Virus spm/LX

Résolu
ilid Messages postés 15 Statut Membre -  
 Utilisateur anonyme -
Bonjour,

Mon pc vient d'être infecté par un virus SPM/LX. Dans la foulé un programme anti-virus nommé System tool c'est auto installé et bien sur il est payant. Après avoir lu les posts sur ce sujet, j'ai tenté d'installé HijackThis pour poster un scan, mais lorsque je clic sur "Executer" rien ne se passe.
Avast est impuissant, CCleaner est devenu inactif et Malwarebytes à disparu de mon PC.

Si quelqu'un pouvait m'aider, merci d'avance.

29 réponses

  • 1
  • 2
  1. Utilisateur anonyme
     
    Salut,

    Tu vas essayer maintenant de télécharger ZHPDiag (outil de diagnostic)

    Télécharge ZHPDiag ( de Nicolas coolman ) :https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

    Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista et seven )

    Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

    Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

    Rend toi sur Cjoint : http://www.cijoint.fr/

    Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

    Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

    Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

    @+
    0
  2. ilid Messages postés 15 Statut Membre
     
    Bonjour et merci de ton aide

    Voici le lien du fichier ZHPDiag

    http://www.cijoint.fr/cjlink.php?file=cj201103/cijtsOLw0t.txt
    0
  3. Utilisateur anonyme
     
    Salut,

    1/ * Télécharge de AD-Remover sur ton Bureau.
    http://www.teamxscript.org/adremoverTelechargement.html

    /!\ Ferme toutes applications en cours /!\

    - Double-clique sur l'icône Ad-remover située sur ton Bureau.
    - Sur la page, clique sur le bouton « Chercher »
    - Confirme lancement du scan
    - Laisse travailler l'outil.
    - Poste le rapport qui apparaît à la fin.

    (Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)

    (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour c

    2/ Désinstalle Malwarebytes , puis réinstalle le à partir Ce lien

    Fait une analyse complète et poster le rapport
    @+
    0
  4. ilid
     
    Bonjour

    Voici les rapports AD-Remover et malwarebytes.

    Merci à toi et bonne semaine

    ======= RAPPORT D'AD-REMOVER 2.0.0.2,F | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 01/03/11
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 18:05:33 le 04/03/2011, Mode normal

    Microsoft Windows XP Professionnel Service Pack 3 (X86)
    Delaforge@MY-BA9B60CAD86C ( )

    ============== ACTION(S) ==============

    (!) -- Fichiers temporaires supprimés.

    Clé supprimée: HKLM\Software\Classes\Interface\{89541520-2D31-11D2-A166-0060081C43D9}
    Clé supprimée: HKLM\Software\Classes\Interface\{8954152E-2D31-11D2-A166-0060081C43D9}
    Clé supprimée: HKLM\Software\Classes\ExplorerBar.Group
    Clé supprimée: HKLM\Software\Classes\ExplorerBar.Group.1
    Clé supprimée: HKLM\Software\Classes\ExplorerBar.Groups
    Clé supprimée: HKLM\Software\Classes\ExplorerBar.Groups.1
    Clé supprimée: HKLM\Software\Classes\ExplorerBar.Item
    Clé supprimée: HKLM\Software\Classes\ExplorerBar.Item.1
    Clé supprimée: HKLM\Software\Classes\ExplorerBar.TemplatePage
    Clé supprimée: HKLM\Software\Classes\ExplorerBar.TemplatePage.1

    ============== SCAN ADDITIONNEL ==============

    **** Internet Explorer Version [8.0.6001.18702] ****

    HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
    HKCU_Main|Start Page - hxxp://fr.msn.com/
    HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
    HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
    HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Start Page - hxxp://fr.msn.com/
    HKCU_Toolbar\WebBrowser|{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll)
    HKLM_Toolbar|{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll)
    HKLM_Toolbar|{D0943516-5076-4020-A3B5-AEFAF26AB263} (x)
    HKLM_Toolbar|{327C2873-E90D-4c37-AA9D-10AC9BABA46C} (C:\Program Files\Canon\Easy-WebPrint\Toolband.dll)
    HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
    BHO\{02478D38-C3F9-4efb-9B51-7695ECA05670} (?)
    BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
    BHO\{9394EDE7-C8B5-483E-8773-474BF36AF6E4} - "ST" (C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll)
    BHO\{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - "MSNToolBandBHO" (C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll)

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 13 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 04/03/2011 18:05:46 (2310 Octet(s))

    Fin à: 18:06:36, 04/03/2011

    Malwarebytes' Anti-Malware 1.50www.malwarebytes.org

    Version de la base de données: 5979

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    07/03/2011 09:13:36
    mbam-log-2011-03-07 (09-13-36).txt

    Type d'examen: Examen complet (C:\|I:\|)
    Elément(s) analysé(s): 215572
    Temps écoulé: 54 minute(s), 38 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 3

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\documents and settings\delaforge\application data\adobe\adobeutil.exe (Trojan.Email.Gen) -> Quarantined and deleted successfully.
    c:\system volume information\_restore{5326ec62-6c92-4286-9e32-d51cf2e63a31}\rp54\a0014736.dll (Trojan.Genome) -> Quarantined and deleted successfully.
    c:\system volume information\_restore{5326ec62-6c92-4286-9e32-d51cf2e63a31}\rp54\a0015894.exe (Trojan.Email.Gen) -> Quarantined and deleted successfully.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    Bonjour,

    1/
    * Télécharge sur le bureau RogueKiller (par tigzy)
    https://www.luanagames.com/index.fr.html

    * Quitte tous tes programmes en cours

    * Lance RogueKiller.exe.

    * Lorsque demandé, tape 2 et valide

    * Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse

    * Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. ou renommer l'outil en firefox.exe ou roguekiller.com

    2/ Refait un nouveau rapport ZHPDiag .

    A bientôt
    0
  7. ilid
     
    Bonjour,

    Ci-joint lien pour rapport ZHPDiag :

    http://www.cijoint.fr/cjlink.php?file=cj201103/cijoqxGzbU.txt

    Et rapport RK :

    RogueKiller V4.1.0 par Tigzy
    contact sur https://www.luanagames.com/index.fr.html
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode normal
    Utilisateur: Delaforge [Droits d'admin]
    Mode: Suppression -- Date : 07/03/2011 17:12:30

    Processus malicieux: 0

    Entrees de registre: 2
    [DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{891E12C6-8430-4798-8710-74F2440A5EB9} : NameServer (81.253.149.9,80.10.246.3) -> NOT REMOVED, USE DNSFIX
    [DNS] HKLM\[...]\ControlSet003\Parameters\Interfaces\{891E12C6-8430-4798-8710-74F2440A5EB9} : NameServer (81.253.149.9,80.10.246.3) -> NOT REMOVED, USE DNSFIX

    Fichier HOSTS:
    127.0.0.1 localhost

    Termine

    Merci à bientot
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Salut

      Un petit coucou pour dire de ne PAS fixer les lignes DNS, elles sont légitimes, et je les rajoute.
      ;)
      0
    2. Utilisateur anonyme
       
      Salut,

      Merci Tigzy... :)
      0
  8. Utilisateur anonyme
     
    Bonjour,

    1/ Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

    O47 - AAKE:Key Export SP - "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" [Disabled] .(.Pas de propriétaire - Pas de description.) -- C:\Program Files\Veoh Networks\Veoh\VeohClient.exe (.not file.)
    O47 - AAKE:Key Export SP - "C:\Program Files\Weflirt\weflirt.exe" [Disabled] .(.Pas de propriétaire - Pas de description.) -- C:\Program Files\Weflirt\weflirt.exe (.not file.)
    O51 - MPSK:{0c562e18-7aab-11df-82ec-0013d423ba5c}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- J:\AutoRunCardDetector.exe (.not file.)
    O51 - MPSK:{66a5f8a6-9ae2-11df-82f0-0013d423ba5c}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- J:\EmDesk.exe (.not file.)
    O51 - MPSK:{a2e0938c-2faa-11e0-832d-0013d423ba5c}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- J:\InstallTomTomHOME.exe (.not file.)
    O52 - TDSD: \drivers.desc\"ir50_32.dll"="Indeo® video 5.10" . (.Pas de propriétaire - Pas de description.) -- (.not file.)


    Puis Lance ZHPFix depuis le raccourci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

    Copie/Colle le rapport à l'écran dans ton prochain message

    2/ Télécharges ComboFix à partir d'un de ces liens :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    https://forospyware.com
    http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

    Et important, enregistre le sur le bureau.

    Avant d'utiliser ComboFix :

    *********************ATTENTION***********************

    ? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

    ? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
    la protection en temps réel de ton Antivirus et de tes Antispywares,
    qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    Une fois fait, sur ton bureau double clique sur Combofix.exe.

    - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    /!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

    - En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

    - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt,.
    est automatiquement sauvegardé et rangé à C:\Combofix.txt)

    ? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares,
    avant de te reconnecter à internet.

    ? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    A bientôt
    0
  9. ilid
     
    Bonjour,

    Voici les rapports

    ZHPfix

    Rapport de ZHPFix 1.12.3256 par Nicolas Coolman, Update du 23/02/2011
    Fichier d'export Registre :
    Run by Delaforge at 08/03/2011 17:13:54
    Windows XP Professional Service Pack 3 (Build 2600)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Clé(s) du Registre ==========
    O51 - MPSK:{0c562e18-7aab-11df-82ec-0013d423ba5c}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- J:\AutoRunCardDetector.exe (.not file.) => Clé supprimée avec succès
    O51 - MPSK:{66a5f8a6-9ae2-11df-82f0-0013d423ba5c}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- J:\EmDesk.exe (.not file.) => Clé supprimée avec succès
    O51 - MPSK:{a2e0938c-2faa-11e0-832d-0013d423ba5c}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- J:\InstallTomTomHOME.exe (.not file.) => Clé supprimée avec succès

    ========== Valeur(s) du Registre ==========
    O47 - AAKE:Key Export SP - "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" [Disabled] .(.) -- C:\Program Files\Veoh Networks\Veoh\VeohClient.exe (.not file.) => Valeur supprimée avec succès
    O47 - AAKE:Key Export SP - "C:\Program Files\Weflirt\weflirt.exe" [Disabled] .(.) -- C:\Program Files\Weflirt\weflirt.exe (.not file.) => Valeur supprimée avec succès
    O52 - TDSD: \drivers.desc\"ir50_32.dll"="Indeo® video 5.10" . (.Pas de propriétaire - Pas de description.) -- (.not file.) => Valeur supprimée avec succès

    ========== Fichier(s) ==========
    c:\program files\veoh networks\veoh\veohclient.exe => Fichier absent
    c:\program files\weflirt\weflirt.exe => Fichier absent

    ========== Récapitulatif ==========
    3 : Clé(s) du Registre
    3 : Valeur(s) du Registre
    2 : Fichier(s)

    End of the scan

    COMBOFIX

    ComboFix 11-03-07.07 - Delaforge 09/03/2011 8:19.1.2 - x86
    Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.503.188 [GMT 1:00]
    Lancé depuis: c:\documents and settings\Delaforge\Bureau\ComboFix.exe
    AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
    .
    .
    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    c:\documents and settings\Delaforge\Application Data\Adobe\plugs
    .
    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2011-02-09 au 2011-03-09 ))))))))))))))))))))))))))))))))))))
    .
    .
    2011-03-09 07:05 . 2011-03-09 07:05 -------- d-----w- c:\windows\LastGood
    2011-03-07 07:16 . 2010-11-29 16:42 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2011-03-07 07:16 . 2011-03-07 07:16 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2011-03-07 07:16 . 2010-11-29 16:42 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
    2011-03-04 17:05 . 2011-03-04 17:05 -------- d-----w- c:\program files\Ad-Remover
    2011-03-04 16:10 . 2011-03-04 16:10 -------- d-----w- c:\documents and settings\Delaforge\Application Data\Malwarebytes
    2011-03-04 15:57 . 2011-03-04 15:57 512 ----a-w- C:\PhysicalDisk0_MBR.bin
    2011-03-04 15:50 . 2011-03-08 16:13 -------- d-----w- c:\program files\ZHPDiag
    2011-03-04 15:25 . 2011-03-04 15:25 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
    2011-03-04 14:34 . 2011-03-04 14:39 -------- d-----w- c:\documents and settings\Administrateur
    2011-03-04 12:26 . 2011-03-04 12:26 18301 ----a-w- c:\windows\system32\MAI10.tmp
    2011-03-04 12:26 . 2011-03-04 16:35 -------- d-----w- c:\documents and settings\All Users\Application Data\nPoIpIm18100
    2011-03-04 12:25 . 2011-03-04 12:25 18301 ----a-w- c:\windows\system32\MAID.tmp
    2011-03-04 12:25 . 2011-03-04 12:25 -------- d-----w- c:\documents and settings\Delaforge\Application Data\Sql
    2011-03-01 07:18 . 2011-03-01 07:18 -------- d-----w- c:\documents and settings\All Users\Application Data\Photo Notifier and Animation Creator
    2011-03-01 07:18 . 2011-03-01 07:18 -------- d-----w- c:\program files\Photo Notifier and Animation Creator
    2011-02-08 11:00 . 2011-02-08 11:00 -------- d-----w- c:\documents and settings\Delaforge\Application Data\Windows Search
    2011-02-07 13:58 . 2011-02-02 20:40 472808 ----a-w- c:\windows\system32\deployJava1.dll
    2011-02-07 13:58 . 2011-02-02 18:19 73728 ----a-w- c:\windows\system32\javacpl.cpl
    .
    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2011-01-21 14:44 . 2004-08-05 12:00 441344 ----a-w- c:\windows\system32\shimgvw.dll
    2011-01-18 12:03 . 2005-09-09 11:00 17134 -c--a-w- c:\windows\system32\pcandis5.sys
    2011-01-13 08:47 . 2011-01-18 13:50 38848 ----a-w- c:\windows\avastSS.scr
    2011-01-13 08:47 . 2011-01-18 13:50 188216 ----a-w- c:\windows\system32\aswBoot.exe
    2011-01-13 08:41 . 2011-01-18 13:52 294608 ----a-w- c:\windows\system32\drivers\aswSP.sys
    2011-01-13 08:40 . 2011-01-18 13:52 47440 ----a-w- c:\windows\system32\drivers\aswTdi.sys
    2011-01-13 08:40 . 2011-01-18 13:52 100176 ----a-w- c:\windows\system32\drivers\aswmon2.sys
    2011-01-13 08:39 . 2011-01-18 13:52 94544 ----a-w- c:\windows\system32\drivers\aswmon.sys
    2011-01-13 08:37 . 2011-01-18 13:52 23632 ----a-w- c:\windows\system32\drivers\aswRdr.sys
    2011-01-13 08:37 . 2011-01-18 13:52 29392 ----a-w- c:\windows\system32\drivers\aavmker4.sys
    2011-01-13 08:37 . 2011-01-18 13:52 17744 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
    2011-01-07 14:09 . 2004-08-05 12:00 290048 ----a-w- c:\windows\system32\atmfd.dll
    2010-12-31 14:04 . 2004-08-05 12:00 1855104 ----a-w- c:\windows\system32\win32k.sys
    2010-12-22 12:34 . 2004-08-05 12:00 301568 ----a-w- c:\windows\system32\kerberos.dll
    2010-12-20 23:53 . 2004-08-05 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
    2010-12-20 23:53 . 2004-08-05 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
    2010-12-20 23:53 . 2004-08-05 12:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
    2010-12-20 17:26 . 2004-08-05 12:00 736768 ----a-w- c:\windows\system32\lsasrv.dll
    2010-12-20 12:55 . 2004-08-05 12:00 385024 ----a-w- c:\windows\system32\html.iec
    2010-12-09 15:15 . 2004-08-05 12:00 743424 ----a-w- c:\windows\system32\ntdll.dll
    2010-12-09 15:14 . 2004-08-04 00:49 2029056 ----a-w- c:\windows\system32\ntkrnlpa.exe
    2010-12-09 15:14 . 2004-08-05 12:00 2150912 ----a-w- c:\windows\system32\ntoskrnl.exe
    2010-12-09 14:30 . 2004-08-05 12:00 33280 ----a-w- c:\windows\system32\csrsrv.dll
    2005-09-09 11:21 . 2005-09-09 11:01 278528 -c--a-w- c:\program files\Fichiers communs\FDEUnInstaller.exe
    .
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4
    .
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NBJ"="c:\progra~1\Ahead\NEROBA~1\NBJ.exe" [2004-09-22 1871872]
    "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-06-18 39408]
    "IncrediMail"="c:\program files\IncrediMail\bin\IncMail.exe" [2011-03-01 353736]
    "TomTomHOME.exe"="c:\program files\TomTom HOME 2\TomTomHOMERunner.exe" [2010-08-24 247144]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-10-08 155648]
    "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-10-08 126976]
    "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
    "OpwareSE2"="c:\program files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 49152]
    "Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-06 57344]
    "Easy-PrintToolBox"="c:\program files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2004-01-14 409600]
    "SoundMan"="SOUNDMAN.EXE" [2004-09-16 69632]
    "avast5"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2011-01-13 3396624]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2011-01-22 40368]
    "Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
    "SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-10-29 249064]
    .
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
    .
    c:\documents and settings\Delaforge\Menu D'marrer\Programmes\D'marrage\
    Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]
    .
    c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
    Windows Search.lnk - c:\program files\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]
    .
    [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
    "{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
    .
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)
    .
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\WDGold Lite\\WDGold Lite.exe"=
    "c:\\Program Files\\Messenger\\msmsgs.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\IncrediMail\\Bin\\IncMail.exe"=
    "c:\\Program Files\\IncrediMail\\Bin\\ImApp.exe"=
    "c:\\Program Files\\IncrediMail\\Bin\\ImpCnt.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
    "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
    .
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
    "1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
    "500:UDP"= 500:UDP:@xpsp2res.dll,-22017
    .
    R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [18/01/2011 14:52 294608]
    R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [18/01/2011 14:52 17744]
    R2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [24/08/2010 10:38 92008]
    S0 utvqrkpo;utvqrkpo;c:\windows\system32\drivers\aghgsatzezml.sys --> c:\windows\system32\drivers\aghgsatzezml.sys [?]
    S0 vbocivvlknkt;vbocivvlknkt;c:\windows\system32\drivers\cpgsmmzwbhp.sys --> c:\windows\system32\drivers\cpgsmmzwbhp.sys [?]
    S2 FILESpy;FILESpy;\??\c:\program files\Softwin\BitDefender8\filespy.sys --> c:\program files\Softwin\BitDefender8\filespy.sys [?]
    S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [18/06/2010 10:05 135664]
    S3 GTUHSBUS;GT UHS BUS;c:\windows\system32\drivers\gtuhsbus.sys [18/06/2010 08:28 66560]
    S3 GTUHSNDISIPXP;GT UHS IP NDIS;c:\windows\system32\drivers\gtuhs51.sys [18/06/2010 08:29 107520]
    S3 GTUHSSER;GT UHS SER;c:\windows\system32\drivers\gtuhsser.sys [18/06/2010 08:29 8064]
    .
    Contenu du dossier 'Tâches planifiées'
    .
    2011-03-09 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-06-18 09:05]
    .
    2011-03-09 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-06-18 09:05]
    .
    2011-03-09 c:\windows\Tasks\User_Feed_Synchronization-{40392D40-83F3-4DD6-BD12-A8E2E030008C}.job
    - c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.fr/
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
    IE: Easy-WebPrint Ajouter à la liste d'impressions - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
    IE: Easy-WebPrint Impression rapide - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
    IE: Easy-WebPrint Imprimer - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
    IE: Easy-WebPrint Prévisualiser - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
    IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
    TCP: {891E12C6-8430-4798-8710-74F2440A5EB9} = 81.253.149.9,80.10.246.3
    .
    .
    **************************************************************************
    .
    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2011-03-09 08:25
    Windows 5.1.2600 Service Pack 3 NTFS
    .
    Recherche de processus cachés ...
    .
    Recherche d'éléments en démarrage automatique cachés ...
    .
    Recherche de fichiers cachés ...
    .
    Scan terminé avec succès
    Fichiers cachés: 0
    .
    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------
    .
    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
    @Denied: (A 2) (Everyone)
    @="FlashBroker"
    "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10m_ActiveX.exe,-101"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
    "Enabled"=dword:00000001
    .
    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
    @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10m_ActiveX.exe"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
    @Denied: (A 2) (Everyone)
    @="IFlashBroker4"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
    @="{00020424-0000-0000-C000-000000000046}"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    "Version"="1.0"
    .
    Heure de fin: 2011-03-09 08:27:55
    ComboFix-quarantined-files.txt 2011-03-09 07:27
    .
    Avant-CF: 24 653 484 032 octets libres
    Après-CF: 24 632 455 168 octets libres
    .
    WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    UnsupportedDebug="do not select this" /debug
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
    .
    - - End Of File - - 754DEF7B3B2846D1949151A1BF5D170A

    A bientot
    0
  10. Utilisateur anonyme
     
    Salut,

    Combofix a fait son travail

    Ton PC est il encore malade :) ?

    stp un nouveau rapport ZHPDiag

    J'attend tes nouvelles...

    @+
    0
  11. ilid
     
    Salut,

    Le PC va beaucoup mieux et je t'en remercie.

    Voici le lien du rapport ZHPDiag

    http://www.cijoint.fr/cjlink.php?file=cj201103/cijhZ1x2qi.txt

    A bientot
    0
  12. Utilisateur anonyme
     
    Salut,

    1/ Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

    P2 - FPN: [HKLM] [@veoh.com/VeohPlayer] - (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll (.not file.)
    [HKCU\Software\Veoh]
    O64 - Services: CurCS - C:\WINDOWS\system32\Drivers\AAVMKER4.sys - (.not file.) - avast! Asynchronous Virus Monitor (Aavmker4) .(...) - LEGACY_AAVMKER4
    O64 - Services: CurCS - C:\DOCUME~1\DELAFO~1\LOCALS~1\Temp\mbr.sys (.not file.) - mbr (mbr) .(...) - LEGACY_MBR


    Puis Lance ZHPFix depuis le raccourci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

    Copie/Colle le rapport à l'écran dans ton prochain message

    2/ Lance Malwarebytes, fait la mise à jour puis fait une analyse complète et poster

    le rapport

    @+
    0
  13. Utilisateur anonyme
     
    Bonjour,
    Fait la même chose :
    Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

    OPT:O4 - HKLM\..\Run: [NeroFilterCheck] . (.Ahead Software Gmbh - NeroCheck.) -- C:\WINDOWS\system32\NeroCheck.exe

    OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
    OPT: O4 - HKLM\..\Run: [Adobe ARM] . (.Adobe Systems Incorporated - Adobe Reader and Acrobat Manager.) -- C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe
    OPT:O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
    OPT:O4 - HKCU\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    OPT:O4 - HKCU\..\Run: [IncrediMail] . (.IncrediMail, Ltd. - IncrediMail Application.) -- C:\Program Files\IncrediMail\bin\IncMail.exe
    OPT:O4 - HKUS\S-1-5-21-790525478-1078081533-725345543-1003\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    OPT:O4 - HKUS\S-1-5-21-790525478-1078081533-725345543-1003\..\Run: [IncrediMail] . (.IncrediMail, Ltd. - IncrediMail Application.) -- C:\Program Files\IncrediMail\bin\IncMail.exe
    OPT:O4 - Global Startup: C:\Documents And Settings\Delaforge\Menu Démarrer\Programmes\Démarrage\Adobe Gamma.lnk . (.Adobe Systems, Inc..) -- C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

    OPT:O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\IncrediMail.lnk . (.IncrediMail, Ltd..) -- C:\Program Files\IncrediMail\Bin\IncMail.exe
    [HKCU\Software\ImInstaller]
    [HKLM\Software\ImInstaller]


    Puis Lance ZHPFix depuis le raccourci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

    Copie/Colle le rapport à l'écran dans ton prochain message
    @+
    0
  14. ilid Messages postés 15 Statut Membre
     
    Bonjour

    Voici les 1er rapports

    Rapport de ZHPFix 1.12.3256 par Nicolas Coolman, Update du 23/02/2011
    Fichier d'export Registre : C:\ZHPExportRegistry-10-03-2011-12-12-56.txt
    Run by Delaforge at 10/03/2011 12:12:56
    Windows XP Professional Service Pack 3 (Build 2600)
    ========== Clé(s) du Registre ==========
    P2 - FPN: [HKLM] [@veoh.com/VeohPlayer] - (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll (.not file.) => Clé supprimée avec succès
    HKCU\Software\Veoh => Clé supprimée avec succès
    O64 - Services: CurCS - C:\WINDOWS\system32\Drivers\AAVMKER4.sys - (.not file.) - avast! Asynchronous Virus Monitor (Aavmker4) .(...) - LEGACY_AAVMKER4 => Clé supprimée avec succès
    O64 - Services: CurCS - C:\DOCUME~1\DELAFO~1\LOCALS~1\Temp\mbr.sys (.not file.) - mbr (mbr) .(...) - LEGACY_MBR => Clé supprimée avec succès

    ========== Fichier(s) ==========
    c:\program files\veoh networks\veoh\plugins\noreg\npveohversion.dll => Fichier absent

    ========== Récapitulatif ==========
    4 : Clé(s) du Registre
    1 : Fichier(s)

    End of the scan

    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Version de la base de données: 6009

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    10/03/2011 12:59:20
    mbam-log-2011-03-10 (12-59-19).txt

    Type d'examen: Examen complet (C:\|I:\|)
    Elément(s) analysé(s): 215721
    Temps écoulé: 36 minute(s), 27 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\documents and settings\delaforge\application data\Adobe\adobeutil .exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
    0
  15. ilid Messages postés 15 Statut Membre
     
    Re,

    Voici le second

    Rapport de ZHPFix 1.12.3256 par Nicolas Coolman, Update du 23/02/2011
    Fichier d'export Registre :
    Run by Delaforge at 10/03/2011 13:19:49
    Windows XP Professional Service Pack 3 (Build 2600)

    ========== Clé(s) du Registre ==========
    HKCU\Software\ImInstaller => Clé supprimée avec succès
    HKLM\Software\ImInstaller => Clé supprimée avec succès

    ========== Valeur(s) du Registre ==========
    O4 - HKLM\..\Run: [NeroFilterCheck] . (.Ahead Software Gmbh - NeroCheck.) -- C:\WINDOWS\system32\NeroCheck.exe => Valeur supprimée avec succès
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe => Valeur supprimée avec succès
    O4 - HKLM\..\Run: [Adobe ARM] . (.Adobe Systems Incorporated - Adobe Reader and Acrobat Manager.) -- C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe => Valeur supprimée avec succès
    O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe => Valeur supprimée avec succès
    O4 - HKCU\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe => Valeur supprimée avec succès
    O4 - HKCU\..\Run: [IncrediMail] . (.IncrediMail, Ltd. - IncrediMail Application.) -- C:\Program Files\IncrediMail\bin\IncMail.exe => Valeur supprimée avec succès
    O4 - HKUS\S-1-5-21-790525478-1078081533-725345543-1003\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe => Valeur absente
    O4 - HKUS\S-1-5-21-790525478-1078081533-725345543-1003\..\Run: [IncrediMail] . (.IncrediMail, Ltd. - IncrediMail Application.) -- C:\Program Files\IncrediMail\bin\IncMail.exe => Valeur absente

    ========== Fichier(s) ==========
    c:\documents and settings\delaforge\menu démarrer\programmes\démarrage\adobe gamma.lnk => Supprimé et mis en quarantaine
    c:\documents and settings\all users\menu démarrer\programmes\incredimail.lnk => Supprimé et mis en quarantaine

    ========== Récapitulatif ==========
    2 : Clé(s) du Registre
    8 : Valeur(s) du Registre
    2 : Fichier(s)

    End of the scan

    A bientot
    0
  16. Utilisateur anonyme
     
    Salut,

    1/ Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

    O43 - CFD: 19/01/2011 - 17:11:02 - [226432] ----D- C:\Program Files\Microsoft
    O24 - Default MHTML Editor: Last - .(.Pas de propriétaire - Pas de description.) - C:\Program Files\Microsoft Office\OFFICE11\WINWORD.exe (.not file.)
    O43 - CFD: 09/09/2005 - 13:38:32 - [2155617] ----D- C:\Program Files\Arcadia
    O43 - CFD: 03/02/2011 - 09:05:28 - [0] ----D- C:\Documents and Settings\Delaforge\Local Settings\Application Data\Temp
    O47 - AAKE:Key Export SP - "C:\Program Files\IncrediMail\Bin\ImApp.exe" [Enabled] .(.IncrediMail, Ltd. - IncrediMail Tray Application.) -- C:\Program Files\IncrediMail\Bin\ImApp.exe
    O47 - AAKE:Key Export SP - "C:\Program Files\IncrediMail\Bin\ImpCnt.exe" [Enabled] .(.IncrediMail, Ltd. - IncrediMail Content Importer.) -- C:\Program Files\IncrediMail\Bin\ImpCnt.exe

    OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
    OPT:O4 - HKO4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
    US\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
    OPT:O4 - HKUS\S-1-5-21-790525478-1078081533-725345543-1003\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
    [HKLM\Software\BrowserChoice]



    Puis Lance ZHPFix depuis le raccourci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

    Copie/Colle le rapport à l'écran dans ton prochain message

    2/

    Télécharge SEAF ( de C__XX ) sur ton bureau :

    ici http://www.teamxscript.org/SEAFTelechargement.html

    * Double clique sur "SEAF.exe" ( clique droit et "Exécuter en tant qu'administrateur" pour Vista / 7 ) pour lancer l'outil.

    * Dans l'encardré blanc " Entrez ci dessous...." copie/colle ceci :

    aghgsatzezml.sys

    * Au niveau des " options des fichiers ", fait les réglages suivant :
    > A "Calculer le checksum" , choisis : MD5
    > Coche la case devant " Info. supplémentaire ".
    > Coche la case devant " Afficher les ADS "

    * Au niveau des " options du registre " :
    > coche " chercher également dans le registre "

    ( ne touche à aucun autre réglage )

    * Clique sur " Lancer la recherche " et laisse travailler l'outil ...
    ( cela peut-être plus ou moins long suivant les cas ).

    --> Une fois terminé, une fenêtre avec un log .txt va s'afficher. Enregistre ce rapport de façon à le retrouver facilement ( sur le bureau par exemple ). Sinon il sera en outre sauvegardé à la racine de ton disque dur ( ici > C:\SEAFLog.txt )

    puis pareil avec cpgsmmzwbhp.sys

    J'attend les rapports : ZHPFix et Seaf

    @+
    0
  17. ilid
     
    Bonsoir,

    Je part pour 3 jours. Je m'occupe de ça lundi et je reviens vers toi pour te donner les rapports.

    Merci pour ton aide.

    Bon week end
    0
    1. Utilisateur anonyme
       
      Salut,

      De rien...

      bon weekend :)

      A bientôt
      0
  18. ilid Messages postés 15 Statut Membre
     
    Bonjour

    Voici les rapports

    Rapport de ZHPFix 1.12.3256 par Nicolas Coolman, Update du 23/02/2011
    Fichier d'export Registre :
    Run by Delaforge at 10/03/2011 17:10:22
    Windows XP Professional Service Pack 3 (Build 2600)

    ========== Clé(s) du Registre ==========
    HKLM\Software\BrowserChoice => Clé supprimée avec succès

    ========== Valeur(s) du Registre ==========
    O47 - AAKE:Key Export SP - "C:\Program Files\IncrediMail\Bin\ImApp.exe" [Enabled] .(.IncrediMail, Ltd. - IncrediMail Tray Application.) -- C:\Program Files\IncrediMail\Bin\ImApp.exe => Valeur supprimée avec succès
    O47 - AAKE:Key Export SP - "C:\Program Files\IncrediMail\Bin\ImpCnt.exe" [Enabled] .(.IncrediMail, Ltd. - IncrediMail Content Importer.) -- C:\Program Files\IncrediMail\Bin\ImpCnt.exe => Valeur supprimée avec succès
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe => Valeur supprimée avec succès
    O4 - HKO4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe => Valeur supprimée avec succès
    O4 - HKUS\S-1-5-21-790525478-1078081533-725345543-1003\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe => Valeur absente

    ========== Elément(s) de donnée du Registre ==========
    O24 - Default MHTML Editor: Last - .(.Pas de propriétaire - Pas de description.) - C:\Program Files\Microsoft Office\OFFICE11\WINWORD.exe (.not file.) => Donnée supprimée avec succès
    [HKCU\Software\Microsoft\Internet Explorer\Default MHTML Editor\Shell\Edit\Command] => Donnée supprimée avec succès

    ========== Dossier(s) ==========
    C:\Program Files\Microsoft => Supprimé et mis en quarantaine
    C:\Program Files\Arcadia => Fichier supprimé au reboot
    C:\Documents and Settings\Delaforge\Local Settings\Application Data\Temp => Supprimé et mis en quarantaine

    ========== Fichier(s) ==========
    c:\program files\microsoft office\office11\winword.exe => Fichier absent
    c:\program files\incredimail\bin\imapp.exe => Supprimé et mis en quarantaine
    c:\program files\incredimail\bin\impcnt.exe => Supprimé et mis en quarantaine

    ========== Autre ==========
    US\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe => Format Non supporté

    ========== Récapitulatif ==========
    1 : Clé(s) du Registre
    5 : Valeur(s) du Registre
    2 : Elément(s) de donnée du Registre
    3 : Dossier(s)
    3 : Fichier(s)
    1 : Autre

    End of the scan

    Malwarebytes' Anti-Malware 1.50.1.1100

    Version de la base de données: 6009

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    14/03/2011 08:46:50
    mbam-log-2011-03-14 (08-46-50).txt

    Type d'examen: Examen complet (C:\|I:\|)
    Elément(s) analysé(s): 215132
    Temps écoulé: 39 minute(s), 43 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Et le lien pour ZHPDiag

    http://www.cijoint.fr/cjlink.php?file=cj201103/cijnWKn64w.txt

    Merci à bientot
    0
  19. Utilisateur anonyme
     
    Bonjour,

    Il y'a avancement :)

    stp, j'attend les deux rapports de seaf,

    voir ICI

    @+

    H.F. : Fish66
    0
  20. ilid Messages postés 15 Statut Membre
     
    Re,

    Voici les 2 rapports Seaf

    1. ========================= SEAF 1.0.1.0 - C_XX
    2.
    3. Commencé à: 11:35:18 le 14/03/2011
    4.
    5. Valeur(s) recherchée(s):
    6. aghgsatzezml.sys
    7.
    8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
    9.
    10. (!) --- Calcul du Hash "MD5"
    11. (!) --- Informations supplémentaires
    12. (!) --- Affichage des ADS
    13. (!) --- Recherche registre
    14.
    15. ====== Fichier(s) ======
    16.
    17. Aucun fichier trouvé
    18.
    19.
    20. ====== Entrée(s) du registre ======
    21.
    22.
    23. [HKLM\System\ControlSet001\Services\utvqrkpo]
    24. "ImagePath"="system32\drivers\aghgsatzezml.sys" (REG_SZ)
    25.
    26. [HKLM\System\ControlSet003\Services\utvqrkpo]
    27. "ImagePath"="system32\drivers\aghgsatzezml.sys" (REG_SZ)
    28.
    29. [HKLM\System\CurrentControlSet\Services\utvqrkpo]
    30. "ImagePath"="system32\drivers\aghgsatzezml.sys" (REG_SZ)
    31.
    32. =========================
    33.
    34. Fin à: 11:38:01 le 14/03/2011
    35. 194709 Éléments analysés
    36.
    37. =========================
    38. E.O.F

    1. ========================= SEAF 1.0.1.0 - C_XX
    2.
    3. Commencé à: 11:45:00 le 14/03/2011
    4.
    5. Valeur(s) recherchée(s):
    6. cpgsmmzwbhp.sys
    7.
    8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
    9.
    10. (!) --- Calcul du Hash "MD5"
    11. (!) --- Informations supplémentaires
    12. (!) --- Affichage des ADS
    13. (!) --- Recherche registre
    14.
    15. ====== Fichier(s) ======
    16.
    17. Aucun fichier trouvé
    18.
    19.
    20. ====== Entrée(s) du registre ======
    21.
    22.
    23. [HKLM\System\ControlSet001\Services\vbocivvlknkt]
    24. "ImagePath"="system32\drivers\cpgsmmzwbhp.sys" (REG_SZ)
    25.
    26. [HKLM\System\ControlSet003\Services\vbocivvlknkt]
    27. "ImagePath"="system32\drivers\cpgsmmzwbhp.sys" (REG_SZ)
    28.
    29. [HKLM\System\CurrentControlSet\Services\vbocivvlknkt]
    30. "ImagePath"="system32\drivers\cpgsmmzwbhp.sys" (REG_SZ)
    31.
    32. =========================
    33.
    34. Fin à: 11:47:09 le 14/03/2011
    35. 194707 Éléments analysés
    36.
    37. =========================
    38. E.O.F

    A bientot
    0
  21. Utilisateur anonyme
     
    Salut,

    Pour bien vérifier que ces deux fichiers sont infectés rend toi sur ce site

    Virus Total

    Colle directement le chemin des fichiers , un par un , dans l'espace "Parcourir"

    apres chaque analyse :

    c:\windows\system32\drivers\aghgsatzezml.sys

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation

    actuelle : en cours d'analyse" est affiché.

    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand

    nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser

    la page.

    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine

    réponse.

    Fait de la même facon le fichier :

    c:\windows\system32\drivers\cpgsmmzwbhp.sys


    J'attend les deux rapports pour pouvoir continuer

    @+
    0
  • 1
  • 2