Blocage de Vista / HIJACKTHIS

Question

Bonjour, 

Je suis confronté à un souci avec un pc portable vista. celui-ci avait un virus que j'ai dores et déjà erradiqué.

Le pc se bloquait rapidement (la souris bougeait mais impossible de faire quoi que ce soit avec le système d'exploitation). Après avoir scanné le virus, j'ai repoussé ce blocage à une apparition au bout de 20 minutes d'utilisation.

Je ne sais plus trop comment faire, d'autant que Avast que j'avais installé à la base ne veut plus du tout s'exécuter.

J'ai passé HIJACKTHIS, et voilà ce que ça donne (je ne sais pas lire ces données).

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:51:41, on 22/03/2011
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.19019)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Adobe\Reader 8.0\Readereader_sl.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\Macromed\Flash\FlashUtil10n_ActiveX.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IELowutil.exe
C:\Windows\system32\wuauclt.exe
C:\Users\david\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\33WAUC7P\HiJackThis[1].exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe
O1 - Hosts: ::1 localhost
O2 - BHO: vShare Toolbar - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files\vShare\vshare_toolbar.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - c:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.5\NppBho.dll
O2 - BHO: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - (no file)
O2 - BHO: (no name) - {343db173-0e5a-4f2a-b7bb-71a49085d70e} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: OfferBox - {FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C} - C:\Program Files\OfferBox\OfferBoxBHO.dll
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - c:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {343db173-0e5a-4f2a-b7bb-71a49085d70e} - (no file)
O3 - Toolbar: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - (no file)
O3 - Toolbar: vShare Toolbar - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files\vShare\vshare_toolbar.dll
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [WAWifiMessage] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [HP Health Check Scheduler] C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Google Update] "C:\Users\david\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix: 
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/fr/scan8/oscan8.cab
O18 - Protocol: vsharechrome - {3F3A4B8A-86FC-43A4-BB00-6D7EBE9D4484} - C:\Program Files\vShare\vshare_toolbar.dll
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Com4Qlb - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4Qlb.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32
vvsvc.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe

juju666 · Answer

Salut,

Ta version d'hijackthis est obsolète pour ton vista et en plus tu l a lancé depuis des fichiers temporaires.
Tu es infecté d'adwares.

1//
&#9654  Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX) 

http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel ) 
OU 
https://www.androidworld.fr/ ( Miroir ) 

/!\ Ferme toutes applications en cours /!\ 

&#9654 Double-clique sur l'icône Ad-remover située sur ton Bureau. 
&#9654 Sur la page, clique sur le bouton « Nettoyer » 
&#9654 Confirme lancement du scan 
&#9654 Laisse travailler l'outil. 
&#9654 Poste le rapport qui apparaît à la fin. 

(Le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN[1].txt) 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)  

2//
&#9654 Télécharge Malwarebytes' Anti-Malware  et enregistre le sur ton bureau.  

&#9654 &#9654 Miroir 1 si inaccessible  

&#9654 &#9654 Miroir 2 si inaccessible 

&#9654 &#9654 /!\ Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »  

&#9654 Double clique sur le fichier téléchargé pour lancer le processus d'installation.  
&#9654 Dans l'onglet "mise à jour", clique sur le bouton Recherche de mise à jour  
&#9654 si le pare-feu demande l'autorisation de se connecter pour Malwarebytes, accepte  
&#9654  Une fois la mise à jour terminée  
&#9654 rends-toi dans l'onglet Recherche 
&#9654 Sélectionne Exécuter un examen complet 
&#9654 Clique sur Rechercher  
&#9654 &#9654 Le scan démarre.  
&#9654 A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.  
&#9654 Clique sur Ok pour poursuivre.  
&#9654 Si des malwares ont été détectés, cliques sur Afficher les résultats 
&#9654 Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection . Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.  
&#9654 Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller) 

&#9654 &#9654  Il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!  
&#9654 Une fois le PC redémarré, rends toi dans l'onglet rapport/log  
&#9654 Tu clique dessus pour l'afficher, une fois affiché  
&#9654 Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller) 

Si tu as besoin d'aide regarde ce tutoriel :  
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/   

&#9654 &#9654 Si tu n'arrive pas à le mettre à jour, télécharge ce fichier

3//
Nous allons effectuer un diagnostic de ton PC:
&#9654 Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
ou :
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

&#9654 Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"

 /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur » 

&#9654 Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
&#9654 Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
&#9654 Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://pjjoint.malekal.com/

Si indispo:
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
https://www.cjoint.com/
ou :
https://www.casimages.com/

&#9654 Tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 


Hébergement de rapport sur pjjoint.malekal.com

&#9654 Rends toi sur pjjoint.malekal.com
&#9654 Clique sur le bouton Parcourir
&#9654 Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
&#9654 Clique sur le bouton Envoyer
&#9654 Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 Copie le lien dans ta prochaine réponse.

@+

misha · Answer

Merci beaucoup
je relance la machine et je vous dis ce qu'il en est.

misha · Answer

Voilà ce que dit Malwarebytes?

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6132

Windows 6.0.6001 Service Pack 1 (Safe Mode)
Internet Explorer 8.0.6001.19019

22/03/2011 18:53:10
mbam-log-2011-03-22 (18-53-10).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 289954
Temps écoulé: 40 minute(s), 52 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{B58926D6-CFB0-45D2-9C28-4B5A0F0368AE} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{C5428486-50A0-4A02-9D20-520B59A9F9B2} (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{C5428486-50A0-4A02-9D20-520B59A9F9B3} (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{DB38E21A-0133-419D-92AD-ECDFD5244D6D} (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{EB620C54-E229-4942-87CE-E717109FC8C6} (Adware.ShoppingReport2) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\program files\ad-remover\quarantine\C\program files\shopperreports3\bin\3.0.517.0\cntntcntr.dll.vir (Adware.ShopperReports) -> Quarantined and deleted successfully.
c:\program files\ad-remover\quarantine\C\program files\shopperreports3\bin\3.0.517.0\firefox\firefoxtoolbar\extensions\components\brnstff.dll.vir (Adware.ShopperReports) -> Quarantined and deleted successfully.
c:\Users\david\downloads\vlc_setup1.1.5-win32.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

misha · Answer

Et pour ZHPDIAG
http://pjjoint.malekal.com/files.php?id=0ced6a5c667108

Merci encore

juju666 · Answer

Re, je peux voir le ad-remover ?

&#9654 Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )    


EmptyTemp 
EmptyFlash 
FirewallRAZ 
G2 - GCE: Preference [User Data\Default] [bjeikeheijdjdfjbmknpefojickbkmom] Offerbox v.2.1.3304.104 (Activé)  
O2 - BHO: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} Clé orpheline   
O2 - BHO: (no name) - {FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C} Clé orpheline   
[HKCR\CLSID\{3c471948-f874-49f5-b338-4f214a2ee0b1}]   
[HKLM\Software\Classes\CLSID\{3c471948-f874-49f5-b338-4f214a2ee0b1}]    
[HKLM\Software\Microsoft\Internet Explorer	oolbar]:{90222687-f593-4738-b738-fbee9c7b26df}  
[HKLM\Software\microsoft\windows nt\currentversion\winlogon]:taskman   
[HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\browser helper objects\{30f9b915-b755-4826-820b-08fba6bd249d}] 
R3 - URLSearchHook: (no name) - {343db173-0e5a-4f2a-b7bb-71a49085d70e} Clé orpheline
O2 - BHO: (no name) - {343db173-0e5a-4f2a-b7bb-71a49085d70e} Clé orpheline
O3 - Toolbar: (no name) - {343db173-0e5a-4f2a-b7bb-71a49085d70e} . (.Pas de propriétaire - Pas de description.) --  (.not file.)
O4 - HKCU\..\Run: [SpybotSD TeaTimer] . (.Safer-Networking Ltd. - System settings protector.) -- C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe     
O4 - HKUS\S-1-5-21-429214719-1717717497-368671753-1000\..\Run: [SpybotSD TeaTimer] . (.Safer-Networking Ltd. - System settings protector.) -- C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe    
O4 - Global Startup: C:\Users\david\Desktop\Spybot - Search & Destroy.lnk . (.Safer Networking Limited.)  -- C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe    
O4 - Global Startup: C:\Users\david\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Spybot - Search & Destroy.lnk . (.Safer Networking Limited.)  -- C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe     
O23 - Service:  (SBSDWSCService) . (.Safer Networking Ltd. - Spybot-S&D Security Center integration.) - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe   
O41 - Driver: (ithzcmsp) . (. - .) - C:\Windows\system32\drivers\ithzcmsp.sys (.not file.)
O43 - CFD: 16/03/2011 - 21:38:14 - [61572173] ----D- C:\Program Files\Spybot - Search & Destroy   
O43 - CFD: 19/03/2011 - 19:00:00 - [101539050] ----D- C:\ProgramData\Spybot - Search & Destroy    
O51 - MPSK:{140f4fad-06d6-11e0-8666-001b24bb7573}\AutoRun\command - Clé orpheline
O51 - MPSK:{7d1c4890-25fb-11df-b63c-001b24bb7573}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- F:\autorunner.exe (.not file.)
O51 - MPSK:{7d1c4892-25fb-11df-b63c-001b24bb7573}\AutoRun\command - Clé orpheline
O51 - MPSK:{a9c756b8-09dc-11df-a6f4-001b24bb7573}\AutoRun\command - Clé orpheline
O52 - TDSD: \drivers.desc\"l3codecp.acm"="" . (.Fraunhofer Institut Integrierte Schaltungen - MPEG Audio Layer-3 Codec for MSACM.) -- C:\Windows\System32\l3codecp.acm
SR - | Auto 26/01/2009 1153368 |  (SBSDWSCService) . (.Safer Networking Ltd..) - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O2 - BHO: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} Clé orpheline    
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}] 






&#9654 Puis Lance ZHPFix depuis le raccourci du bureau .   

&#9654 Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .   

&#9654 Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .   

&#9654 Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.   

&#9654 Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".   

&#9654 Copie/Colle le rapport à l'écran dans ton prochain message   

&#9654 (le rapport se trouve aussi dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport.txt)    

&#9654 Redémarre ton ordinateur, refais une analyse avec ZHPDiag et héberge son rapport

juju666 · Answer

houla zhpfix a bien buggué là.

Bref, je peux voir le nouveau rapport zhpdiag stp ?

misha · Answer

Le voilà
http://pjjoint.malekal.com/files.php?id=0c086966ed61015

juju666 · Answer

finalement... il a bien bossé ^^


&#9654 télécharge Ccleaner et enregistre le sur le bureau  

&#9654 double-clique sur le fichier pour lancer l'installation  

/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de Ccleaner, « exécuter en tant qu'administrateur »  

&#9654 sur la fenêtre de l'installation langage bien choisir français et OK  
&#9654 clique sur suivant  
&#9654 lis la licence et j'accepte  
&#9654 cliques sur suivant  
&#9654 là tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner  
&#9654 cliques sur installer  
&#9654 cliques sur fermer  
&#9654 double-cliques sur l'icône de Ccleaner pour l'ouvrir  
&#9654 &#9654 une fois ouvert tu cliques sur option et puis avancé  
&#9654 tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures  
&#9654 &#9654 cliques sur nettoyeur  
&#9654cliques sur windows et dans la colonne avancé  
&#9654coches la première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la  
&#9654 cliques sur analyse une fois l'analyse terminé  
&#9654 cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien  
&#9654 &#9654 cliques maintenant sur registre et puis sur rechercher les erreurs  
&#9654 laisses tout cochées et cliques sur réparrer les erreurs sélectionnées  
&#9654 il te demande de sauvegarder OUI  
&#9654 tu lui donnes un nom pour pouvoir la retrouver et enregistre  
&#9654 cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK  
&#9654 il supprime et fermer tu vérifies en relançant rechercher les erreurs  
&#9654 tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch  
&#9654 tu peux fermer Ccleaner  

------  

&#9654 Désactivation, puis Réactivation de la restauration système après désinfection :  

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés :  

XP/Vista : http://www.forum-fec.net/t97-purger-la-restauration-du-systeme 
Seven: http://www.forum-fec.net/faq-tutoriel-astuces-f10/purger-la-restauration-du-systeme-sous-windows-7-t142.htm 

------  

Mise à jour Windows :  

Windows Update XP (uniquement avec Internet Explorer): http://update.microsoft.com/windowsupdate/v6/thanks.aspx?ln=fr&&thankspage=5 

Windows Update Vista/Seven : cliquer sur le logo windows, dans la rechercher taper "Windows Update", cliquer sur le résultat. 

----- 

&#9654 Mets à jour Java : https://www.java.com/fr/download/uninstalltool.jsp   

&#9654 Désinstaller les anciennes versions de Java :   

&#9654 Télécharge JavaRa.zip   

&#9654 Décompresse le fichier sur ton bureau (clique droit > Extraire tout.)   

&#9654 Double-clique sur le répertoire JavaRa obtenu.   

&#9654 Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s'afficher)   

&#9654 Clique sur Remove Older Versions.   

&#9654 Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok.   

&#9654 Un rapport va s'ouvrir, copie-colle le dans ta prochaine réponse.   

&#9654 Note : le rapport se trouve aussi là : ( C:\JavaRa.log )   

&#9654 Tu peux fermer l'application    

&#9654 &#9654 Met à jour Adobe :  

&#9654 Reader : https://get2.adobe.com/fr/reader/otherversions/ 
&#9654 &#9654 Décocher le scan Macàfric 

&#9654 Flash Player: https://get.adobe.com/flashplayer/?loc=fr 

----- 

&#9654 &#9654 pour supprimer les outils de désinfection : 

&#9654 Télécharge Delfix sur ton bureau :  

&#9654 Clique sur le bouton « Suppression » et poste son rapport sur ton prochain message  
&#9654 &#9654 Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation.  

------  

Tu peux garder Malwarebytes pour un scan de temps à autres  

-----  

Tu peux lire ce sujet sur les logiciels recommandés, et les attitudes responsables sur le web  
Et celui ci, sur les logiciels gratuits à éviter  

------  

&#9654 &#9654 Pense à marquer le fil comme résolu   

------  

Si tu as d'autres questions, je t'écoute avec plaisir :) 

@+

misha · Answer

Alors, j'ai fais tout ça... sauf que le pc a de nouveau bloqué au bout du même nombre de temps. Je n'ai donc même pas pu copier le rapport de DelFix.

Et puis, je ne peux plus du tout utiliser Avast, il refuse de s'executer et de se réinstaller.

Peut-être as-tu d'autres pistes?

juju666 · Answer

ouais on va voir ça. au fait ton pc est un toshiba ?

&#9654 Télécharge FindyKill (créé par El Desaparecido) et enregistre-le  sur ton bureau 

&#9654  /!\ Ne fais pas le nettoyage tout de suite /!\  

&#9654 Double clic sur le raccourci FindyKill sur ton bureau, l'installation se fera automatiquement 

&#9654 &#9654 Au menu principal,choisi l option 1 (Recherche) 

&#9654 Poste le rapport FindyKill.txt 

&#9654 Note : le rapport FindyKill.txt est sauvegardé a la racine du disque

Misha · Answer

Voici le rapport:
-----------------------------------

 # Intel(R) Core(TM)2 Duo CPU     T5250  @ 1.50GHz
# Microsoft® Windows Vista(TM) Édition Familiale Premium  (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 8.0.6001.19019
# Windows Firewall Status : Enabled
# AV : Norton Internet Security 2007 [ Enabled | (!) Outdated ]
# FW : Norton Internet Security[ (!) Disabled ]2007

# C:\ # Disque fixe local # 141,59 Go (102,29 Go free) # NTFS
# D:\ # Disque fixe local # 7,45 Go (2,3 Go free) [HP_RECOVERY] # NTFS

################## | Eléments infectieux |

C:\Windows\prefetch\WINUPGRO.EXE-3A2FD0C8.pf  

################## | Registre |


################## | Etat |

# Affichage des fichiers cachés : OK
 
# Mode sans echec : OK

# Uac : OK 
 
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 ) 
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 ) 
# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )  
# windefend -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 

################## | ! Fin du rapport # FindyKill V5.052 ! |

juju666 · Answer

y'a juste un service endommagé, rien de grave sinon.
l'élément infectieux est un faux positif.

on fait quand même le nettoyage:
&#9654 Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectés sans les ouvrir 

&#9654 Double clic sur le raccourci FindyKill sur ton bureau 

&#9654 Au menu principal, choisis l'option 2 (Suppression) 

/!\ il y aura 2 redémarrages, laisse travailler l'outil jusqu'à l'apparition du message "nettoyage effectué" 

/!\ Ne te sert pas du pc durant la suppression, ton bureau ne sera pas accessible c'est normal ! 

&#9654 Ensuite poste le rapport FindyKill.

misha · Answer

Le souci de ce proccessus c'est qu'il relance le pc et... au bout des 20 mn, le pc bloque.
Et je ne peux pas redemarrer le pc en mode sans echec.

juju666 · Answer

c est vraiment bizarre.

le mode sans échec est pourtant opérationnel.

DÉSACTIVE TON ANTIVIRUS ET TON PARE-FEU SI PRÉSENTS !!!!! (car l'outil est détecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions) 

&#9654 Télécharge ici :List_Kill'em 

 et enregistre le sur ton bureau  

si tu as XP => double clique 
si tu as Vista ou windows 7 => clic droit "exécuter en tant que...."  

sur le raccourci sur ton bureau pour lancer l'installation 

Laisse coché : 

&#9830 Exécuter List_Kill'em 

une fois terminée , clic sur "terminer"  

lance-le via le raccourci apparu sur ton bureau comme précité au début  

choisis l'option Search 

&#9654 laisse travailler l'outil 

à l'apparition de la fenêtre blanche , c'est un peu long , c'est normal ,c'est une recherche supplémentaire de fichiers cachés , le programme n'est pas bloqué. 

&#9654 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'écran "COMPLETED" 

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM  

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/  

&#9654 Clique sur Parcourir et cherche le fichier C:\List'em.txt  

&#9654 Clique sur Ouvrir.  

&#9654 Clique sur "Cliquez ici pour déposer le fichier".  

Un lien de cette forme :  

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt  

est ajouté dans la page.  

&#9654 Copie ce lien dans ta réponse.  

&#9654 Fais de même avec more.txt et rapport.txt qui se trouvent sur ton bureau

misha · Answer

Bonsoir,

Alors, souci, il reste bloqué sur "Verification Amorce disque" sans plus pouvoir avancer. C'est le cas en mode normal ou en mode sans échec.

Là, ca fait 1h40 que c'est bloqué, mais l'ordinateur n'est pas figé pour autant.

juju666 · Answer

regarde si tu as les 3 fichiers.
Si oui, tu peux le couper.

misha · Answer

Je n'ai que rapport.txt qui s'est créé. Tu le veux quand même?

juju666 · Answer

tu n'as pas more.txt et list'em.txt sur ton bureau??

misha · Answer

Non, uniquement rapport.txt.

juju666 · Answer

ouais bref, on passe aux antibiotiques. lol

Attention, avant de commencer, lit attentivement la procédure, et imprime la  
n'aie pas peur, je suis là pour superviser, tout se déroulera bien :-)
/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEUREUX /!\  
tutoriel combofix  

&#9654 Fais un clic droit sur le lien ci dessous, choisi "Enregistrer la cible du lien sous", comme destination : ton Bureau, change son nom (ton_pseudo.exe par exemple) :  

http://download.bleepingcomputer.com/sUBs/ComboFix.exe  

&#9654 /!\ Déconnecte-toi du net et ARRÊTE TES LOGICIELS DE PROTECTION /!\  

&#9654 Double-clique sur ComboFix.exe  
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter  

&#9654 &#9654 SURTOUT INSTALLES LA CONSOLE DE RECUPERATION  
(si il te propose de l'installer remets internet)  

&#9654 Mets-le en langue française F  

&#9654 Tape sur la touche 1 (Yes) pour démarrer le scan.  
  

&#9654 Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC  

&#9654En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.  

&#9654 Une fois le scan achevé, un rapport va s'afficher : Poste son contenu  

&#9654 &#9654 /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\  

&#9654 Note : Le rapport se trouve également là : C:\ComboFix.txt

misha · Answer

On y va alors ^^

misha · Answer

ComboFix 11-03-24.01 - david 24/03/2011  21:41:11.1.2 - x86 NETWORK
Microsoft® Windows Vista(TM) Édition Familiale Premium   6.0.6001.1.1252.33.1036.18.2046.1548 [GMT 1:00]
Lancé depuis: c:\users\david\Desktop\ComboFix.exe
AV: avast! Antivirus *Enabled/Outdated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}
SP: avast! Antivirus *Enabled/Outdated* {904CF271-6431-DA47-5FCE-A87D98DFB681}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Un nouveau point de restauration a été créé
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2011-02-24 au 2011-03-24  ))))))))))))))))))))))))))))))))))))
.
.
2011-03-24 20:47 . 2011-03-24 20:48	--------	d-----w-	c:\users\david\AppData\Local	emp
2011-03-24 20:47 . 2011-03-24 20:47	--------	d-----w-	c:\users\Invité\AppData\Local	emp
2011-03-24 20:47 . 2011-03-24 20:47	--------	d-----w-	c:\users\Default\AppData\Local	emp
2011-03-23 21:26 . 2011-03-23 21:26	--------	d-----w-	C:\Kill'em
2011-03-23 21:26 . 2011-03-24 20:26	--------	d-----w-	c:\program files\List_Kill'em
2011-03-23 21:24 . 2011-03-23 21:24	--------	d-----w-	C:\1st_Quarantine_L_K
2011-03-22 21:19 . 2011-03-23 20:30	--------	d-----w-	C:\FyK
2011-03-22 20:12 . 2011-03-22 20:12	--------	d-----w-	c:\windows\system32\Liste Spéciale
2011-03-22 19:42 . 2010-03-05 14:01	420352	----a-w-	c:\windows\system32\vbscript.dll
2011-03-22 18:24 . 2011-03-22 18:24	512	----a-w-	C:\PhysicalDisk0_MBR.bin
2011-03-22 18:10 . 2011-03-22 19:29	--------	d-----w-	c:\windows\system32\Quarantine
2011-03-22 16:57 . 2011-03-22 16:57	--------	d-----w-	c:\users\david\AppData\Roaming\Malwarebytes
2011-03-22 16:57 . 2011-03-22 16:57	--------	d-----w-	c:\programdata\Malwarebytes
2011-03-22 16:57 . 2010-12-20 17:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-03-22 16:57 . 2011-03-22 16:57	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2011-03-22 16:57 . 2010-12-20 17:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-03-22 16:26 . 2011-02-11 06:54	5943120	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{5C28A706-71FB-433E-B6B1-E7A54263DD72}\mpengine.dll
2011-03-20 19:42 . 2009-06-12 11:18	26600	----a-r-	c:\windows\system32\drivers\GEARAspiWDM.sys
2011-03-20 19:42 . 2008-01-29 05:32	107368	----a-r-	c:\windows\system32\GEARAspi.dll
2011-03-20 19:41 . 2011-03-20 19:41	--------	d-----w-	c:\windows\system32\drivers\NBRTWizard
2011-03-20 19:41 . 2011-03-20 19:41	--------	d-----w-	c:\program files\Norton Bootable Recovery Tool Wizard
2011-03-20 19:40 . 2011-03-20 19:40	--------	d-----w-	c:\program files\NortonInstaller
2011-03-20 19:27 . 2011-03-20 19:42	--------	dc----w-	c:\windows\system32\DRVSTORE
2011-03-20 18:38 . 2011-03-20 19:41	--------	d-----w-	c:\programdata\Norton
2011-03-20 10:07 . 2011-03-20 10:07	--------	d-----w-	c:\windows\system32\EventProviders
2011-03-20 10:07 . 2011-03-20 10:07	--------	d-----w-	C:\072625a539209d8c66000d1fd9acd426
2011-03-20 09:47 . 2011-03-20 18:26	81984	----a-w-	c:\windows\system32\bdod.bin
2011-03-20 09:39 . 2011-03-22 21:14	--------	d-----w-	c:\program files\Common Files\Softwin
2011-03-17 07:24 . 2011-02-23 14:56	371544	----a-w-	c:\windows\system32\drivers\aswSnx.sys
2011-03-17 07:24 . 2011-02-23 14:56	301528	----a-w-	c:\windows\system32\drivers\aswSP.sys
2011-03-17 07:24 . 2011-02-23 14:55	49240	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2011-03-17 07:24 . 2011-02-23 14:55	25432	----a-w-	c:\windows\system32\drivers\aswRdr.sys
2011-03-17 07:24 . 2011-02-23 14:55	53592	----a-w-	c:\windows\system32\drivers\aswMonFlt.sys
2011-03-17 07:24 . 2011-02-23 14:54	19544	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2011-03-17 07:24 . 2011-02-23 15:04	40648	----a-w-	c:\windows\avastSS.scr
2011-03-17 07:24 . 2011-02-23 15:04	190016	----a-w-	c:\windows\system32\aswBoot.exe
2011-03-17 06:36 . 2011-03-17 06:36	--------	d-----w-	c:\program files\CCleaner
2011-03-16 17:46 . 2011-03-22 20:40	--------	d-----w-	c:\programdata\Spybot - Search & Destroy
2011-03-16 17:46 . 2011-03-22 19:27	--------	d-----w-	c:\program files\Spybot - Search & Destroy
2011-03-16 17:46 . 2011-03-17 07:23	--------	d-----w-	c:\programdata\AVAST Software
2011-03-16 17:46 . 2011-03-16 17:46	--------	d-----w-	c:\program files\AVAST Software
2011-03-09 17:50 . 2010-12-29 17:41	323072	----a-w-	c:\windows\system32\sbe.dll
2011-03-09 17:50 . 2010-12-29 17:41	153088	----a-w-	c:\windows\system32\sbeio.dll
2011-03-09 17:50 . 2010-12-29 17:41	429056	----a-w-	c:\windows\system32\EncDec.dll
2011-03-09 17:50 . 2010-12-29 17:39	177664	----a-w-	c:\windows\system32\mpg2splt.ax
2011-03-09 17:50 . 2010-12-17 16:43	2067456	----a-w-	c:\windows\system32\mstscax.dll
2011-03-09 17:50 . 2010-12-17 15:06	677888	----a-w-	c:\windows\system32\mstsc.exe
2011-02-25 16:36 . 2011-02-25 16:36	653576	----a-w-	c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-02 20:40 . 2010-12-15 12:52	472808	----a-w-	c:\windows\system32\deployJava1.dll
2011-02-02 17:11 . 2010-12-13 14:26	222080	------w-	c:\windows\system32\MpSigStub.exe
2011-01-23 17:38 . 2006-11-02 10:32	101888	----a-w-	c:\windows\system32\ifxcardm.dll
2011-01-23 17:38 . 2006-11-02 10:32	82432	----a-w-	c:\windows\system32\axaltocm.dll
2011-01-08 07:50 . 2011-02-13 18:11	34304	----a-w-	c:\windows\system32\atmlib.dll
2011-01-08 05:57 . 2011-02-13 18:11	292352	----a-w-	c:\windows\system32\atmfd.dll
2010-12-31 13:25 . 2011-02-13 18:12	2038784	----a-w-	c:\windows\system32\win32k.sys
2010-12-28 14:57 . 2011-01-24 11:58	409600	----a-w-	c:\windows\system32\odbc32.dll
2009-11-04 09:14	1168216	--sha-r-	c:\windows\System32\Quarantine\Spybot - Search & Destroy   .DIR\advcheck.dll
2009-01-26 14:31	2144088	--sha-r-	c:\windows\System32\Quarantine\Spybot - Search & Destroy   .DIR\EYDFUEW.scr
2009-03-05 15:07	2260480	--sha-r-	c:\windows\System32\Quarantine\Spybot - Search & Destroy   .DIR\GMMTWN.scr
2009-01-26 14:31	5365592	--sha-r-	c:\windows\System32\Quarantine\Spybot - Search & Destroy   .DIR\JYLVMNSKJVMMNUNAX.scr
2009-01-26 14:31	1740632	--sha-r-	c:\windows\System32\Quarantine\Spybot - Search & Destroy   .DIR\SDUpdate.exe
2009-01-26 14:31	1740632	--sha-r-	c:\windows\System32\Quarantine\Spybot - Search & Destroy   .DIR\XHPTGGXCUIPZMUCHK.scr
2009-11-04 09:14	1168216	--sha-r-	c:\windows\System32\Quarantine\Spybot - Search & Destroy   .DIR\Spybot - Search & Destroy\advcheck.dll
2009-01-26 14:31	2144088	--sha-r-	c:\windows\System32\Quarantine\Spybot - Search & Destroy   .DIR\Spybot - Search & Destroy\EYDFUEW.scr
2009-03-05 15:07	2260480	--sha-r-	c:\windows\System32\Quarantine\Spybot - Search & Destroy   .DIR\Spybot - Search & Destroy\GMMTWN.scr
2009-01-26 14:31	5365592	--sha-r-	c:\windows\System32\Quarantine\Spybot - Search & Destroy   .DIR\Spybot - Search & Destroy\JYLVMNSKJVMMNUNAX.scr
2009-01-26 14:31	1740632	--sha-r-	c:\windows\System32\Quarantine\Spybot - Search & Destroy   .DIR\Spybot - Search & Destroy\SDUpdate.exe
2009-01-26 14:31	1740632	--sha-r-	c:\windows\System32\Quarantine\Spybot - Search & Destroy   .DIR\Spybot - Search & Destroy\XHPTGGXCUIPZMUCHK.scr
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2011-02-23 15:04	122512	----a-w-	c:\program files\AVAST Software\Avast\ashShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WindowsWelcomeCenter"="oobefldr.dll" [2008-01-19 2153472]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-19 1233920]
"Google Update"="c:\users\david\AppData\Local\Google\Update\GoogleUpdate.exe" [2011-01-26 136176]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-01-13 827392]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
"SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe" [2006-10-09 729088]
"RtHDVCpl"="RtHDVCpl.exe" [2007-03-09 4390912]
"ORAHSSSessionManager"="c:\program files\OrangeHSS\SessionManager\SessionManager.exe" [2007-12-12 107248]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2007-02-12 174872]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152]
"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2007-03-12 50696]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2011-01-22 40368]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
"Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-12-20 963976]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"GrpConv"="grpconv -o" [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp]
2007-01-10 03:59	115816	----a-w-	c:\program files\Common Files\Symantec Shared\ccApp.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IS CfgWiz]
2007-01-13 00:28	431752	----a-w-	c:\program files\Common Files\Symantec Shared\OPC\{31011D49-D90C-4da0-878B-78D28AD507AF}\cltUIStb.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
R1 aswSnx;aswSnx; [x]
R1 aswSP;aswSP; [x]
R2 aswFsBlk;aswFsBlk; [x]
R2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2011-02-23 53592]
R3 IDSvix86;Symantec Intrusion Prevention Driver;c:\progra~2\Symantec\DEFINI~1\SymcData\idsdefs\20070108.003\IDSvix86.sys [2006-12-28 212280]
R3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\system32\Drivers\PCAMp50.sys [2006-11-28 28224]
.
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - COMHOST
*NewlyCreated* - PXHELP20
.
Contenu du dossier 'Tâches planifiées'
.
2011-03-22 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-429214719-1717717497-368671753-1000Core.job
- c:\users\david\AppData\Local\Google\Update\GoogleUpdate.exe [2011-01-26 18:03]
.
2011-03-22 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-429214719-1717717497-368671753-1000UA.job
- c:\users\david\AppData\Local\Google\Update\GoogleUpdate.exe [2011-01-26 18:03]
.
2011-03-20 c:\windows\Tasks\User_Feed_Synchronization-{DA72A968-2E11-46B0-B595-9DDA2A34F4B1}.job
- c:\windows\system32\msfeedssync.exe [2011-03-20 04:47]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
.
- - - - ORPHELINS SUPPRIMES - - - -
.
WebBrowser-{343DB173-0E5A-4F2A-B7BB-71A49085D70E} - (no file)
HKLM-Run-WAWifiMessage - %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
HKLM-Run-QlbCtrl - %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
HKLM-Run-hpWirelessAssistant - %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
HKLM-RunOnce-<NO NAME> - (no file)
MSConfigStartUp-BDAgent - c:\program files\Softwin\BitDefender10\bdagent.exe
MSConfigStartUp-BDMCon - c:\program files\Softwin\BitDefender10\bdmcon.exe
MSConfigStartUp-msnmsgr - ~c:\program files\Windows Live\Messenger\msnmsgr.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-03-24 21:47
Windows 6.0.6001 Service Pack 1 NTFS
.
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
Recherche de fichiers cachés ... 
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\system\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
Heure de fin: 2011-03-24  21:50:02
ComboFix-quarantined-files.txt  2011-03-24 20:50
.
Avant-CF: 111 164 248 064 octets libres
Après-CF: 111 080 435 712 octets libres
.
- - End Of File - - AE1A42313C9D36F45D8842104D873CA9

juju666 · Answer

rien à signaler...

misha · Answer

L'ordinateur continu de se bloquer de la même manière.
On engage la manière forte? A savoir un format c: ? ^^

Merci en tout cas pour toutes les infos que tu me donnes.

juju666 · Answer

Hummm ouais je pense que le formatage est encore la meilleure solution.
Mais installe seven si possible car seven = vista sans ses bugs ;-)
je reste ici, si tu as un soucis demande moi.

misha · Answer

J'ai tout formaté, réinstallé, mis Avast en anti-virus et il m'a trouvé encore un fichier infecté par Win32.KillApp-w sur un fichier hp. J'ai tout viré, y en a marre ^^

J'ai installé Vista par contre, car ce n'est pas mon ordi et je n'ai pas W7 sous la main.

Merci en tout cas à toi pour tout le temps que tu m'as consacré.

juju666 · Answer

'lut :)

KillAp : raccourci de Kill Application, un outil qui arrête des processus, rien de grave ;)

Blocage de Vista / HIJACKTHIS

27 réponses

Votre réponse

Discussions similaires

Newsletters