Sujet Précédent Sujet Suivant

Virus spm/LX

Résolu/Fermé
ilid Messages postés 12 Date d'inscription mercredi 21 juillet 2010 Statut Membre Dernière intervention 15 mars 2011 - 4 mars 2011 à 14:32
 Utilisateur anonyme - 15 mars 2011 à 17:24
Bonjour,

Mon pc vient d'être infecté par un virus SPM/LX. Dans la foulé un programme anti-virus nommé System tool c'est auto installé et bien sur il est payant. Après avoir lu les posts sur ce sujet, j'ai tenté d'installé HijackThis pour poster un scan, mais lorsque je clic sur "Executer" rien ne se passe.
Avast est impuissant, CCleaner est devenu inactif et Malwarebytes à disparu de mon PC.

Si quelqu'un pouvait m'aider, merci d'avance.


29 réponses

  • 1
  • 2
Réponse 1 / 29
Utilisateur anonyme
4 mars 2011 à 15:06
Salut,

Tu vas essayer maintenant de télécharger ZHPDiag (outil de diagnostic)

Télécharge ZHPDiag ( de Nicolas coolman ) :https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html



Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista et seven )

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

Rend toi sur Cjoint : http://www.cijoint.fr/

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

@+
0
Réponse 2 / 29
ilid Messages postés 12 Date d'inscription mercredi 21 juillet 2010 Statut Membre Dernière intervention 15 mars 2011
4 mars 2011 à 17:09
Bonjour et merci de ton aide

Voici le lien du fichier ZHPDiag

http://www.cijoint.fr/cjlink.php?file=cj201103/cijtsOLw0t.txt
0
Réponse 3 / 29
Utilisateur anonyme
Modifié par Marmar66 le 4/03/2011 à 19:49
Salut,



1/ * Télécharge de AD-Remover sur ton Bureau.
http://www.teamxscript.org/adremoverTelechargement.html

/!\ Ferme toutes applications en cours /!\

- Double-clique sur l'icône Ad-remover située sur ton Bureau.
- Sur la page, clique sur le bouton « Chercher »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour c


2/ Désinstalle Malwarebytes , puis réinstalle le à partir Ce lien

Fait une analyse complète et poster le rapport
@+
0
Réponse 4 / 29
ilid
7 mars 2011 à 09:22
Bonjour

Voici les rapports AD-Remover et malwarebytes.

Merci à toi et bonne semaine

======= RAPPORT D'AD-REMOVER 2.0.0.2,F | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 01/03/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 18:05:33 le 04/03/2011, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86)
Delaforge@MY-BA9B60CAD86C ( )

============== ACTION(S) ==============



(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKLM\Software\Classes\Interface\{89541520-2D31-11D2-A166-0060081C43D9}
Clé supprimée: HKLM\Software\Classes\Interface\{8954152E-2D31-11D2-A166-0060081C43D9}
Clé supprimée: HKLM\Software\Classes\ExplorerBar.Group
Clé supprimée: HKLM\Software\Classes\ExplorerBar.Group.1
Clé supprimée: HKLM\Software\Classes\ExplorerBar.Groups
Clé supprimée: HKLM\Software\Classes\ExplorerBar.Groups.1
Clé supprimée: HKLM\Software\Classes\ExplorerBar.Item
Clé supprimée: HKLM\Software\Classes\ExplorerBar.Item.1
Clé supprimée: HKLM\Software\Classes\ExplorerBar.TemplatePage
Clé supprimée: HKLM\Software\Classes\ExplorerBar.TemplatePage.1


============== SCAN ADDITIONNEL ==============

**** Internet Explorer Version [8.0.6001.18702] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_Toolbar\WebBrowser|{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll)
HKLM_Toolbar|{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll)
HKLM_Toolbar|{D0943516-5076-4020-A3B5-AEFAF26AB263} (x)
HKLM_Toolbar|{327C2873-E90D-4c37-AA9D-10AC9BABA46C} (C:\Program Files\Canon\Easy-WebPrint\Toolband.dll)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{02478D38-C3F9-4efb-9B51-7695ECA05670} (?)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
BHO\{9394EDE7-C8B5-483E-8773-474BF36AF6E4} - "ST" (C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll)
BHO\{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - "MSNToolBandBHO" (C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 13 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 04/03/2011 18:05:46 (2310 Octet(s))

Fin à: 18:06:36, 04/03/2011




Malwarebytes' Anti-Malware 1.50www.malwarebytes.org

Version de la base de données: 5979

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

07/03/2011 09:13:36
mbam-log-2011-03-07 (09-13-36).txt

Type d'examen: Examen complet (C:\|I:\|)
Elément(s) analysé(s): 215572
Temps écoulé: 54 minute(s), 38 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\delaforge\application data\adobe\adobeutil.exe (Trojan.Email.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{5326ec62-6c92-4286-9e32-d51cf2e63a31}\rp54\a0014736.dll (Trojan.Genome) -> Quarantined and deleted successfully.
c:\system volume information\_restore{5326ec62-6c92-4286-9e32-d51cf2e63a31}\rp54\a0015894.exe (Trojan.Email.Gen) -> Quarantined and deleted successfully.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 29
Utilisateur anonyme
7 mars 2011 à 10:29
Bonjour,

1/
* Télécharge sur le bureau RogueKiller (par tigzy)
https://www.luanagames.com/index.fr.html


* Quitte tous tes programmes en cours

* Lance RogueKiller.exe.

* Lorsque demandé, tape 2 et valide


* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse

* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. ou renommer l'outil en firefox.exe ou roguekiller.com

2/ Refait un nouveau rapport ZHPDiag .

A bientôt
0
Réponse 6 / 29
ilid
7 mars 2011 à 17:24
Bonjour,

Ci-joint lien pour rapport ZHPDiag :

http://www.cijoint.fr/cjlink.php?file=cj201103/cijoqxGzbU.txt

Et rapport RK :

RogueKiller V4.1.0 par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Delaforge [Droits d'admin]
Mode: Suppression -- Date : 07/03/2011 17:12:30

Processus malicieux: 0

Entrees de registre: 2
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{891E12C6-8430-4798-8710-74F2440A5EB9} : NameServer (81.253.149.9,80.10.246.3) -> NOT REMOVED, USE DNSFIX
[DNS] HKLM\[...]\ControlSet003\Parameters\Interfaces\{891E12C6-8430-4798-8710-74F2440A5EB9} : NameServer (81.253.149.9,80.10.246.3) -> NOT REMOVED, USE DNSFIX

Fichier HOSTS:
127.0.0.1 localhost


Termine

Merci à bientot
0
Tigzy Messages postés 7498 Date d'inscription lundi 15 février 2010 Statut Contributeur sécurité Dernière intervention 15 septembre 2021 582
7 mars 2011 à 17:39
Salut

Un petit coucou pour dire de ne PAS fixer les lignes DNS, elles sont légitimes, et je les rajoute.
;)
0
Utilisateur anonyme
7 mars 2011 à 19:33
Salut,

Merci Tigzy... :)
0
Réponse 7 / 29
Utilisateur anonyme
Modifié par Marmar66 le 8/03/2011 à 08:54
Bonjour,

1/ Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


O47 - AAKE:Key Export SP - "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" [Disabled] .(.Pas de propriétaire - Pas de description.) -- C:\Program Files\Veoh Networks\Veoh\VeohClient.exe (.not file.)
O47 - AAKE:Key Export SP - "C:\Program Files\Weflirt\weflirt.exe" [Disabled] .(.Pas de propriétaire - Pas de description.) -- C:\Program Files\Weflirt\weflirt.exe (.not file.)
O51 - MPSK:{0c562e18-7aab-11df-82ec-0013d423ba5c}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- J:\AutoRunCardDetector.exe (.not file.)
O51 - MPSK:{66a5f8a6-9ae2-11df-82f0-0013d423ba5c}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- J:\EmDesk.exe (.not file.)
O51 - MPSK:{a2e0938c-2faa-11e0-832d-0013d423ba5c}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- J:\InstallTomTomHOME.exe (.not file.)
O52 - TDSD: \drivers.desc\"ir50_32.dll"="Indeo® video 5.10" . (.Pas de propriétaire - Pas de description.) -- (.not file.)


Puis Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

Copie/Colle le rapport à l'écran dans ton prochain message



2/ Télécharges ComboFix à partir d'un de ces liens :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
https://forospyware.com
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Et important, enregistre le sur le bureau.

Avant d'utiliser ComboFix :

*********************ATTENTION***********************

? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
la protection en temps réel de ton Antivirus et de tes Antispywares,
qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.


Une fois fait, sur ton bureau double clique sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt,.
est automatiquement sauvegardé et rangé à C:\Combofix.txt)

? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares,
avant de te reconnecter à internet.

? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

A bientôt
0
Réponse 8 / 29
ilid
9 mars 2011 à 08:46
Bonjour,

Voici les rapports

ZHPfix

Rapport de ZHPFix 1.12.3256 par Nicolas Coolman, Update du 23/02/2011
Fichier d'export Registre :
Run by Delaforge at 08/03/2011 17:13:54
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O51 - MPSK:{0c562e18-7aab-11df-82ec-0013d423ba5c}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- J:\AutoRunCardDetector.exe (.not file.) => Clé supprimée avec succès
O51 - MPSK:{66a5f8a6-9ae2-11df-82f0-0013d423ba5c}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- J:\EmDesk.exe (.not file.) => Clé supprimée avec succès
O51 - MPSK:{a2e0938c-2faa-11e0-832d-0013d423ba5c}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- J:\InstallTomTomHOME.exe (.not file.) => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O47 - AAKE:Key Export SP - "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" [Disabled] .(.) -- C:\Program Files\Veoh Networks\Veoh\VeohClient.exe (.not file.) => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\Program Files\Weflirt\weflirt.exe" [Disabled] .(.) -- C:\Program Files\Weflirt\weflirt.exe (.not file.) => Valeur supprimée avec succès
O52 - TDSD: \drivers.desc\"ir50_32.dll"="Indeo® video 5.10" . (.Pas de propriétaire - Pas de description.) -- (.not file.) => Valeur supprimée avec succès

========== Fichier(s) ==========
c:\program files\veoh networks\veoh\veohclient.exe => Fichier absent
c:\program files\weflirt\weflirt.exe => Fichier absent


========== Récapitulatif ==========
3 : Clé(s) du Registre
3 : Valeur(s) du Registre
2 : Fichier(s)


End of the scan

COMBOFIX

ComboFix 11-03-07.07 - Delaforge 09/03/2011 8:19.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.503.188 [GMT 1:00]
Lancé depuis: c:\documents and settings\Delaforge\Bureau\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Delaforge\Application Data\Adobe\plugs
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-02-09 au 2011-03-09 ))))))))))))))))))))))))))))))))))))
.
.
2011-03-09 07:05 . 2011-03-09 07:05 -------- d-----w- c:\windows\LastGood
2011-03-07 07:16 . 2010-11-29 16:42 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-03-07 07:16 . 2011-03-07 07:16 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-03-07 07:16 . 2010-11-29 16:42 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-03-04 17:05 . 2011-03-04 17:05 -------- d-----w- c:\program files\Ad-Remover
2011-03-04 16:10 . 2011-03-04 16:10 -------- d-----w- c:\documents and settings\Delaforge\Application Data\Malwarebytes
2011-03-04 15:57 . 2011-03-04 15:57 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2011-03-04 15:50 . 2011-03-08 16:13 -------- d-----w- c:\program files\ZHPDiag
2011-03-04 15:25 . 2011-03-04 15:25 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2011-03-04 14:34 . 2011-03-04 14:39 -------- d-----w- c:\documents and settings\Administrateur
2011-03-04 12:26 . 2011-03-04 12:26 18301 ----a-w- c:\windows\system32\MAI10.tmp
2011-03-04 12:26 . 2011-03-04 16:35 -------- d-----w- c:\documents and settings\All Users\Application Data\nPoIpIm18100
2011-03-04 12:25 . 2011-03-04 12:25 18301 ----a-w- c:\windows\system32\MAID.tmp
2011-03-04 12:25 . 2011-03-04 12:25 -------- d-----w- c:\documents and settings\Delaforge\Application Data\Sql
2011-03-01 07:18 . 2011-03-01 07:18 -------- d-----w- c:\documents and settings\All Users\Application Data\Photo Notifier and Animation Creator
2011-03-01 07:18 . 2011-03-01 07:18 -------- d-----w- c:\program files\Photo Notifier and Animation Creator
2011-02-08 11:00 . 2011-02-08 11:00 -------- d-----w- c:\documents and settings\Delaforge\Application Data\Windows Search
2011-02-07 13:58 . 2011-02-02 20:40 472808 ----a-w- c:\windows\system32\deployJava1.dll
2011-02-07 13:58 . 2011-02-02 18:19 73728 ----a-w- c:\windows\system32\javacpl.cpl
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-21 14:44 . 2004-08-05 12:00 441344 ----a-w- c:\windows\system32\shimgvw.dll
2011-01-18 12:03 . 2005-09-09 11:00 17134 -c--a-w- c:\windows\system32\pcandis5.sys
2011-01-13 08:47 . 2011-01-18 13:50 38848 ----a-w- c:\windows\avastSS.scr
2011-01-13 08:47 . 2011-01-18 13:50 188216 ----a-w- c:\windows\system32\aswBoot.exe
2011-01-13 08:41 . 2011-01-18 13:52 294608 ----a-w- c:\windows\system32\drivers\aswSP.sys
2011-01-13 08:40 . 2011-01-18 13:52 47440 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2011-01-13 08:40 . 2011-01-18 13:52 100176 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2011-01-13 08:39 . 2011-01-18 13:52 94544 ----a-w- c:\windows\system32\drivers\aswmon.sys
2011-01-13 08:37 . 2011-01-18 13:52 23632 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2011-01-13 08:37 . 2011-01-18 13:52 29392 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2011-01-13 08:37 . 2011-01-18 13:52 17744 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2011-01-07 14:09 . 2004-08-05 12:00 290048 ----a-w- c:\windows\system32\atmfd.dll
2010-12-31 14:04 . 2004-08-05 12:00 1855104 ----a-w- c:\windows\system32\win32k.sys
2010-12-22 12:34 . 2004-08-05 12:00 301568 ----a-w- c:\windows\system32\kerberos.dll
2010-12-20 23:53 . 2004-08-05 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-12-20 23:53 . 2004-08-05 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2010-12-20 23:53 . 2004-08-05 12:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2010-12-20 17:26 . 2004-08-05 12:00 736768 ----a-w- c:\windows\system32\lsasrv.dll
2010-12-20 12:55 . 2004-08-05 12:00 385024 ----a-w- c:\windows\system32\html.iec
2010-12-09 15:15 . 2004-08-05 12:00 743424 ----a-w- c:\windows\system32\ntdll.dll
2010-12-09 15:14 . 2004-08-04 00:49 2029056 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-12-09 15:14 . 2004-08-05 12:00 2150912 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-12-09 14:30 . 2004-08-05 12:00 33280 ----a-w- c:\windows\system32\csrsrv.dll
2005-09-09 11:21 . 2005-09-09 11:01 278528 -c--a-w- c:\program files\Fichiers communs\FDEUnInstaller.exe
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NBJ"="c:\progra~1\Ahead\NEROBA~1\NBJ.exe" [2004-09-22 1871872]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-06-18 39408]
"IncrediMail"="c:\program files\IncrediMail\bin\IncMail.exe" [2011-03-01 353736]
"TomTomHOME.exe"="c:\program files\TomTom HOME 2\TomTomHOMERunner.exe" [2010-08-24 247144]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-10-08 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-10-08 126976]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"OpwareSE2"="c:\program files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 49152]
"Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-06 57344]
"Easy-PrintToolBox"="c:\program files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2004-01-14 409600]
"SoundMan"="SOUNDMAN.EXE" [2004-09-16 69632]
"avast5"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2011-01-13 3396624]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2011-01-22 40368]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-10-29 249064]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\Delaforge\Menu D'marrer\Programmes\D'marrage\
Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]
.
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Windows Search.lnk - c:\program files\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\WDGold Lite\\WDGold Lite.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\IncrediMail\\Bin\\IncMail.exe"=
"c:\\Program Files\\IncrediMail\\Bin\\ImApp.exe"=
"c:\\Program Files\\IncrediMail\\Bin\\ImpCnt.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017
.
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [18/01/2011 14:52 294608]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [18/01/2011 14:52 17744]
R2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [24/08/2010 10:38 92008]
S0 utvqrkpo;utvqrkpo;c:\windows\system32\drivers\aghgsatzezml.sys --> c:\windows\system32\drivers\aghgsatzezml.sys [?]
S0 vbocivvlknkt;vbocivvlknkt;c:\windows\system32\drivers\cpgsmmzwbhp.sys --> c:\windows\system32\drivers\cpgsmmzwbhp.sys [?]
S2 FILESpy;FILESpy;\??\c:\program files\Softwin\BitDefender8\filespy.sys --> c:\program files\Softwin\BitDefender8\filespy.sys [?]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [18/06/2010 10:05 135664]
S3 GTUHSBUS;GT UHS BUS;c:\windows\system32\drivers\gtuhsbus.sys [18/06/2010 08:28 66560]
S3 GTUHSNDISIPXP;GT UHS IP NDIS;c:\windows\system32\drivers\gtuhs51.sys [18/06/2010 08:29 107520]
S3 GTUHSSER;GT UHS SER;c:\windows\system32\drivers\gtuhsser.sys [18/06/2010 08:29 8064]
.
Contenu du dossier 'Tâches planifiées'
.
2011-03-09 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-06-18 09:05]
.
2011-03-09 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-06-18 09:05]
.
2011-03-09 c:\windows\Tasks\User_Feed_Synchronization-{40392D40-83F3-4DD6-BD12-A8E2E030008C}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Easy-WebPrint Ajouter à la liste d'impressions - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
IE: Easy-WebPrint Impression rapide - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
IE: Easy-WebPrint Imprimer - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
IE: Easy-WebPrint Prévisualiser - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
TCP: {891E12C6-8430-4798-8710-74F2440A5EB9} = 81.253.149.9,80.10.246.3
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-03-09 08:25
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10m_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10m_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Heure de fin: 2011-03-09 08:27:55
ComboFix-quarantined-files.txt 2011-03-09 07:27
.
Avant-CF: 24 653 484 032 octets libres
Après-CF: 24 632 455 168 octets libres
.
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
.
- - End Of File - - 754DEF7B3B2846D1949151A1BF5D170A

A bientot
0
Réponse 9 / 29
Utilisateur anonyme
Modifié par Marmar66 le 9/03/2011 à 15:28
Salut,

Combofix a fait son travail

Ton PC est il encore malade :) ?

stp un nouveau rapport ZHPDiag

J'attend tes nouvelles...

@+
0
Réponse 10 / 29
ilid
9 mars 2011 à 16:37
Salut,

Le PC va beaucoup mieux et je t'en remercie.

Voici le lien du rapport ZHPDiag

http://www.cijoint.fr/cjlink.php?file=cj201103/cijhZ1x2qi.txt


A bientot
0
Réponse 11 / 29
Utilisateur anonyme
9 mars 2011 à 17:47
Salut,


1/ Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


P2 - FPN: [HKLM] [@veoh.com/VeohPlayer] - (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll (.not file.)
[HKCU\Software\Veoh]
O64 - Services: CurCS - C:\WINDOWS\system32\Drivers\AAVMKER4.sys - (.not file.) - avast! Asynchronous Virus Monitor (Aavmker4) .(...) - LEGACY_AAVMKER4
O64 - Services: CurCS - C:\DOCUME~1\DELAFO~1\LOCALS~1\Temp\mbr.sys (.not file.) - mbr (mbr) .(...) - LEGACY_MBR


Puis Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

Copie/Colle le rapport à l'écran dans ton prochain message

2/ Lance Malwarebytes, fait la mise à jour puis fait une analyse complète et poster

le rapport

@+
0
Réponse 12 / 29
Utilisateur anonyme
10 mars 2011 à 08:20
Bonjour,
Fait la même chose :
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

OPT:O4 - HKLM\..\Run: [NeroFilterCheck] . (.Ahead Software Gmbh - NeroCheck.) -- C:\WINDOWS\system32\NeroCheck.exe

OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
OPT: O4 - HKLM\..\Run: [Adobe ARM] . (.Adobe Systems Incorporated - Adobe Reader and Acrobat Manager.) -- C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe
OPT:O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
OPT:O4 - HKCU\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
OPT:O4 - HKCU\..\Run: [IncrediMail] . (.IncrediMail, Ltd. - IncrediMail Application.) -- C:\Program Files\IncrediMail\bin\IncMail.exe
OPT:O4 - HKUS\S-1-5-21-790525478-1078081533-725345543-1003\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
OPT:O4 - HKUS\S-1-5-21-790525478-1078081533-725345543-1003\..\Run: [IncrediMail] . (.IncrediMail, Ltd. - IncrediMail Application.) -- C:\Program Files\IncrediMail\bin\IncMail.exe
OPT:O4 - Global Startup: C:\Documents And Settings\Delaforge\Menu Démarrer\Programmes\Démarrage\Adobe Gamma.lnk . (.Adobe Systems, Inc..) -- C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

OPT:O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\IncrediMail.lnk . (.IncrediMail, Ltd..) -- C:\Program Files\IncrediMail\Bin\IncMail.exe
[HKCU\Software\ImInstaller]
[HKLM\Software\ImInstaller]


Puis Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

Copie/Colle le rapport à l'écran dans ton prochain message
@+
0
Réponse 13 / 29
ilid Messages postés 12 Date d'inscription mercredi 21 juillet 2010 Statut Membre Dernière intervention 15 mars 2011
10 mars 2011 à 13:18
Bonjour

Voici les 1er rapports

Rapport de ZHPFix 1.12.3256 par Nicolas Coolman, Update du 23/02/2011
Fichier d'export Registre : C:\ZHPExportRegistry-10-03-2011-12-12-56.txt
Run by Delaforge at 10/03/2011 12:12:56
Windows XP Professional Service Pack 3 (Build 2600)
========== Clé(s) du Registre ==========
P2 - FPN: [HKLM] [@veoh.com/VeohPlayer] - (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll (.not file.) => Clé supprimée avec succès
HKCU\Software\Veoh => Clé supprimée avec succès
O64 - Services: CurCS - C:\WINDOWS\system32\Drivers\AAVMKER4.sys - (.not file.) - avast! Asynchronous Virus Monitor (Aavmker4) .(...) - LEGACY_AAVMKER4 => Clé supprimée avec succès
O64 - Services: CurCS - C:\DOCUME~1\DELAFO~1\LOCALS~1\Temp\mbr.sys (.not file.) - mbr (mbr) .(...) - LEGACY_MBR => Clé supprimée avec succès

========== Fichier(s) ==========
c:\program files\veoh networks\veoh\plugins\noreg\npveohversion.dll => Fichier absent


========== Récapitulatif ==========
4 : Clé(s) du Registre
1 : Fichier(s)


End of the scan


Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6009

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

10/03/2011 12:59:20
mbam-log-2011-03-10 (12-59-19).txt

Type d'examen: Examen complet (C:\|I:\|)
Elément(s) analysé(s): 215721
Temps écoulé: 36 minute(s), 27 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\delaforge\application data\Adobe\adobeutil .exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
0
Réponse 14 / 29
ilid Messages postés 12 Date d'inscription mercredi 21 juillet 2010 Statut Membre Dernière intervention 15 mars 2011
10 mars 2011 à 13:25
Re,

Voici le second

Rapport de ZHPFix 1.12.3256 par Nicolas Coolman, Update du 23/02/2011
Fichier d'export Registre :
Run by Delaforge at 10/03/2011 13:19:49
Windows XP Professional Service Pack 3 (Build 2600)

========== Clé(s) du Registre ==========
HKCU\Software\ImInstaller => Clé supprimée avec succès
HKLM\Software\ImInstaller => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [NeroFilterCheck] . (.Ahead Software Gmbh - NeroCheck.) -- C:\WINDOWS\system32\NeroCheck.exe => Valeur supprimée avec succès
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe => Valeur supprimée avec succès
O4 - HKLM\..\Run: [Adobe ARM] . (.Adobe Systems Incorporated - Adobe Reader and Acrobat Manager.) -- C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe => Valeur supprimée avec succès
O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe => Valeur supprimée avec succès
O4 - HKCU\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe => Valeur supprimée avec succès
O4 - HKCU\..\Run: [IncrediMail] . (.IncrediMail, Ltd. - IncrediMail Application.) -- C:\Program Files\IncrediMail\bin\IncMail.exe => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-790525478-1078081533-725345543-1003\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe => Valeur absente
O4 - HKUS\S-1-5-21-790525478-1078081533-725345543-1003\..\Run: [IncrediMail] . (.IncrediMail, Ltd. - IncrediMail Application.) -- C:\Program Files\IncrediMail\bin\IncMail.exe => Valeur absente

========== Fichier(s) ==========
c:\documents and settings\delaforge\menu démarrer\programmes\démarrage\adobe gamma.lnk => Supprimé et mis en quarantaine
c:\documents and settings\all users\menu démarrer\programmes\incredimail.lnk => Supprimé et mis en quarantaine


========== Récapitulatif ==========
2 : Clé(s) du Registre
8 : Valeur(s) du Registre
2 : Fichier(s)


End of the scan


A bientot
0
Réponse 15 / 29
Utilisateur anonyme
Modifié par Marmar66 le 12/03/2011 à 15:09
Salut,

1/ Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

O43 - CFD: 19/01/2011 - 17:11:02 - [226432] ----D- C:\Program Files\Microsoft
O24 - Default MHTML Editor: Last - .(.Pas de propriétaire - Pas de description.) - C:\Program Files\Microsoft Office\OFFICE11\WINWORD.exe (.not file.)
O43 - CFD: 09/09/2005 - 13:38:32 - [2155617] ----D- C:\Program Files\Arcadia
O43 - CFD: 03/02/2011 - 09:05:28 - [0] ----D- C:\Documents and Settings\Delaforge\Local Settings\Application Data\Temp
O47 - AAKE:Key Export SP - "C:\Program Files\IncrediMail\Bin\ImApp.exe" [Enabled] .(.IncrediMail, Ltd. - IncrediMail Tray Application.) -- C:\Program Files\IncrediMail\Bin\ImApp.exe
O47 - AAKE:Key Export SP - "C:\Program Files\IncrediMail\Bin\ImpCnt.exe" [Enabled] .(.IncrediMail, Ltd. - IncrediMail Content Importer.) -- C:\Program Files\IncrediMail\Bin\ImpCnt.exe

OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKO4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
US\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-21-790525478-1078081533-725345543-1003\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
[HKLM\Software\BrowserChoice]



Puis Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

Copie/Colle le rapport à l'écran dans ton prochain message


2/

Télécharge SEAF ( de C__XX ) sur ton bureau :

ici http://www.teamxscript.org/SEAFTelechargement.html


* Double clique sur "SEAF.exe" ( clique droit et "Exécuter en tant qu'administrateur" pour Vista / 7 ) pour lancer l'outil.

* Dans l'encardré blanc " Entrez ci dessous...." copie/colle ceci :

aghgsatzezml.sys


* Au niveau des " options des fichiers ", fait les réglages suivant :
> A "Calculer le checksum" , choisis : MD5
> Coche la case devant " Info. supplémentaire ".
> Coche la case devant " Afficher les ADS "

* Au niveau des " options du registre " :
> coche " chercher également dans le registre "

( ne touche à aucun autre réglage )

* Clique sur " Lancer la recherche " et laisse travailler l'outil ...
( cela peut-être plus ou moins long suivant les cas ).

--> Une fois terminé, une fenêtre avec un log .txt va s'afficher. Enregistre ce rapport de façon à le retrouver facilement ( sur le bureau par exemple ). Sinon il sera en outre sauvegardé à la racine de ton disque dur ( ici > C:\SEAFLog.txt )


puis pareil avec cpgsmmzwbhp.sys

J'attend les rapports : ZHPFix et Seaf

@+
0
Réponse 16 / 29
ilid
10 mars 2011 à 17:22
Bonsoir,

Je part pour 3 jours. Je m'occupe de ça lundi et je reviens vers toi pour te donner les rapports.

Merci pour ton aide.

Bon week end
0
Utilisateur anonyme
10 mars 2011 à 17:26
Salut,

De rien...

bon weekend :)

A bientôt
0
Réponse 17 / 29
ilid Messages postés 12 Date d'inscription mercredi 21 juillet 2010 Statut Membre Dernière intervention 15 mars 2011
14 mars 2011 à 08:59
Bonjour

Voici les rapports

Rapport de ZHPFix 1.12.3256 par Nicolas Coolman, Update du 23/02/2011
Fichier d'export Registre :
Run by Delaforge at 10/03/2011 17:10:22
Windows XP Professional Service Pack 3 (Build 2600)

========== Clé(s) du Registre ==========
HKLM\Software\BrowserChoice => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O47 - AAKE:Key Export SP - "C:\Program Files\IncrediMail\Bin\ImApp.exe" [Enabled] .(.IncrediMail, Ltd. - IncrediMail Tray Application.) -- C:\Program Files\IncrediMail\Bin\ImApp.exe => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\Program Files\IncrediMail\Bin\ImpCnt.exe" [Enabled] .(.IncrediMail, Ltd. - IncrediMail Content Importer.) -- C:\Program Files\IncrediMail\Bin\ImpCnt.exe => Valeur supprimée avec succès
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe => Valeur supprimée avec succès
O4 - HKO4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-790525478-1078081533-725345543-1003\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe => Valeur absente

========== Elément(s) de donnée du Registre ==========
O24 - Default MHTML Editor: Last - .(.Pas de propriétaire - Pas de description.) - C:\Program Files\Microsoft Office\OFFICE11\WINWORD.exe (.not file.) => Donnée supprimée avec succès
[HKCU\Software\Microsoft\Internet Explorer\Default MHTML Editor\Shell\Edit\Command] => Donnée supprimée avec succès

========== Dossier(s) ==========
C:\Program Files\Microsoft => Supprimé et mis en quarantaine
C:\Program Files\Arcadia => Fichier supprimé au reboot
C:\Documents and Settings\Delaforge\Local Settings\Application Data\Temp => Supprimé et mis en quarantaine

========== Fichier(s) ==========
c:\program files\microsoft office\office11\winword.exe => Fichier absent
c:\program files\incredimail\bin\imapp.exe => Supprimé et mis en quarantaine
c:\program files\incredimail\bin\impcnt.exe => Supprimé et mis en quarantaine

========== Autre ==========
US\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe => Format Non supporté


========== Récapitulatif ==========
1 : Clé(s) du Registre
5 : Valeur(s) du Registre
2 : Elément(s) de donnée du Registre
3 : Dossier(s)
3 : Fichier(s)
1 : Autre


End of the scan


Malwarebytes' Anti-Malware 1.50.1.1100

Version de la base de données: 6009

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

14/03/2011 08:46:50
mbam-log-2011-03-14 (08-46-50).txt

Type d'examen: Examen complet (C:\|I:\|)
Elément(s) analysé(s): 215132
Temps écoulé: 39 minute(s), 43 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)




Et le lien pour ZHPDiag

http://www.cijoint.fr/cjlink.php?file=cj201103/cijnWKn64w.txt


Merci à bientot
0
Réponse 18 / 29
Utilisateur anonyme
14 mars 2011 à 09:18
Bonjour,

Il y'a avancement :)

stp, j'attend les deux rapports de seaf,

voir ICI

@+


H.F. : Fish66
0
Réponse 19 / 29
ilid Messages postés 12 Date d'inscription mercredi 21 juillet 2010 Statut Membre Dernière intervention 15 mars 2011
14 mars 2011 à 11:48
Re,

Voici les 2 rapports Seaf

1. ========================= SEAF 1.0.1.0 - C_XX
2.
3. Commencé à: 11:35:18 le 14/03/2011
4.
5. Valeur(s) recherchée(s):
6. aghgsatzezml.sys
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10. (!) --- Calcul du Hash "MD5"
11. (!) --- Informations supplémentaires
12. (!) --- Affichage des ADS
13. (!) --- Recherche registre
14.
15. ====== Fichier(s) ======
16.
17. Aucun fichier trouvé
18.
19.
20. ====== Entrée(s) du registre ======
21.
22.
23. [HKLM\System\ControlSet001\Services\utvqrkpo]
24. "ImagePath"="system32\drivers\aghgsatzezml.sys" (REG_SZ)
25.
26. [HKLM\System\ControlSet003\Services\utvqrkpo]
27. "ImagePath"="system32\drivers\aghgsatzezml.sys" (REG_SZ)
28.
29. [HKLM\System\CurrentControlSet\Services\utvqrkpo]
30. "ImagePath"="system32\drivers\aghgsatzezml.sys" (REG_SZ)
31.
32. =========================
33.
34. Fin à: 11:38:01 le 14/03/2011
35. 194709 Éléments analysés
36.
37. =========================
38. E.O.F



1. ========================= SEAF 1.0.1.0 - C_XX
2.
3. Commencé à: 11:45:00 le 14/03/2011
4.
5. Valeur(s) recherchée(s):
6. cpgsmmzwbhp.sys
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10. (!) --- Calcul du Hash "MD5"
11. (!) --- Informations supplémentaires
12. (!) --- Affichage des ADS
13. (!) --- Recherche registre
14.
15. ====== Fichier(s) ======
16.
17. Aucun fichier trouvé
18.
19.
20. ====== Entrée(s) du registre ======
21.
22.
23. [HKLM\System\ControlSet001\Services\vbocivvlknkt]
24. "ImagePath"="system32\drivers\cpgsmmzwbhp.sys" (REG_SZ)
25.
26. [HKLM\System\ControlSet003\Services\vbocivvlknkt]
27. "ImagePath"="system32\drivers\cpgsmmzwbhp.sys" (REG_SZ)
28.
29. [HKLM\System\CurrentControlSet\Services\vbocivvlknkt]
30. "ImagePath"="system32\drivers\cpgsmmzwbhp.sys" (REG_SZ)
31.
32. =========================
33.
34. Fin à: 11:47:09 le 14/03/2011
35. 194707 Éléments analysés
36.
37. =========================
38. E.O.F


A bientot
0
Réponse 20 / 29
Utilisateur anonyme
14 mars 2011 à 14:40
Salut,

Pour bien vérifier que ces deux fichiers sont infectés rend toi sur ce site

Virus Total

Colle directement le chemin des fichiers , un par un , dans l'espace "Parcourir"

apres chaque analyse :

c:\windows\system32\drivers\aghgsatzezml.sys

* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation

actuelle : en cours d'analyse" est affiché.

* Il est possible que le fichier soit mis en file d'attente en raison d'un grand

nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser

la page.

* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine

réponse.

Fait de la même facon le fichier :

c:\windows\system32\drivers\cpgsmmzwbhp.sys


J'attend les deux rapports pour pouvoir continuer

@+
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Comment savoir si j'ai attrapé un virus sur mon téléphone ?
Infolock -
bell -

66 réponses
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
Virus Altruistic
Mael03250 -
MisteryBean -

11 réponses
Supprimer notifications myavids.com sous Android.
Guy72 -
Liline -

7 réponses