox\plugins
ppdf32.dll
2011-01-30 13:57 . 2011-01-30 13:57	103864	----a-w-	c:\program files\Internet Explorer\Plugins
ppdf32.dll

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-19 11:30 . 2010-04-25 12:13	135096	----a-w-	c:\windows\system32\drivers\avipbb.sys
2011-02-14 18:18 . 2006-11-02 10:32	101888	----a-w-	c:\windows\system32\ifxcardm.dll
2011-02-14 18:18 . 2006-11-02 10:32	82432	----a-w-	c:\windows\system32\axaltocm.dll
2011-02-02 20:40 . 2010-05-12 21:53	472808	----a-w-	c:\windows\system32\deployJava1.dll
2011-02-02 16:11 . 2010-04-25 15:14	222080	------w-	c:\windows\system32\MpSigStub.exe
2010-12-14 16:00 . 2010-04-25 12:13	61960	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-11-29 16:38 . 2010-11-29 16:38	94208	----a-w-	c:\windows\system32\QuickTimeVR.qtx
2010-11-29 16:38 . 2010-11-29 16:38	69632	----a-w-	c:\windows\system32\QuickTime.qts
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4C4AD71D-52E1-4402-9E5B-CBFC295EC9BA}]
2010-08-19 12:27	135840	----a-w-	c:\program files\freeTVRadio\spointer\extensions\freetvradio_air_ie.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-04-25 39408]
"Gadwin PrintScreen"="c:\program files\Gadwin Systems\PrintScreen\PrintScreen.exe" [2008-12-09 495616]
"TomTomHOME.exe"="c:\program files\TomTom HOME 2\TomTomHOMERunner.exe" [2010-06-24 247144]
"DAEMON Tools"="c:\program files\DAEMON Tools\daemon.exe" [2007-08-16 167368]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-05-09 865840]
"eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2007-04-25 457216]
"eAudio"="c:\acer\Empowering Technology\eAudio\eAudio.exe" [2007-06-11 1286144]
"RtHDVCpl"="RtHDVCpl.exe" [2007-05-10 4468736]
"PLFSet"="c:\windows\PLFSet.dll" [2007-04-25 45056]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2007-02-12 174872]
"LManager"="c:\progra~1\LAUNCH~1\QtZgAcer.EXE" [2007-07-31 707080]
"PlayMovie"="c:\program files\Acer Arcade Deluxe\Play Movie\PMVService.exe" [2007-05-24 206952]
"WarReg_PopUp"="c:\acer\WR_PopUp\WarReg_PopUp.exe" [2006-11-05 57344]
"Acer Tour Reminder"="c:\acer\AcerTour\Reminder.exe" [2007-05-22 151552]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2008-03-10 689488]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2008-03-17 1848648]
"IJNetworkScanUtility"="c:\program files\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe" [2009-05-19 136544]
"Windows Mobile-based device management"="c:\windows\WindowsMobile\wmdc.exe" [2007-01-24 563080]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-01-31 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2010-12-14 47904]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-11-29 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-12-13 421160]
"NvSvc"="c:\windows\system32
vsvc.dll" [2007-06-26 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-06-26 8433664]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-06-26 81920]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-10-29 249064]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Acer Tour Reminder"="c:\acer\AcerTour\Reminder.exe" [2007-05-22 151552]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Acer VCM.lnk - c:\program files\Acer\Acer VCM\AcerVCM.exe [2010-4-25 1208320]
AVer HID Receiver.lnk - c:\program files\Common Files\AVerMedia\AVerQuick\AVerHIDReceiver.exe [2010-10-21 159744]
AVerQuick.lnk - c:\program files\Common Files\AVerMedia\AVerQuick\AVerQuick.exe [2010-10-21 651264]
Empowering Technology Launcher.lnk - c:\acer\Empowering Technology\eAPLauncher.exe [2007-8-14 535336]
Logiciel de Synchronisation Orange.lnk - c:\program files\Orange\Logiciel de Synchronisation Orange\Voxsync.exe [2010-4-25 684032]
VideoCam Suite 2.0.lnk - c:\program files\Panasonic\VideoCam Suite 2\VideoCamSuiteAutoStart.exe [2010-5-21 185688]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\!SASWinLogon]
2009-09-03 13:21	548352	----a-w-	c:\program files\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

R2 Application Policy Service;Application Policy Service;c:\windows\system32\config\systemprofile\AppData\Local\Application Policy Service\svchost.exe [2011-02-24 4960768]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-04-25 136176]
R3 AVerAF15DMBTH;AVerMedia A850 USB;c:\windows\system32\Drivers\AVerAF15DMBTH.sys [2009-01-05 487168]
R3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\b57nd60x.sys [2007-02-08 179712]
R3 WPFFontCache_v0400;Cache de police de Windows Presentation Foundation 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-07-15 685816]
S1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\SASDIFSV.SYS [2010-02-17 12872]
S1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [2010-05-12 68168]
S2 {49DE1C67-83F8-4102-99E0-C16DCC7EEC796};{49DE1C67-83F8-4102-99E0-C16DCC7EEC796};c:\program files\Acer Arcade Deluxe\Play Movie\000.fcl [2006-11-02 13560]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-08-17 135336]
S2 AVerRemote;AVerRemote;c:\program files\Common Files\AVerMedia\Service\AVerRemote.exe [2009-04-08 344064]
S2 AVerScheduleService;AVerScheduleService;c:\program files\Common Files\AVerMedia\Service\AVerScheduleService.exe [2008-12-09 405504]
S2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]
S2 TeamViewer5;TeamViewer 5;c:\program files\TeamViewer\Version5\TeamViewer_Service.exe [2010-09-03 173352]
S2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [2010-06-24 92008]
S3 libusb0;LibUsb-Win32 - Kernel Driver, Version 0.1.12.2;c:\windows\system32\drivers\libusb0.sys [2009-07-07 28160]
S3 NETw5v32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit;c:\windows\system32\DRIVERS\NETw5v32.sys [2008-11-17 3668480]
S3 winbondcir;Winbond IR Transceiver;c:\windows\system32\DRIVERS\winbondcir.sys [2007-04-19 43008]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs	REG_MULTI_SZ   	BthServ
WindowsMobile	REG_MULTI_SZ   	wcescomm rapimgr
LocalServiceRestricted	REG_MULTI_SZ   	WcesComm RapiMgr
.
Contenu du dossier 'Tâches planifiées'

2011-02-26 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-04-25 11:55]

2011-02-26 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-04-25 11:55]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.orange.fr/
uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
mStart Page = hxxp://fr.fr.acer.yahoo.com
uInternet Settings,ProxyOverride = *.local
uInternet Settings,ProxyServer = http=127.0.0.1:58162
uSearchURL,(Default) = hxxp://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html
DPF: Garmin Communicator Plug-In - hxxps://my.garmin.com/static/m/cab/2.8.3/GarminAxControl.CAB
DPF: {04CB5B64-5915-4629-B869-8945CEBADD21} - hxxps://static.impots.gouv.fr/abos/static/securite/certdgi1.cab
DPF: {9DF1C00D-8426-4337-972C-DC042D19A916} - hxxp://webtv.guidetv.orange.fr/resources/OCS_9418.cab
DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} - hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerVistaADP-2.0.0.1.cab
FF - ProfilePath - c:\users\TIMO\AppData\Roaming\Mozilla\Firefox\Profiles\sj3rzh82.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr
FF - prefs.js: network.proxy.http - 127.0.0.1
FF - prefs.js: network.proxy.http_port - 58162
FF - prefs.js: network.proxy.type - 1
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: z: {7b237c10-333b-7272-706e-0a3e12e489d4} - c:\program files\Mozilla Firefox\extensions\{7b237c10-333b-7272-706e-0a3e12e489d4}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Interest Recognizer for Freetvradio: freetvradio@spointer.com - c:\program files\freeTVRadio\spointer\extensions\freetvradio@spointer.com
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-conhost - c:\users\TIMO\AppData\Roaming\Microsoft\conhost.exe
HKLM-Run-Acer Tour - (no file)
HKLM-Run-SetPanel - c:\acer\APanel\APanel.cmd
HKLM-Run-eRecoveryService - (no file)
HKLM-Run-conhost - c:\users\TIMO\AppData\Roaming\Microsoft\conhost.exe
AddRemove-Hardlock Device Drivers - c:\windows\system32\UNWISE.EXE



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-02-26 16:07
Windows 6.0.6002 Service Pack 2 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\{49DE1C67-83F8-4102-99E0-C16DCC7EEC796}]
"ImagePath"="\??\c:\program files\Acer Arcade Deluxe\Play Movie\000.fcl"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Heure de fin: 2011-02-26  16:11:29
ComboFix-quarantined-files.txt  2011-02-26 15:11

Avant-CF: 12 320 706 560 octets libres
Après-CF: 12 724 641 792 octets libres

- - End Of File - - F94E01B3DE341EE858F905F5DF27FD56

jfkpresident · Answer

> Ferme tout tes navigateurs (donc copie ou imprime les instructions avant)
- Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie/colle dedans les lignes suivantes :

           
Driver::
Application Policy Service

Folder::
C:\Tmp  
c:\program files\freeTVRadio

File::
c:\windows\system32\config\systemprofile\AppData\Local\Application Policy Service\svchost.exe 

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4C4AD71D-52E1-4402-9E5B-CBFC295EC9BA}]   
 
- Enregistre ce fichier sous le nom CFScript
- Fait un glisser/déposer de ce fichier CFScrïpt sur le fichier ComboFix.exe comme sur cette image. (Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris.) Combofix va démarrer.
- Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
- Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
- Ne touche à rien tant que le scan n'est pas terminé sinon le PC peut planter !
- Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Note : Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

timorititi · Answer

je n'ai pas eu le message de combo me proposant de continuer ou d'abandonner mais je pense qu'il s'est bien exécuté car le fichier script glissé sur l'éxécutable de combo a disparu du bureau et combo s'est exécuté.

voici le rapport:

ComboFix 11-02-25.01 - TIMO 26/02/2011  18:49:36.2.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium   6.0.6002.2.1252.33.1036.18.2046.1052 [GMT 1:00]
Lancé depuis: c:\users\TIMO\Desktop\ComboFix.exe
Commutateurs utilisés :: c:\users\TIMO\Desktop\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

FILE ::
"c:\windows\system32\config\systemprofile\AppData\Local\Application Policy Service\svchost.exe"
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\freeTVRadio
c:\program files\freeTVRadio\AxInterop.WMPLib.dll
c:\program files\freeTVRadio\AxSpointerControlLib.dll
c:\program files\freeTVRadio\CommonUtilities.dll
c:\program files\freeTVRadio\DevExpress.Data.v9.2.dll
c:\program files\freeTVRadio\DevExpress.Utils.v9.2.dll
c:\program files\freeTVRadio\DevExpress.XtraEditors.v9.2.dll
c:\program files\freeTVRadio\DevExpress.XtraGrid.v9.2.dll
c:\program files\freeTVRadio\DevExpress.XtraLayout.v9.2.dll
c:\program files\freeTVRadio\DevExpress.XtraTreeList.v9.2.dll
c:\program files\freeTVRadio\freeTVRadio.exe
c:\program files\freeTVRadio\freeTVRadio_Skin.dll
c:\program files\freeTVRadio\home.url
c:\program files\freeTVRadio\install.log
c:\program files\freeTVRadio\Interop.MediaPlayer.dll
c:\program files\freeTVRadio\Interop.WMPLib.dll
c:\program files\freeTVRadio\spointer\extensions\chrome\freetvradio_air_chrome.crx
c:\program files\freeTVRadio\spointer\extensions\freetvradio@spointer.com\chrome.manifest
c:\program files\freeTVRadio\spointer\extensions\freetvradio@spointer.com\chrome\content\events.js
c:\program files\freeTVRadio\spointer\extensions\freetvradio@spointer.com\chrome\content\logo.ico
c:\program files\freeTVRadio\spointer\extensions\freetvradio@spointer.com\chrome\content\overlay.xul
c:\program files\freeTVRadio\spointer\extensions\freetvradio@spointer.com\components\freetvradio_air_ff.dll
c:\program files\freeTVRadio\spointer\extensions\freetvradio@spointer.com\components\freetvradio_air_ff.xpt
c:\program files\freeTVRadio\spointer\extensions\freetvradio@spointer.com\install.rdf
c:\program files\freeTVRadio\spointer\extensions\freetvradio_air_ie.dll
c:\program files\freeTVRadio\spointer\freetvradio_air.exe
c:\program files\freeTVRadio\spointer\freetvradio_air_ctrl.dll
c:\program files\freeTVRadio\spointer\freetvradio_air_webdisp.dll
c:\program files\freeTVRadio\spointer\install.config.sxe
c:\program files\freeTVRadio\spointer\install.country.sxe
c:\program files\freeTVRadio\spointer\install.xml
c:\program files\freeTVRadio\spointer_uninstall.exe
c:\program files\freeTVRadio\SpointerControlLib.dll
C:\Tmp
c:	mp\Go.cmd
c:	mp\Import.log
c:	mp\Kill.vbs
c:	mp\Led0.bmp
c:	mp\Led1.bmp
c:	mp\Led2.bmp
c:	mp\Led3.bmp
c:\windows\system32\config\systemprofile\AppData\Local\Application Policy Service\svchost.exe

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_Application Policy Service


(((((((((((((((((((((((((((((   Fichiers créés du 2011-01-26 au 2011-02-26  ))))))))))))))))))))))))))))))))))))
.

2011-02-26 18:00 . 2011-02-26 18:03	--------	d-----w-	c:\users\TIMO\AppData\Local	emp
2011-02-26 18:00 . 2011-02-26 18:00	--------	d-----w-	c:\users\Default\AppData\Local	emp
2011-02-26 08:48 . 2011-02-26 08:48	--------	d-----w-	C:\_OTM
2011-02-26 08:45 . 2011-02-11 06:54	5943120	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{89E6159E-D575-4BE2-B384-893B92138781}\mpengine.dll
2011-02-25 18:22 . 2011-02-26 11:25	--------	d-----w-	c:\program files\ZHPDiag
2011-02-22 20:18 . 2011-02-22 20:19	--------	d-----w-	c:\windows\system32\ca-ES
2011-02-22 20:18 . 2011-02-22 20:19	--------	d-----w-	c:\windows\system32\eu-ES
2011-02-22 20:18 . 2011-02-22 20:18	--------	d-----w-	c:\windows\system32\vi-VN
2011-02-22 19:36 . 2011-02-22 19:36	--------	d-----w-	c:\windows\system32\EventProviders
2011-02-22 19:35 . 2009-04-11 05:03	12240896	----a-w-	c:\windows\system32\NlsLexicons0007.dll
2011-02-22 19:35 . 2009-04-11 06:28	1081344	----a-w-	c:\windows\system32\SLCExt.dll
2011-02-22 19:35 . 2009-04-11 06:27	3408896	----a-w-	c:\windows\system32\SLsvc.exe
2011-02-22 19:35 . 2009-04-11 06:28	2134528	----a-w-	c:\windows\system32\FunctionDiscoveryFolder.dll
2011-02-22 19:35 . 2009-04-11 06:27	65536	----a-w-	c:\windows\system32\DevicePairingWizard.exe
2011-02-22 19:33 . 2009-04-11 06:28	217088	----a-w-	c:\windows\system32\WerFault.exe
2011-02-22 19:06 . 2011-02-22 19:06	--------	d-----w-	c:\windows\Sun
2011-02-22 19:05 . 2011-02-22 19:05	--------	d-----w-	c:\program files\Common Files\Java
2011-02-22 18:24 . 2008-05-27 04:59	18904	----a-w-	c:\windows\system32\StructuredQuerySchemaTrivial.bin
2011-02-22 18:05 . 2010-10-15 14:08	3602320	----a-w-	c:\windows\system32
tkrnlpa.exe
2011-02-22 18:04 . 2010-06-28 17:00	1316864	----a-w-	c:\windows\system32\ole32.dll
2011-02-22 18:03 . 2010-06-16 16:04	905088	----a-w-	c:\windows\system32\drivers	cpip.sys
2011-02-22 18:01 . 2010-05-27 20:08	739328	----a-w-	c:\windows\system32\inetcomm.dll
2011-02-22 18:01 . 2010-08-31 15:44	531968	----a-w-	c:\windows\system32\comctl32.dll
2011-02-21 21:10 . 2011-02-21 21:16	--------	d-----w-	c:\program files\Microsoft Money 2005
2011-02-18 11:28 . 2011-02-21 21:55	--------	d-----w-	C:\Comptes
2011-02-18 11:28 . 2000-10-01 22:00	119568	----a-w-	c:\windows\system32\VB6FR.DLL
2011-02-18 11:28 . 1998-04-27 21:00	570128	----a-w-	c:\program files\Common Files\Microsoft Shared\DAO\DAO350.DLL
2011-02-16 17:04 . 2011-02-16 17:10	--------	d-----w-	c:\program files\FMS
2011-02-14 18:29 . 2011-02-14 18:29	--------	d-----w-	C:\PerfLogs
2011-02-14 17:02 . 2008-01-19 07:29	705536	----a-w-	c:\windows\system32\imagesp1.dll
2011-02-14 17:02 . 2008-01-19 07:36	116736	----a-w-	c:\windows\system32\sstpsvc.dll
2011-02-14 17:02 . 2008-01-19 07:36	175104	----a-w-	c:\windows\system32\winrscmd.dll
2011-02-14 17:02 . 2008-01-19 07:38	1008184	----a-w-	c:\program files\Windows Defender\MSASCui.exe
2011-02-14 17:02 . 2008-01-19 07:37	1675264	----a-w-	c:\windows\system32\xpssvcs.dll
2011-02-14 17:02 . 2008-01-19 07:38	671288	----a-w-	c:\program files\Windows Defender\MpRtMon.dll
2011-02-14 17:02 . 2008-01-19 07:33	41472	----a-w-	c:\windows\system32\lpremove.exe
2011-02-14 17:02 . 2008-01-19 07:33	58880	----a-w-	c:\windows\bfsvc.exe
2011-02-14 17:02 . 2008-01-19 05:31	8322048	----a-w-	c:\windows\system32\spwizimg.dll
2011-02-14 17:02 . 2008-01-19 07:33	193024	----a-w-	c:\windows\system32ecdisc.exe
2011-02-14 17:02 . 2008-01-19 07:33	145408	----a-w-	c:\windows\system32\CompMgmtLauncher.exe
2011-02-14 17:00 . 2008-01-19 07:36	240128	----a-w-	c:\windows\system32\uxtheme.dll
2011-02-14 16:59 . 2008-01-19 07:34	45056	----a-w-	c:\windows\system32\mmcss.dll
2011-02-14 16:58 . 2008-01-19 07:36	15360	----a-w-	c:\windows\system32asctrs.dll
2011-02-14 16:57 . 2008-01-19 07:36	357888	----a-w-	c:\windows\system32\wbemcomn.dll
2011-02-14 16:57 . 2008-01-19 07:34	102400	----a-w-	c:\windows\system32\wbem\mofinstall.dll
2011-02-14 16:57 . 2008-01-19 07:36	129536	----a-w-	c:\windows\system32\sqmapi.dll
2011-02-14 16:57 . 2008-01-19 07:36	139264	----a-w-	c:\windows\system32\SmiInstaller.dll
2011-02-14 16:57 . 2008-01-19 07:35	35328	----a-w-	c:\windows\system32\mspatcha.dll
2011-02-14 16:57 . 2008-01-19 07:34	305152	----a-w-	c:\windows\system32\msdelta.dll
2011-02-14 16:57 . 2008-01-19 07:34	258560	----a-w-	c:\windows\system32\dpx.dll
2011-02-14 16:57 . 2006-11-02 09:39	6656	----a-w-	c:\windows\system32\kbd106.dll
2011-02-13 09:41 . 2007-10-12 14:14	3734536	----a-w-	c:\windows\system32\d3dx9_36.dll
2011-02-05 11:41 . 2005-11-09 07:44	24064	----a-w-	c:\windows\system32\drivers\hardlock.sys
2011-02-05 11:40 . 2011-02-05 11:40	191488	----a-w-	c:\windows\system32\hlvdd.dll
2011-02-05 11:40 . 2006-12-20 10:55	3066968	----a-w-	c:\windows\system32\hinstd.dll
2011-02-05 11:40 . 2006-12-20 09:00	671112	----a-w-	c:\windows\system32\hdinst_windows.dll
2011-02-05 11:40 . 2006-12-20 09:00	2511360	----a-w-	c:\windows\system32\haspds_windows.dll
2011-02-05 11:40 . 2006-11-30 10:06	69632	----a-w-	c:\windows\system32\hasp_inst_help1.dll
2011-02-05 11:40 . 2005-09-06 16:06	28672	----a-w-	c:\windows\system32\hlduinst.exe
2011-02-05 11:29 . 2011-02-05 11:29	--------	d-----w-	C:\Tecar Forum
2011-01-30 13:57 . 2011-01-30 13:57	103864	----a-w-	c:\program files\Mozilla Firefox\plugins
ppdf32.dll
2011-01-30 13:57 . 2011-01-30 13:57	103864	----a-w-	c:\program files\Internet Explorer\Plugins
ppdf32.dll

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-19 11:30 . 2010-04-25 12:13	135096	----a-w-	c:\windows\system32\drivers\avipbb.sys
2011-02-14 18:18 . 2006-11-02 10:32	101888	----a-w-	c:\windows\system32\ifxcardm.dll
2011-02-14 18:18 . 2006-11-02 10:32	82432	----a-w-	c:\windows\system32\axaltocm.dll
2011-02-02 20:40 . 2010-05-12 21:53	472808	----a-w-	c:\windows\system32\deployJava1.dll
2011-02-02 16:11 . 2010-04-25 15:14	222080	------w-	c:\windows\system32\MpSigStub.exe
2010-12-14 16:00 . 2010-04-25 12:13	61960	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-11-29 16:38 . 2010-11-29 16:38	94208	----a-w-	c:\windows\system32\QuickTimeVR.qtx
2010-11-29 16:38 . 2010-11-29 16:38	69632	----a-w-	c:\windows\system32\QuickTime.qts
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-04-25 39408]
"Gadwin PrintScreen"="c:\program files\Gadwin Systems\PrintScreen\PrintScreen.exe" [2008-12-09 495616]
"TomTomHOME.exe"="c:\program files\TomTom HOME 2\TomTomHOMERunner.exe" [2010-06-24 247144]
"DAEMON Tools"="c:\program files\DAEMON Tools\daemon.exe" [2007-08-16 167368]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-05-09 865840]
"eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2007-04-25 457216]
"eAudio"="c:\acer\Empowering Technology\eAudio\eAudio.exe" [2007-06-11 1286144]
"RtHDVCpl"="RtHDVCpl.exe" [2007-05-10 4468736]
"PLFSet"="c:\windows\PLFSet.dll" [2007-04-25 45056]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2007-02-12 174872]
"LManager"="c:\progra~1\LAUNCH~1\QtZgAcer.EXE" [2007-07-31 707080]
"PlayMovie"="c:\program files\Acer Arcade Deluxe\Play Movie\PMVService.exe" [2007-05-24 206952]
"WarReg_PopUp"="c:\acer\WR_PopUp\WarReg_PopUp.exe" [2006-11-05 57344]
"Acer Tour Reminder"="c:\acer\AcerTour\Reminder.exe" [2007-05-22 151552]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2008-03-10 689488]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2008-03-17 1848648]
"IJNetworkScanUtility"="c:\program files\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe" [2009-05-19 136544]
"Windows Mobile-based device management"="c:\windows\WindowsMobile\wmdc.exe" [2007-01-24 563080]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-01-31 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2010-12-14 47904]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-11-29 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-12-13 421160]
"NvSvc"="c:\windows\system32
vsvc.dll" [2007-06-26 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-06-26 8433664]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-06-26 81920]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-10-29 249064]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Acer Tour Reminder"="c:\acer\AcerTour\Reminder.exe" [2007-05-22 151552]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Acer VCM.lnk - c:\program files\Acer\Acer VCM\AcerVCM.exe [2010-4-25 1208320]
AVer HID Receiver.lnk - c:\program files\Common Files\AVerMedia\AVerQuick\AVerHIDReceiver.exe [2010-10-21 159744]
AVerQuick.lnk - c:\program files\Common Files\AVerMedia\AVerQuick\AVerQuick.exe [2010-10-21 651264]
Empowering Technology Launcher.lnk - c:\acer\Empowering Technology\eAPLauncher.exe [2007-8-14 535336]
Logiciel de Synchronisation Orange.lnk - c:\program files\Orange\Logiciel de Synchronisation Orange\Voxsync.exe [2010-4-25 684032]
VideoCam Suite 2.0.lnk - c:\program files\Panasonic\VideoCam Suite 2\VideoCamSuiteAutoStart.exe [2010-5-21 185688]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\!SASWinLogon]
2009-09-03 13:21	548352	----a-w-	c:\program files\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-04-25 136176]
R3 AVerAF15DMBTH;AVerMedia A850 USB;c:\windows\system32\Drivers\AVerAF15DMBTH.sys [2009-01-05 487168]
R3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\b57nd60x.sys [2007-02-08 179712]
R3 WPFFontCache_v0400;Cache de police de Windows Presentation Foundation 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-07-15 685816]
S1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\SASDIFSV.SYS [2010-02-17 12872]
S1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [2010-05-12 68168]
S2 {49DE1C67-83F8-4102-99E0-C16DCC7EEC796};{49DE1C67-83F8-4102-99E0-C16DCC7EEC796};c:\program files\Acer Arcade Deluxe\Play Movie\000.fcl [2006-11-02 13560]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-08-17 135336]
S2 AVerRemote;AVerRemote;c:\program files\Common Files\AVerMedia\Service\AVerRemote.exe [2009-04-08 344064]
S2 AVerScheduleService;AVerScheduleService;c:\program files\Common Files\AVerMedia\Service\AVerScheduleService.exe [2008-12-09 405504]
S2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]
S2 TeamViewer5;TeamViewer 5;c:\program files\TeamViewer\Version5\TeamViewer_Service.exe [2010-09-03 173352]
S2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [2010-06-24 92008]
S3 libusb0;LibUsb-Win32 - Kernel Driver, Version 0.1.12.2;c:\windows\system32\drivers\libusb0.sys [2009-07-07 28160]
S3 NETw5v32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit;c:\windows\system32\DRIVERS\NETw5v32.sys [2008-11-17 3668480]
S3 winbondcir;Winbond IR Transceiver;c:\windows\system32\DRIVERS\winbondcir.sys [2007-04-19 43008]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs	REG_MULTI_SZ   	BthServ
WindowsMobile	REG_MULTI_SZ   	wcescomm rapimgr
LocalServiceRestricted	REG_MULTI_SZ   	WcesComm RapiMgr
.
Contenu du dossier 'Tâches planifiées'

2011-02-26 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-04-25 11:55]

2011-02-26 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-04-25 11:55]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.orange.fr/
uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
mStart Page = hxxp://fr.fr.acer.yahoo.com
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html
DPF: Garmin Communicator Plug-In - hxxps://my.garmin.com/static/m/cab/2.8.3/GarminAxControl.CAB
DPF: {04CB5B64-5915-4629-B869-8945CEBADD21} - hxxps://static.impots.gouv.fr/abos/static/securite/certdgi1.cab
DPF: {9DF1C00D-8426-4337-972C-DC042D19A916} - hxxp://webtv.guidetv.orange.fr/resources/OCS_9418.cab
DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} - hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerVistaADP-2.0.0.1.cab
FF - ProfilePath - c:\users\TIMO\AppData\Roaming\Mozilla\Firefox\Profiles\sj3rzh82.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: z: {7b237c10-333b-7272-706e-0a3e12e489d4} - c:\program files\Mozilla Firefox\extensions\{7b237c10-333b-7272-706e-0a3e12e489d4}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
.

**************************************************************************
Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 

**************************************************************************

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\{49DE1C67-83F8-4102-99E0-C16DCC7EEC796}]
"ImagePath"="\??\c:\program files\Acer Arcade Deluxe\Play Movie\000.fcl"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\WLANExt.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\windows\System32\bgsvcgen.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\acer\Empowering Technology\eDataSecurity\eDSService.exe
c:\acer\Empowering Technology\eLock\Service\eLockServ.exe
c:\acer\Empowering Technology\eNet\eNet Service.exe
c:\program files\Intel\WiFi\bin\EvtEng.exe
c:\program files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\acer\Mobility Center\MobilityService.exe
c:\program files\Common Files\Intel\WirelessCommon\RegSrvc.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\windows\system32\DRIVERS\xaudio.exe
c:\acer\Empowering Technology\eRecovery\eRecoveryService.exe
c:\acer\Empowering Technology\eSettings\Service\capuserv.exe
c:\acer\Empowering Technology\ePower\ePowerSvc.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\system32\conime.exe
c:\windows\system32\wbem\unsecapp.exe
c:\?\c:\windows\system32\wbem\WMIADAP.EXE
.
**************************************************************************
.
Heure de fin: 2011-02-26  19:09:47 - La machine a redémarré
ComboFix-quarantined-files.txt  2011-02-26 18:09

Avant-CF: 12 556 521 472 octets libres
Après-CF: 12 206 870 528 octets libres

- - End Of File - - AE1FD49EACCF19B4A18C66C991385FD2

jfkpresident · Answer

Comment va le pc ? recolle moi un dernier log ZhpDiag .

timorititi · Answer

je crois que c'est OK .
http://www.cijoint.fr/cjlink.php?file=cj201102/cijUyQwtSy.txt

avira et windows defender ne détectent plus de virus

Merci beaucoup pour ton aide . T'as assuré !! chapeau ! :)

jfkpresident · Answer

Il reste quelques saletés qui trainent (on va les supprimer de suite)

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.

1/Double Clique sur l'icone ZhpFix .

2/ZhpFix va s'ouvrir ,clique sur "importer un rapport ZhpDiag" puis "ok" .

3/Laisse travailler l'outil.

4/Coche ces cases (et pas d'autres !):

O42 - Logiciel: Fissa - (.Secure Digital Services.) [HKLM] -- Fissa  
[HKCU\Software\AppDataLow\3d1a4f82]   
[HKCU\Software\FissaSearch]  
[HKCU\Software\Spointer]    
[HKCU\Software\freeTVRadio]    
[HKLM\Software\FissaSearch]    
[HKLM\Software\freeTVRadio]   
O43 - CFD: 24/09/2010 - 20:30:58 - [37289] ----D- C:\Users\TIMO\AppData\Roaming\FissaSearch    
O43 - CFD: 24/09/2010 - 20:33:28 - [634] ----D- C:\Users\TIMO\AppData\Roaming\freeTVRadio  
O69 - SBI: SearchScopes [HKCU] {b41306c6-96d0-442a-bcc4-b0f621e82ce9} - (Fissa) - https://fissa.com/    
O23 - Service:  (Planificateur LiveUpdate automatique) - Clé orpheline 
O41 - Driver:  (SYMTDI) . (. - .) - C:\Windows\system32\Drivers\SYMTDI.sys (.not file.)    
M3 - MFPP: Plugins - [TIMO] -- C:\Users\TIMO\AppData\Roaming\Mozilla\Firefox\Profiles\sj3rzh82.default\searchplugins\fissa.xml      


5/Pour finir clique sur "Nettoyer" .


6/colle le rapport obtenu .

============

Je voudrais également faire une petite vérif:

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier :

C:\Tecar Forum\ETKA 7.2\PROG\Etka7.exe      

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

timorititi · Answer

lorsque je lance Zhpfix et sélectionne importer un rapport , il m'édite dans la fenêtre un fichier texte mais je n'ai pas de case à cocher en face des lignes...

jfkpresident · Answer

Copie le texte en gras (plus haut) ,enregistre le sur ton bureau sous le nom de zhpfix.txt
Fais un clic-droit sur le raccourci de ZHPFix et choisis "Exécuter en tant qu'administrateur"
Clique sur l'icone représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix.
Clique sur « Tous », puis sur « Nettoyer »
Copie/colle la totalité du rapport dans ta prochaine réponse.

timorititi · Answer

voilà rapport zhpfix:
http://www.cijoint.fr/cjlink.php?file=cj201102/cijFMbwZE4.txt

et l'autre concernant ETKA avec virustotal:
http://www.cijoint.fr/cjlink.php?file=cj201102/cijBgFiwrI.txt

jfkpresident · Answer

Ce n'est pas le bon rapport ZhpFix ...Il se trouve ici: C:\Utilisateur\Zhpdiag\Zhpfixreport.txt

timorititi · Answer

c'est celui-ci alors ?:

Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O42 - Logiciel: Fissa - (.Secure Digital Services.) [HKLM] -- Fissa  => Clé supprimée avec succès
HKCU\Software\AppDataLow\3d1a4f82  => Clé supprimée avec succès
HKCU\Software\FissaSearch  => Clé supprimée avec succès
HKCU\Software\Spointer  => Clé supprimée avec succès
HKCU\Software\freeTVRadio  => Clé supprimée avec succès
HKLM\Software\FissaSearch  => Clé supprimée avec succès
HKLM\Software\freeTVRadio  => Clé supprimée avec succès
O69 - SBI: SearchScopes [HKCU] {b41306c6-96d0-442a-bcc4-b0f621e82ce9} - (Fissa) - https://fissa.com/  => Clé supprimée avec succès
O23 - Service: (Planificateur LiveUpdate automatique) - Clé orpheline  => Clé supprimée avec succès
O41 - Driver: (SYMTDI) . (. - .) - C:\Windows\system32\Drivers\SYMTDI.sys (.not file.)  => Clé supprimée avec succès

========== Dossier(s) ==========
C:\Users\TIMO\AppData\Roaming\FissaSearch  => Supprimé et mis en quarantaine
C:\Users\TIMO\AppData\Roaming\freeTVRadio  => Supprimé et mis en quarantaine

========== Fichier(s) ==========
c:\users	imo\appdataoaming\mozilla\firefox\profiles\sj3rzh82.default\searchplugins\fissa.xml  => Supprimé et mis en quarantaine


========== Récapitulatif ==========
10 : Clé(s) du Registre
2 : Dossier(s)
1 : Fichier(s)


End of the scan

jfkpresident · Answer

ok ,on va pouvoir terminer :

==*Nettoyage des outils*==

Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Relance ZHPFix sur ton Bureau.

Clique sur le A rouge (Nettoyeur de Tools).

Clique sur Nettoyer.

Fais redémarrer l'ordi pour terminer le nettoyage. 

============

Maintenant que ton pc n'est plus infecté ,
Désactive ta restauration systeme puis recréé un point de sauvegarde sain comme suit : https://wiki.securite-academie.fr/index.php/Tutoriaux_Les_points_de_restauration

===========

E-mule et Bitorrent sont installés sur ton pc donc je te conseille de lire ceci :

danger du P2P et des cracks

également un exemple concret ici ou l'internaute ne pouvait plus rien faire de sa machine ...

Te souhaitant un bon surf sur la toile -;)

timorititi · Answer

nettoyage outils effectué
+ création point de restauration sain fait

encore Merci pour ton aide et tes conseils...:)

MURRAY244 · Answer

Bonjour ! Je rencontre le même problème...cycbot.b
J'ai téléchargé ZHPdiag et OTM pour gagner du temps
Peux-tu m'aider ? Merci d'avance.

jfkpresident · Answer

Lut'

Poste ton rapport ZhpDiag avec un lien Cijoint .

Infecté par win32/cycbot.b

25 réponses

Discussions similaires

Newsletters