Probleme de fenetre qui s'ouvre

alexwill47 Messages postés 15 Statut Membre -  
 gen-hackman -
Bonjour, a tous et a toute

voila mon soucis depuis quelques temps j'ai des fenetre mozilla qui s'ouvre elle sont souvent differente mais on le meme logo "offertbox" de plus mon pc est vraiment tres tres lent j'ai deja fais une analyse avec malwarybyte mais sa continu quelqu'un peut m'aider svp?

17 réponses

  1. gen-hackman
     
    salut poste ton raport de malwarebytes stp
    0
  2. alexwill47 Messages postés 15 Statut Membre
     
    voila mon rapport

    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Version de la base de données: 6492

    Windows 5.1.2600 Service Pack 2
    Internet Explorer 6.0.2900.2180

    02/05/2011 20:14:10
    mbam-log-2011-05-02 (20-14-10).txt

    Type d'examen: Examen complet (C:\|)
    Elément(s) analysé(s): 180454
    Temps écoulé: 17 minute(s), 19 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 1
    Clé(s) du Registre infectée(s): 21
    Valeur(s) du Registre infectée(s): 3
    Elément(s) de données du Registre infecté(s): 4
    Dossier(s) infecté(s): 1
    Fichier(s) infecté(s): 10

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    c:\WINDOWS\system32\dqwswwdp.dll (IPH.GenericBHO) -> Delete on reboot.

    Clé(s) du Registre infectée(s):
    HKEY_CLASSES_ROOT\CLSID\{58ADDE89-6B26-87AE-9A70-3E0FAC99A674} (IPH.GenericBHO) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\Fxkystgp (IPH.GenericBHO) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{58ADDE89-6B26-87AE-9A70-3E0FAC99A674} (IPH.GenericBHO) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{58ADDE89-6B26-87AE-9A70-3E0FAC99A674} (IPH.GenericBHO) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7} (Adware.Softomate) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\Context\Context-Ads (Adware.AdRotator) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Context\Context-Ads (Adware.AdRotator) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\CLSID\{10F31E8B-528B-41C8-B7E2-3534E4D5CBA0} (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\chkavwsqhst.chkavwsqhst.1.0 (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\chkavwsqhst.chkavwsqhst (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\CLSID\{C348BB9A-995C-404A-8185-76325B4BED9F} (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\adfavwsqpr.adfavwsqpr.1.0 (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\adfavwsqpr.adfavwsqpr (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C348BB9A-995C-404A-8185-76325B4BED9F} (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C348BB9A-995C-404A-8185-76325B4BED9F} (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\$XNTUninstall643$ (Adware.AdRotator) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\CLSID\{F96A7C1E-38CA-4F0A-9D2D-A42C226BCDC8} (Adware.AdRotator) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\brumavwsqgrm.brumavwsqgrm.1.0 (Adware.AdRotator) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\brumavwsqgrm.brumavwsqgrm (Adware.AdRotator) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F96A7C1E-38CA-4F0A-9D2D-A42C226BCDC8} (Adware.AdRotator) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{F96A7C1E-38CA-4F0A-9D2D-A42C226BCDC8} (Adware.AdRotator) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Cerberus (Trojan.Agent) -> Value: Cerberus -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bipro (Trojan.Agent.Gen) -> Value: bipro -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Cerberus (Trojan.Agent) -> Value: Cerberus -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    c:\WINDOWS\$xntuninstall643$ (Adware.AdRotator) -> Quarantined and deleted successfully.

    Fichier(s) infecté(s):
    c:\WINDOWS\system32\dqwswwdp.dll (IPH.GenericBHO) -> Delete on reboot.
    c:\documents and settings\Ghislain\Bureau\norton_360_aio\norton_all_in_1\norton_360_v3.5.2.11_premier_edition + key and removal tool\norton_360_v3.5.2.11_premier_edition\ntr 2010 v2.0\ntr2010-v2.0.exe (Backdoor.Agent) -> Quarantined and deleted successfully.
    c:\documents and settings\Ghislain\mes documents\Mipony\nis 2011 crack [ 88 year] s&p\nis-2011 [ 88 year ].exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
    c:\WINDOWS\mlgrhens.dll (Trojan.Hiloti) -> Quarantined and deleted successfully.
    c:\WINDOWS\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
    c:\WINDOWS\Tasks\{bbaeaeaf-1275-40e2-bd6c-bc8f88bd114a}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
    c:\WINDOWS\$xntuninstall643$\mbdwt.dll (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
    c:\WINDOWS\$xntuninstall643$\apuninstall.exe (Adware.AdRotator) -> Quarantined and deleted successfully.
    c:\WINDOWS\$xntuninstall643$\xgoir.dll (Adware.AdRotator) -> Quarantined and deleted successfully.
    c:\WINDOWS\$xntuninstall643$\zrpt.xml (Adware.AdRotator) -> Quarantined and deleted successfully.

    merci beaucoup
    0
  3. gen-hackman
     
    ▶ Télécharge ici : Ad-remover sur ton bureau :

    ▶ Déconnecte toi et ferme toutes applications en cours !

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    ▶ sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .

    ▶ clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .

    ▶ Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

    ▶ Laisse travailler l'outil et ne touche à rien ...

    ▶ Poste le rapport qui apparait à la fin , sur le forum ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

    0
  4. alexwill47 Messages postés 15 Statut Membre
     
    merci beaucoup je fais sa demain je vais regarder le match demain je me leve tot....

    en tout cas merci beaucoup de votre aide je vous post sa demain
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. alexwill47 Messages postés 15 Statut Membre
     
    encore merci et voila le rapport

    ======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 12/04/11
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 20:48:02 le 03/05/2011, Mode normal

    Microsoft Windows XP Professionnel Service Pack 2 (X86)
    Ghislain@XPSP2-D2F1B23E8 ( )

    ============== ACTION(S) ==============

    Fichier supprimé: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navigateur OfferBox.lnk
    Dossier supprimé: C:\Program Files\GamesBar
    Dossier supprimé: C:\Documents and Settings\Ghislain\Application Data\OfferBox
    Dossier supprimé: C:\Program Files\OfferBox

    (!) -- Fichiers temporaires supprimés.

    Clé supprimée: HKLM\Software\Classes\CLSID\{A7E8C343-7860-4A95-9AA8-AAF30D0F6D1E}
    Clé supprimée: HKLM\Software\Classes\CLSID\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
    Clé supprimée: HKLM\Software\Classes\Interface\{6612AFDD-34AD-4B89-A236-7E6D07C3FDCD}
    Clé supprimée: HKLM\Software\Classes\TypeLib\{ED85AEBE-F834-4088-B5D3-97EB2478A6CD}
    Clé supprimée: HKLM\Software\Classes\OfferBox.OfferBoxServer
    Clé supprimée: HKLM\Software\Classes\OfferBox.OfferBoxServer.1
    Clé supprimée: HKLM\Software\Conduit
    Clé supprimée: HKLM\Software\GamesBarSetup
    Clé supprimée: HKLM\Software\OfferBox
    Clé supprimée: HKCU\Software\OfferBox
    Clé supprimée: HKU\.DEFAULT\Software\OfferBox
    Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{37F4A335-D085-423e-A425-0370799166FB}
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\OfferBox Browser
    Clé supprimée: HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom

    Valeur supprimée: HKLM\Software\Mozilla\Firefox\Extensions|offerboxffx@offerbox.com

    ============== SCAN ADDITIONNEL ==============

    **** Mozilla Firefox Version [3.6.17 (fr)] ****

    HKLM_MozillaPlugins\@canalplus.fr/Assistants VOD,version=1.0.0.0 (x)
    HKLM_Extensions|{7BA52691-1876-45ce-9EE6-54BCB3B04BBC} - C:\Documents and Settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\coFFPlgn\

    -- C:\Documents and Settings\Ghislain\Application Data\Mozilla\FireFox\Profiles\6opoafv2.default --
    Extensions\{ab91efd4-6975-4081-8552-1b3922ed79e2} (HP Detect)
    User.js - keyword.URL, hxxp://redirecterror.sfr.fr/?q=
    Prefs.js - browser.startup.homepage, hxxp://www.google.fr/webhp?hl=fr
    Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.17
    Prefs.js - keyword.URL, hxxp://redirecterror.sfr.fr/?q=

    -- C:\Documents and Settings\Administrateur\Application Data\Mozilla\FireFox\Profiles\dy0sltnl.default --
    Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.16

    ========================================

    **** Internet Explorer Version [6.0.2900.2180] ****

    HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
    HKCU_Main|Start Page - hxxp://fr.msn.com/
    HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
    HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
    HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Start Page - hxxp://fr.msn.com/
    HKCU_Toolbar|{710EB7A1-45ED-11D0-924A-0020AFC7AC4D} (x)
    HKLM_ElevationPolicy\{08FF730A-494F-4cba-AA0B-E4F1D44715F9} - C:\Program Files\Norton Internet Security\Engine\18.5.0.125\symerr.exe (x)
    HKLM_ElevationPolicy\{6A4E5109-F35C-469e-BEBC-A9241C14D8B3} - C:\Program Files\Hp\Common\iPAQDetection2.exe (?)
    HKLM_ElevationPolicy\{B2321D2F-1154-4d97-AD3E-2FE0BAE2897B} - C:\Program Files\SFR\Kit\9launch.exe (SFR)
    HKLM_Extensions\{90EAE591-7E7E-434a-8E28-ECFD00071806} - "PokerStars.fr" (C:\Program Files\PokerStars.FR\main.ico)
    BHO\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8} - "Objet d'aide à la navigation SFR" (C:\Program Files\SFR\Kit\SFRNavErrorHelper.dll)
    BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 18 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 13 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 03/05/2011 20:48:22 (3106 Octet(s))

    Fin à: 20:50:10, 03/05/2011

    ============== E.O.F ==============
    0
  7. gen-hackman
     
    desactive tes protections puis enregistre ceci sur ton bureau

    Pre_Scan

    Avertissement: Il y aura une extinction courte du bureau --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus(Pre_Scan.txt).

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    ▶ Copie ce lien dans ta réponse.

    ================================

    Télécharge ici :OTL

    enregistre le sur ton Bureau.

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur OTL.exe pour le lancer.

    => Configuration

    ▶Clic sur Analyse.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    ▶ Copie ce lien dans ta réponse.

    ▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
    0
  8. alexwill47 Messages postés 15 Statut Membre
     
    re bonjour voila les liens

    extras texte
    http://www.cijoint.fr/cjlink.php?file=cj201105/cijY8S4VYg.txt

    olt texte
    http://www.cijoint.fr/cjlink.php?file=cj201105/cijmdaMD1k.txt
    et pre scan
    http://www.cijoint.fr/cjlink.php?file=cj201105/cijzId2Nna.txt

    merci beaucoup
    0
  9. gen-hackman
     

    /!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

    __________________________________________________________
    >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
    >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
    =====================================================


    ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

    Telecharge ici : Combofix

    Avant d'utiliser ComboFix :

    Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
    La simple désactivation du résident n'est pas suffisante.
    Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
    Choisis la version adéquate (32 ou 64 bits)/!\

    Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

    ▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

    ▶ Lance le

    Une fenêtre apparait : clique sur "Disable"

    ▶ Fais redémarrer l'ordinateur si l'outil te le demande

    Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

    _________________________________________________________
    >> referme les fenêtres de tous les programmes en cours.
    >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
    >>la protection en temps réel de ton Antivirus et de tes Antispywares,
    >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°


    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur combofix renommé

    ¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

    ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

    ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    0
  10. alexwill47 Messages postés 15 Statut Membre
     
    ok merci beaucoup je vais sa demain la j'ai besoin du pc ma femme regarde la télé lol...

    comme anti virus j'ai norton 360

    le pc sort de réparation chez un informaticien il m'a changer mon DD et ma mis xp alors que j'avais vista j'ai le logo sur le clavier...

    sa risque quelque chose de faire cet manip??
    si tu veux plus de renseignement je suis a ton ecoute
    0
  11. alexwill47 Messages postés 15 Statut Membre
     
    j'attendrais ton avis pour faire tes manip ..
    en tous cas merci de t'etre occuper de moi c'est super sympa
    0
  12. gen-hackman
     
    sa risque quelque chose de faire cet manip??

    si tu ne suis pas les consignes oui sinon pas de risque normalement
    0
  13. alexwill47 Messages postés 15 Statut Membre
     
    re voila le rapport apres le scan c'est grave??? merci de toutes ton aides

    ComboFix 11-05-03.08 - Ghislain 06/05/2011 17:44:02.1.2 - x86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.2047.1686 [GMT 2:00]
    Lancé depuis: c:\documents and settings\Ghislain\Mes documents\Téléchargements\alexwill.exe.exe
    AV: Norton 360 Premier Edition *Disabled/Updated* {E10A9785-9598-4754-B552-92431C1C35F8}
    FW: Norton 360 Premier Edition *Disabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}
    .
    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
    .
    .
    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    c:\windows\system32\winlogon.exe.exe
    .
    .
    \\.\PhysicalDrive0 - Bootkit TDL4 was found and disinfected
    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2011-04-06 au 2011-05-06 ))))))))))))))))))))))))))))))))))))
    .
    .
    2011-05-06 15:24 . 2011-05-06 15:24 -------- d-----w- c:\documents and settings\LocalService\Application Data\Apple Computer
    2011-05-06 15:21 . 2011-05-06 15:21 -------- d-----w- c:\program files\iPod
    2011-05-06 15:21 . 2011-05-06 15:22 -------- d-----w- c:\program files\iTunes
    2011-05-06 15:21 . 2011-05-06 15:22 -------- d-----w- c:\documents and settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
    2011-05-06 15:21 . 2011-05-06 15:21 -------- d-----w- c:\program files\Apple Software Update
    2011-05-06 15:20 . 2011-02-18 14:36 41984 ----a-w- c:\windows\system32\drivers\usbaapl.sys
    2011-05-06 15:20 . 2011-02-18 14:36 4184352 ----a-w- c:\windows\system32\usbaaplrc.dll
    2011-05-06 15:20 . 2011-05-06 15:20 -------- d-----w- c:\program files\Bonjour
    2011-05-05 16:57 . 2011-05-05 16:57 -------- d-s---w- c:\documents and settings\Ghislain\UserData
    2011-05-04 15:56 . 2011-05-04 15:56 -------- d-----w- C:\Kill'em
    2011-05-03 18:47 . 2011-05-03 18:47 -------- d-----w- c:\program files\Ad-Remover
    2011-05-02 17:55 . 2011-05-02 17:55 -------- d-----w- c:\documents and settings\Ghislain\Application Data\Malwarebytes
    2011-05-02 17:55 . 2011-05-02 17:55 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
    2011-05-02 17:55 . 2010-12-20 16:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2011-05-02 17:55 . 2010-12-20 16:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
    2011-05-02 17:55 . 2011-05-02 17:55 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2011-05-01 12:18 . 2011-05-01 12:18 -------- d-----w- c:\program files\Remote Mouse
    2011-05-01 09:53 . 2011-05-01 09:53 -------- d-----w- c:\documents and settings\All Users\Application Data\Symantec
    2011-04-30 21:31 . 2011-04-30 17:13 43696 ----a-w- c:\windows\system32\drivers\srtspx.sys
    2011-04-30 21:31 . 2011-04-30 17:13 310320 ----a-w- c:\windows\system32\drivers\SymEFA.sys
    2011-04-30 21:31 . 2011-04-30 17:13 217136 ----a-w- c:\windows\system32\drivers\symtdi.sys
    2011-04-30 21:31 . 2011-04-30 17:13 482432 ----a-w- c:\windows\system32\drivers\cchpx86.sys
    2011-04-30 21:31 . 2011-04-30 17:13 259632 ----a-w- c:\windows\system32\drivers\BHDrvx86.sys
    2011-04-30 17:14 . 2011-04-30 17:13 26600 ----a-r- c:\windows\system32\drivers\GEARAspiWDM.sys
    2011-04-30 17:14 . 2011-04-30 17:13 107368 ----a-r- c:\windows\system32\GEARAspi.dll
    2011-04-30 17:13 . 2011-04-30 17:13 36400 ----a-r- c:\windows\system32\drivers\SymIM.sys
    2011-04-30 17:13 . 2011-04-30 20:58 -------- d-----w- c:\program files\Fichiers communs\Symantec Shared
    2011-04-30 17:13 . 2011-04-30 17:13 60808 ----a-w- c:\windows\system32\S32EVNT1.DLL
    2011-04-30 17:13 . 2011-04-30 17:13 124976 ----a-w- c:\windows\system32\drivers\SYMEVENT.SYS
    2011-04-30 17:13 . 2011-04-30 17:13 -------- d-----w- c:\program files\Symantec
    2011-04-30 17:12 . 2011-05-01 18:17 -------- d-----w- c:\windows\system32\drivers\N360
    2011-04-30 17:12 . 2011-04-30 17:13 -------- d-----w- c:\program files\Norton 360 Premier Edition
    2011-04-30 17:12 . 2011-04-30 17:12 -------- d-----w- c:\program files\NortonInstaller
    2011-04-27 18:37 . 2001-08-23 14:47 8704 -c--a-w- c:\windows\system32\dllcache\kbdjpn.dll
    2011-04-27 18:37 . 2001-08-23 14:47 8704 ----a-w- c:\windows\system32\kbdjpn.dll
    2011-04-27 18:37 . 2001-08-23 14:47 8192 -c--a-w- c:\windows\system32\dllcache\kbdkor.dll
    2011-04-27 18:37 . 2001-08-23 14:47 8192 ----a-w- c:\windows\system32\kbdkor.dll
    2011-04-27 18:37 . 2001-08-17 19:55 6144 -c--a-w- c:\windows\system32\dllcache\kbd106.dll
    2011-04-27 18:37 . 2001-08-17 19:55 6144 -c--a-w- c:\windows\system32\dllcache\kbd101c.dll
    2011-04-27 18:37 . 2001-08-17 19:55 6144 -c--a-w- c:\windows\system32\dllcache\kbd101b.dll
    2011-04-27 18:37 . 2001-08-17 19:55 6144 ----a-w- c:\windows\system32\kbd106.dll
    2011-04-27 18:37 . 2001-08-17 19:55 6144 ----a-w- c:\windows\system32\kbd101c.dll
    2011-04-27 18:37 . 2001-08-17 19:55 6144 ----a-w- c:\windows\system32\kbd101b.dll
    2011-04-27 18:37 . 2001-08-17 19:55 5632 -c--a-w- c:\windows\system32\dllcache\kbd103.dll
    2011-04-27 18:37 . 2001-08-17 19:55 5632 ----a-w- c:\windows\system32\kbd103.dll
    2011-04-26 08:25 . 2011-04-26 08:25 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\Apple
    2011-04-24 20:09 . 2011-04-30 13:01 -------- d-----w- c:\documents and settings\Ghislain\Tracing
    2011-04-24 20:09 . 2011-04-24 20:09 -------- d-----w- c:\program files\Microsoft Office Outlook Connector
    2011-04-24 20:08 . 2011-04-24 20:08 -------- d-----w- c:\program files\Microsoft
    2011-04-24 20:08 . 2011-04-24 20:08 -------- d-----w- c:\program files\Windows Live SkyDrive
    2011-04-24 20:07 . 2011-04-24 20:09 -------- d-----w- c:\program files\Windows Live
    2011-04-24 19:54 . 2011-04-24 19:54 -------- d-----w- c:\program files\Fichiers communs\Windows Live
    2011-04-23 19:25 . 2011-04-23 19:25 -------- d-----w- c:\program files\Canal+
    2011-04-23 19:24 . 2011-04-23 19:24 -------- d-----w- c:\documents and settings\Ghislain\Local Settings\Application Data\Downloaded Installations
    2011-04-23 19:24 . 2011-04-23 19:24 -------- d-----w- c:\program files\Fichiers communs\Adobe AIR
    2011-04-21 20:03 . 2011-04-21 20:03 -------- d-----w- c:\program files\SFR
    2011-04-21 14:51 . 2002-03-05 14:24 32768 ----a-r- c:\windows\system32\usbmonit.exe
    2011-04-21 14:51 . 2002-03-05 14:24 36864 ----a-r- c:\windows\system32\deluidrv.exe
    2011-04-21 14:51 . 2002-03-05 14:24 32768 ----a-r- c:\windows\system32\delentry.exe
    2011-04-21 14:51 . 2002-03-05 14:24 21064 ----a-r- c:\windows\system32\drivers\geneuide.sys
    2011-04-21 11:11 . 2011-04-21 11:11 -------- d-----w- c:\documents and settings\Ghislain\Local Settings\Application Data\PackageAware
    2011-04-21 11:01 . 2011-04-21 11:02 -------- d-----w- c:\documents and settings\Ghislain\Application Data\Notepad++
    2011-04-21 11:01 . 2011-04-21 11:01 -------- d-----w- c:\program files\Notepad++
    2011-04-20 18:27 . 2011-04-20 18:29 -------- d-----w- c:\documents and settings\Ghislain\Local Settings\Application Data\NPE
    2011-04-20 18:18 . 2011-04-20 18:18 -------- d-----w- c:\documents and settings\All Users\Application Data\Panda Security
    2011-04-20 18:18 . 2011-04-20 18:18 -------- d-----w- c:\program files\Panda USB Vaccine
    2011-04-20 13:55 . 2011-04-20 13:55 136192 ----a-w- c:\windows\system32\drivers\ethcquac.sys
    2011-04-17 19:19 . 2011-04-17 19:19 -------- d-----w- c:\documents and settings\Ghislain\Application Data\Tific
    2011-04-17 19:19 . 2011-04-17 19:19 -------- d-----w- c:\documents and settings\Ghislain\Local Settings\Application Data\Symantec
    2011-04-17 13:36 . 2011-04-17 13:36 -------- d--h--w- c:\windows\PIF
    2011-04-16 10:41 . 2011-04-16 10:41 -------- d-s---w- c:\documents and settings\LocalService\UserData
    2011-04-15 11:08 . 2011-04-15 11:08 -------- d-----w- c:\documents and settings\NetworkService\Application Data\McAfee
    2011-04-14 16:49 . 2011-04-14 16:49 -------- d-----w- c:\program files\SixaxisDriver
    2011-04-14 16:49 . 2006-12-24 03:15 27904 ----a-w- c:\windows\system32\drivers\xPADFL02.sys
    2011-04-14 16:48 . 2005-03-09 18:50 19456 ----a-w- c:\windows\system32\libusbd-9x.exe
    2011-04-14 16:48 . 2005-03-09 18:50 18944 ----a-w- c:\windows\system32\libusbd-nt.exe
    2011-04-14 16:48 . 2005-03-09 18:50 33792 ----a-w- c:\windows\system32\drivers\libusb0.sys
    2011-04-14 16:48 . 2005-03-09 18:50 46592 ----a-w- c:\windows\system32\libusb0.dll
    2011-04-14 16:48 . 2011-04-14 16:48 -------- d-----w- c:\program files\LibUSB-Win32-0.1.10.1
    2011-04-14 12:27 . 2011-04-14 12:58 -------- d-----w- c:\program files\Grand Theft Auto IV - Episodes From Liberty City
    2011-04-13 20:38 . 2011-04-13 20:38 -------- d-s---w- c:\windows\system32\config\systemprofile\UserData
    2011-04-13 16:30 . 2011-04-13 16:30 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Apple Computer
    2011-04-13 12:35 . 2011-04-13 12:35 218688 ----a-w- c:\windows\system32\drivers\dtsoftbus01.sys
    2011-04-13 12:35 . 2011-04-13 12:35 -------- d-----w- c:\program files\DAEMON Tools Lite
    2011-04-13 12:35 . 2011-04-13 19:00 -------- d-----w- c:\documents and settings\Ghislain\Application Data\DAEMON Tools Lite
    2011-04-13 12:35 . 2011-04-13 12:35 -------- d-----w- c:\documents and settings\All Users\Application Data\DAEMON Tools Lite
    2011-04-12 17:21 . 2011-04-12 17:21 -------- d-----w- c:\documents and settings\Administrateur
    2011-04-12 16:24 . 2011-04-30 17:19 -------- d-----w- c:\documents and settings\All Users\Application Data\Norton
    2011-04-12 16:24 . 2011-04-12 16:24 -------- d-----w- c:\program files\Windows Sidebar
    2011-04-12 13:39 . 2011-04-12 13:39 -------- d-----w- c:\documents and settings\Ghislain\Application Data\Canneverbe Limited
    2011-04-12 13:39 . 2011-04-12 13:39 -------- d-----w- c:\documents and settings\All Users\Application Data\Canneverbe Limited
    2011-04-12 13:38 . 2011-04-12 13:38 -------- d-----w- c:\program files\CDBurnerXP
    2011-04-12 13:38 . 2009-11-12 11:48 7168 ----a-w- c:\windows\system32\drivers\StarOpen.sys
    2011-04-11 17:50 . 2011-04-11 17:50 -------- d-----w- c:\documents and settings\Ghislain\Application Data\SpinTop Games
    2011-04-08 17:49 . 2011-04-08 17:49 -------- d-----r- c:\documents and settings\NetworkService\Favoris
    .
    .
    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2011-04-06 14:20 . 2011-04-06 14:20 91424 ----a-w- c:\windows\system32\dnssd.dll
    2011-04-06 14:20 . 2011-04-06 14:20 75040 ----a-w- c:\windows\system32\jdns_sd.dll
    2011-04-06 14:20 . 2011-04-06 14:20 197920 ----a-w- c:\windows\system32\dnssdX.dll
    2011-04-06 14:20 . 2011-04-06 14:20 107808 ----a-w- c:\windows\system32\dns-sd.exe
    2011-02-13 18:21 . 2011-02-13 18:21 73728 ----a-w- c:\windows\system32\javacpl.cpl
    2011-02-13 18:21 . 2011-02-13 18:21 472808 ----a-w- c:\windows\system32\deployJava1.dll
    2011-04-14 16:47 . 2011-05-05 17:01 142296 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
    .
    [code]<pre>
    c:\program files\Adobe\Reader 10.0\Reader\Reader_sl .exe
    c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM .exe
    c:\program files\Fichiers communs\Java\Java Update\jusched .exe
    c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain .exe
    c:\program files\QuickTime\qttask .exe
    </pre>/code
    .
    ------- Sigcheck -------
    .
    [-] 2006-02-14 . 667192A11DB19F36624119C0DD4DE4F2 . 359808 . . [5.1.2600.2827] . . c:\windows\system32\drivers\tcpip.sys
    .
    [-] 2006-03-09 . 0D55724D88488BBFC53BC2EA219240F3 . 197632 . . [5.1.2600.2743] . . c:\windows\system32\netman.dll
    .
    [-] 2006-03-09 . CB7D37602638369A516757E994CBB31D . 397824 . . [5.1.2600.2726] . . c:\windows\system32\rpcss.dll
    .
    [-] 2006-03-09 . DA81EC57ACD4CDC3D4C51CF3D409AF9F . 57856 . . [5.1.2600.2696] . . c:\windows\system32\spoolsv.exe
    .
    [-] 2006-03-09 08:24 . D9CDB9380E0EFC9E97CC589B5F484B94 . 243200 . . [2001.12.4414.308] . . c:\windows\system32\es.dll
    .
    [-] 2006-03-09 . 8D9A075C065DFE1228688D10155D6624 . 19968 . . [5.1.2600.2751] . . c:\windows\system32\linkinfo.dll
    .
    [-] 2006-04-21 . 6DF21BA445B9491943853290B0AAC74F . 3077120 . . [6.00.2900.2883] . . c:\windows\system32\mshtml.dll
    .
    [-] 2006-03-09 . 720DA0C9DB8996AD9B7F5164B2242DAA . 249344 . . [5.1.2600.2716] . . c:\windows\system32\tapisrv.dll
    .
    [-] 2006-03-09 . 0DF75FB73F705B011630159A43D7C354 . 578048 . . [5.1.2600.2622] . . c:\windows\system32\user32.dll
    .
    [-] 2006-04-12 . 241DBC4C2714B2F39AFDED49459ED420 . 667648 . . [6.00.2900.2861] . . c:\windows\system32\wininet.dll
    .
    [-] 2006-03-09 . 1C43C758C54C768250107F4C5D7CA054 . 1284608 . . [5.1.2600.2726] . . c:\windows\system32\ole32.dll
    .
    [-] 2006-03-09 . E51172E3C82D76FCC02001D0FF41A1A1 . 1548288 . . [5.1.2600.2180] . . c:\windows\system32\sfcfiles.dll
    .
    [-] 2005-05-27 20:14 . 1EE7B434BA961EF845DE136224C30FEC . 142464 . . [5.1.2601.2180] . . c:\windows\system32\drivers\aec.sys
    .
    [-] 2006-05-09 . 50B3A210B6FA8D3089A36A32E7D8B21F . 2017280 . . [5.1.2600.2622] . . c:\windows\system32\ntkrnlpa.exe
    .
    [-] 2006-03-09 . E75F7AA5A33479F29C636FD0890F5762 . 2137600 . . [5.1.2600.2622] . . c:\windows\system32\ntoskrnl.exe
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4
    .
    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}]
    2010-07-19 16:32 165184 ----a-w- c:\program files\SFR\Kit\SFRNavErrorHelper.dll
    .
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Connexion SFR 9props.exe"="c:\program files\SFR\Kit\9props.exe" [2010-07-19 976192]
    "Remote Mouse"="c:\program files\Remote Mouse\RemoteMouse.exe" [2011-03-31 874496]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-08-01 202032]
    "nwiz"="nwiz.exe" [2007-12-10 1626112]
    "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-11-29 421888]
    "hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-10-03 480560]
    "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-10 81920]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-10 8495104]
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-04-26 421160]
    .
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    "nlsf"="move" [X]
    "Config"="c:\windows\system32\run.cmd" [2006-02-14 248]
    "tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-19 44544]
    .
    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
    "MemCheckBoxInRunDlg"= 1 (0x1)
    "NoSMBalloonTip"= 1 (0x1)
    "NoWelcomeScreen"= 1 (0x1)
    .
    [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
    "MemCheckBoxInRunDlg"= 1 (0x1)
    "NoSMBalloonTip"= 1 (0x1)
    "NoWelcomeScreen"= 1 (0x1)
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SymEFA.sys]
    @="FSFilter Activity Monitor"
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
    @="Driver"
    .
    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^McAfee Security Scan Plus.lnk]
    path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\McAfee Security Scan Plus.lnk
    backup=c:\windows\pss\McAfee Security Scan Plus.lnkCommon Startup
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CANAL+ CANALSAT A LA DEMANDE]
    2010-05-03 10:21 163992 ----a-r- c:\program files\Canal+\CANAL+ CANALSAT A LA DEMANDE\Launcher.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Connexion SFR 9props.exe]
    2010-07-19 16:31 976192 ----a-w- c:\program files\SFR\Kit\9props.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
    2011-01-20 09:20 1305408 ----a-w- c:\program files\DAEMON Tools Lite\DTLite.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
    2010-04-16 20:12 3872080 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
    2007-12-10 09:03 8495104 ----a-w- c:\windows\system32\nvcpl.dll
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RegistryBooster]
    c:\program files\Uniblue\RegistryBooster\launcher.exe [N/A]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "AntiVirusOverride"=dword:00000001
    "FirewallOverride"=dword:00000001
    "DisablePagingExecutive"=dword:00000001
    "SecondLevelDataCache"=dword:00000200
    .
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)
    "DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
    .
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\SopCast\\adv\\SopAdver.exe"=
    "c:\\Program Files\\SopCast\\SopCast.exe"=
    "c:\\WINDOWS\\system32\\dpvsetup.exe"=
    "c:\\Program Files\\Spotify\\spotify.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Remote Mouse\\server\\server.exe"=
    "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "c:\\Program Files\\iTunes\\iTunes.exe"=
    .
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "40560:TCP"= 40560:TCP:@xpsp2res.dll,-22009
    .
    R1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\drivers\dtsoftbus01.sys [13/04/2011 14:35 218688]
    R2 CanalPlus.VOD;CanalPlus.VOD;c:\program files\Canal+\CANAL+ CANALSAT A LA DEMANDE\VOD\CanalPlus.VOD.exe [03/05/2010 12:17 188416]
    R2 libusbd;LibUsb-Win32 - Daemon, Version 0.1.10.1;system32\libusbd-nt.exe --> system32\libusbd-nt.exe [?]
    R2 N360;Norton 360;c:\program files\Norton 360 Premier Edition\Engine\3.8.0.41\ccSvcHst.exe [30/04/2011 23:31 117640]
    R3 CnxtHdAudAddService;Microsoft UAA Function Driver for High Definition Audio Service;c:\windows\system32\drivers\CHDAud.sys [15/01/2011 11:40 732160]
    R3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [15/01/2011 13:44 193840]
    R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [30/04/2011 02:52 102448]
    R3 libusb0;LibUsb-Win32 - Kernel Driver, Version 0.1.10.1;c:\windows\system32\drivers\libusb0.sys [14/04/2011 18:48 33792]
    S0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\N360\0308000.029\SYMEFA.SYS --> c:\windows\system32\drivers\N360\0308000.029\SYMEFA.SYS [?]
    S1 BHDrvx86;Symantec Heuristics Driver;c:\windows\system32\Drivers\N360\0308000.029\BHDrvx86.sys --> c:\windows\system32\Drivers\N360\0308000.029\BHDrvx86.sys [?]
    S1 ccHP;Symantec Hash Provider;c:\windows\system32\Drivers\N360\0308000.029\ccHPx86.sys --> c:\windows\system32\Drivers\N360\0308000.029\ccHPx86.sys [?]
    S1 ethcquac;ethcquac;c:\windows\system32\drivers\ethcquac.sys [20/04/2011 15:55 136192]
    S1 IDSxpx86;IDSxpx86;c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20110505.002\IDSXpx86.sys [06/05/2011 04:41 341944]
    S2 AMService;AMService;c:\windows\TEMP\enev\setup.exe run --> c:\windows\TEMP\enev\setup.exe run [?]
    S2 erbpshhb;PCI Bus q576d Support;c:\windows\System32\svchost.exe -k netsvcs [19/08/2004 17:10 14336]
    S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [24/01/2011 15:49 310640]
    S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files\McAfee Security Scan\2.0.181\McCHSvc.exe [15/01/2010 14:49 227232]
    S3 SMCWGU(SMC);SMCWUSB-G 802.11g Wireless USB 2.0 Adapter(SMC);c:\windows\system32\drivers\SMCWGU.sys [15/01/2011 12:38 408064]
    .
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    erbpshhb
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5A858FA1-BA1D-BF6B-1ED9-EAC93DFEF5AF}]
    2004-08-19 15:10 14336 ------w- c:\windows\system32\svchost.exe
    .
    Contenu du dossier 'Tâches planifiées'
    .
    2011-05-06 c:\windows\Tasks\AppleSoftwareUpdate.job
    - c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]
    .
    2011-05-06 c:\windows\Tasks\PandaUSBVaccine.job
    - c:\program files\Panda USB Vaccine\RunInteractiveWin.exe [2011-04-20 14:45]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.com/
    uInternet Settings,ProxyOverride = *.local
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    IE: Télécharger avec Mipony - file://c:\program files\MiPony\Browser\IEContext.htm
    IE: {{90EAE591-7E7E-434a-8E28-ECFD00071806} - c:\program files\PokerStars.FR\PokerStarsUpdate.exe
    FF - ProfilePath - c:\documents and settings\Ghislain\Application Data\Mozilla\Firefox\Profiles\obb0ew90.default\
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.com/intl/fr/
    FF - prefs.js: network.proxy.type - 0
    .
    .
    **************************************************************************
    .
    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2011-05-06 17:51
    Windows 5.1.2600 Service Pack 2 NTFS
    .
    Recherche de processus cachés ...
    .
    Recherche d'éléments en démarrage automatique cachés ...
    .
    Recherche de fichiers cachés ...
    .
    Scan terminé avec succès
    Fichiers cachés: 0
    .
    **************************************************************************
    .
    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\N360]
    "ImagePath"="\"c:\program files\Norton 360 Premier Edition\Engine\3.8.0.41\ccSvcHst.exe\" /s \"N360\" /m \"c:\program files\Norton 360 Premier Edition\Engine\3.8.0.41\diMaster.dll\" /prefetch:1"
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------
    .
    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
    @Denied: (A 2) (Everyone)
    @="FlashBroker"
    "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10p_ActiveX.exe,-101"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
    "Enabled"=dword:00000001
    .
    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
    @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10p_ActiveX.exe"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
    @Denied: (A 2) (Everyone)
    @="IFlashBroker4"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
    @="{00020424-0000-0000-C000-000000000046}"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    "Version"="1.0"
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------
    .
    - - - - - - - > 'explorer.exe'(3200)
    c:\windows\system32\WPDShServiceObj.dll
    c:\windows\system32\PortableDeviceTypes.dll
    c:\windows\system32\PortableDeviceApi.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\program files\Panda USB Vaccine\USBVaccine.exe
    c:\windows\system32\RUNDLL32.EXE
    c:\program files\Remote Mouse\server\server.exe
    c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
    c:\program files\SFR\Kit\WiFi\9wifi.exe
    c:\program files\Bonjour\mDNSResponder.exe
    c:\program files\Java\jre6\bin\jqs.exe
    c:\windows\system32\libusbd-nt.exe
    c:\program files\CDBurnerXP\NMSAccessU.exe
    c:\windows\system32\nvsvc32.exe
    c:\program files\Hewlett-Packard\Shared\hpqWmiEx.exe
    c:\program files\iPod\bin\iPodService.exe
    c:\windows\system32\wscntfy.exe
    c:\program files\Hewlett-Packard\Shared\HpqToaster.exe
    .
    **************************************************************************
    .
    Heure de fin: 2011-05-06 17:53:09 - La machine a redémarré
    ComboFix-quarantined-files.txt 2011-05-06 15:53
    .
    Avant-CF: 190 543 863 808 octets libres
    Après-CF: 190 657 617 920 octets libres
    .
    WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
    .
    - - End Of File - - 6D1DD5B86721B7F9347CCBBBC1F496D0
    0
  14. gen-hackman
     
    Fais analyser le(s) fichier(s) suivants sur Virustotal :

    Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

    c:\windows\system32\drivers\ethcquac.sys
    c:\program files\Remote Mouse\server\server.exe

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.

    =========================================


    __________________________________________________
    =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
    =>il est fort déconseillé de le transposer sur un autre ordinateur !<=
    ----------------------------------------------------------------------------


    Toujours avec toutes les protections désactivées, fais ceci :

    ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
    ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

    ----------------------------------------------------------
    KillAll::

    Folder::
    c:\windows\TEMP\enev

    RenV::
    c:\program files\Adobe\Reader 10.0\Reader\Reader_sl .exe
    c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM .exe
    c:\program files\Fichiers communs\Java\Java Update\jusched .exe
    c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain .exe
    c:\program files\QuickTime\qttask .exe

    Registry::
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "nwiz"=-
    "QuickTime Task"=-
    "iTunesHelper"=-
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    "Config"=-
    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
    "MemCheckBoxInRunDlg"= 0
    "NoSMBalloonTip"= 0
    "NoWelcomeScreen"= 0
    [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
    "MemCheckBoxInRunDlg"= 0
    "NoSMBalloonTip"= 0
    "NoWelcomeScreen"= 0
    [HKEY_LOCAL_MACHINE\System\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "40560:TCP"=-

    Driver::
    AMService

    NetSvc::
    erbpshhb

    RegLock::
    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]


    ------------------------------------------------------------------

    ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
    ▶ Quitte le Bloc Notes

    ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

    ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
    ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
    ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

    0
  15. alexwill47 Messages postés 15 Statut Membre
     
    ok merci beaucoup je fais sa et je vous tien au jus....

    oula sa alaire grave non??
    0
  16. alexwill47 Messages postés 15 Statut Membre
     
    aie il faut que je fasse quoi?

    comment s"est arriver tout sa?
    0