Virus spm/LX Résolu/Fermé

Question

Bonjour, 

Mon pc vient d'être infecté par un virus SPM/LX. Dans la foulé un programme anti-virus nommé System tool c'est auto installé et bien sur il est payant. Après avoir lu les posts sur ce sujet, j'ai tenté d'installé HijackThis pour poster un scan, mais lorsque je clic sur "Executer" rien ne se passe.
Avast est impuissant, CCleaner est devenu inactif et Malwarebytes à disparu de mon PC.

Si quelqu'un pouvait m'aider, merci d'avance.


Configuration: Windows XP / Internet Explorer 8.0

Utilisateur anonyme · Answer

Salut,

Tu vas essayer maintenant de télécharger ZHPDiag (outil de diagnostic) 

Télécharge ZHPDiag ( de Nicolas coolman ) :https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 



Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " ) 

Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista et seven ) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message 

@+

ilid · Answer

Bonjour et merci de ton aide

Voici le lien du fichier ZHPDiag

http://www.cijoint.fr/cjlink.php?file=cj201103/cijtsOLw0t.txt

Utilisateur anonyme · Answer

Salut, 



1/ * Télécharge de AD-Remover sur ton Bureau.  
http://www.teamxscript.org/adremoverTelechargement.html  

/!\ Ferme toutes applications en cours /!\  

- Double-clique sur l'icône Ad-remover située sur ton Bureau.  
- Sur la page, clique sur le bouton « Chercher »  
- Confirme lancement du scan  
- Laisse travailler l'outil.  
- Poste le rapport qui apparaît à la fin.  

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)  

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour c 


2/ Désinstalle Malwarebytes , puis réinstalle le à partir Ce lien 

Fait une analyse complète et poster le rapport 
@+

ilid · Answer

Bonjour

Voici les rapports AD-Remover et malwarebytes.

Merci à toi et bonne semaine

======= RAPPORT D'AD-REMOVER 2.0.0.2,F | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 01/03/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 18:05:33 le 04/03/2011, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86) 
Delaforge@MY-BA9B60CAD86C ( ) 
 
============== ACTION(S) ==============



(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKLM\Software\Classes\Interface\{89541520-2D31-11D2-A166-0060081C43D9}
Clé supprimée: HKLM\Software\Classes\Interface\{8954152E-2D31-11D2-A166-0060081C43D9}
Clé supprimée: HKLM\Software\Classes\ExplorerBar.Group
Clé supprimée: HKLM\Software\Classes\ExplorerBar.Group.1
Clé supprimée: HKLM\Software\Classes\ExplorerBar.Groups
Clé supprimée: HKLM\Software\Classes\ExplorerBar.Groups.1
Clé supprimée: HKLM\Software\Classes\ExplorerBar.Item
Clé supprimée: HKLM\Software\Classes\ExplorerBar.Item.1
Clé supprimée: HKLM\Software\Classes\ExplorerBar.TemplatePage
Clé supprimée: HKLM\Software\Classes\ExplorerBar.TemplatePage.1


============== SCAN ADDITIONNEL ==============

**** Internet Explorer Version [8.0.6001.18702] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_Toolbar\WebBrowser|{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll)
HKLM_Toolbar|{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll)
HKLM_Toolbar|{D0943516-5076-4020-A3B5-AEFAF26AB263} (x)
HKLM_Toolbar|{327C2873-E90D-4c37-AA9D-10AC9BABA46C} (C:\Program Files\Canon\Easy-WebPrint\Toolband.dll)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{02478D38-C3F9-4efb-9B51-7695ECA05670} (?)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
BHO\{9394EDE7-C8B5-483E-8773-474BF36AF6E4} - "ST" (C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll)
BHO\{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - "MSNToolBandBHO" (C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 13 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 04/03/2011 18:05:46 (2310 Octet(s)) 

Fin à: 18:06:36, 04/03/2011 
 



Malwarebytes' Anti-Malware 1.50www.malwarebytes.org

Version de la base de données: 5979

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

07/03/2011 09:13:36
mbam-log-2011-03-07 (09-13-36).txt

Type d'examen: Examen complet (C:\|I:\|)
Elément(s) analysé(s): 215572
Temps écoulé: 54 minute(s), 38 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\delaforge\application data\adobe\adobeutil.exe (Trojan.Email.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{5326ec62-6c92-4286-9e32-d51cf2e63a31}\rp54\a0014736.dll (Trojan.Genome) -> Quarantined and deleted successfully.
c:\system volume information\_restore{5326ec62-6c92-4286-9e32-d51cf2e63a31}\rp54\a0015894.exe (Trojan.Email.Gen) -> Quarantined and deleted successfully.

Utilisateur anonyme · Answer

Bonjour,

1/
* Télécharge sur le bureau RogueKiller (par tigzy) 
https://www.luanagames.com/index.fr.html 


* Quitte tous tes programmes en cours 

* Lance RogueKiller.exe. 

* Lorsque demandé, tape 2 et valide 


* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse 

* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. ou renommer l'outil en firefox.exe ou roguekiller.com 

2/ Refait un nouveau rapport  ZHPDiag .

A bientôt

ilid · Answer

Bonjour, Ci-joint lien pour rapport ZHPDiag : http://www.cijoint.fr/cjlink.php?file=cj201103/cijoqxGzbU.txt Et rapport RK : RogueKiller V4.1.0 par Tigzy contact sur https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur: Delaforge [Droits d'admin] Mode: Suppression -- Date : 07/03/2011 17:12:30 Processus malicieux: 0 Entrees de registre: 2 [DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{891E12C6-8430-4798-8710-74F2440A5EB9} : NameServer (81.253.149.9,80.10.246.3) -> NOT REMOVED, USE DNSFIX [DNS] HKLM\[...]\ControlSet003\Parameters\Interfaces\{891E12C6-8430-4798-8710-74F2440A5EB9} : NameServer (81.253.149.9,80.10.246.3) -> NOT REMOVED, USE DNSFIX Fichier HOSTS: 127.0.0.1 localhost Termine Merci à bientot

Utilisateur anonyme · Answer

Bonjour, 

1/ Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 


O47 - AAKE:Key Export SP - "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" [Disabled] .(.Pas de propriétaire - Pas de description.) -- C:\Program Files\Veoh Networks\Veoh\VeohClient.exe (.not file.)
O47 - AAKE:Key Export SP - "C:\Program Files\Weflirt\weflirt.exe" [Disabled] .(.Pas de propriétaire - Pas de description.) -- C:\Program Files\Weflirt\weflirt.exe (.not file.)
O51 - MPSK:{0c562e18-7aab-11df-82ec-0013d423ba5c}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- J:\AutoRunCardDetector.exe (.not file.)
O51 - MPSK:{66a5f8a6-9ae2-11df-82f0-0013d423ba5c}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- J:\EmDesk.exe (.not file.)
O51 - MPSK:{a2e0938c-2faa-11e0-832d-0013d423ba5c}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- J:\InstallTomTomHOME.exe (.not file.)
O52 - TDSD: \drivers.desc\"ir50_32.dll"="Indeo® video 5.10" . (.Pas de propriétaire - Pas de description.) -- (.not file.)


Puis Lance ZHPFix depuis le raccourci du bureau . 

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent . 

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. 

Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ". 

Copie/Colle le rapport à l'écran dans ton prochain message 



2/ Télécharges ComboFix à partir d'un de ces liens :  

http://download.bleepingcomputer.com/sUBs/ComboFix.exe  
https://forospyware.com  
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/  

Et important, enregistre le sur le bureau.  

Avant d'utiliser ComboFix :  

*********************ATTENTION***********************  

? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.  

? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,  
la protection en temps réel de ton Antivirus et de tes Antispywares,  
qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.  


Une fois fait, sur ton bureau double clique sur Combofix.exe.   

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.  

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.  

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.  

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt,.  
est automatiquement sauvegardé et rangé à C:\Combofix.txt)  

? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares,  
avant de te reconnecter à internet.  

? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.  

A bientôt

ilid · Answer

Bonjour,

Voici les rapports 

ZHPfix

Rapport de ZHPFix 1.12.3256 par Nicolas Coolman, Update du 23/02/2011
Fichier d'export Registre : 
Run by Delaforge at 08/03/2011 17:13:54
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O51 - MPSK:{0c562e18-7aab-11df-82ec-0013d423ba5c}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- J:\AutoRunCardDetector.exe (.not file.)  => Clé supprimée avec succès
O51 - MPSK:{66a5f8a6-9ae2-11df-82f0-0013d423ba5c}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- J:\EmDesk.exe (.not file.)  => Clé supprimée avec succès
O51 - MPSK:{a2e0938c-2faa-11e0-832d-0013d423ba5c}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- J:\InstallTomTomHOME.exe (.not file.)  => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O47 - AAKE:Key Export SP - "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" [Disabled] .(.) -- C:\Program Files\Veoh Networks\Veoh\VeohClient.exe (.not file.)  => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\Program Files\Weflirt\weflirt.exe" [Disabled] .(.) -- C:\Program Files\Weflirt\weflirt.exe (.not file.)  => Valeur supprimée avec succès
O52 - TDSD: \drivers.desc\"ir50_32.dll"="Indeo® video 5.10" . (.Pas de propriétaire - Pas de description.) -- (.not file.)  => Valeur supprimée avec succès

========== Fichier(s) ==========
c:\program files\veoh networks\veoh\veohclient.exe  => Fichier absent
c:\program files\weflirt\weflirt.exe  => Fichier absent


========== Récapitulatif ==========
3 : Clé(s) du Registre
3 : Valeur(s) du Registre
2 : Fichier(s)


End of the scan

COMBOFIX

ComboFix 11-03-07.07 - Delaforge 09/03/2011   8:19.1.2 - x86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.503.188 [GMT 1:00]
Lancé depuis: c:\documents and settings\Delaforge\Bureau\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Delaforge\Application Data\Adobe\plugs
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2011-02-09 au 2011-03-09  ))))))))))))))))))))))))))))))))))))
.
.
2011-03-09 07:05 . 2011-03-09 07:05	--------	d-----w-	c:\windows\LastGood
2011-03-07 07:16 . 2010-11-29 16:42	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-03-07 07:16 . 2011-03-07 07:16	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2011-03-07 07:16 . 2010-11-29 16:42	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-03-04 17:05 . 2011-03-04 17:05	--------	d-----w-	c:\program files\Ad-Remover
2011-03-04 16:10 . 2011-03-04 16:10	--------	d-----w-	c:\documents and settings\Delaforge\Application Data\Malwarebytes
2011-03-04 15:57 . 2011-03-04 15:57	512	----a-w-	C:\PhysicalDisk0_MBR.bin
2011-03-04 15:50 . 2011-03-08 16:13	--------	d-----w-	c:\program files\ZHPDiag
2011-03-04 15:25 . 2011-03-04 15:25	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2011-03-04 14:34 . 2011-03-04 14:39	--------	d-----w-	c:\documents and settings\Administrateur
2011-03-04 12:26 . 2011-03-04 12:26	18301	----a-w-	c:\windows\system32\MAI10.tmp
2011-03-04 12:26 . 2011-03-04 16:35	--------	d-----w-	c:\documents and settings\All Users\Application Data
PoIpIm18100
2011-03-04 12:25 . 2011-03-04 12:25	18301	----a-w-	c:\windows\system32\MAID.tmp
2011-03-04 12:25 . 2011-03-04 12:25	--------	d-----w-	c:\documents and settings\Delaforge\Application Data\Sql
2011-03-01 07:18 . 2011-03-01 07:18	--------	d-----w-	c:\documents and settings\All Users\Application Data\Photo Notifier and Animation Creator
2011-03-01 07:18 . 2011-03-01 07:18	--------	d-----w-	c:\program files\Photo Notifier and Animation Creator
2011-02-08 11:00 . 2011-02-08 11:00	--------	d-----w-	c:\documents and settings\Delaforge\Application Data\Windows Search
2011-02-07 13:58 . 2011-02-02 20:40	472808	----a-w-	c:\windows\system32\deployJava1.dll
2011-02-07 13:58 . 2011-02-02 18:19	73728	----a-w-	c:\windows\system32\javacpl.cpl
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-21 14:44 . 2004-08-05 12:00	441344	----a-w-	c:\windows\system32\shimgvw.dll
2011-01-18 12:03 . 2005-09-09 11:00	17134	-c--a-w-	c:\windows\system32\pcandis5.sys
2011-01-13 08:47 . 2011-01-18 13:50	38848	----a-w-	c:\windows\avastSS.scr
2011-01-13 08:47 . 2011-01-18 13:50	188216	----a-w-	c:\windows\system32\aswBoot.exe
2011-01-13 08:41 . 2011-01-18 13:52	294608	----a-w-	c:\windows\system32\drivers\aswSP.sys
2011-01-13 08:40 . 2011-01-18 13:52	47440	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2011-01-13 08:40 . 2011-01-18 13:52	100176	----a-w-	c:\windows\system32\drivers\aswmon2.sys
2011-01-13 08:39 . 2011-01-18 13:52	94544	----a-w-	c:\windows\system32\drivers\aswmon.sys
2011-01-13 08:37 . 2011-01-18 13:52	23632	----a-w-	c:\windows\system32\drivers\aswRdr.sys
2011-01-13 08:37 . 2011-01-18 13:52	29392	----a-w-	c:\windows\system32\drivers\aavmker4.sys
2011-01-13 08:37 . 2011-01-18 13:52	17744	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2011-01-07 14:09 . 2004-08-05 12:00	290048	----a-w-	c:\windows\system32\atmfd.dll
2010-12-31 14:04 . 2004-08-05 12:00	1855104	----a-w-	c:\windows\system32\win32k.sys
2010-12-22 12:34 . 2004-08-05 12:00	301568	----a-w-	c:\windows\system32\kerberos.dll
2010-12-20 23:53 . 2004-08-05 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2010-12-20 23:53 . 2004-08-05 12:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2010-12-20 23:53 . 2004-08-05 12:00	1469440	------w-	c:\windows\system32\inetcpl.cpl
2010-12-20 17:26 . 2004-08-05 12:00	736768	----a-w-	c:\windows\system32\lsasrv.dll
2010-12-20 12:55 . 2004-08-05 12:00	385024	----a-w-	c:\windows\system32\html.iec
2010-12-09 15:15 . 2004-08-05 12:00	743424	----a-w-	c:\windows\system32
tdll.dll
2010-12-09 15:14 . 2004-08-04 00:49	2029056	----a-w-	c:\windows\system32
tkrnlpa.exe
2010-12-09 15:14 . 2004-08-05 12:00	2150912	----a-w-	c:\windows\system32
toskrnl.exe
2010-12-09 14:30 . 2004-08-05 12:00	33280	----a-w-	c:\windows\system32\csrsrv.dll
2005-09-09 11:21 . 2005-09-09 11:01	278528	-c--a-w-	c:\program files\Fichiers communs\FDEUnInstaller.exe
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NBJ"="c:\progra~1\Ahead\NEROBA~1\NBJ.exe" [2004-09-22 1871872]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-06-18 39408]
"IncrediMail"="c:\program files\IncrediMail\bin\IncMail.exe" [2011-03-01 353736]
"TomTomHOME.exe"="c:\program files\TomTom HOME 2\TomTomHOMERunner.exe" [2010-08-24 247144]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-10-08 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-10-08 126976]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"OpwareSE2"="c:\program files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 49152]
"Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-06 57344]
"Easy-PrintToolBox"="c:\program files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2004-01-14 409600]
"SoundMan"="SOUNDMAN.EXE" [2004-09-16 69632]
"avast5"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2011-01-13 3396624]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2011-01-22 40368]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-10-29 249064]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\Delaforge\Menu D'marrer\Programmes\D'marrage\
Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]
.
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Windows Search.lnk - c:\program files\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\WDGold Lite\WDGold Lite.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\IncrediMail\Bin\IncMail.exe"=
"c:\Program Files\IncrediMail\Bin\ImApp.exe"=
"c:\Program Files\IncrediMail\Bin\ImpCnt.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017
.
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [18/01/2011 14:52 294608]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [18/01/2011 14:52 17744]
R2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [24/08/2010 10:38 92008]
S0 utvqrkpo;utvqrkpo;c:\windows\system32\drivers\aghgsatzezml.sys --> c:\windows\system32\drivers\aghgsatzezml.sys [?]
S0 vbocivvlknkt;vbocivvlknkt;c:\windows\system32\drivers\cpgsmmzwbhp.sys --> c:\windows\system32\drivers\cpgsmmzwbhp.sys [?]
S2 FILESpy;FILESpy;\??\c:\program files\Softwin\BitDefender8\filespy.sys --> c:\program files\Softwin\BitDefender8\filespy.sys [?]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [18/06/2010 10:05 135664]
S3 GTUHSBUS;GT UHS BUS;c:\windows\system32\drivers\gtuhsbus.sys [18/06/2010 08:28 66560]
S3 GTUHSNDISIPXP;GT UHS IP NDIS;c:\windows\system32\drivers\gtuhs51.sys [18/06/2010 08:29 107520]
S3 GTUHSSER;GT UHS SER;c:\windows\system32\drivers\gtuhsser.sys [18/06/2010 08:29 8064]
.
Contenu du dossier 'Tâches planifiées'
.
2011-03-09 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-06-18 09:05]
.
2011-03-09 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-06-18 09:05]
.
2011-03-09 c:\windows\Tasks\User_Feed_Synchronization-{40392D40-83F3-4DD6-BD12-A8E2E030008C}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Easy-WebPrint Ajouter à la liste d'impressions - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
IE: Easy-WebPrint Impression rapide - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
IE: Easy-WebPrint Imprimer - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
IE: Easy-WebPrint Prévisualiser - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
TCP: {891E12C6-8430-4798-8710-74F2440A5EB9} = 81.253.149.9,80.10.246.3
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-03-09 08:25
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
Recherche de fichiers cachés ... 
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\WINDOWS\system32\Macromed\Flash\FlashUtil10m_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\WINDOWS\system32\Macromed\Flash\FlashUtil10m_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Heure de fin: 2011-03-09  08:27:55
ComboFix-quarantined-files.txt  2011-03-09 07:27
.
Avant-CF: 24 653 484 032 octets libres
Après-CF: 24 632 455 168 octets libres
.
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
.
- - End Of File - - 754DEF7B3B2846D1949151A1BF5D170A

A bientot

Utilisateur anonyme · Answer

Salut, 

Combofix a fait son travail 

Ton PC est il encore malade :) ?  

stp un nouveau rapport ZHPDiag 

J'attend tes nouvelles... 

@+

ilid · Answer

Salut,

Le PC va beaucoup mieux et je t'en remercie.

Voici le lien du rapport ZHPDiag

http://www.cijoint.fr/cjlink.php?file=cj201103/cijhZ1x2qi.txt 


A bientot

Utilisateur anonyme · Answer

Salut,


1/ Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 


P2 - FPN: [HKLM] [@veoh.com/VeohPlayer] - (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Veoh Networks\Veoh\Plugins
oreg\NPVeohVersion.dll (.not file.)
[HKCU\Software\Veoh]
O64 - Services: CurCS - C:\WINDOWS\system32\Drivers\AAVMKER4.sys - (.not file.) - avast! Asynchronous Virus Monitor (Aavmker4)  .(...) - LEGACY_AAVMKER4
O64 - Services: CurCS - C:\DOCUME~1\DELAFO~1\LOCALS~1\Temp\mbr.sys (.not file.) - mbr (mbr)  .(...) - LEGACY_MBR


Puis Lance ZHPFix depuis le raccourci du bureau . 

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent . 

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. 

Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ". 

Copie/Colle le rapport à l'écran dans ton prochain message 

2/ Lance Malwarebytes, fait la mise à jour puis fait une analyse complète et poster 

le rapport

@+

Utilisateur anonyme · Answer

Bonjour,
Fait la même chose :
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 

OPT:O4 - HKLM\..\Run: [NeroFilterCheck] . (.Ahead Software Gmbh - NeroCheck.) -- C:\WINDOWS\system32\NeroCheck.exe     

OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
OPT: O4 - HKLM\..\Run: [Adobe ARM] . (.Adobe Systems Incorporated - Adobe Reader and Acrobat Manager.) -- C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe 
OPT:O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe     
OPT:O4 - HKCU\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe     
OPT:O4 - HKCU\..\Run: [IncrediMail] . (.IncrediMail, Ltd. - IncrediMail Application.) -- C:\Program Files\IncrediMail\bin\IncMail.exe     
OPT:O4 - HKUS\S-1-5-21-790525478-1078081533-725345543-1003\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe     
OPT:O4 - HKUS\S-1-5-21-790525478-1078081533-725345543-1003\..\Run: [IncrediMail] . (.IncrediMail, Ltd. - IncrediMail Application.) -- C:\Program Files\IncrediMail\bin\IncMail.exe     
OPT:O4 - Global Startup: C:\Documents And Settings\Delaforge\Menu Démarrer\Programmes\Démarrage\Adobe Gamma.lnk . (.Adobe Systems, Inc..)  -- C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe     

OPT:O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\IncrediMail.lnk . (.IncrediMail, Ltd..)  -- C:\Program Files\IncrediMail\Bin\IncMail.exe 
[HKCU\Software\ImInstaller]     
[HKLM\Software\ImInstaller]     

  
Puis Lance ZHPFix depuis le raccourci du bureau . 

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent . 

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. 

Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ". 

Copie/Colle le rapport à l'écran dans ton prochain message 
@+

ilid · Answer

Bonjour

Voici les 1er rapports

Rapport de ZHPFix 1.12.3256 par Nicolas Coolman, Update du 23/02/2011
Fichier d'export Registre : C:\ZHPExportRegistry-10-03-2011-12-12-56.txt
Run by Delaforge at 10/03/2011 12:12:56
Windows XP Professional Service Pack 3 (Build 2600)
========== Clé(s) du Registre ==========
P2 - FPN: [HKLM] [@veoh.com/VeohPlayer] - (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Veoh Networks\Veoh\Plugins
oreg\NPVeohVersion.dll (.not file.)  => Clé supprimée avec succès
HKCU\Software\Veoh  => Clé supprimée avec succès
O64 - Services: CurCS - C:\WINDOWS\system32\Drivers\AAVMKER4.sys - (.not file.) - avast! Asynchronous Virus Monitor (Aavmker4) .(...) - LEGACY_AAVMKER4  => Clé supprimée avec succès
O64 - Services: CurCS - C:\DOCUME~1\DELAFO~1\LOCALS~1\Temp\mbr.sys (.not file.) - mbr (mbr) .(...) - LEGACY_MBR  => Clé supprimée avec succès

========== Fichier(s) ==========
c:\program files\veoh networks\veoh\plugins
oreg
pveohversion.dll  => Fichier absent


========== Récapitulatif ==========
4 : Clé(s) du Registre
1 : Fichier(s)


End of the scan


Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6009

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

10/03/2011 12:59:20
mbam-log-2011-03-10 (12-59-19).txt

Type d'examen: Examen complet (C:\|I:\|)
Elément(s) analysé(s): 215721
Temps écoulé: 36 minute(s), 27 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\delaforge\application data\Adobe\adobeutil .exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.

ilid · Answer

Re,

Voici le second

Rapport de ZHPFix 1.12.3256 par Nicolas Coolman, Update du 23/02/2011
Fichier d'export Registre : 
Run by Delaforge at 10/03/2011 13:19:49
Windows XP Professional Service Pack 3 (Build 2600)

========== Clé(s) du Registre ==========
HKCU\Software\ImInstaller  => Clé supprimée avec succès
HKLM\Software\ImInstaller  => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [NeroFilterCheck] . (.Ahead Software Gmbh - NeroCheck.) -- C:\WINDOWS\system32\NeroCheck.exe  => Valeur supprimée avec succès
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe  => Valeur supprimée avec succès
O4 - HKLM\..\Run: [Adobe ARM] . (.Adobe Systems Incorporated - Adobe Reader and Acrobat Manager.) -- C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe  => Valeur supprimée avec succès
O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe  => Valeur supprimée avec succès
O4 - HKCU\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe  => Valeur supprimée avec succès
O4 - HKCU\..\Run: [IncrediMail] . (.IncrediMail, Ltd. - IncrediMail Application.) -- C:\Program Files\IncrediMail\bin\IncMail.exe  => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-790525478-1078081533-725345543-1003\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe  => Valeur absente
O4 - HKUS\S-1-5-21-790525478-1078081533-725345543-1003\..\Run: [IncrediMail] . (.IncrediMail, Ltd. - IncrediMail Application.) -- C:\Program Files\IncrediMail\bin\IncMail.exe  => Valeur absente

========== Fichier(s) ==========
c:\documents and settings\delaforge\menu démarrer\programmes\démarrage\adobe gamma.lnk  => Supprimé et mis en quarantaine
c:\documents and settings\all users\menu démarrer\programmes\incredimail.lnk  => Supprimé et mis en quarantaine


========== Récapitulatif ==========
2 : Clé(s) du Registre
8 : Valeur(s) du Registre
2 : Fichier(s)


End of the scan


A bientot

Utilisateur anonyme · Answer

Salut,             

1/ Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )            

O43 - CFD: 19/01/2011 - 17:11:02 - [226432] ----D- C:\Program Files\Microsoft                
O24 - Default MHTML Editor: Last - .(.Pas de propriétaire - Pas de description.) - C:\Program Files\Microsoft Office\OFFICE11\WINWORD.exe (.not file.)             
O43 - CFD: 09/09/2005 - 13:38:32 - [2155617] ----D- C:\Program Files\Arcadia            
O43 - CFD: 03/02/2011 - 09:05:28 - [0] ----D- C:\Documents and Settings\Delaforge\Local Settings\Application Data\Temp         
 O47 - AAKE:Key Export SP - "C:\Program Files\IncrediMail\Bin\ImApp.exe" [Enabled] .(.IncrediMail, Ltd. - IncrediMail Tray Application.) -- C:\Program Files\IncrediMail\Bin\ImApp.exe         
O47 - AAKE:Key Export SP - "C:\Program Files\IncrediMail\Bin\ImpCnt.exe" [Enabled] .(.IncrediMail, Ltd. - IncrediMail Content Importer.) -- C:\Program Files\IncrediMail\Bin\ImpCnt.exe              

OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe                
OPT:O4 - HKO4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe                
US\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe                
OPT:O4 - HKUS\S-1-5-21-790525478-1078081533-725345543-1003\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe              
[HKLM\Software\BrowserChoice]               

             

Puis Lance ZHPFix depuis le raccourci du bureau .     

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .     

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .     

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.     

Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".     

Copie/Colle le rapport à l'écran dans ton prochain message     


2/  

Télécharge SEAF ( de C__XX ) sur ton bureau :   

ici http://www.teamxscript.org/SEAFTelechargement.html   


* Double clique sur "SEAF.exe" ( clique droit et "Exécuter en tant qu'administrateur" pour Vista / 7 ) pour lancer l'outil.   

* Dans l'encardré blanc " Entrez ci dessous...." copie/colle ceci :   

aghgsatzezml.sys   


* Au niveau des " options des fichiers ", fait les réglages suivant :   
> A "Calculer le checksum" , choisis : MD5   
> Coche la case devant " Info. supplémentaire ".   
> Coche la case devant " Afficher les ADS "   

* Au niveau des " options du registre " :   
> coche " chercher également dans le registre "   

( ne touche à aucun autre réglage )   

* Clique sur " Lancer la recherche " et laisse travailler l'outil ...   
( cela peut-être plus ou moins long suivant les cas ).   

--> Une fois terminé, une fenêtre avec un log .txt va s'afficher. Enregistre ce rapport de façon à le retrouver facilement ( sur le bureau par exemple ). Sinon il sera en outre sauvegardé à la racine de ton disque dur ( ici > C:\SEAFLog.txt )   


puis pareil avec cpgsmmzwbhp.sys   

J'attend les rapports : ZHPFix et Seaf 

@+

ilid · Answer

Bonsoir,

Je part pour 3 jours. Je m'occupe de ça lundi et je reviens vers toi pour te donner les rapports.

Merci pour ton aide.

Bon week end

ilid · Answer

Bonjour

Voici les rapports

Rapport de ZHPFix 1.12.3256 par Nicolas Coolman, Update du 23/02/2011
Fichier d'export Registre : 
Run by Delaforge at 10/03/2011 17:10:22
Windows XP Professional Service Pack 3 (Build 2600)

========== Clé(s) du Registre ==========
HKLM\Software\BrowserChoice  => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O47 - AAKE:Key Export SP - "C:\Program Files\IncrediMail\Bin\ImApp.exe" [Enabled] .(.IncrediMail, Ltd. - IncrediMail Tray Application.) -- C:\Program Files\IncrediMail\Bin\ImApp.exe  => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\Program Files\IncrediMail\Bin\ImpCnt.exe" [Enabled] .(.IncrediMail, Ltd. - IncrediMail Content Importer.) -- C:\Program Files\IncrediMail\Bin\ImpCnt.exe  => Valeur supprimée avec succès
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe  => Valeur supprimée avec succès
O4 - HKO4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe  => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-790525478-1078081533-725345543-1003\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe  => Valeur absente

========== Elément(s) de donnée du Registre ==========
O24 - Default MHTML Editor: Last - .(.Pas de propriétaire - Pas de description.) - C:\Program Files\Microsoft Office\OFFICE11\WINWORD.exe (.not file.)  => Donnée supprimée avec succès
[HKCU\Software\Microsoft\Internet Explorer\Default MHTML Editor\Shell\Edit\Command]  => Donnée supprimée avec succès

========== Dossier(s) ==========
C:\Program Files\Microsoft  => Supprimé et mis en quarantaine
C:\Program Files\Arcadia  => Fichier supprimé au reboot
C:\Documents and Settings\Delaforge\Local Settings\Application Data\Temp  => Supprimé et mis en quarantaine

========== Fichier(s) ==========
c:\program files\microsoft office\office11\winword.exe  => Fichier absent
c:\program files\incredimail\bin\imapp.exe  => Supprimé et mis en quarantaine
c:\program files\incredimail\bin\impcnt.exe  => Supprimé et mis en quarantaine

========== Autre ==========
US\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe  => Format Non supporté


========== Récapitulatif ==========
1 : Clé(s) du Registre
5 : Valeur(s) du Registre
2 : Elément(s) de donnée du Registre
3 : Dossier(s)
3 : Fichier(s)
1 : Autre


End of the scan


Malwarebytes' Anti-Malware 1.50.1.1100

Version de la base de données: 6009

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

14/03/2011 08:46:50
mbam-log-2011-03-14 (08-46-50).txt

Type d'examen: Examen complet (C:\|I:\|)
Elément(s) analysé(s): 215132
Temps écoulé: 39 minute(s), 43 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)




Et le lien pour ZHPDiag

http://www.cijoint.fr/cjlink.php?file=cj201103/cijnWKn64w.txt 


Merci à bientot

Utilisateur anonyme · Answer

Bonjour,

Il y'a avancement :)

stp, j'attend les deux rapports de seaf, 

voir ICI

@+


H.F.  :  Fish66

ilid · Answer

Re,

Voici les 2 rapports Seaf

1. ========================= SEAF 1.0.1.0 - C_XX
2. 
3. Commencé à: 11:35:18 le 14/03/2011
4. 
5. Valeur(s) recherchée(s):
6. aghgsatzezml.sys
7. 
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9. 
10. (!) --- Calcul du Hash "MD5"
11. (!) --- Informations supplémentaires
12. (!) --- Affichage des ADS
13. (!) --- Recherche registre
14. 
15. ====== Fichier(s) ======
16. 
17. Aucun fichier trouvé
18. 
19. 
20. ====== Entrée(s) du registre ======
21. 
22. 
23. [HKLM\System\ControlSet001\Services\utvqrkpo]
24. "ImagePath"="system32\drivers\aghgsatzezml.sys" (REG_SZ)
25. 
26. [HKLM\System\ControlSet003\Services\utvqrkpo]
27. "ImagePath"="system32\drivers\aghgsatzezml.sys" (REG_SZ)
28. 
29. [HKLM\System\CurrentControlSet\Services\utvqrkpo]
30. "ImagePath"="system32\drivers\aghgsatzezml.sys" (REG_SZ)
31. 
32. =========================
33. 
34. Fin à: 11:38:01 le 14/03/2011
35. 194709 Éléments analysés
36. 
37. =========================
38. E.O.F



1. ========================= SEAF 1.0.1.0 - C_XX
2. 
3. Commencé à: 11:45:00 le 14/03/2011
4. 
5. Valeur(s) recherchée(s):
6. cpgsmmzwbhp.sys
7. 
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9. 
10. (!) --- Calcul du Hash "MD5"
11. (!) --- Informations supplémentaires
12. (!) --- Affichage des ADS
13. (!) --- Recherche registre
14. 
15. ====== Fichier(s) ======
16. 
17. Aucun fichier trouvé
18. 
19. 
20. ====== Entrée(s) du registre ======
21. 
22. 
23. [HKLM\System\ControlSet001\Services\vbocivvlknkt]
24. "ImagePath"="system32\drivers\cpgsmmzwbhp.sys" (REG_SZ)
25. 
26. [HKLM\System\ControlSet003\Services\vbocivvlknkt]
27. "ImagePath"="system32\drivers\cpgsmmzwbhp.sys" (REG_SZ)
28. 
29. [HKLM\System\CurrentControlSet\Services\vbocivvlknkt]
30. "ImagePath"="system32\drivers\cpgsmmzwbhp.sys" (REG_SZ)
31. 
32. =========================
33. 
34. Fin à: 11:47:09 le 14/03/2011
35. 194707 Éléments analysés
36. 
37. =========================
38. E.O.F


A bientot

Utilisateur anonyme · Answer

Salut,

Pour bien vérifier que ces deux fichiers sont infectés rend toi sur ce site

Virus Total

Colle directement le chemin des fichiers , un par un , dans l'espace "Parcourir" 

apres chaque analyse : 

c:\windows\system32\drivers\aghgsatzezml.sys

* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation 

actuelle : en cours d'analyse" est affiché. 

* Il est possible que le fichier soit mis en file d'attente en raison d'un grand 

nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser 

la page. 

* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine 

réponse.

Fait de la même facon le fichier :

c:\windows\system32\drivers\cpgsmmzwbhp.sys 


J'attend les deux rapports pour pouvoir continuer

@+

ilid · Answer

Re,

Petit souci : Il n'est pas possible de copier les chemins d'acces des fichiers dans la fenetre "Parcourir" de l'onglet "Upload a file" de VirusTotal, et lorsque je fait parcourir pour suivre le chemin proposer afin de trouver le fichier, il m'indique fichier introuvable.

A+

Utilisateur anonyme · Answer

Salut,   

Avec toutes les protections désactivées, fais ceci :    

* Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)    
* Copie/colle dans le bloc-notes les lignes en gras ci-dessous :  


KillAll::   

Driver::   
aghgsatzezml   
cpgsmmzwbhp   

Rootkit::   
c:\windows\system32\drivers\aghgsatzezml.sys   

c:\windows\system32\drivers\cpgsmmzwbhp.sys   

DirLook::    
c:\documents and settings\All Users\Application Data
PoIpIm18100    

RegLock::    
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]    


* Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt    
* Quitte le Bloc Notes    

* Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix    

* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.    
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.    
* Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt    

*********************Aide ICI********************* 


J'attend le rapport, bonne chance...   

@+   

H.F.  :  Fish66

ilid · Answer

Bonjour,

Voici le rapport ComboFix

ComboFix 11-03-14.04 - Delaforge 15/03/2011   8:19.2.2 - x86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.503.176 [GMT 1:00]
Lancé depuis: c:\documents and settings\Delaforge\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Delaforge\Bureau\CFScript.txt
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_utvqrkpo
-------\Service_vbocivvlknkt
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2011-02-15 au 2011-03-15  ))))))))))))))))))))))))))))))))))))
.
.
2011-03-14 10:33 . 2011-03-14 10:33	--------	d-----w-	c:\program files\SEAF
2011-03-07 07:16 . 2010-12-20 17:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-03-07 07:16 . 2011-03-10 11:18	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2011-03-07 07:16 . 2010-12-20 17:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-03-04 17:05 . 2011-03-04 17:05	--------	d-----w-	c:\program files\Ad-Remover
2011-03-04 16:10 . 2011-03-04 16:10	--------	d-----w-	c:\documents and settings\Delaforge\Application Data\Malwarebytes
2011-03-04 15:57 . 2011-03-04 15:57	512	----a-w-	C:\PhysicalDisk0_MBR.bin
2011-03-04 15:50 . 2011-03-14 07:50	--------	d-----w-	c:\program files\ZHPDiag
2011-03-04 15:25 . 2011-03-04 15:25	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2011-03-04 14:34 . 2011-03-04 14:39	--------	d-----w-	c:\documents and settings\Administrateur
2011-03-04 12:26 . 2011-03-04 12:26	18301	----a-w-	c:\windows\system32\MAI10.tmp
2011-03-04 12:26 . 2011-03-04 16:35	--------	d-----w-	c:\documents and settings\All Users\Application Data
PoIpIm18100
2011-03-04 12:25 . 2011-03-04 12:25	18301	----a-w-	c:\windows\system32\MAID.tmp
2011-03-04 12:25 . 2011-03-04 12:25	--------	d-----w-	c:\documents and settings\Delaforge\Application Data\Sql
2011-03-01 07:18 . 2011-03-01 07:18	--------	d-----w-	c:\documents and settings\All Users\Application Data\Photo Notifier and Animation Creator
2011-03-01 07:18 . 2011-03-01 07:18	--------	d-----w-	c:\program files\Photo Notifier and Animation Creator
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-09 13:54 . 2004-08-05 12:00	270848	----a-w-	c:\windows\system32\sbe.dll
2011-02-09 13:54 . 2004-08-05 12:00	186880	----a-w-	c:\windows\system32\encdec.dll
2011-02-02 20:40 . 2011-02-07 13:58	472808	----a-w-	c:\windows\system32\deployJava1.dll
2011-02-02 18:19 . 2011-02-07 13:58	73728	----a-w-	c:\windows\system32\javacpl.cpl
2011-02-02 07:59 . 2005-09-07 22:10	2067456	----a-w-	c:\windows\system32\mstscax.dll
2011-01-27 11:57 . 2005-09-07 22:10	677888	----a-w-	c:\windows\system32\mstsc.exe
2011-01-21 14:44 . 2004-08-05 12:00	441344	----a-w-	c:\windows\system32\shimgvw.dll
2011-01-18 12:03 . 2005-09-09 11:00	17134	-c--a-w-	c:\windows\system32\pcandis5.sys
2011-01-13 08:47 . 2011-01-18 13:50	38848	----a-w-	c:\windows\avastSS.scr
2011-01-13 08:47 . 2011-01-18 13:50	188216	----a-w-	c:\windows\system32\aswBoot.exe
2011-01-13 08:41 . 2011-01-18 13:52	294608	----a-w-	c:\windows\system32\drivers\aswSP.sys
2011-01-13 08:40 . 2011-01-18 13:52	47440	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2011-01-13 08:40 . 2011-01-18 13:52	100176	----a-w-	c:\windows\system32\drivers\aswmon2.sys
2011-01-13 08:39 . 2011-01-18 13:52	94544	----a-w-	c:\windows\system32\drivers\aswmon.sys
2011-01-13 08:37 . 2011-01-18 13:52	23632	----a-w-	c:\windows\system32\drivers\aswRdr.sys
2011-01-13 08:37 . 2011-01-18 13:52	29392	----a-w-	c:\windows\system32\drivers\aavmker4.sys
2011-01-13 08:37 . 2011-01-18 13:52	17744	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2011-01-07 14:09 . 2004-08-05 12:00	290048	----a-w-	c:\windows\system32\atmfd.dll
2010-12-31 14:04 . 2004-08-05 12:00	1855104	----a-w-	c:\windows\system32\win32k.sys
2010-12-22 12:34 . 2004-08-05 12:00	301568	----a-w-	c:\windows\system32\kerberos.dll
2010-12-20 23:53 . 2004-08-05 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2010-12-20 23:53 . 2004-08-05 12:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2010-12-20 23:53 . 2004-08-05 12:00	1469440	------w-	c:\windows\system32\inetcpl.cpl
2010-12-20 17:26 . 2004-08-05 12:00	736768	----a-w-	c:\windows\system32\lsasrv.dll
2010-12-20 12:55 . 2004-08-05 12:00	385024	----a-w-	c:\windows\system32\html.iec
2005-09-09 11:21 . 2005-09-09 11:01	278528	-c--a-w-	c:\program files\Fichiers communs\FDEUnInstaller.exe
.
.
((((((((((((((((((((((((((((((((((((((((((((   Look   )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
---- Directory of c:\documents and settings\All Users\Application Data
PoIpIm18100 ----
.
2011-03-04 12:26 . 2011-03-04 14:27	98	----a-w-	c:\documents and settings\All Users\Application Data
PoIpIm18100
PoIpIm18100
.
.
(((((((((((((((((((((((((((((   SnapShot@2011-03-09_07.25.52   )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-03-15 07:27 . 2011-03-15 07:27	16384              c:\windows\Temp\Perflib_Perfdata_3dc.dat
+ 2011-01-20 08:39 . 2011-03-09 07:52	35088              c:\windows\Installer\{90120000-0011-0000-0000-0000000FF1CE}\oisicon.exe
- 2011-01-20 08:39 . 2011-02-09 07:10	35088              c:\windows\Installer\{90120000-0011-0000-0000-0000000FF1CE}\oisicon.exe
- 2011-01-20 08:39 . 2011-02-09 07:10	18704              c:\windows\Installer\{90120000-0011-0000-0000-0000000FF1CE}\mspicons.exe
+ 2011-01-20 08:39 . 2011-03-09 07:52	18704              c:\windows\Installer\{90120000-0011-0000-0000-0000000FF1CE}\mspicons.exe
- 2011-01-20 08:39 . 2011-02-09 07:10	20240              c:\windows\Installer\{90120000-0011-0000-0000-0000000FF1CE}\cagicon.exe
+ 2011-01-20 08:39 . 2011-03-09 07:52	20240              c:\windows\Installer\{90120000-0011-0000-0000-0000000FF1CE}\cagicon.exe
+ 2011-02-09 13:54 . 2011-02-09 13:54	270848              c:\windows\system32\dllcache\sbe.dll
+ 2011-01-27 11:57 . 2011-01-27 11:57	677888              c:\windows\system32\dllcache\lhmstsc.exe
+ 2011-02-09 13:54 . 2011-02-09 13:54	186880              c:\windows\system32\dllcache\encdec.dll
- 2011-01-20 08:39 . 2011-02-09 07:10	888080              c:\windows\Installer\{90120000-0011-0000-0000-0000000FF1CE}\wordicon.exe
+ 2011-01-20 08:39 . 2011-03-09 07:52	888080              c:\windows\Installer\{90120000-0011-0000-0000-0000000FF1CE}\wordicon.exe
+ 2011-01-20 08:39 . 2011-03-09 07:52	272648              c:\windows\Installer\{90120000-0011-0000-0000-0000000FF1CE}\pubs.exe
- 2011-01-20 08:39 . 2011-02-09 07:10	272648              c:\windows\Installer\{90120000-0011-0000-0000-0000000FF1CE}\pubs.exe
+ 2011-01-20 08:39 . 2011-03-09 07:52	922384              c:\windows\Installer\{90120000-0011-0000-0000-0000000FF1CE}\pptico.exe
- 2011-01-20 08:39 . 2011-02-09 07:10	922384              c:\windows\Installer\{90120000-0011-0000-0000-0000000FF1CE}\pptico.exe
- 2011-01-20 08:39 . 2011-02-09 07:10	845584              c:\windows\Installer\{90120000-0011-0000-0000-0000000FF1CE}\outicon.exe
+ 2011-01-20 08:39 . 2011-03-09 07:52	845584              c:\windows\Installer\{90120000-0011-0000-0000-0000000FF1CE}\outicon.exe
- 2011-01-20 08:39 . 2011-02-09 07:10	217864              c:\windows\Installer\{90120000-0011-0000-0000-0000000FF1CE}\misc.exe
+ 2011-01-20 08:39 . 2011-03-09 07:52	217864              c:\windows\Installer\{90120000-0011-0000-0000-0000000FF1CE}\misc.exe
- 2011-01-20 08:39 . 2011-02-09 07:10	159504              c:\windows\Installer\{90120000-0011-0000-0000-0000000FF1CE}\inficon.exe
+ 2011-01-20 08:39 . 2011-03-09 07:52	159504              c:\windows\Installer\{90120000-0011-0000-0000-0000000FF1CE}\inficon.exe
+ 2011-02-02 07:59 . 2011-02-02 07:59	2067456              c:\windows\system32\dllcache\lhmstscx.dll
+ 2011-02-16 12:54 . 2011-02-16 12:54	4992000              c:\windows\Installer\2f850d.msp
- 2011-01-20 08:39 . 2011-02-09 07:10	1172240              c:\windows\Installer\{90120000-0011-0000-0000-0000000FF1CE}\xlicons.exe
+ 2011-01-20 08:39 . 2011-03-09 07:52	1172240              c:\windows\Installer\{90120000-0011-0000-0000-0000000FF1CE}\xlicons.exe
- 2011-01-20 08:39 . 2011-02-09 07:10	1165584              c:\windows\Installer\{90120000-0011-0000-0000-0000000FF1CE}\accicons.exe
+ 2011-01-20 08:39 . 2011-03-09 07:52	1165584              c:\windows\Installer\{90120000-0011-0000-0000-0000000FF1CE}\accicons.exe
+ 2005-09-09 10:05 . 2011-03-09 07:52	37943240              c:\windows\system32\MRT.exe
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NBJ"="c:\progra~1\Ahead\NEROBA~1\NBJ.exe" [2004-09-22 1871872]
"TomTomHOME.exe"="c:\program files\TomTom HOME 2\TomTomHOMERunner.exe" [2010-08-24 247144]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-06-18 39408]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-10-08 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-10-08 126976]
"OpwareSE2"="c:\program files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 49152]
"Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-06 57344]
"Easy-PrintToolBox"="c:\program files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2004-01-14 409600]
"SoundMan"="SOUNDMAN.EXE" [2004-09-16 69632]
"avast5"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2011-01-13 3396624]
.
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Windows Search.lnk - c:\program files\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\WDGold Lite\WDGold Lite.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\IncrediMail\Bin\IncMail.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017
.
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [18/01/2011 14:52 294608]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [18/01/2011 14:52 17744]
R2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [24/08/2010 10:38 92008]
S2 FILESpy;FILESpy;\??\c:\program files\Softwin\BitDefender8\filespy.sys --> c:\program files\Softwin\BitDefender8\filespy.sys [?]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [18/06/2010 10:05 135664]
S3 GTUHSBUS;GT UHS BUS;c:\windows\system32\drivers\gtuhsbus.sys [18/06/2010 08:28 66560]
S3 GTUHSNDISIPXP;GT UHS IP NDIS;c:\windows\system32\drivers\gtuhs51.sys [18/06/2010 08:29 107520]
S3 GTUHSSER;GT UHS SER;c:\windows\system32\drivers\gtuhsser.sys [18/06/2010 08:29 8064]
.
Contenu du dossier 'Tâches planifiées'
.
2011-03-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-06-18 09:05]
.
2011-03-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-06-18 09:05]
.
2011-03-15 c:\windows\Tasks\User_Feed_Synchronization-{40392D40-83F3-4DD6-BD12-A8E2E030008C}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Easy-WebPrint Ajouter à la liste d'impressions - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
IE: Easy-WebPrint Impression rapide - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
IE: Easy-WebPrint Imprimer - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
IE: Easy-WebPrint Prévisualiser - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
TCP: {891E12C6-8430-4798-8710-74F2440A5EB9} = 81.253.149.9,80.10.246.3
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-03-15 08:28
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
Recherche de fichiers cachés ... 
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\WINDOWS\system32\Macromed\Flash\FlashUtil10m_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\WINDOWS\system32\Macromed\Flash\FlashUtil10m_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Swearware\backup\winsock2\Parameters]
@DACL=(02 0000)
@SACL=
"WinSock_Registry_Version"="2.0"
"Current_NameSpace_Catalog"="NameSpace_Catalog5"
"Current_Protocol_Catalog"="Protocol_Catalog9"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'explorer.exe'(416)
c:\program files\ScanSoft\OmniPageSE2.0\ophookSE2.dll
c:\program files\Windows Desktop Search\deskbar.dll
c:\program files\Windows Desktop Search\fr-fr\dbres.dll.mui
c:\program files\Windows Desktop Search\dbres.dll
c:\program files\Windows Desktop Search\wordwheel.dll
c:\program files\Windows Desktop Search\fr-fr\msnlExtRes.dll.mui
c:\program files\Windows Desktop Search\msnlExtRes.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Inventel\Gateway\wlancfg.exe
c:\windows\system32\SearchIndexer.exe
c:\windows\SOUNDMAN.EXE
.
**************************************************************************
.
Heure de fin: 2011-03-15  08:31:50 - La machine a redémarré
ComboFix-quarantined-files.txt  2011-03-15 07:31
ComboFix2.txt  2011-03-09 07:27
.
Avant-CF: 24 128 196 608 octets libres
Après-CF: 24 100 057 088 octets libres
.
- - End Of File - - B8F4BAC17CB7509CFB2EE9816FC65F38


Bonne journée
A+

Utilisateur anonyme · Answer

Salut,

As tu d'autres soucis avant de finaliser ?

ilid · Answer

Salut,

Non, pas d'autre souci et tout va bien maintenant 

Merci pour tout

Utilisateur anonyme · Answer

Re,  

On va finaliser maintenant :  

1/   

IMPORTANT   

Purger les points de restauration système:   

Télécharge OneClick2RestorePoint   

http://www.multifa7.be/Laddy/OneClick2RP.exe   

Mirroirs si non accessible :   
http://batchdhelus.open-web.fr/Laddy/OneClick2RP.exe   
https://app.box.com/s/cqcsz5m0oz   

* Double clic sur OneClick2RP pour l'exécuter (Clic-droit choisir Executer en tant qu'administrateur sous Vista/Seven)   
* Clic sur le bouton "Purger", l'outil de nettoyage de windows va s'ouvrir   
* Choisis ton disque dur principal en général (C:\) ... Patiente pendant le scan...   
* Rends toi dans l'onglet "Autres options"   
* Dans la zone restauration système, clic sur le bouton nettoyer puis sur le bouton Supprimer.   
* Les points de restauration système seront purgés sauf le dernier créé.   


Ensuite avec le même outil   
Créer un nouveau point de restauration reconnaissable   


2/   

Télécharge DelFix sur ton   

bureau.   

* Lance le, tape suppression puis valide   

Patiente pendant le scan jusqu'à l'ouverture du rapport.   

* Copie/Colle le contenu du rapport dans ta prochaine réponse.   

Note : Le rapport se trouve également sous C:\DelFix.txt   

tu peux le desinstaller   

3/   

Télécharge et installe    :   

CCleaner version Slim   

* Lance-le.(clic droit "en tant qu'administrateur" pour Vista et Seven) Va dans Options puis   

Avancé et décoche la case Effacer uniquement les fichiers etc....   

* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.   

* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare   

toutes les erreurs tant de fois qu il en trouve a l analyse .  

****************   Aide ICI   ******************  

Tu peux utiliser Ccleaner une fois par semaine  

4/  

Téléchage updatechecker pour t'indiquer les logiciels qui ne sont pas à jour et te permet aussi d'effectuer ces mises à jour  

5/  

Aussi tu peux garder Malwarebytes et l'utiliser aussi une fois par semaine.  

6/  

Je te conseille d'utiliser le navigateur Firefox et d'installer les modules   

complémentaires WOT pour t'indiquer les fichiers douteux et Adblock plus pour bloquer les publicités...  

J'attend le rapport de delfix  

@+  


H.F.  :  Fish66

ilid · Answer

Bonjour,

Voici le rapport Delfix


# DelFix v7.5 - Rapport créé le 15/03/2011 à 16:47
# Mis à jour le 15/03/11 à 16h30 par Xplode
# Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
# Nom d'utilisateur : Delaforge - MY-BA9B60CAD86C (Administrateur)
# Exécuté depuis : C:\Documents and Settings\Delaforge\Bureau\DelFix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

-> C:\Qoobox\BackEnv ... ACL modifié avec succès.
Supprimé : C:\Qoobox
Supprimé : C:\Program Files\Ad-Remover
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\Program Files\SEAF
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\ComboFix.txt
Supprimé : C:\SeafLog 2.txt
Supprimé : C:\SeafLog.txt
Supprimé : C:\ZHPExportRegistry-08-03-2011-17-13-54.txt
Supprimé : C:\ZHPExportRegistry-10-03-2011-12-12-56.txt
Supprimé : C:\ZHPExportRegistry-10-03-2011-13-19-49.txt
Supprimé : C:\ZHPExportRegistry-10-03-2011-17-10-22.txt
Supprimé : C:\WINDOWS\grep.exe
Supprimé : C:\WINDOWS\PEV.exe
Supprimé : C:\WINDOWS\NIRCMD.exe
Supprimé : C:\WINDOWS\MBR.exe
Supprimé : C:\WINDOWS\sed.exe
Supprimé : C:\WINDOWS\SWREG.exe
Supprimé : C:\WINDOWS\SWSC.exe
Supprimé : C:\WINDOWS\SWXCACLS.exe
Supprimé : C:\WINDOWS\zip.exe
Supprimé : C:\Documents and Settings\Delaforge\Bureau\ComboFix.exe
Supprimé : C:\Documents and Settings\Delaforge\Bureau\SEAF.exe
Supprimé : C:\Documents and Settings\Delaforge\Bureau\AD-R.lnk
Supprimé : C:\Documents and Settings\Delaforge\Bureau\ZHPDiag.txt
Supprimé : C:\Documents and Settings\Delaforge\Bureau\ZHPFixReport.txt
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\SOFTWARE\Ad-Remover
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\ZHP
Clé Supprimée : HKLM\Software\swearware
Clé Supprimée : HKLM\Software\Classes\.cfxxe
Clé Supprimée : HKLM\Software\Classes\cfxxefile
Clé Supprimée : HKLM\Software\TrendMicro\Hijackthis
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SEAF
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

~~~~~~ Autre ~~~~~~

-> Prefetch vidé

########## EOF - "C:\DelFixSuppr.txt" - [2544 octets] ##########

Utilisateur anonyme · Answer

Re,

Bon surf :)

@+

ilid · Answer

Re

Meci pour tout

A+

Virus spm/LX

29 réponses

Discussions similaires