Qqn peut-il vérifier mon rapport zhp svp ?

Question

Bonjour 

Hier je m'on ordi s'est fait infecter par xp restore, j'ai utilisé rogue killer et je voulais juste savoir si tout était ok, voici mon scan zhp : https://www.luanagames.com/index.fr.html 

j'ai aussi un problème avec les accents circonflexes (doubles), est-ce que c'est lié ou dois-je faire d'autres manips? 

En vous remerciant

g3n-h@ckm@n · Answer

salut tu as tes rapports de roguekiller ?

erwanne · Answer

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version 
Demarrage : Mode normal 
Utilisateur: [Droits d'admin] 
Mode: Raccourcis RAZ -- Date : 13/06/2011 14:01:06 

Processus malicieux: 0 

Attributs de fichiers restaures: 
Bureau: Success 0 / Fail 0 
Lancement rapide: Success 0 / Fail 0 
Programmes: Success 2 / Fail 0 
Menu demarrer: Success 0 / Fail 0 
Dossier utilisateur: Success 57 / Fail 0 
Mes documents: Success 22 / Fail 0 
Mes favoris: Success 0 / Fail 0 
Mes images: Success 0 / Fail 0 
Ma musique: Success 0 / Fail 0 
Mes videos: Success 0 / Fail 0 
Disques locaux: Success 189 / Fail 2

g3n-h@ckm@n · Answer

il manque le debut du rapport

erwanne · Answer

je vais les refaire, tu veux lequel exactement?

erwanne · Answer

Le 1 : RogueKiller V5.2.2 [05/06/2011] par Tigzy contact sur https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur: gdeforesta [Droits d'admin] Mode: Recherche -- Date : 14/06/2011 10:40:17 Processus malicieux: 0 Entrees de registre: 0 Fichier HOSTS: 127.0.0.1 localhost Termine : << RKreport[1].txt >> RKreport[1].txt

g3n-h@ckm@n · Answer

pas la peine d'ouvrir 50 posts pour le meme probleme

inutile de les refaire , le logiciel ne supprimera pas deux fois la meme chose et il ne supprimera rien d'ailleurs vu qu'il l'a deja supprimé 

desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu

Ferme toutes tes appilications en cours 

telecharge et enregistre ceci sur ton bureau : 

Pre_Scan 

s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau 

Avertissement: Il y aura une extinction courte du bureau --> pas de panique.  

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau. 

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy" 

si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr 

 Il se peut que l'outil soit un peu long sur la reattribution des fichiers tout depend combien tu en as , laisse-le travailler  

Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan 

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long) 

clique sur ce lien : http://www.cijoint.fr/ 

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus. 

&#9654 Clique sur Ouvrir. 

&#9654 Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt 

est ajouté dans la page. 

&#9654 Copie ce lien dans ta réponse.  

¤¤¤¤¤¤¤¤¤¤ g3n-h@ckm@n ¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

rapport pre_scan :

https://www.luanagames.com/index.fr.html

g3n-h@ckm@n · Answer

fais glisser une icone n'importe laqueele sur Pre_scan , pre_script va apparaitre

selectionne ce texte sans les lignes :
___________________________________________________
folder::
C:\Documents and Settings\gdeforesta\Application Data\Adobe\plugs    
C:\Documents and Settings\gdeforesta\Application Data\Adobe\shed    
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy    
C:\Documents and Settings\gdeforesta\Local Settings\Application Data\{3248F0A6-6813-11D6-A77B-00B0D0150060}    

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]  
"ISUSPM"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"EZEJMNAP"=-
"SoundMAX"=-
"ISUSPM Startup"=-
"ISUSScheduler"=-
"Adobe Reader Speed Launcher"=-
"SunJavaUpdateSched"=-
"iTunesHelper"=-
"QuickTime Task"=-

txt::
C:\Documents and Settings\gdeforesta\Application Data\xpy.ini                                          
___________________________________________________

copie-le (ctrl+c) puis lance Pre_Script qui est sur ton bureau

colle dans le document texte qui s'ouvre , puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte 

poste Pre_Script.txt qui apparaitra à coté de l'executable en fin de travail

erwanne · Answer

g3n-h@ckm@n · Answer

c'est pas bon

erwanne · Answer

c'est-à dire?

g3n-h@ckm@n · Answer

ben t'as pas fait la manip comme il faut

erwanne · Answer

bon je n'arrive pas du tout à maîtriser cet ordinateur et ça doit être un peu épuisant pour toi, je ne vais même pas te redemander comment faire pour arrêter de te faire perdre du temps. 
Merci beaucoup pour tous tes conseils en tous cas et bonne continuation !

g3n-h@ckm@n · Answer

pas grave on va le faire autrement

&#9654 Télécharge ZHPDiag (de Nicolas Coolman) 

ou :ZHPDiag

&#9654 Enregistre le sur ton Bureau.

Une fois le téléchargement achevé, 

&#9654 lance ZHPDiag.exe et clique sur Unzip dans la fenêtre qui s'ouvre.

&#9654 Clique sur le tournevis puis sur Tous pour cocher toutes les cases des options.

&#9654 Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, 

&#9654 clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\.ZHPDiag.txt

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

erwanne · Answer

http://www.cijoint.fr/cjlink.php?file=cj201106/cij647ruj0.txt

g3n-h@ckm@n · Answer

ok il faut que tu fasses 15 Go de place ton systeme ne peut pas travailler corrcetement ton disque est presque plein

erwanne · Answer

oui c'est une catastrophe. Cet ordi était à un professionnel et son administrateur a bloqué plein de fichiers, je le viderai dès que j'aurai le temps...
mais en attendant est-ce que les menaces ont disparu?

g3n-h@ckm@n · Answer

tu t'es installé un rogue hier faut pas installer n'importe quoi et se renseigner sur les logiciels avant de les utiliser google est ton ami :)

sélectionne les lignes ci-dessous et copie les dans le Presse-papier (Ctrl C)

O42 - Logiciel: Loaris Trojan Remover 1.2 - (.Loaris, Inc..) [HKLM] -- {29988DC6-9C4A-49B2-AC86-5C380B29ADB9}_is1 
[HKCU\Software\Loaris]    => Infection Rogue (Rogue.Loaris)
O43 - CFD: 13.06.2011 - 12:43:36 - [29557985] ----D- C:\Program Files\Loaris 
O61 - LFC:Last File Created 13.06.2011 - 11:43:38 ---A- C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Loaris Trojan Remover\Loaris Trojan Remover on the Web.url   [48]   
O61 - LFC:Last File Created 13.06.2011 - 11:43:38 ---A- C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Loaris Trojan Remover\Loaris Trojan Remover.lnk   [847]  
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\NetworkCrawler\Objects\WorkgroupCrawler] 
[HKLM\Software\Classes\CLSID\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}] 
C:\Documents and Settings\gdeforesta\Application Data\Adobe\plugs  
C:\Documents and Settings\gdeforesta\Application Data\Adobe\shed  
  
Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

- Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse

erwanne · Answer

Rapport de ZHPFix 1.12.3307 par Nicolas Coolman, Update du 10/06/2011
Fichier d'export Registre : C:\ZHPExportRegistry-14.06.2011-14-12-03.txt
Run by gdeforesta at 14.06.2011 14:12:03
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Logiciel(s) ==========
SUPPRIME O42 - Logiciel: Loaris Trojan Remover 1.2 - (.Loaris, Inc..) [HKLM] -- {29988DC6-9C4A-49B2-AC86-5C380B29ADB9}_is1

========== Clé(s) du Registre ==========
SUPPRIME HKCU\Software\Loaris
SUPPRIME HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\NetworkCrawler\Objects\WorkgroupCrawler
SUPPRIME HKLM\Software\Classes\CLSID\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}

========== Dossier(s) ==========
SUPPRIME C:\Program Files\Loaris
SUPPRIME c:\documents and settings\gdeforesta\application data\adobe\plugs
SUPPRIME c:\documents and settings\gdeforesta\application data\adobe\shed

========== Fichier(s) ==========
ABSENT File: c:\documents and settings\all users\menu démarrer\programmes\loaris trojan remover\loaris trojan remover on the web.url
ABSENT File: c:\documents and settings\all users\menu démarrer\programmes\loaris trojan remover\loaris trojan remover.lnk


========== Récapitulatif ==========
3 : Clé(s) du Registre
3 : Dossier(s)
2 : Fichier(s)
1 : Logiciel(s)

voilà tout ce que je voudrais c'est éliminer définitivement le rogue... mais je suppose qu'a part un formatage prochain on ne peut jamais être sûr... ?

g3n-h@ckm@n · Answer

formater ? tu plaisantes ?

refais zhpdiag apres avoir redemarré l'ordi

erwanne · Answer

bah oui pourquoi pas, l'ordi est saturé et je n'arrive pas à savoir ce qu'il y a dessus exactement...

le lien zhp : http://www.cijoint.fr/cjlink.php?file=cj201106/cijkenyPrT.txt

g3n-h@ckm@n · Answer

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================

▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

Telecharge ici : Combofix

Avant d'utiliser ComboFix :

Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

▶ Lance le

Une fenêtre apparait : clique sur "Disable"

▶ Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur combofix renommé

¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

erwanne · Answer

ComboFix 11-06-13.06 - gdeforesta 14.06.2011  15:48:26.1.2 - x86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.2006.1521 [GMT 2:00]
Lancé depuis: c:\documents and settings\gdeforesta\Bureau\Erwanne.exe
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
c:\documents and settings\gdeforesta\0.08340847827743736.exe
C:\Recycle.Bin
c:ecycle.bin\config.bin
c:ecycle.bin\Recycle.Bin.exe
c:\windows\system32\Ijl11.dll
c:\windows\system32\Thumbs.db
.
----- BITS: Il y a peut-être des sites infectés -----
.
hxxp://bla-ex01-par
Une copie infectée de c:\windows\system32\drivers\volsnap.sys a été trouvée et désinfectée 
Copie restaurée à partir de - Kitty had a snack :p 
.
(((((((((((((((((((((((((((((   Fichiers créés du 2011-05-14 au 2011-06-14  ))))))))))))))))))))))))))))))))))))
.
.
2011-06-14 13:40 . 2011-06-14 13:40	--------	d-----w-	C:\Erwanne
2011-06-14 11:12 . 2011-06-14 11:12	664	----a-w-	c:\windows\system32\d3d9caps.tmp
2011-06-14 10:23 . 2011-06-14 10:28	--------	d-----w-	C:\Kill'em
2011-06-14 06:45 . 2011-06-14 06:45	512	----a-w-	C:\PhysicalDisk0_MBR.bin
2011-06-13 11:49 . 2011-06-14 13:01	--------	d-----w-	c:\program files\ZHPDiag
2011-05-25 11:26 . 2011-06-03 20:02	--------	d-----w-	c:\documents and settings\gdeforesta\Application Data\Mumble
2011-05-18 13:53 . 2011-05-18 13:53	--------	d-----w-	c:\documents and settings\All Users\Application Data\Skype Extras
2011-05-18 13:52 . 2011-05-18 13:52	--------	d-----w-	c:\program files\Fichiers communs\Skype
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2006-10-18 19:47 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\windows\system32\mspmsnsv.dll
[-] 2006-10-18 19:47 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\windows\system32\dllcache\mspmsnsv.dll
[-] 2005-01-28 11:44 . 140EF97B64F560FD78643CAE2CDAD838 . 25088 . . [10.0.3790.3802] . . c:\windows\RegisteredPackages\{30C7234B-6482-4A55-A11D-ECD9030313F2}\MsPMSNSv.dll
[-] 2004-08-05 12:00 . 762B2A5F0E8B0164A5DB6741959DFB0C . 52736 . . [9.0.1.56] . . c:\windows\RegisteredPackages\{30C7234B-6482-4A55-A11D-ECD9030313F2}$BACKUP$\System\MsPMSNSv.dll
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM"="c:\program files\Fichiers communs\Installshield\UpdateService\ISUSPM.exe" [2006-09-11 218032]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2007-08-11 110592]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-08-11 512000]
"PWRMGRTR"="c:\progra~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL" [2007-06-17 200704]
"BLOG"="c:\progra~1\ThinkPad\UTILIT~1\BatLogEx.DLL" [2007-06-17 208896]
"TPFNF7"="c:\progra~1\Lenovo\NPDIRECT\TPFNF7SP.exe" [2007-04-09 58416]
"TPHOTKEY"="c:\program files\Lenovo\HOTKEY\TPOSDSVC.exe" [2007-03-09 66176]
"TpShocks"="TpShocks.exe" [2007-03-29 181808]
"EZEJMNAP"="c:\progra~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe" [2007-03-28 243248]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2007-04-09 1015808]
"TVT Scheduler Proxy"="c:\program files\Fichiers communs\Lenovo\Scheduler\scheduler_proxy.exe" [2008-03-04 487424]
"DLA"="c:\windows\System32\DLA\DLACTRLW.EXE" [2006-02-02 122940]
"ISUSPM Startup"="c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2006-09-11 218032]
"ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2006-09-11 86960]
"AwaySch"="c:\program files\Lenovo\AwayTask\AwaySch.EXE" [2006-11-07 91688]
"LPManager"="c:\progra~1\THINKV~1\PrdCtr\LPMGR.exe" [2007-04-27 120368]
"AMSG"="c:\program files\ThinkVantage\AMSG\Amsg.exe" [2007-02-01 419376]
"ACTray"="c:\program files\ThinkPad\ConnectUtilities\ACTray.exe" [2007-07-05 413696]
"cssauth"="c:\program files\Lenovo\Client Security Solution\cssauth.exe" [2007-08-03 2630968]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-08-09 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-08-09 155648]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-08-09 131072]
"Synchronization Manager"="c:\windows\system32\mobsync.exe" [2008-04-13 143872]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-09-24 421160]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-11-29 421888]
"DameWare MRC Agent"="c:\windows\system32\DWRCST.exe" [2010-04-07 85528]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]
.
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
BTTray.lnk - c:\program files\ThinkPad\Bluetooth Software\BTTray.exe [2007-2-27 561213]
Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2008-2-21 50688]
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsNetHood"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\psfus]
2007-03-14 20:17	89600	------w-	c:\windows\system32\psqlpwd.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify	pfnf2]
2006-09-06 07:37	34344	------w-	c:\program files\Lenovo\HOTKEY
otifyf2.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify	photkey]
2006-12-14 02:06	28672	------w-	c:\program files\Lenovo\HOTKEY	phklock.dll
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0pgdfgsvc C 1
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-842925246-436374069-725345543-1186\Scripts\Logon\0\0]
"Script"=OfscaLyo.bat
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-842925246-436374069-725345543-1186\Scripts\Logon\1\0]
"Script"=10.0.4.8.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-842925246-436374069-725345543-500\Scripts\Logon\0\0]
"Script"=OfscaLyo.bat
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-842925246-436374069-725345543-500\Scripts\Logon\1\0]
"Script"=10.0.4.8.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2008-04-13 17:34	15360	------w-	c:\windows\system32\ctfmon.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Skype\Plugin Manager\skypePM.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\iTunes\iTunes.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\Program Files\Skype\Phone\Skype.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5985:TCP"= 5985:TCP:*:Disabled:Gestion à distance de Windows 
"6129:TCP"= 6129:TCP:DameWare Mini Remote Control Service
.
R0 TPDIGIMN;TPDIGIMN;c:\windows\system32\drivers\ApsHM86.sys [02.03.2007 17:47 19760]
R1 dwvkbd;DameWare Virtual Keyboard 32 bit Driver;c:\windows\system32\drivers\dwvkbd.sys [15.02.2007 19:00 26624]
R2 smihlp;SMI Helper Driver (smihlp);c:\program files\Fichiers communs\ThinkVantage Fingerprint Software\Drivers\smihlp.sys [14.03.2007 22:10 11152]
R2 TVT Backup Protection Service;TVT Backup Protection Service;c:\program files\Lenovo\Rescue and Recoveryrpservice.exe [08.02.2007 13:11 569344]
R3 DwMirror;DwMirror;c:\windows\system32\drivers\DamewareMini.sys [07.02.2007 20:00 3712]
R3 TVTI2C;Lenovo SM bus driver;c:\windows\system32\drivers	vti2c.sys [13.09.2006 12:42 30336]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [20.03.2010 15:01 135664]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [20.03.2010 15:01 135664]
S3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys [20.04.2010 12:44 7680]
S3 Net6IM;Net6;c:\windows\system32\DRIVERS
et6im51.sys --> c:\windows\system32\DRIVERS
et6im51.sys [?]
S3 WinRM;Windows Remote Management (WS-Management);c:\windows\system32\svchost.exe -k WINRM [26.01.2006 22:35 14336]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]
S3 ZTEusbnet;ZTE USB-NDIS miniport;c:\windows\system32\drivers\ZTEusbnet.sys [20.04.2010 12:44 110080]
S3 ZTEusbvoice;ZTE VoUSB Port;c:\windows\system32\drivers\ZTEusbvoice.sys [20.04.2010 12:44 104960]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WINRM	REG_MULTI_SZ   	WINRM
.
Contenu du dossier 'Tâches planifiées'
.
2011-06-11 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]
.
2011-06-14 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-20 13:01]
.
2011-06-14 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-20 13:01]
.
2011-06-14 c:\windows\Tasks\PMTask.job
- c:\progra~1\ThinkPad\UTILIT~1\PWMIDTSK.EXE [2007-09-22 16:16]
.
2011-06-13 c:\windows\Tasks\User_Feed_Synchronization-{642CDCAF-792C-4DD0-AD9F-23FC48EC1AEC}.job
- c:\windows\system32\msfeedssync.exe [2006-10-17 09:58]
.
2011-06-13 c:\windows\Tasks\{F897AA24-BDC3-11D1-B85B-00C04FB93981}_BLDAVOCATS_gdeforesta.job
- c:\windows\system32\mobsync.exe [2006-01-26 17:34]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Envoyer au périphérique &Bluetooth... - c:\program files\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html
Trusted Zone: bignonlebray.com\access
Trusted Zone: bignonlebray.com\applis
TCP: DhcpNameServer = 10.2.1.3 10.2.1.13
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKCU-Run-MobileConnect.EXE - c:\program files\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.EXE
HKCU-Run-4E3E0230AEBB4E96 - c:ecycle.bin\Recycle.Bin.exe
HKU-Default-RunOnce-TSClientMSIUninstaller - c:\windows\Installer\TSClientMsiTrans	scuinst.vbs
HKU-Default-RunOnce-TSClientAXDisabler - c:\windows\Installer\TSClientMsiTrans	scdsbl.bat
Notify-ACNotify - ACNotify.dll
AddRemove-ProInst - c:\windows\Installer\iProInst.exe
AddRemove-Remove Multimedia Center - c:\swtools\apps\MMCfTO\customiz\sequencer.exe
AddRemove-TeamSpeak 3 Client - g:\aurélie\uninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-06-14 15:56
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
Recherche de fichiers cachés ... 
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø*€|ÿÿÿÿ*€|é*9~*]
"C040110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø*€|ÿÿÿÿ*€|	-Ñw*]
"C040110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"
.
[HKEY_LOCAL_MACHINE\software\Swearware\backup\winsock2\Parameters]
@DACL=(02 0000)
@SACL=
"WinSock_Registry_Version"="2.0"
"Current_NameSpace_Catalog"="NameSpace_Catalog5"
"Current_Protocol_Catalog"="Protocol_Catalog9"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(1580)
c:\windows\system32\vrlogon.dll
c:\program files\ThinkPad\ConnectUtilities\ACNotify.dll
c:\program files\ThinkPad\ConnectUtilities\AcSvcStub.dll
c:\program files\ThinkPad\ConnectUtilities\AcLocSettings.dll
c:\program files\ThinkPad\ConnectUtilities\ACHelper.dll
c:\windows\system32\psqlpwd.dll
c:\program files\ThinkVantage Fingerprint Software\homefus2.dll
c:\program files\ThinkVantage Fingerprint Software\infra.dll
c:\program files\ThinkVantage Fingerprint Software\homepass.dll
c:\program files\ThinkVantage Fingerprint Software\bio.dll
c:\program files\ThinkVantage Fingerprint Software\ps2css.dll
c:\program files\ThinkVantage Fingerprint Softwareemote.dll
c:\program files\Lenovo\HOTKEY	phklock.dll
c:\program files\ThinkVantage Fingerprint Software\pscssint.dll
c:\program files\ThinkVantage Fingerprint Software\crypto.dll
.
- - - - - - - > 'explorer.exe'(5224)
c:\program files\Lenovo\Client Security Solution	vtpwm_windows_hook.dll
c:\program files\Lenovo\Client Security Solution	vt_passwordmanager.dll
c:\program files\Lenovo\Client Security Solution\css_banner.dll
c:\program files\Lenovo\Client Security Solution\csswait.dll
c:\windows\system32\cssuserdatadispatcher.dll
c:\program files\Lenovo\Client Security Solution\css_dlgcustompolicy.dll
c:\windows\system32	vttsp.dll
c:\windows\system32	csrpc.dll
c:\program files\Fichiers communs\Lenovo	vt_think_res.dll
c:\program files\Lenovo\Client Security Solution\css_think_res.dll
c:\windows\system32\btmmhook.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\ibmpmsvc.exe
c:\program files\ThinkPad\Bluetooth Software\bin\btwdins.exe
c:\program files\Intel\Wireless\Bin\S24EvMon.exe
c:\windows\system32\IPSSVC.EXE
c:\program files\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Diskeeper Corporation\Diskeeper\DkService.exe
c:\windows\system32\DWRCS.EXE
c:\program files\Intel\Wireless\Bin\EvtEng.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\program files\Intel\Wireless\Bin\RegSrvc.exe
c:\program files\Fichiers communs\Lenovo	vt_reg_monitor_svc.exe
c:\windows\System32\TPHDEXLG.exe
c:\program files\Lenovo\Client Security Solution	vttcsd.exe
c:\program files\Lenovo\Rescue and Recoveryrservice.exe
c:\program files\Fichiers communs\Lenovo\Scheduler	vtsched.exe
c:\program files\Lenovo\Rescue and Recovery\ADM\IUService.exe
c:\program files\ThinkPad\ConnectUtilities\AcSvc.exe
c:\program files\lenovo\system update\suservice.exe
c:\program files\Windows Media Player\WMPNetwk.exe
c:\program files\Fichiers communs\Lenovo\Logger\logmon.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
c:\program files\Diskeeper Corporation\Diskeeper\DkIcon.exe
c:\windows\system32undll32.exe
c:\windows\system32\TpShocks.exe
c:\program files\Lenovo\HOTKEY\TPONSCR.exe
c:\program files\Lenovo\Zoom\TpScrex.exe
c:\windows\system32\igfxsrvc.exe
c:\progra~1\ThinkPad\BLUETO~1\BTSTAC~1.EXE
c:\program files\Lenovo\Client Security Solution	vtpwm_tray.exe
c:\program files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Heure de fin: 2011-06-14  16:00:19 - La machine a redémarré
ComboFix-quarantined-files.txt  2011-06-14 14:00
.
Avant-CF: 5 445 660 672 octets libres
Après-CF: 6 377 521 152 octets libres
.
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
.
- - End Of File - - 6DADF23D4B64B38FE0533C6AFD38AE81

g3n-h@ckm@n · Answer

__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
KillAll::

Domains::

File::
c:\windows\system32\d3d9caps.tmp

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EZEJMNAP"=-
"ISUSPM Startup"=-
"ISUSScheduler"=-
"Adobe Reader Speed Launcher"=-
"SunJavaUpdateSched"=-
"iTunesHelper"=-
"QuickTime Task"=-
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
"BootExecute"=REG_MULTI_SZ:autocheck autochk *
[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-842925246-436374069-725345543-1186\Scripts\Logon\0\0]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-842925246-436374069-725345543-1186\Scripts\Logon\1\0]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-842925246-436374069-725345543-500\Scripts\Logon\0\0]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-842925246-436374069-725345543-500\Scripts\Logon\1\0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5985:TCP"=-
"6129:TCP"=-

RegLock::
[HKEY_LOCAL_MACHINE\software\Swearware\backup\winsock2\Parameters]

------------------------------------------------------------------

▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes

▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

erwanne · Answer

ComboFix 11-06-13.06 - gdeforesta 14.06.2011  16:24:35.2.2 - x86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.2006.1317 [GMT 2:00]
Lancé depuis: c:\documents and settings\gdeforesta\Bureau\Erwanne.exe
Commutateurs utilisés :: c:\documents and settings\gdeforesta\Bureau\CFScript.txt
.
FILE ::
"c:\windows\system32\d3d9caps.tmp"
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\d3d9caps.tmp
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2011-05-14 au 2011-06-14  ))))))))))))))))))))))))))))))))))))
.
.
2011-06-14 13:40 . 2011-06-14 13:40	--------	d-----w-	C:\Erwanne
2011-06-14 10:23 . 2011-06-14 10:28	--------	d-----w-	C:\Kill'em
2011-06-14 06:45 . 2011-06-14 06:45	512	----a-w-	C:\PhysicalDisk0_MBR.bin
2011-06-13 11:49 . 2011-06-14 13:01	--------	d-----w-	c:\program files\ZHPDiag
2011-05-25 11:26 . 2011-06-03 20:02	--------	d-----w-	c:\documents and settings\gdeforesta\Application Data\Mumble
2011-05-18 13:53 . 2011-05-18 13:53	--------	d-----w-	c:\documents and settings\All Users\Application Data\Skype Extras
2011-05-18 13:52 . 2011-05-18 13:52	--------	d-----w-	c:\program files\Fichiers communs\Skype
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2006-10-18 19:47 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\windows\system32\mspmsnsv.dll
[-] 2006-10-18 19:47 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\windows\system32\dllcache\mspmsnsv.dll
[-] 2005-01-28 11:44 . 140EF97B64F560FD78643CAE2CDAD838 . 25088 . . [10.0.3790.3802] . . c:\windows\RegisteredPackages\{30C7234B-6482-4A55-A11D-ECD9030313F2}\MsPMSNSv.dll
[-] 2004-08-05 12:00 . 762B2A5F0E8B0164A5DB6741959DFB0C . 52736 . . [9.0.1.56] . . c:\windows\RegisteredPackages\{30C7234B-6482-4A55-A11D-ECD9030313F2}$BACKUP$\System\MsPMSNSv.dll
.
(((((((((((((((((((((((((((((   SnapShot@2011-06-14_13.56.20   )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-06-14 14:31 . 2011-06-14 14:31	16384              c:\windows	emp\Perflib_Perfdata_7a4.dat
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM"="c:\program files\Fichiers communs\Installshield\UpdateService\ISUSPM.exe" [2006-09-11 218032]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2007-08-11 110592]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-08-11 512000]
"PWRMGRTR"="c:\progra~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL" [2007-06-17 200704]
"BLOG"="c:\progra~1\ThinkPad\UTILIT~1\BatLogEx.DLL" [2007-06-17 208896]
"TPFNF7"="c:\progra~1\Lenovo\NPDIRECT\TPFNF7SP.exe" [2007-04-09 58416]
"TPHOTKEY"="c:\program files\Lenovo\HOTKEY\TPOSDSVC.exe" [2007-03-09 66176]
"TpShocks"="TpShocks.exe" [2007-03-29 181808]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2007-04-09 1015808]
"TVT Scheduler Proxy"="c:\program files\Fichiers communs\Lenovo\Scheduler\scheduler_proxy.exe" [2008-03-04 487424]
"DLA"="c:\windows\System32\DLA\DLACTRLW.EXE" [2006-02-02 122940]
"AwaySch"="c:\program files\Lenovo\AwayTask\AwaySch.EXE" [2006-11-07 91688]
"LPManager"="c:\progra~1\THINKV~1\PrdCtr\LPMGR.exe" [2007-04-27 120368]
"AMSG"="c:\program files\ThinkVantage\AMSG\Amsg.exe" [2007-02-01 419376]
"ACTray"="c:\program files\ThinkPad\ConnectUtilities\ACTray.exe" [2007-07-05 413696]
"cssauth"="c:\program files\Lenovo\Client Security Solution\cssauth.exe" [2007-08-03 2630968]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-08-09 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-08-09 155648]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-08-09 131072]
"Synchronization Manager"="c:\windows\system32\mobsync.exe" [2008-04-13 143872]
"DameWare MRC Agent"="c:\windows\system32\DWRCST.exe" [2010-04-07 85528]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]
.
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
BTTray.lnk - c:\program files\ThinkPad\Bluetooth Software\BTTray.exe [2007-2-27 561213]
Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2008-2-21 50688]
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsNetHood"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\psfus]
2007-03-14 20:17	89600	------w-	c:\windows\system32\psqlpwd.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify	pfnf2]
2006-09-06 07:37	34344	------w-	c:\program files\Lenovo\HOTKEY
otifyf2.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify	photkey]
2006-12-14 02:06	28672	------w-	c:\program files\Lenovo\HOTKEY	phklock.dll
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0pgdfgsvc C 1
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2008-04-13 17:34	15360	------w-	c:\windows\system32\ctfmon.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Skype\Plugin Manager\skypePM.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\iTunes\iTunes.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\Program Files\Skype\Phone\Skype.exe"=
.
R0 TPDIGIMN;TPDIGIMN;c:\windows\system32\drivers\ApsHM86.sys [02.03.2007 17:47 19760]
R1 dwvkbd;DameWare Virtual Keyboard 32 bit Driver;c:\windows\system32\drivers\dwvkbd.sys [15.02.2007 19:00 26624]
R2 smihlp;SMI Helper Driver (smihlp);c:\program files\Fichiers communs\ThinkVantage Fingerprint Software\Drivers\smihlp.sys [14.03.2007 22:10 11152]
R2 TVT Backup Protection Service;TVT Backup Protection Service;c:\program files\Lenovo\Rescue and Recoveryrpservice.exe [08.02.2007 13:11 569344]
R3 DwMirror;DwMirror;c:\windows\system32\drivers\DamewareMini.sys [07.02.2007 20:00 3712]
R3 TVTI2C;Lenovo SM bus driver;c:\windows\system32\drivers	vti2c.sys [13.09.2006 12:42 30336]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [20.03.2010 15:01 135664]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [20.03.2010 15:01 135664]
S3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys [20.04.2010 12:44 7680]
S3 Net6IM;Net6;c:\windows\system32\DRIVERS
et6im51.sys --> c:\windows\system32\DRIVERS
et6im51.sys [?]
S3 WinRM;Windows Remote Management (WS-Management);c:\windows\system32\svchost.exe -k WINRM [26.01.2006 22:35 14336]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]
S3 ZTEusbnet;ZTE USB-NDIS miniport;c:\windows\system32\drivers\ZTEusbnet.sys [20.04.2010 12:44 110080]
S3 ZTEusbvoice;ZTE VoUSB Port;c:\windows\system32\drivers\ZTEusbvoice.sys [20.04.2010 12:44 104960]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WINRM	REG_MULTI_SZ   	WINRM
.
Contenu du dossier 'Tâches planifiées'
.
2011-06-11 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]
.
2011-06-14 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-20 13:01]
.
2011-06-14 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-20 13:01]
.
2011-06-14 c:\windows\Tasks\PMTask.job
- c:\progra~1\ThinkPad\UTILIT~1\PWMIDTSK.EXE [2007-09-22 16:16]
.
2011-06-13 c:\windows\Tasks\User_Feed_Synchronization-{642CDCAF-792C-4DD0-AD9F-23FC48EC1AEC}.job
- c:\windows\system32\msfeedssync.exe [2006-10-17 09:58]
.
2011-06-13 c:\windows\Tasks\{F897AA24-BDC3-11D1-B85B-00C04FB93981}_BLDAVOCATS_gdeforesta.job
- c:\windows\system32\mobsync.exe [2006-01-26 17:34]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Envoyer au périphérique &Bluetooth... - c:\program files\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html
TCP: DhcpNameServer = 10.2.1.3 10.2.1.13
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-06-14 16:32
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
Recherche de fichiers cachés ... 
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø*€|ÿÿÿÿ*€|é*9~*]
"C040110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø*€|ÿÿÿÿ*€|	-Ñw*]
"C040110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(1580)
c:\windows\system32\vrlogon.dll
c:\windows\system32\psqlpwd.dll
c:\program files\ThinkVantage Fingerprint Software\homefus2.dll
c:\program files\ThinkVantage Fingerprint Software\infra.dll
c:\program files\ThinkVantage Fingerprint Software\homepass.dll
c:\program files\ThinkVantage Fingerprint Software\bio.dll
c:\program files\ThinkVantage Fingerprint Software\ps2css.dll
c:\program files\ThinkVantage Fingerprint Softwareemote.dll
c:\program files\Lenovo\HOTKEY	phklock.dll
c:\program files\ThinkVantage Fingerprint Software\pscssint.dll
c:\program files\ThinkVantage Fingerprint Software\crypto.dll
c:\windows\system32\COMRes.dll
.
- - - - - - - > 'explorer.exe'(488)
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\ibmpmsvc.exe
c:\program files\ThinkPad\Bluetooth Software\bin\btwdins.exe
c:\program files\Intel\Wireless\Bin\S24EvMon.exe
c:\windows\system32\IPSSVC.EXE
c:\program files\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Diskeeper Corporation\Diskeeper\DkService.exe
c:\windows\system32\DWRCS.EXE
c:\program files\Intel\Wireless\Bin\EvtEng.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\program files\Intel\Wireless\Bin\RegSrvc.exe
c:\program files\Fichiers communs\Lenovo	vt_reg_monitor_svc.exe
c:\windows\System32\TPHDEXLG.exe
c:\program files\Lenovo\Client Security Solution	vttcsd.exe
c:\program files\Lenovo\Rescue and Recoveryrservice.exe
c:\program files\Fichiers communs\Lenovo\Scheduler	vtsched.exe
c:\program files\Lenovo\Rescue and Recovery\ADM\IUService.exe
c:\program files\ThinkPad\ConnectUtilities\AcSvc.exe
c:\program files\lenovo\system update\suservice.exe
c:\program files\Windows Media Player\WMPNetwk.exe
c:\program files\Fichiers communs\Lenovo\Logger\logmon.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
c:\windows\system32undll32.exe
c:\windows\system32\TpShocks.exe
c:\program files\Lenovo\HOTKEY\TPONSCR.exe
c:\program files\Lenovo\Zoom\TpScrex.exe
c:\windows\system32\imapi.exe
c:\program files\Diskeeper Corporation\Diskeeper\DkIcon.exe
.
**************************************************************************
.
Heure de fin: 2011-06-14  16:34:55 - La machine a redémarré
ComboFix-quarantined-files.txt  2011-06-14 14:34
ComboFix2.txt  2011-06-14 14:00
.
Avant-CF: 6 385 995 776 octets libres
Après-CF: 6 362 689 536 octets libres
.
- - End Of File - - BB3E4CFB647A4DB35569A9263A4A2766

g3n-h@ckm@n · Answer

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

c:\program files\Digital Line Detect\DLG.exe   

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

erwanne · Answer

http://www.virustotal.com/file-scan/report.html?id=d9c063d7634d357e8adfec23db036470770efff18f00f591158f9cb83aa8bdcf-1305279183

et il y avait ça aussi :

File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis: 

MD5: f03ffc962e18f36a922e61f96be09925 
Date first seen: 2007-09-26 07:29:07 (UTC) 
Date last seen: 2011-05-13 09:33:03 (UTC) 
Detection ratio: 0/42 

What do you wish to do?

g3n-h@ckm@n · Answer

clic sur reanalyze

erwanne · Answer

http://www.virustotal.com/file-scan/report.html?id=d9c063d7634d357e8adfec23db036470770efff18f00f591158f9cb83aa8bdcf-1308062262

g3n-h@ckm@n · Answer

Télécharge SEAF.exe de C_XX


*Double clique sur SF.exe (Exécuter en tant qu'administrateur pour Vista/7) .

*Une fenêtre va s'ouvrir .

*Tape bvrpdiag.dll

 dans cette fenêtre 

confirme la recherche "aussi" dans le registre et [Entrée].

*Patiente pendant la recherche.

*Une fenêtre avec un log.txt va s'afficher.

*Copie/colle ce rapport dans ta prochaine réponse.

erwanne · Answer

1. ========================= SEAF 1.0.1.0 - C_XX
2. 
3. Commencé à: 16:52:36 le 14/06/2011
4. 
5. Valeur(s) recherchée(s):
6. bvrpdiag.dll
7. 
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9. 
10. (!) --- Recherche registre
11. 
12. ====== Fichier(s) ======
13. 
14. 
15. "C:\Program Files\Digital Line Detect\BVRPDiag.dll" [ NORMAL | 25 Ko ]
16. TC: 21/02/2008,15:48:25 | TM: 21/09/2006,17:11:02 | DA: 14/06/2011,15:56:35
17. 
18. 
19. =========================
20. 
21. 
22. "C:\Program Files\NetWaiting\BVRPDiag.dll" [ COMPRESSED | 25 Ko ]
23. TC: 21/02/2008,15:48:11 | TM: 27/09/2006,17:54:00 | DA: 13/06/2011,12:51:08
24. 
25. 
26. =========================
27. 
28. 
29. 
30. ====== Entrée(s) du registre ======
31. 
32. Aucun élément dans le registre trouvé
33. 
34. =========================
35. 
36. Fin à: 16:54:41 le 14/06/2011
37. 252368 Éléments analysés
38. 
39. =========================
40. E.O.F

erwanne · Answer

je le supprime?

g3n-h@ckm@n · Answer

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

 C:\Program Files\NetWaiting\BVRPDiag.dll 

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

erwanne · Answer

http://www.virustotal.com/file-scan/report.html?id=e438e783f9d4d953b65ffd800e5c2f4acf0377253291304224bde8fc4ae430e0-1308069064

g3n-h@ckm@n · Answer

&#9654 Télécharge ZHPDiag (de Nicolas Coolman) 

ou :ZHPDiag

&#9654 Enregistre le sur ton Bureau.

Une fois le téléchargement achevé, 

&#9654 lance ZHPDiag.exe et clique sur Unzip dans la fenêtre qui s'ouvre.

&#9654 Clique sur le tournevis puis sur Tous pour cocher toutes les cases des options.

&#9654 Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, 

&#9654 clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\.ZHPDiag.txt

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

Utilisateur anonyme · Answer

Bonsoir
Est-ce toi erwanne ?
https://forums.commentcamarche.net/forum/affich-22352348-xp-restore-je-me-suis-faite-avoir#24

erwanne · Answer

j'ai répondu sur l'autre post mais je ne voulais pas vraiment créer de problèmes, je ne savais pas qu'il fallait te répondre personnellement, c'est la première fois que je poste ici, vraiment désolé !

g3n-h@ckm@n · Answer

bon alors on fait comment maintenant ?

erwanne · Answer

comme tu veux si tu as le temps je te mets le lien ici :

http://www.cijoint.fr/cjlink.php?file=cj201106/cijPKkr2Ri.txt 

sinon j'irai chercher de l'aide ailleurs car je me sens un peu mal à l'aise de vous avoir dérangé comme ça...
il faut juste comprendre que j'étais vraiment complètement paniquée, ça ne m'était jamais arrivée un rogue

g3n-h@ckm@n · Answer

fais de la place il n'y a plus de place pour travailler

erwanne · Answer

je ne sais pas quoi supprimer, je n'ai pas de jeux dessus, presque pas de photos ou de musique.. et que des logiciels basiques. Comme je l'ai dit c'était un ancien ordi professionnel à quelqu'un, je ne sais pas trop comment le vider... ccleaner ? mais j'ai déjà essayé il y a quelques temps et ça n'a pas fait grand-chose...

g3n-h@ckm@n · Answer

bah le disque est plein en tout cas 100Go ca passe pas inapercu.....

erwanne · Answer

sais-tu où je pourrais trouver ce qui m'en prend autant?

g3n-h@ckm@n · Answer

mmmmmm......fais les propriétés sur les plus gros fichiers pour cibler un peu

windows c'est pas la peine je sais qu il prend 10 Go environ

erwanne · Answer

je n'ai pas trouvé de fichier dépassant les 10Go... là je fais une recherche par taille et j'essaye d'effacer les plus gros...

g3n-h@ckm@n · Answer

ôk :)

erwanne · Answer

ah mon petit frère avait vidé son iphone dans l'ordi... Ca enlève 5Go c'est déjà ça:)

g3n-h@ckm@n · Answer

c'est deja ca :)

erwanne · Answer

bon je ne sais pas quoi enlever de plus...
peux-tu juste me dire si le rogue est bien parti et s'il n'y a plus de menaces à l'horizon? Merci beaucoup !

g3n-h@ckm@n · Answer

refais zhpdiag

erwanne · Answer

http://www.cijoint.fr/cjlink.php?file=cj201106/cijlHSdMJ3.txt

g3n-h@ckm@n · Answer

windows n'est pas à jour

========================

ca te dit quelque chose ca ? :

bldavocats.com

erwanne · Answer

ooh incroyable... quand je pense que "un informaticien" l'a vérifié il y a quelques mois...  comment je fais pour le mettre à jour ?
bld c'est une boîte d'avocats, l'ordi lui appartenait.

erwanne · Answer

Au fait, juste pour savoir, c'est à cause de zhp etc que mon word ne s'ouvre plus correctement?

g3n-h@ckm@n · Answer

ok un petit topo de soucis persistants ,

erwanne · Answer

oui je veux bien stp:)

g3n-h@ckm@n · Answer

lol c'est moi qui te demande de me faire un topo des soucis ^^

ce qui persiste à t'ennuyer quoi .

erwanne · Answer

non non pas du tout ça ne m'ennuie pas au contraire je suis bien contente qu'on m'aide :) 
je n'ai pas vraiment de soucis à part word qui s'ouvre bizarrement  : une petite fenêtre apparaît avec "conversion des fichiers, choisissez le codage", je clique sur annuler : "impossible d'ouvrir ce document", je clique sur ok et là le document s'ouvre normalement, je peux écrire et enregistrer. Donc ce n'est pas très gênant tant que ça marche.
Sinon moi ce qui m'inquiétait c'est qu'un rogue peut paraît-il lire tous les codes que je tape sur le net (bancaires etc), donc je voulais savoir s'il n'y avait plus de risque pour ça. 
voilà je pense qu'il n'y a rien d'autre:)

g3n-h@ckm@n · Answer

non un rogue n'est pas fait pour ca c'est un logiciel qui joue sur la peur des gens en leur faisant croire qu'il est infecté en faisant plein de fausses alertes sous forme de messages , des faux scans du pc , et qui proposent d'acheter leur version complete pour eradiquer les virus qui n'existent en fait pas

si tu veux je peux t'en fabriquer un sommairement il faut deux heures pour faire un tel programme :)

mais je ne suis pas de ce bord donc , trouve-toi -le sur le net ^^

je plaisante ..

ce dont tu parles toi ce sont plutot les Keyloggers et trucs comme ca

erwanne · Answer

ah d'accord c'est vrai que pour ce qui est de jouer sur la peur des gens ça marche bien ! voir tous ses programmes disparaître d'un coup, ne plus pouvoir se connecter à rien et avoir l'écran tout noir ça m'a fait complètement paniquer...
heureusement maintenant je sais que c'est neutralisable.
pour ce qui est du keylogger y-en a-t-il un sur mon ordinateur ? (j'avais le problème des accents circonflexes hier mais là ça a l'air d'avoir disparu:)

g3n-h@ckm@n · Answer

pour word si tu en ouvre un vierge tu as l'erreur aussi ?

erwanne · Answer

oui...

g3n-h@ckm@n · Answer

bah reinstalle-le

erwanne · Answer

oui, c'est ce que je vais faire...
pas de keylogger alors à ton avis?

g3n-h@ckm@n · Answer

non je pense pas

erwanne · Answer

bon, je te fais confiance alors !
merci beaucoup beaucoup pour tous tes conseils et pour tout le temps que tu m'as consacré !
bonne continuation :)

g3n-h@ckm@n · Answer

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

&#9654 Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

erwanne · Answer

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Version de la base de données: 6861

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

15.06.2011 14:23:05
mbam-log-2011-06-15 (14-23-05).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 207103
Temps écoulé: 37 minute(s), 39 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogoff (PUM.Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Qoobox\quarantine\C\documents and settings\gdeforesta\0.08340847827743736.exe.vir (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Qoobox\quarantine\C\Recycle.Bin\recycle.bin.exe.vir (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{d44870f8-bb07-46f8-a47d-4caf911022a6}\RP1\A0000017.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\system volume information\_restore{d44870f8-bb07-46f8-a47d-4caf911022a6}\RP1\A0000018.exe (Trojan.Agent) -> Quarantined and deleted successfully.

g3n-h@ckm@n · Answer

j'ai un doute sur un truc

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Clique ici pour voir la Configuration

&#9654Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

erwanne · Answer

http://www.cijoint.fr/cjlink.php?file=cj201106/cijUAIcFno.txt  (otl)

http://www.cijoint.fr/cjlink.php?file=cj201106/cij8rKkj2C.txt  (extra)

g3n-h@ckm@n · Answer

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

 C:\WINDOWS\System32\WorkAfterReboot.exe      

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.
======================================

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present  
O7 - HKU\S-1-5-21-842925246-436374069-725345543-1186\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoRecentDocsNetHood = 1  
O7 - HKU\S-1-5-21-842925246-436374069-725345543-1186\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1 
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.) 
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Java Plug-in 1.6.0_03) 

:commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[start explorer]
[reboot]


&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

erwanne · Answer

http://www.virustotal.com/file-scan/report.html?id=aaf5b191ee97ef409c2df940681d298589bbee8b69c10dce83de678b6b378f3d-1308144177

erwanne · Answer

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
No active process named iexplore.exe was found!
No active process named firefox.exe was found!
No active process named msnmsgr.exe was found!
No active process named Teatimer.exe was found!
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ deleted successfully.
Registry value HKEY_USERS\S-1-5-21-842925246-436374069-725345543-1186\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoRecentDocsNetHood deleted successfully.
Registry value HKEY_USERS\S-1-5-21-842925246-436374069-725345543-1186\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoLowDiskSpaceChecks deleted successfully.
Starting removal of ActiveX control {8FFBE65D-2C9C-4669-84BD-5829DC0B603C}
C:\WINDOWS\Downloaded Program Files\erma.inf moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}\ not found.
========== COMMANDS ==========
Restore points cleared and new OTL Restore Point set!
 
[EMPTYTEMP]
 
User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 294912 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: gdeforesta
->Temp folder emptied: 427053910 bytes
->Temporary Internet Files folder emptied: 5814596 bytes
->Java cache emptied: 4475109 bytes
->Flash cache emptied: 71743 bytes
 
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 49286 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 2953216 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 698368 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33237 bytes
RecycleBin emptied: 2137 bytes
 
Total Files Cleaned = 421.00 mb
 
 
OTL by OldTimer - Version 3.2.24.0 log created on 06152011_153555

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

g3n-h@ckm@n · Answer

ok pour moi c'est bon Pour nettoyer les outils utilsés et mieux sécuriser ton pc -------------------------------------------------------------- Je t'invite à suivre ce tutoriel pour le final il inclut ♦ du nettoyage après desinfection ♦ des mises à jour pour combler des failles de securité de logiciels importants non mis à jour ▶ et enfin quelques conseils à suivre afin que la protection soit plus efficace _________________________________________________ Telecharge ici : PureRa (par l'editeur de JavaRa) Lance-le (clic droit "executer en tant qu'administrateur" pour Vista/7) => Configuration clique sur "Clean" L'outil va faire son scan puis son nettoyage à la fin du rapport tu auras une ligne comme ca : Total space cleaned: 8140878 bytes transmets juste cette ligne , le reste importe peu __________________________________________________ Si nous avons utilisé Defogger et cliqué sur "disable" , tu peux le "reenable" __________________________________________________ ▶ Télécharge DelFix sur ton bureau. ▶ Lance le, tape suppression puis valide Patiente pendant le scan jusqu'à l'ouverture du rapport. ▶ Copie/Colle le contenu du rapport dans ta prochaine réponse. Note : Le rapport se trouve également sous C:\DelFix.txt tu peux le desinstaller ___________________________________________________ ▶ Télécharge :ATF Cleaner par Atribune Ferme tous tes navigateurs Double-clique (clic droit "en tant qu'administrateur" pour Vista) ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected a NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité. Clique Exit, du menu prinicipal, afin de fermer le programme. Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus. __________________________________________________ ▶ Tu peux garder ATF pour d'eventuels nettoyages un peu plus poussés __________________________________________________ ▶ Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : * Lance-le.(clic droit "en tant qu'administrateur" pour Vista/7) => Configuration fais le nettoyage dans le registre et dans le nettoyeur autant de fois qu'il trouve des choses à l analyse __________________________________________________ Attention : ne pas toucher au PC pendant qu'il travaille ! ▶ Nettoyage et Défragmentation de tes Disques *Nettoyage : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général" Cliques sur le bouton "nettoyage de disque", OK tu le fais pour chacun de tes disques ________________________________________________ *Vérifications des erreurs : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil" "Vérifier maintenant", une boîte s'ouvre, cocher les cases : -réparer automatiquement les erreurs... -rechercher et tenter une récupération... --->Démarrer, ok Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal tu le fais pour chacun de tes disques ________________________________________________ ensuite toujours dans le même onglet tu choisis : *Défragmentation : "défragmenter maintenant", OK une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" . OK tu le fais pour chacun de tes disques _______________________________________________ Note : si tu as un utilitaire pour défragmenter , utilises le à la place pour ce faire Defraggler est proposé _________________________________________________ ▶ Peux-tu vérifier ta Console Java ? : et installer la nouvelle version si besoin est (dans ce cas désinstalle avant l'ancienne version). voici pour desinstaller : JavaRa Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). * Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa. * Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). * Choisis Français puis clique sur Select. * Clique sur Recherche de mises à jour. * Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher. * Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes. * L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions. * Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK. * Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse. * Ferme l'application. Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log. _________________________________________________ ▶ Mets à jour Adobe Reader si ce n'est pas le cas (désinstalle avant la version antérieure) et pense à decocher l'installation de McAfee proposée discrêtement __________________________________________________ ▶ Je te conseille si tu n en as pas , afin de mieux securiser ton pc , d'installer un parefeu : Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit) ou COMODO https://www.commentcamarche.net/telecharger/securite/16545-online-armor-personal-firewall/ https://www.01net.com/telecharger/windows/Securite/firewall/fiches/39911.html https://forum.pcastuces.com/sujet.asp?f=25&s=35606 https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html https://manuelsdaide.com/contact/ http://www.open-files.com/forum/index.php?showtopic=29277 https://www.commentcamarche.net/telecharger/securite/24863-zonealarm/ ___________________________________________________ ▶ Tu peux aussi vider ta corbeille,quoi que Ccleaner le fasse tout seul _____________________________________________________ ▶ Si nous avons utilisé MalwareByte's Anti-Malware , vide sa quarantaine : * Lance le programme puis clique sur . * Sélectionne tous les éléments puis clique sur . * Quitte le programme. ______________________________________________________ ▶ Idem pour ton antivirus : vide sa quarantaine si ce n'est pas déjà fait ______________________________________________________ ▶ Désactive et réactive la restauration de système, pour cela : suis les instructions du lien : Lien XP Lien Vista Lien Win7 ▶ Sitôt fait , recrées un point de restoration dit "sain" pour parer à quelques eventuels problêmes dans le futur ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Quelques conseils et recommandations pour l'avenir : ▶ Passe un coup de MalwareByte's Anti-Malware de temps en temps (1 fois par semaine , suivant l'utilisation que tu fais de ton PC. ▶ Utilise aussi tes autres logiciels de protection (scannes antivirus, antispywares...). N'oublie pas de faire les mises à jour avant de les utiliser. * Pense aussi à faire une défragmentation de tes disques durs de temps en temps (garde suffisamment d'espace sur C:\ (1/3 de libre pour être à l'aise)) _____________ ▶ Pour bien protéger ton PC : [1 seul Antivirus] + [1 seul Pare feu] + [Un bon Antispyware] + [Mises à Jour récentes Windows et Logiciels de Protection] + [Utilisation de Firefox -ou autres- (Internet Explorer présente des failles de sécurité qui mettent longtemps avant d'être corrigées mais il faut absolument le conserver pour les mises à jour Windows et Windows live Messenger)] Je te conseille d'installer cette extension pour Firefox pour securiser ton surf : WOT Je te conseille d'installer cette extension pour Internet Explorer pour securiser ton surf : WOT PS : En fait la meilleure des protections c'est toi même : ce que tu fais avec ton PC : où tu surfes, télécharges...ect.... Les virus utilisent les failles de ton PC pour infecter un système à lire aussi Et ceci sujet intéressant à lire : https://www.luanagames.com/index.fr.html ▶ dans le souhait de vouloir desinstaller un antivirus au profit d'un autre , voici quelques liens : Desinstaller Avast Desinstaller BitDefender Desinstaller Norton Desinstaller Kaspersky Desinstaller AVG ou tout en un : Désinstallation Antivirus , Parefeu , Antispyware _____________ ▶ Si tu as Vista n'oublie pas de réactiver le controle des comptes des utilisateurs(UAC) ___________ ▶ si nous avons affiché les fichiers cachés , n'oublies pas de les remettre en attribut "caché" ▶ Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage * - Décoche Afficher les fichiers et dossiers cachés * - coche Masquer les extensions des fichiers dont le type est connu * - coche Masquer les fichiers protégés du système d'exploitation (recommandé) ▶ clique sur Appliquer, puis OK. ____________ Voila, Bonne lecture, à bientot , une fois tout ceci fait, tu peux mettre le topic en resolu Bonne continuation et surtout , prudence et bon surf :)

erwanne · Answer

Total space cleaned: 284987525 bytes

erwanne · Answer

le lien pour ATF ne fonctionne pas sur mon navigateur... je fais le reste en attendant.

g3n-h@ckm@n · Answer

prends-le ici

https://www.majorgeeks.com/files/details/atf_cleaner.html

Qqn peut-il vérifier mon rapport zhp svp ?

77 réponses

Votre réponse

Discussions similaires

Newsletters