rapport hijack pc lent

Question

Bonjour, 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:26:29, on 23/04/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17096)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\ltmoh\Ltmoh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
C:\WINDOWS\system32\ZoomingHook.exe
C:\WINDOWS\system32\TCtrlIOHook.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
C:\Program Files\TOSHIBA\Commandes TOSHIBA\TFncKy.exe
C:\Program Files\TOSHIBA\Touch and Launch\PadExe.exe
C:\Program Files\TOSHIBA\Tvs\TvsTray.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\system32\dla	fswctrl.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSServ.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\NewSoft\Presto! PVR\Monitor.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\TOSHIBA\TOSCDSPD	oscdspd.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla	fswshx.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TPNF] C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [HWSetup] C:\Program Files\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP
O4 - HKLM\..\Run: [SVPWUTIL] C:\Program Files\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe
O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [SmoothView] C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [PadTouch] C:\Program Files\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [Tvs] C:\Program Files\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla	fswctrl.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O5 "LPT1:" /M "Stylus CX3600"
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P36 "EPSON Stylus CX3600 Series (Copie 1)" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe 
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [ChangeFilterMerit] C:\Program Files\NewSoft\Presto! PVR\ChangeFilterMerit.exe
O4 - HKLM\..\Run: [Presto! PVR Monitor] C:\Program Files\NewSoft\Presto! PVR\Monitor.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD	oscdspd.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\adnane\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [Egofe] rundll32.exe  "C:\WINDOWSdp2FR.dll",Startup
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingD7510] cmd.exe /c del "C:\Documents and Settings\adnane\Application Data\ShoppingReport\cses2\WhiteList.dbs"
O4 - HKCU\..\RunOnce: [SpybotDeletingB3047] command.com /c del "C:\Documents and Settings\adnane\Application Data\ShoppingReport\cseport\aggr_storage.xml"
O4 - HKCU\..\RunOnce: [SpybotDeletingD4219] cmd.exe /c del "C:\Documents and Settings\adnane\Application Data\ShoppingReport\cseport\aggr_storage.xml"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.secuser.com

Destrio5 · Answer

Bonjour,

--> Utilise l'option "Scanner" d'Ad-Remover et poste le rapport :
http://www.teamxscript.org/adremoverTelechargement.html

SAMOUSSE75 · Answer

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 20:59:28 le 23/04/2011, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86) 
adnane@YOUR-AB6CD29F8E ( ) 
 
============== RECHERCHE ==============


Dossier trouvé: C:\Program Files\Bandoo
Dossier trouvé: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Everest Poker
Dossier trouvé: C:\Program Files\Everest Poker

Clé trouvée: HKLM\Software\Classes\CLSID\{27F69C85-64E1-43CE-98B5-3C9F22FB408E}
Clé trouvée: HKLM\Software\Classes\AppID\{1301A8A5-3DFB-4731-A162-B357D00C9644}
Clé trouvée: HKLM\Software\Classes\CLSID\{B543EF05-9758-464E-9F37-4C28525B4A4C}
Clé trouvée: HKLM\Software\Classes\CLSID\{BB76A90B-2B4C-4378-8506-9A2B6E16943C}
Clé trouvée: HKLM\Software\Classes\CLSID\{C3AB94A4-BFD0-4BBA-A331-DE504F07D2DB}
Clé trouvée: HKLM\Software\Classes\Interface\{477F210A-2A86-4666-9C4B-1189634D2C84}
Clé trouvée: HKLM\Software\Classes\Interface\{FF871E51-2655-4D06-AED5-745962A96B32}
Clé trouvée: HKLM\Software\Classes\TypeLib\{8F5F1CB6-EA9E-40AF-A5CA-C7FD63CC1971}
Clé trouvée: HKLM\Software\Classes\BandooCore.BandooCore
Clé trouvée: HKLM\Software\Classes\BandooCore.BandooCore.1
Clé trouvée: HKLM\Software\Classes\BandooCore.ResourcesMngr
Clé trouvée: HKLM\Software\Classes\BandooCore.ResourcesMngr.1
Clé trouvée: HKLM\Software\Classes\BandooCore.SettingsMngr
Clé trouvée: HKLM\Software\Classes\BandooCore.SettingsMngr.1
Clé trouvée: HKLM\Software\Classes\BandooCore.StatisticMngr
Clé trouvée: HKLM\Software\Classes\BandooCore.StatisticMngr.1
Clé trouvée: HKLM\Software\Classes\AppID\BandooCore.EXE
Clé trouvée: HKLM\Software\bandoo
Clé trouvée: HKLM\Software\Europa Casino
Clé trouvée: HKLM\Software\Titan Poker
Clé trouvée: HKCU\Software\Europa Casino
Clé trouvée: HKCU\Software\Grand Virtual
Clé trouvée: HKCU\Software\Titan Poker
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Europa Casino
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Everest Poker
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Titan Poker
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Zango
Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{8A96AF9E-4074-43b7-BEA3-87217BDA74C8}
Clé trouvée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{424624F4-C5DD-4e1d-BDD0-1E9C9B7799CC}
Clé trouvée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7f000001-db8e-f89c-2fec-49bf726f8c12}
Clé trouvée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9C8A3CA5-889E-4554-BEEC-EC0876E4E96A}
Clé trouvée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F9189560-573A-4fde-B055-AE7B0F4CF080}
Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\Explorer Bars\{A7CDDCDC-BEEB-4685-A062-978F5E07CEEE}
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{100EB1FD-D03E-47FD-81F3-EE91287F9465}
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C5428486-50A0-4A02-9D20-520B59A9F9B2}
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C5428486-50A0-4A02-9D20-520B59A9F9B3}
Clé trouvée: HKLM\Software\Classes\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239}


============== SCAN ADDITIONNEL ==============

**** Google Chrome Version [10.0.648.205] ****


-- C:\Documents and Settings\adnane\Local Settings\Application Data\Google\Chrome\User Data\Default --
Preferences - default_search_provider: "Google" (Activé: true) (?)
Preferences - homepage: hxxp://www.google.com
Preferences - homepage_is_newtabpage: true
Plugin - RealJukebox NS Plugin (Activé: true) (C:\Program Files\Real\RealPlayer\Netscape6
prjplug.dll)
Plugin - VLC Multimedia Plugin (Activé: true) (C:\Program Files\VideoLAN\VLC
pvlc.dll)
Plugin - "RealJukebox NS Plugin" (Activé: true)
Plugin - "VLC Multimedia Plugin" (Activé: true)

========================================

**** Internet Explorer Version [7.0.5730.11] ****

HKCU_Main|Search bar - hxxp://g.msn.fr/0SEFRFR/SAOS02
HKCU_Main|Search Page - hxxp://home.microsoft.com/access/allinone.asp
HKCU_Main|Start Page - hxxp://www.google.fr/
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Start Page - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKCU_SearchScopes\{8A96AF9E-4074-43b7-BEA3-87217BDA74C8} - "Web Search" (hxxp://www.searchqu.com/web?src=ieb&q={SearchTerms})
HKCU_Toolbar\ShellBrowser|{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} (x)
HKCU_Toolbar\WebBrowser|{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} (x)
HKCU_Toolbar\WebBrowser|{E1BACF55-35E1-4E47-9247-2D48660E5545} (x)
HKLM_ElevationPolicy\{424624F4-C5DD-4e1d-BDD0-1E9C9B7799CC} - C:\Program Files\Bandoo\BndCore.exe (x)
HKLM_ElevationPolicy\{7f000001-db8e-f89c-2fec-49bf726f8c12} - C:\Program Files\Bandoo\ExtensionsManager.exe (x)
HKLM_ElevationPolicy\{9C8A3CA5-889E-4554-BEEC-EC0876E4E96A} - C:\Program Files\Bandoo\Bandoo.exe (x)
HKLM_ElevationPolicy\{F9189560-573A-4fde-B055-AE7B0F4CF080} - C:\Program Files\Bandoo\BandooUI.exe (x)
HKLM_Extensions\{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - "?" (?)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
BHO\{5CA3D70E-1895-11CF-8E15-001234567890} - "DriveLetterAccess" (C:\WINDOWS\system32\dla	fswshx.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 0 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 23/04/2011 20:59:33 (5551 Octet(s)) 

Fin à: 21:01:48, 23/04/2011 
 
============== E.O.F ==============

SAMOUSSE75 · Answer

Voilà c'est fait. Pouvez-vous m'aidez!

J'ai un message de spyboat qui me dit un registre a été modifié!

Destrio5 · Answer

Cette fois-ci, utilise l'option "Nettoyer" d'Ad-Remover puis poste le rapport.

SAMOUSSE75 · Answer

Je rescan ducoup car le  bouton nettoyer est en grisé

SAMOUSSE75 · Answer

je n'ai pas accès au bouton nettoyer!?

SAMOUSSE75 · Answer

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 21:12:05 le 23/04/2011, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86) 
adnane@YOUR-AB6CD29F8E ( ) 
 
============== ACTION(S) ==============


Dossier supprimé: C:\Program Files\Bandoo
Dossier supprimé: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Everest Poker
Dossier supprimé: C:\Program Files\Everest Poker

(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKLM\Software\Classes\CLSID\{27F69C85-64E1-43CE-98B5-3C9F22FB408E}
Clé supprimée: HKLM\Software\Classes\AppID\{1301A8A5-3DFB-4731-A162-B357D00C9644}
Clé supprimée: HKLM\Software\Classes\CLSID\{B543EF05-9758-464E-9F37-4C28525B4A4C}
Clé supprimée: HKLM\Software\Classes\CLSID\{BB76A90B-2B4C-4378-8506-9A2B6E16943C}
Clé supprimée: HKLM\Software\Classes\CLSID\{C3AB94A4-BFD0-4BBA-A331-DE504F07D2DB}
Clé supprimée: HKLM\Software\Classes\Interface\{477F210A-2A86-4666-9C4B-1189634D2C84}
Clé supprimée: HKLM\Software\Classes\Interface\{FF871E51-2655-4D06-AED5-745962A96B32}
Clé supprimée: HKLM\Software\Classes\TypeLib\{8F5F1CB6-EA9E-40AF-A5CA-C7FD63CC1971}
Clé supprimée: HKLM\Software\Classes\BandooCore.BandooCore
Clé supprimée: HKLM\Software\Classes\BandooCore.BandooCore.1
Clé supprimée: HKLM\Software\Classes\BandooCore.ResourcesMngr
Clé supprimée: HKLM\Software\Classes\BandooCore.ResourcesMngr.1
Clé supprimée: HKLM\Software\Classes\BandooCore.SettingsMngr
Clé supprimée: HKLM\Software\Classes\BandooCore.SettingsMngr.1
Clé supprimée: HKLM\Software\Classes\BandooCore.StatisticMngr
Clé supprimée: HKLM\Software\Classes\BandooCore.StatisticMngr.1
Clé supprimée: HKLM\Software\Classes\AppID\BandooCore.EXE
Clé supprimée: HKLM\Software\bandoo
Clé supprimée: HKLM\Software\Europa Casino
Clé supprimée: HKLM\Software\Titan Poker
Clé supprimée: HKCU\Software\Europa Casino
Clé supprimée: HKCU\Software\Grand Virtual
Clé supprimée: HKCU\Software\Titan Poker
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Europa Casino
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Everest Poker
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Titan Poker
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Zango
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{8A96AF9E-4074-43b7-BEA3-87217BDA74C8}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{424624F4-C5DD-4e1d-BDD0-1E9C9B7799CC}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7f000001-db8e-f89c-2fec-49bf726f8c12}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9C8A3CA5-889E-4554-BEEC-EC0876E4E96A}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F9189560-573A-4fde-B055-AE7B0F4CF080}
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\Explorer Bars\{A7CDDCDC-BEEB-4685-A062-978F5E07CEEE}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{100EB1FD-D03E-47FD-81F3-EE91287F9465}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C5428486-50A0-4A02-9D20-520B59A9F9B2}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C5428486-50A0-4A02-9D20-520B59A9F9B3}
Clé supprimée: HKLM\Software\Classes\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239}


============== SCAN ADDITIONNEL ==============

**** Google Chrome Version [10.0.648.205] ****


-- C:\Documents and Settings\adnane\Local Settings\Application Data\Google\Chrome\User Data\Default --
Preferences - default_search_provider: "Google" (Activé: true) (?)
Preferences - homepage: hxxp://www.google.com
Preferences - homepage_is_newtabpage: true
Plugin - RealJukebox NS Plugin (Activé: true) (C:\Program Files\Real\RealPlayer\Netscape6
prjplug.dll)
Plugin - VLC Multimedia Plugin (Activé: true) (C:\Program Files\VideoLAN\VLC
pvlc.dll)
Plugin - "RealJukebox NS Plugin" (Activé: true)
Plugin - "VLC Multimedia Plugin" (Activé: true)

========================================

**** Internet Explorer Version [7.0.5730.11] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_Toolbar\ShellBrowser|{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} (x)
HKCU_Toolbar\WebBrowser|{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} (x)
HKCU_Toolbar\WebBrowser|{E1BACF55-35E1-4E47-9247-2D48660E5545} (x)
HKLM_Extensions\{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - "?" (?)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
BHO\{5CA3D70E-1895-11CF-8E15-001234567890} - "DriveLetterAccess" (C:\WINDOWS\system32\dla	fswshx.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 4 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 23/04/2011 21:12:11 (5377 Octet(s)) 
C:\Ad-Report-SCAN[1].txt - 23/04/2011 20:59:33 (6125 Octet(s)) 
C:\Ad-Report-SCAN[2].txt - 23/04/2011 21:07:30 (6190 Octet(s)) 

Fin à: 21:14:53, 23/04/2011 
 
============== E.O.F ============== 

PARDON VOILA JAI TROUVE

Destrio5 · Answer

--> Relance Ad-Remover et choisis Désinstaller.

--> Suis la procédure suivante et poste le rapport :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

SAMOUSSE75 · Answer

C FAIT dESTRIO5. MERCI

Est ce que je dois faire autre chose ppur la commande systeme startup global entry a une nouvelle valeur?

Destrio5 · Answer

Tu ne fais pas le scan avec Malwarebytes' Anti-Malware ?

SAMOUSSE75 · Answer

Non j'ai ad aware sinon avira comme antivirus.
La j'ai spybot qui détecte un cheval de troie tr/hiloti.A.159 mais je ne peux pas le supprimer ni rien.

Je viens de redémarrer le pc et j'ai la fenetre des commandes qui s'ouvre avec un message win 32 qui répond pas

SAMOUSSE75 · Answer

c quoi au fait malware?

Destrio5 · Answer

Je t'ai donné un lien, je te le remets ici :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

SAMOUSSE75 · Answer

j'ai effectué le balayage. que dois je faire des erreurs retrouvées?
merci

SAMOUSSE75 · Answer

pardon j'ai fait registrybooster.

Ok analyse en cours

Destrio5 · Answer

Désinstalle Registry Booster, il est inutile.

SAMOUSSE75 · Answer

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6427

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

23/04/2011 22:44:47
mbam-log-2011-04-23 (22-44-35).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 151299
Temps écoulé: 28 minute(s), 0 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
c:\WINDOWS\rdp2FR.dll (Trojan.Hiloti) -> No action taken.

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6FD31ED6-7C94-4BBC-8E95-F927F4D3A949} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\KeyToPorn (Trojan.DNSChanger) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\KeyToPorn (Trojan.DNSChanger) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Egofe (Trojan.Hiloti) -> Value: Egofe -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\WINDOWS\rdp2FR.dll (Trojan.Hiloti) -> No action taken.
c:\WINDOWS\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> No action taken.
c:\WINDOWS\Tasks\{bbaeaeaf-1275-40e2-bd6c-bc8f88bd114a}.job (Trojan.Downloader) -> No action taken.
c:\WINDOWS\Tasks\{810401e2-dde0-454e-b0e2-aa89c9e5967c}.job (Trojan.FraudPack) -> No action taken.

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6427

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

23/04/2011 22:44:47
mbam-log-2011-04-23 (22-44-35).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 151299
Temps écoulé: 28 minute(s), 0 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
c:\WINDOWS\rdp2FR.dll (Trojan.Hiloti) -> No action taken.

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6FD31ED6-7C94-4BBC-8E95-F927F4D3A949} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\KeyToPorn (Trojan.DNSChanger) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\KeyToPorn (Trojan.DNSChanger) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Egofe (Trojan.Hiloti) -> Value: Egofe -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\WINDOWS\rdp2FR.dll (Trojan.Hiloti) -> No action taken.
c:\WINDOWS\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> No action taken.
c:\WINDOWS\Tasks\{bbaeaeaf-1275-40e2-bd6c-bc8f88bd114a}.job (Trojan.Downloader) -> No action taken.
c:\WINDOWS\Tasks\{810401e2-dde0-454e-b0e2-aa89c9e5967c}.job (Trojan.FraudPack) -> No action taken.

SAMOUSSE75 · Answer

voila le rapport

Destrio5 · Answer

Tu as cliqué sur "Supprimer la sélection" ?

SAMOUSSE75 · Answer

non pas encore j'attendais ton feu vert!

je le fait?

SAMOUSSE75 · Answer

c fait!

Destrio5 · Answer

--> Relance Malwarebytes' Anti-Malware, va dans Quarantaine et supprime tout.

Plus de souci ?

SAMOUSSE75 · Answer

Bonjour,

Pour le tojan hiloti c'est bon il est parti par contre comment se fait-il que le pc est toujours très lent pour afficher une page? et aussi parfois quand je clique sur un lien je suis redirigé vers un autre je crois que ça s'appelle goméo ou un truc comme ça.
la lenteur est genante ça me met signal excellent mais ça passe de 54 à la connexion à 24mbits/s !

Si tu as une autre astuce merci je suis preneuse :)

SAMOUSSE75 · Answer

j'ai aussi generic host process for win 32 services a rencontré un problème et dois fermer qui s'affiche régulièrement!

Destrio5 · Answer

--> Fais un scan avec TDSSKiller et poste le rapport :
https://forum.malekal.com/viewtopic.php?t=28637&start=

SAMOUSSE75 · Answer

Bonjour ça me met
tdds rootkit removing tool a rencontré un problème et doit fermé ça bloque vers 80%!

C'est bizarre en plus depuis ce matin si je ne touche a rien pendant meme 2 minutes tout bloque meme la bouton arreter ne marche plus.

Destrio5 · Answer

Ton PC est infecté par un rootkit.

Essaie d'utiliser TDSSKiller en mode sans échec.

Si ça ne marche toujours pas, passe un coup de ComboFix :
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

SAMOUSSE75 · Answer

coucou,

ben voilà j'ai passé un coup de combofix comme tu dis :) et refait tdsskiller mais ça bloque toujours a 80% avec la même erreur :(

je sais pas quoi faire ducoup je vais réessayer en mode sans échec!

SAMOUSSE75 · Answer

ça me dit qu'il manque des drivers! j'arrive pas à la faire le tdsskiller.

Comment dois-je faire?

Merci

Destrio5 · Answer

Tu as le rapport de ComboFix ?

SAMOUSSE75 · Answer

Enfin voici le rapport Combofix


ComboFix 11-04-24.01 - adnane 24/04/2011  21:16:55.2.1 - x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.1022.640 [GMT 2:00]
Lancé depuis: c:\documents and settings\adnane\Bureau\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2011-03-24 au 2011-04-24  ))))))))))))))))))))))))))))))))))))
.
.
2011-04-24 11:19 . 2011-04-24 11:19	--------	d-----w-	c:\program files\BabylonToolbar
2011-04-23 20:12 . 2011-04-23 20:12	--------	d-----w-	c:\documents and settings\adnane\Application Data\Malwarebytes
2011-04-23 20:12 . 2010-12-20 16:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-04-23 20:12 . 2011-04-23 20:12	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2011-04-23 20:11 . 2010-12-20 16:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-04-23 20:11 . 2011-04-23 20:12	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2011-04-23 19:54 . 2011-04-23 19:54	--------	d-----w-	c:\documents and settings\adnane\Application Data\Uniblue
2011-04-23 19:54 . 2011-04-23 19:54	--------	d-----w-	c:\program files\Uniblue
2011-04-23 19:54 . 2011-04-23 19:54	--------	d-----w-	c:\documents and settings\adnane\Local Settings\Application Data\PackageAware
2011-04-23 18:24 . 2011-04-23 18:24	--------	d-----w-	c:\program files\Trend Micro
2011-04-23 16:23 . 2011-04-23 21:22	--------	d-----w-	c:\program files\Spybot - Search & Destroy
2011-04-23 16:23 . 2011-04-23 21:17	--------	d-----w-	c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2011-04-23 14:58 . 2010-09-06 09:26	189520	----a-w-	c:\windows\system32\drivers	mcomm.sys
2011-04-23 09:12 . 2011-04-23 09:12	--------	d-----r-	c:\documents and settings\LocalService\Favoris
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-04-24 11:13 . 2007-09-13 09:07	98304	----a-w-	c:\windows\DUMP1311.tmp
2011-03-07 05:33 . 2005-09-16 06:35	692736	----a-w-	c:\windows\system32\inetcomm.dll
2011-03-04 06:45 . 2005-09-16 06:23	434176	----a-w-	c:\windows\system32\vbscript.dll
2011-03-03 13:53 . 2005-09-16 06:23	1858048	----a-w-	c:\windows\system32\win32k.sys
2011-02-17 18:56 . 2005-09-16 06:23	832512	----a-w-	c:\windows\system32\wininet.dll
2011-02-17 18:56 . 2005-09-16 06:23	1830912	----a-w-	c:\windows\system32\inetcpl.cpl
2011-02-17 18:56 . 2005-09-16 06:23	78336	----a-w-	c:\windows\system32\ieencode.dll
2011-02-17 18:56 . 2005-09-16 06:22	17408	------w-	c:\windows\system32\corpol.dll
2011-02-17 13:18 . 2005-09-16 06:23	455936	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2011-02-17 13:18 . 2005-09-16 06:23	357888	----a-w-	c:\windows\system32\drivers\srv.sys
2011-02-17 12:54 . 2008-05-05 05:25	5632	----a-w-	c:\windows\system32\xpsp4res.dll
2011-02-17 11:44 . 2005-09-16 06:23	389120	----a-w-	c:\windows\system32\html.iec
2011-02-15 12:56 . 2005-09-16 06:22	290432	----a-w-	c:\windows\system32\atmfd.dll
2011-02-09 13:54 . 2005-09-16 06:23	270848	----a-w-	c:\windows\system32\sbe.dll
2011-02-09 13:54 . 2005-09-16 06:23	186880	----a-w-	c:\windows\system32\encdec.dll
2011-02-08 13:34 . 2005-09-16 06:23	978944	----a-w-	c:\windows\system32\mfc42.dll
2011-02-08 13:34 . 2005-09-16 06:23	974848	----a-w-	c:\windows\system32\mfc42u.dll
2011-02-02 07:59 . 2005-09-16 06:34	2067456	----a-w-	c:\windows\system32\mstscax.dll
2011-01-27 11:57 . 2005-09-16 06:34	677888	----a-w-	c:\windows\system32\mstsc.exe
.
.
(((((((((((((((((((((((((((((   SnapShot@2011-04-24_15.36.37   )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-04-24 18:42 . 2011-04-24 18:42	16384              c:\windows\Temp\Perflib_Perfdata_23c.dat
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TOSCDSPD"="c:\program files\TOSHIBA\TOSCDSPD	oscdspd.exe" [2005-04-11 65536]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CFSServ.exe"="CFSServ.exe -NoClient" [X]
"LtMoh"="c:\program files\ltmoh\Ltmoh.exe" [2003-09-06 184320]
"AGRSMMSG"="AGRSMMSG.exe" [2004-12-22 88358]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2004-03-24 196608]
"CeEKEY"="c:\program files\TOSHIBA\E-KEY\CeEKey.exe" [2005-09-06 671744]
"TPNF"="c:\program files\TOSHIBA\TouchPad\TPTray.exe" [2005-08-25 53248]
"HWSetup"="c:\program files\TOSHIBA\TOSHIBA Applet\HWSetup.exe" [2004-05-01 28672]
"SVPWUTIL"="c:\program files\Toshiba\Windows Utilities\SVPWUTIL.exe" [2004-05-01 65536]
"Zooming"="ZoomingHook.exe" [2005-06-06 24576]
"TCtryIOHook"="TCtrlIOHook.exe" [2005-08-22 28672]
"TPSMain"="TPSMain.exe" [2005-08-12 266240]
"SmoothView"="c:\program files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe" [2005-05-17 118784]
"TFncKy"="TFncKy.exe" [BU]
"PadTouch"="c:\program files\TOSHIBA\Touch and Launch\PadExe.exe" [2005-08-30 1077328]
"Tvs"="c:\program files\TOSHIBA\Tvs\TvsTray.exe" [2005-04-05 73728]
"NDSTray.exe"="NDSTray.exe" [BU]
"dla"="c:\windows\system32\dla	fswctrl.exe" [2005-05-31 122941]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-05 344064]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-05-13 148888]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 39792]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OBealsched.exe" [2007-11-10 185632]
"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2004-12-14 221184]
"LogitechVideoRepair"="c:\program files\Logitech\Video\ISStart.exe" [2004-12-14 458752]
"LogitechVideoTray"="c:\program files\Logitech\Video\LogiTray.exe" [2004-12-14 217088]
"ChangeFilterMerit"="c:\program files\NewSoft\Presto! PVR\ChangeFilterMerit.exe" [2005-05-17 40960]
"Presto! PVR Monitor"="c:\program files\NewSoft\Presto! PVR\Monitor.exe" [2006-02-23 57344]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\eMule\emule.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\WINDOWS\system32\dpvsetup.exe"=
"c:\Program Files\Skype\Plugin Manager\skypePM.exe"=
"c:\Program Files\Skype\Phone\Skype.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
.
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [04/02/2010 23:06 108289]
S2 AMService;AMService;c:\windows\TEMP\fpuq\setup.exe run --> c:\windows\TEMP\fpuq\setup.exe run [?]
S3 bdacap;PC-DTV Receiver;c:\windows\system32\drivers\bdacap.sys [12/09/2009 22:15 217728]
S3 GLHIDKBFILTER;GLHIDKBFILTER;c:\windows\system32\drivers\GLKbFilter.sys [12/09/2009 22:16 11264]
S3 PALLADIA;Palladia 300/400 Usb Adsl Modem;c:\windows\system32\drivers\usbiad.sys [29/09/2007 12:57 31579]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [03/11/2007 10:26 685816]
.
Contenu du dossier 'Tâches planifiées'
.
2011-04-24 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-886594380-1610435846-741818131-1006Core.job
- c:\documents and settings\adnane\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-10-30 17:08]
.
2011-04-24 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-886594380-1610435846-741818131-1006UA.job
- c:\documents and settings\adnane\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-10-30 17:08]
.
2007-09-18 c:\windows\Tasks\Rappel d'enregistrement 1.job
- c:\windows\system32\OOBE\oobebaln.exe [2005-09-16 02:34]
.
2007-09-18 c:\windows\Tasks\Rappel d'enregistrement 2.job
- c:\windows\system32\OOBE\oobebaln.exe [2005-09-16 02:34]
.
2007-09-18 c:\windows\Tasks\Rappel d'enregistrement 3.job
- c:\windows\system32\OOBE\oobebaln.exe [2005-09-16 02:34]
.
.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
Trusted Zone: secuser.com\www
DPF: {997C5A94-77F6-427D-A388-AC2B6ECF0F7C} - hxxp://mediaplus.grenoble-em.com/download/packages/_Installer/packageinstaller.ocx
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-04-24 21:32
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
Recherche de fichiers cachés ... 
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: HTS541080G9SA00 rev.MB4OC60R -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-e 
.
device: opened successfully
user: MBR read successfully
error: Read  Un périphérique attaché au système ne fonctionne pas correctement.
kernel: MBR read successfully
detected disk devices:
detected hooks:
\Driver\atapi DriverStartIo -> 0x8727657B
user & kernel MBR OK 
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-886594380-1610435846-741818131-1006\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\WINDOWS\system32\Macromed\Flash\FlashUtil10h_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\WINDOWS\system32\Macromed\Flash\FlashUtil10h_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(688)
c:\windows\system32\Ati2evxx.dll
.
Heure de fin: 2011-04-24  21:42:51
ComboFix-quarantined-files.txt  2011-04-24 19:42
ComboFix2.txt  2011-04-24 15:45
.
Avant-CF: 24 818 253 824 octets libres
Après-CF: 24 831 279 104 octets libres
.
Current=4 Default=4 Failed=2 LastKnownGood=5 Sets=1,2,3,4,5
- - End Of File - - 41F6548980AA9064F4E3C968DCBE35B1

Destrio5 · Answer

/!\ Seul SAMOUSSE75 peut suivre cette procédure. /!\


1/

---> Ouvre le Bloc-notes.

---> Copie le texte ci-dessous par sélection puis Ctrl+C :






KillAll::

Driver::
AMService

Mbr::






--> Colle la sélection dans le Bloc-notes.

--> Enregistre ce fichier sur le Bureau (Impératif).

--> Nom du fichier : CFScript
--> Type du fichier : tous les fichiers
--> Clique sur Enregistrer.
--> Quitte le Bloc-notes.


2/

--> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :
http://www.searchengines.pl/phpbb203/pliki/picasso/virus/programs/combofix/combofix_cfscript.gif

--> Une fenêtre bleue va apparaître : au message qui apparaît, tu acceptes.

--> Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal !
Ne touche à rien tant que le scan n'est pas terminé.

--> Une fois le scan achevé, un rapport va s'afficher : poste-le.

--> Si le fichier ne s'ouvre pas, il se trouve ici C:\Combofix.txt

SAMOUSSE75 · Answer

Coucou,

J'ai suivi la procédure mais ma batterie a lacher quelques minutes avant que s'affiche le rapport!!!! Décidemmment....

Dois je recommencer la procédure du début?

Destrio5 · Answer

Tu peux recommencer la procédure de mon précédent message.

SAMOUSSE75 · Answer

ComboFix 11-04-24.06 - adnane 25/04/2011  13:24:06.4.1 - x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.1022.593 [GMT 2:00]
Lancé depuis: c:\documents and settings\adnane\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\adnane\Bureau\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_AMSERVICE
-------\Service_AMService
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2011-03-25 au 2011-04-25  ))))))))))))))))))))))))))))))))))))
.
.
2011-04-25 09:47 . 2011-04-25 11:38	0	----a-w-	c:\documents and settings\adnane
tuser.tmp
2011-04-24 11:19 . 2011-04-24 11:19	--------	d-----w-	c:\program files\BabylonToolbar
2011-04-23 20:12 . 2011-04-23 20:12	--------	d-----w-	c:\documents and settings\adnane\Application Data\Malwarebytes
2011-04-23 20:12 . 2010-12-20 16:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-04-23 20:12 . 2011-04-23 20:12	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2011-04-23 20:11 . 2010-12-20 16:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-04-23 20:11 . 2011-04-23 20:12	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2011-04-23 19:54 . 2011-04-23 19:54	--------	d-----w-	c:\documents and settings\adnane\Application Data\Uniblue
2011-04-23 19:54 . 2011-04-23 19:54	--------	d-----w-	c:\program files\Uniblue
2011-04-23 19:54 . 2011-04-23 19:54	--------	d-----w-	c:\documents and settings\adnane\Local Settings\Application Data\PackageAware
2011-04-23 18:24 . 2011-04-23 18:24	--------	d-----w-	c:\program files\Trend Micro
2011-04-23 16:23 . 2011-04-23 21:22	--------	d-----w-	c:\program files\Spybot - Search & Destroy
2011-04-23 16:23 . 2011-04-23 21:17	--------	d-----w-	c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2011-04-23 14:58 . 2010-09-06 09:26	189520	----a-w-	c:\windows\system32\drivers	mcomm.sys
2011-04-23 09:12 . 2011-04-23 09:12	--------	d-----r-	c:\documents and settings\LocalService\Favoris
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-04-24 11:13 . 2007-09-13 09:07	98304	----a-w-	c:\windows\DUMP1311.tmp
2011-03-07 05:33 . 2005-09-16 06:35	692736	----a-w-	c:\windows\system32\inetcomm.dll
2011-03-04 06:45 . 2005-09-16 06:23	434176	----a-w-	c:\windows\system32\vbscript.dll
2011-03-03 13:53 . 2005-09-16 06:23	1858048	----a-w-	c:\windows\system32\win32k.sys
2011-02-17 18:56 . 2005-09-16 06:23	832512	----a-w-	c:\windows\system32\wininet.dll
2011-02-17 18:56 . 2005-09-16 06:23	1830912	----a-w-	c:\windows\system32\inetcpl.cpl
2011-02-17 18:56 . 2005-09-16 06:23	78336	----a-w-	c:\windows\system32\ieencode.dll
2011-02-17 18:56 . 2005-09-16 06:22	17408	------w-	c:\windows\system32\corpol.dll
2011-02-17 13:18 . 2005-09-16 06:23	455936	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2011-02-17 13:18 . 2005-09-16 06:23	357888	----a-w-	c:\windows\system32\drivers\srv.sys
2011-02-17 12:54 . 2008-05-05 05:25	5632	----a-w-	c:\windows\system32\xpsp4res.dll
2011-02-17 11:44 . 2005-09-16 06:23	389120	----a-w-	c:\windows\system32\html.iec
2011-02-15 12:56 . 2005-09-16 06:22	290432	----a-w-	c:\windows\system32\atmfd.dll
2011-02-09 13:54 . 2005-09-16 06:23	270848	----a-w-	c:\windows\system32\sbe.dll
2011-02-09 13:54 . 2005-09-16 06:23	186880	----a-w-	c:\windows\system32\encdec.dll
2011-02-08 13:34 . 2005-09-16 06:23	978944	----a-w-	c:\windows\system32\mfc42.dll
2011-02-08 13:34 . 2005-09-16 06:23	974848	----a-w-	c:\windows\system32\mfc42u.dll
2011-02-02 07:59 . 2005-09-16 06:34	2067456	----a-w-	c:\windows\system32\mstscax.dll
2011-01-27 11:57 . 2005-09-16 06:34	677888	----a-w-	c:\windows\system32\mstsc.exe
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TOSCDSPD"="c:\program files\TOSHIBA\TOSCDSPD	oscdspd.exe" [2005-04-11 65536]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CFSServ.exe"="CFSServ.exe -NoClient" [X]
"LtMoh"="c:\program files\ltmoh\Ltmoh.exe" [2003-09-06 184320]
"AGRSMMSG"="AGRSMMSG.exe" [2004-12-22 88358]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2004-03-24 196608]
"CeEKEY"="c:\program files\TOSHIBA\E-KEY\CeEKey.exe" [2005-09-06 671744]
"TPNF"="c:\program files\TOSHIBA\TouchPad\TPTray.exe" [2005-08-25 53248]
"HWSetup"="c:\program files\TOSHIBA\TOSHIBA Applet\HWSetup.exe" [2004-05-01 28672]
"SVPWUTIL"="c:\program files\Toshiba\Windows Utilities\SVPWUTIL.exe" [2004-05-01 65536]
"Zooming"="ZoomingHook.exe" [2005-06-06 24576]
"TCtryIOHook"="TCtrlIOHook.exe" [2005-08-22 28672]
"TPSMain"="TPSMain.exe" [2005-08-12 266240]
"SmoothView"="c:\program files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe" [2005-05-17 118784]
"TFncKy"="TFncKy.exe" [BU]
"PadTouch"="c:\program files\TOSHIBA\Touch and Launch\PadExe.exe" [2005-08-30 1077328]
"Tvs"="c:\program files\TOSHIBA\Tvs\TvsTray.exe" [2005-04-05 73728]
"NDSTray.exe"="NDSTray.exe" [BU]
"dla"="c:\windows\system32\dla	fswctrl.exe" [2005-05-31 122941]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-05 344064]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-05-13 148888]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 39792]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OBealsched.exe" [2007-11-10 185632]
"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2004-12-14 221184]
"LogitechVideoRepair"="c:\program files\Logitech\Video\ISStart.exe" [2004-12-14 458752]
"LogitechVideoTray"="c:\program files\Logitech\Video\LogiTray.exe" [2004-12-14 217088]
"ChangeFilterMerit"="c:\program files\NewSoft\Presto! PVR\ChangeFilterMerit.exe" [2005-05-17 40960]
"Presto! PVR Monitor"="c:\program files\NewSoft\Presto! PVR\Monitor.exe" [2006-02-23 57344]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\eMule\emule.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\WINDOWS\system32\dpvsetup.exe"=
"c:\Program Files\Skype\Plugin Manager\skypePM.exe"=
"c:\Program Files\Skype\Phone\Skype.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
.
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [04/02/2010 23:06 108289]
S3 bdacap;PC-DTV Receiver;c:\windows\system32\drivers\bdacap.sys [12/09/2009 22:15 217728]
S3 GLHIDKBFILTER;GLHIDKBFILTER;c:\windows\system32\drivers\GLKbFilter.sys [12/09/2009 22:16 11264]
S3 PALLADIA;Palladia 300/400 Usb Adsl Modem;c:\windows\system32\drivers\usbiad.sys [29/09/2007 12:57 31579]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [03/11/2007 10:26 685816]
.
Contenu du dossier 'Tâches planifiées'
.
2011-04-24 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-886594380-1610435846-741818131-1006Core.job
- c:\documents and settings\adnane\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-10-30 17:08]
.
2011-04-25 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-886594380-1610435846-741818131-1006UA.job
- c:\documents and settings\adnane\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-10-30 17:08]
.
2007-09-18 c:\windows\Tasks\Rappel d'enregistrement 1.job
- c:\windows\system32\OOBE\oobebaln.exe [2005-09-16 02:34]
.
2007-09-18 c:\windows\Tasks\Rappel d'enregistrement 2.job
- c:\windows\system32\OOBE\oobebaln.exe [2005-09-16 02:34]
.
2007-09-18 c:\windows\Tasks\Rappel d'enregistrement 3.job
- c:\windows\system32\OOBE\oobebaln.exe [2005-09-16 02:34]
.
.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
Trusted Zone: secuser.com\www
DPF: {997C5A94-77F6-427D-A388-AC2B6ECF0F7C} - hxxp://mediaplus.grenoble-em.com/download/packages/_Installer/packageinstaller.ocx
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-04-25 13:42
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
Recherche de fichiers cachés ... 
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: HTS541080G9SA00 rev.MB4OC60R -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-e 
.
device: opened successfully
user: MBR read successfully
error: Read  Un périphérique attaché au système ne fonctionne pas correctement.
kernel: MBR read successfully
detected disk devices:
detected hooks:
\Driver\atapi DriverStartIo -> 0x8727357B
user & kernel MBR OK 
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-886594380-1610435846-741818131-1006\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\WINDOWS\system32\Macromed\Flash\FlashUtil10h_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\WINDOWS\system32\Macromed\Flash\FlashUtil10h_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(692)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(2948)
c:\windows\system32\eappprxy.dll
c:\windows\system32\TPwrCfg.DLL
c:\windows\system32\TPwrReg.dll
c:\windows\system32\TPSTrace.DLL
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Lavasoft\Ad-Aware\aawservice.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\TOSHIBA\ConfigFree\CFSvcs.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\AGRSMMSG.exe
c:\windows\system32\ZoomingHook.exe
c:\windows\system32\TCtrlIOHook.exe
c:\program files\TOSHIBA\ConfigFree\NDSTray.exe
c:\windows\system32\TPSBattM.exe
c:\program files\Apoint2K\Apntex.exe
c:\program files\Logitech\Video\FxSvr2.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Heure de fin: 2011-04-25  13:54:14 - La machine a redémarré
ComboFix-quarantined-files.txt  2011-04-25 11:54
ComboFix2.txt  2011-04-24 19:42
ComboFix3.txt  2011-04-24 15:45
.
Avant-CF: 24 656 314 368 octets libres
Après-CF: 24 644 833 280 octets libres
.
Current=4 Default=4 Failed=2 LastKnownGood=5 Sets=1,2,3,4,5
- - End Of File - - 4190F8BE068F619BE223F3FC46030916

SAMOUSSE75 · Answer

C'est vraiment bizarre!! La connexion est vraiment très lente beaucoup plus qu'hier. J'ai toujours l'erreur win 32 et sans arret dans la barre en bas a gauche péripérique usb non reconnu alors que je ne touche à rien.

Ceci dit voici la rappport :) merci

SAMOUSSE75 · Answer

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6427

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

25/04/2011 17:55:57
mbam-log-2011-04-25 (17-55-57).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 147096
Temps écoulé: 6 minute(s), 28 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{6472E893-4EC1-426A-72DD-C4B9A92A8084} (Trojan.ZbotR.Gen) -> Value: {6472E893-4EC1-426A-72DD-C4B9A92A8084} -> Delete on reboot.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
c:\ishigo.exe (Trojan.SpyEyes) -> Delete on reboot.

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


J'ai refait une analyse de malware!

SAMOUSSE75 · Answer

Et voilà que mon antivirus me détecte tr/trash.gen!!!

Destrio5 · Answer

Quel fichier et à quel emplacement ?

SAMOUSSE75 · Answer

Dans le fichier 'C:\System Volume Information\_restore{ECB3AD12-64E1-4857-9A37-361E4DEA76A5}\RP690\A0172136.dll'
un virus ou un programme indésirable 'TR/Trash.Gen' [trojan] a été détecté.
Action exécutée : Refuser l'accès

Mais la ya plein de truc bizarre encore plus qu'hier c'est super lent et meme parfois ça détecte aucune connection sans fil alors que jai rien touché par rapport a ça. Trop trop lent quand ça bloque pas complètement.

Jcomprends rien

SAMOUSSE75 · Answer

Bonjour,

Aujourd'hui j'ai pu allumer le pc mais les icône du bureau ne sont pas apparu!Comment dois-je faire?

Merci!!!!

jfkpresident · Answer

Yop^^

Continu ici avec Destrio . L'autre topique a été fermé a ma demande .

Il faut éviter de jouer sur un double tableau surtout avec ce genre d'infection ..

Destrio5 · Answer

Si tu as des idées, n'hésite pas.

jfkpresident · Answer

On va tenter quelquechose (vu que les icones bureau se sont échappés) :

* Télécharge sur le bureau RogueKiller (par tigzy)
* Quitte tous tes programmes en cours
* Lance le.
* Lorsque demandé, tape 6 et valide
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.

SAMOUSSE75 · Answer

Bonjour, Voici le rapport de RogueKiller RogueKiller V5.0.0 [30/04/2011] par Tigzy contact sur https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur: adnane [Droits d'admin] Mode: Raccourcis RAZ -- Date : 01/05/2011 10:11:21 Processus malicieux: 0 Attributs de fichiers restaures: Bureau: Success 0 / Fail 0 Lancement rapide: Success 0 / Fail 0 Programmes: Success 0 / Fail 0 Menu demarrer: Success 0 / Fail 0 Dossier utilisateur: Success 8 / Fail 0 Mes documents: Success 0 / Fail 0 Mes favoris: Success 0 / Fail 2 Mes images: Success 0 / Fail 0 Ma musique: Success 0 / Fail 0 Mes videos: Success 0 / Fail 0 Disques locaux: Success 39 / Fail 0 Termine : << RKreport[1].txt >> RKreport[1].txt

SAMOUSSE75 · Answer

Le pc est un peu plus rapide mais j'ai sans cesse des redirections ou des alertes de l'antivuris avec alertes cheval de troie jamais les mêmes!

jfkpresident · Answer

Relance RogueKiller puis choisis l'option 5

Tu peux me donner les chemins d'acces des fichiers détectés ? 
***Membre Contributeur Sécurité***

SAMOUSSE75 · Answer

RogueKiller V5.0.0 [30/04/2011] par Tigzy contact sur https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur: adnane [Droits d'admin] Mode: DNS RAZ -- Date : 01/05/2011 21:10:18 Processus malicieux: 0 Entrees de registre: 0 Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt Voilà pour le rapport du N5 Le pc a mis 15 minute pour s'allumer

SAMOUSSE75 · Answer

Le chemin des fichiers  en quarantaine sont les suivants:

c:windows\rdp2FR.dll
c:windows\Temp\arz.exe
f:\autorun.inf
E:\autotun.inf
Contient le modèle de détection l'exploit exp/asf.getcodec.gen c:\mamusique Appalachian.springs.mp3

jfkpresident · Answer

Je vois que personne ne t'as répondu ....

On va tenter un nouvel outil :

*Télécharge AswMBR sur ton bureau .
*Double clique dessus pour le lancer
*Clique sur "SCAN" 
*Ensuite clique sur "SAVE LOG" pour enregistrer le rapport 
*Colle le rapport généré dans ta prochaine réponse

SAMOUSSE75 · Answer

Bonjour,

Ben oui personne n'avait répondu.

Merci pour ta réponse j'essaie ce soir en rentrant du boulot!!

Bonne journée :)

SAMOUSSE75 · Answer

aswMBR version 0.9.5.256 Copyright(c) 2011 AVAST Software Run date: 2011-05-03 18:23:58 ----------------------------- 18:23:58.125 OS Version: Windows 5.1.2600 Service Pack 3 18:23:58.125 Number of processors: 1 586 0xD08 18:23:58.125 ComputerName: YOUR-AB6CD29F8E UserName: adnane 18:24:00.531 Initialize success 18:24:51.281 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-e 18:24:51.296 Disk 0 Vendor: HTS541080G9SA00 MB4OC60R Size: 76319MB BusType: 3 18:24:51.296 Device \Driver\atapi -> DriverStartIo 8727657b 18:24:53.296 Disk 0 MBR read successfully 18:24:53.296 Disk 0 MBR scan 18:24:53.296 Disk 0 TDL4@MBR code has been found 18:24:53.296 Disk 0 MBR hidden 18:24:53.296 Disk 0 MBR [TDL4] **ROOTKIT** 18:24:53.296 Disk 0 trace - called modules: 18:24:53.312 ntoskrnl.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x87276730]<< 18:24:53.312 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x872b2ab8] 18:24:53.312 3 CLASSPNP.SYS[f7743fd7] -> nt!IofCallDriver -> [0x87342a10] 18:24:53.312 \Driver\atapi[0x872b1a48] -> IRP_MJ_CREATE -> 0x87276730 18:24:53.312 Scan finished successfully 18:25:48.093 Disk 0 MBR has been saved successfully to "C:\Documents and Settings\adnane\Bureau\MBR.dat" 18:25:48.109 The log file has been saved successfully to "C:\Documents and Settings\adnane\Bureau\aswMBR.txt"

SAMOUSSE75 · Answer

Voici le rapport.
Mon pc est de plus en plus lent à s'allumer et à répondre en général quand il ne bloque pas. Je sais pas ce qui se passe.

Merci

jfkpresident · Answer

Relance AswMBR puis clique sur [FIX] .

SAMOUSSE75 · Answer

voilà c'est fait.

Une consigne? :)

SAMOUSSE75 · Answer

Je t'écris d'un autre pc car le mien à bloquer je n'ai accès à rien j'ai éteint en appuyant directement sur le bouton et j'essaie de la faire redémarrer.
Toujours aussi lent et un écran noir dès l'allumage!

jfkpresident · Answer

Si tu réouvre aswMBR ,as tu acces a l'onglet FixMBR ?

Rapport hijack pc lent

57 réponses

Votre réponse

Newsletters