WINTEM.EXE Résolu

Question

Bonjour,
Mon ordinateur est infecté par le virus wintens.exe et je n'arrive pas à l'enlever quelqu'un peut m'aider ?

Utilisateur anonyme · Answer

Lut' 



Télécharge HJT

Lance-le et choisi l'option '' do a system scan and save a logfile '' et poste moi le rapport.

A+

balou30 · Answer

Merci beaucoup pour ta réponse. Je finis de scanner avec elibag comme j'ai lus dans les différents post. Pui je te téléchargerai le logiciel que tu m'a donné pour te poster le rapport. Merci beaucoup en tous cas parce que moi j'y comprend que dalle ?

balou30 · Answer

Voici le rapport demandé : du moins si c'est bien sa



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:44:57, on 20/01/2008
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16575)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32	askeng.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\VM305_STI.EXE
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\ehome\ehmsas.exe
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\Windows\system32\SysMonitor.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [BigDog305] C:\Windows\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SPC500NC_Monitor] C:\Windows\Philips\SPC500NC\Monitor.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunOnce: [ReEXEc] C:\Users\mac30@hotmail.fr\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TED4B2W7\EliBaglA[1].exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [?????????] ??????????????e
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'Default user')
O4 - Startup: Xinek.lnk = ?
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix: 
O23 - Service: ePerformance Service (AcerMemUsageCheckService) - Unknown owner - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

Utilisateur anonyme · Answer

Re

Fixe ces lignes ( coche la cases à leurs gauches -> ' fixchecked ' )

O4 - HKCU\..\Run: [?????????] ??????????????e 

*******************

Et poste moi le rapport d'Elibagla + HJT

a+

balou30 · Answer

Si tu veux j'ai aussi le rapport d'ELIBAG si tu le souhaite.

balou30 · Answer

Alors pour HJT : j'ai coché ce que tu m'a indiqué puis j'ai appuyé sur FIX checked mais je n'arrive pas a faire un copier collé du rapport demandé (désolé)




Par contre voici le rapport d'ELIBAG


	  Sun Jan 20 14:10:18 2008
EliBagle v10.89  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.89
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.89
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.

	  Sun Jan 20 14:10:51 2008
EliBagle v10.89  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   16491
Nº Total de Ficheros:      82168
Nº de Ficheros Analizados: 11288
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados:  0

	  Sun Jan 20 14:33:16 2008
EliBagle v10.89  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   16491
Nº Total de Ficheros:      82635
Nº de Ficheros Analizados: 11288
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados:  0

Utilisateur anonyme · Answer

Ben tu l'a déja fait ... 

Essaye a nouveau puis , 


Aprés , télécharge  OTmoveIt ( de Old Timer ) 

Une fois téléchargé double-clique sur OTMoveIt.exe pour le lancer.
copie les lignes qui se trouvent en dessous

C:\WINDOWS\SYSTEM32\WINTEMS.EXE

C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS

C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE

et colle-les dans le cadre de gauche de OTMoveIt :  "Paste List of Files/Folders to be moved."
clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre Results.
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.
si c'est le cas accepte.


A+

balou30 · Answer

voici le nouveau rapport de HJT


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:06:47, on 20/01/2008
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16575)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32	askeng.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\VM305_STI.EXE
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\ehome\ehmsas.exe
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.fr.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\Windows\system32\SysMonitor.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [BigDog305] C:\Windows\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SPC500NC_Monitor] C:\Windows\Philips\SPC500NC\Monitor.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunOnce: [ReEXEc] C:\Users\mac30@hotmail.fr\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TED4B2W7\EliBaglA[1].exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [?????????] ??????????????e
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'Default user')
O4 - Startup: Xinek.lnk = ?
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix: 
O23 - Service: ePerformance Service (AcerMemUsageCheckService) - Unknown owner - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

Utilisateur anonyme · Answer

Tu l'a coché celle-la  ? ---> O4 - HKCU\..\Run: [?????????] ??????????????e  

Réessaye puis reposte un rapport HJT.

J'attend celui de OTMoveIt

a+

balou30 · Answer

Je te confirme avoir coché  :

04 - HKCU/../Run: [????????????????]????????????????????????e


Voici le rapport de OTMoveIT

File move failed. C:\WINDOWS\SYSTEM32\WINTEMS.EXE scheduled to be moved on reboot.
File/Folder  not found.
File move failed. C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS scheduled to be moved on reboot.
File/Folder  not found.
File move failed. C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE scheduled to be moved on reboot.



Je recommence HJT

balou30 · Answer

Oh j'oublier en rallumant mon ordi ya une fenêtre "select file to crack" apparait je sais pas si c'est normal merci

balou30 · Answer

Cette ligne 
O4 - HKCU\..\Run: [?????????] ??????????????e 

revient a chaque fois.

Utilisateur anonyme · Answer

How ... 

Bon il faut mettre à jour Elibagla , 

Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.89
a "virus@satinfo.es". Gracias. 

Envois  -> C:\Muestras\SROSA.SYS.Muestra EliBagle v10.89 ce fichier , a l'adresse virus@satinfo.es

a+

balou30 · Answer

ok je vais l'envoyer merci pour ton aide

tifoul · Answer

Tu as raison c'es un WINTEM.EXE se sera tres dur de le supprimer (voir impossible) ton bios a ete deja infécté ar ce virus c' sur.

balou30 · Answer

Et si je formate mon ordi a ton avis il disparaitra ?

tifoul · Answer

Sa depent,si il a eu assez de temps pour infecter ton bios jusqu'au sysboot.exe ou pas.

balou30 · Answer

je savais que c'était un gros virus mais pas a ce point j'avoue :(

afideg · Answer

Salut à TLM

Tente de télécharger Bitdefender Internet Security, là il est en version d'évaluation mais il se met à jour comme si tu l'avais acheté. 
Voilà le lien : < http://perf.weborama.fr/fcgi-bin/performance.fcgi?ID=210919&A=1&L=19545&C=803&P=1825&T=I&URL=ftp%3A%2F%2Fftp.editions-profil.fr%2FVersions_Evaluation%2FBitDefender%2FWindows%2FPostesdeTravail%2Fbitdefender_isecurity.exe >

Installe-le, mets-le à jour, et fais une analyse approfondie du système. 
Ce prog est fiable à 99%... Si rien n'avance par la suite re-contacte le forum...

Tuto https://secure.mailsoft.fr/docs/editions-profil/Manuel_BDIS.pdf 

Bonne chance
Al.

balou30 · Answer

Bonjour,
Je pense que le problème est résolu. j'ai mis antivir, ccleaner et spybot. Et je crois qu'il l'ont enlever. Vu que tous mes antivirus marche et moins ordinateur est moins lourd. Merci a tous en tous cas.

Utilisateur anonyme · Answer

Lut'

Moué , tu peux toujours faire un nettoyage complémentaire pour désinfecter jusqu'au bout =)

*******

 TéléchargeCleanup
Lance-le et choisi l'option ' cleanup! ' 

*******

Et aussi ! prend un pare-feu !!!!  

http://www.commentcamarche.net/faq/sujet 2612 firewall installation et configuration du pare feu zonealarm

A+

afideg · Answer

Salut à vous deux

cyrildu17, pour ma recherche, j'aimerais que tu lui fasses utiliser ComboFix, SVP.

Merci
Al.

Utilisateur anonyme · Answer

Okk  Balou30 , une chose encore stp ,

Télécharge ComboFix ici:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Et enregistre le sur le bureau.
Regardes ici, si tu souhaites te familiariser avec son utilisation:
http://mickael.barroux.free.fr/securite/combofix.php

Sur ton bureau double clic sur Combofix.exe.
Appuies sur la touche 1, pour que le programme commence à s'exécuter et suis les instructions à l'écran.
En cours de nettoyage il est possible, que tu reçoives un avertissement te disant que le pc va redémarrer, laisse faire.

Après le redemarrage du pc, un rapport s'ouvrira dans le Bloc notes en fin d'analyse, copie et colle tout son contenu dans ton prochain message.
(Le fichier rapport Combofix.txt , est ensuite automatiquement sauvegardé dans C:\Combofix.txt)

/!\ Pendant toute la durée (ça peut être assez long si le pc est très infecté) du scan de ComboFix, n'ouvres aucun programme et ne surfe pas sur le net. 

A+

balou30 · Answer

je vien d'avoir tn dernier message je v lle faire et je met mon rapport

Utilisateur anonyme · Answer

Re , ça faisait longtemps ;)
J'attends le rapport.
a+

balou30 · Answer

le voici oui effectivement javais pas vu qu'il yavait de nouveau msg desole

omboFix 08-02-25.3 - mac30@hotmail.fr 2008-02-26 20:50:07.1 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6000.0.1252.1.1036.18.205 [GMT 1:00]
Endroit: C:\Users\mac30@hotmail.fr\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2S9CEIUH\ComboFix[1].exe
* Création d'un nouveau point de restauration
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Users\MAC30@~1.FR\AppData\Roaming\inst.exe
C:\Users\mac30@hotmail.fr\AppData\Roaming\inst.exe
C:\Windows\system32\drivers\down
C:\Windows\system32\drivers\down\103350.exe
C:\Windows\system32\drivers\down\103584.exe
C:\Windows\system32\drivers\down\107531.exe
C:\Windows\system32\drivers\down\111759.exe
C:\Windows\system32\drivers\down\114457.exe
C:\Windows\system32\drivers\down\115206.exe
C:\Windows\system32\drivers\down\116673.exe
C:\Windows\system32\drivers\down\118014.exe
C:\Windows\system32\drivers\down\118404.exe
C:\Windows\system32\drivers\down\118669.exe
C:\Windows\system32\drivers\down\120417.exe
C:\Windows\system32\drivers\down\125814.exe
C:\Windows\system32\drivers\down\130370.exe
C:\Windows\system32\drivers\down\138482.exe
C:\Windows\system32\drivers\down\139355.exe
C:\Windows\system32\drivers\down\140322.exe
C:\Windows\system32\drivers\down\144581.exe
C:\Windows\system32\drivers\down\145018.exe
C:\Windows\system32\drivers\down\145299.exe
C:\Windows\system32\drivers\down\147514.exe
C:\Windows\system32\drivers\down\149043.exe
C:\Windows\system32\drivers\down\151461.exe
C:\Windows\system32\drivers\down\152256.exe
C:\Windows\system32\drivers\down\157592.exe
C:\Windows\system32\drivers\down\164113.exe
C:\Windows\system32\drivers\down\164362.exe
C:\Windows\system32\drivers\down\168683.exe
C:\Windows\system32\drivers\down\170181.exe
C:\Windows\system32\drivers\down\174923.exe
C:\Windows\system32\drivers\down\177638.exe
C:\Windows\system32\drivers\down\180321.exe
C:\Windows\system32\drivers\down\187528.exe
C:\Windows\system32\drivers\down\189307.exe
C:\Windows\system32\drivers\down\190087.exe
C:\Windows\system32\drivers\down\192583.exe
C:\Windows\system32\drivers\down\193441.exe
C:\Windows\system32\drivers\down\193456.exe
C:\Windows\system32\drivers\down\194174.exe
C:\Windows\system32\drivers\down\198027.exe
C:\Windows\system32\drivers\down\203409.exe
C:\Windows\system32\drivers\down\206654.exe
C:\Windows\system32\drivers\down\211755.exe
C:\Windows\system32\drivers\down\213456.exe
C:\Windows\system32\drivers\down\220429.exe
C:\Windows\system32\drivers\down\220601.exe
C:\Windows\system32\drivers\down\227028.exe
C:\Windows\system32\drivers\down\228728.exe
C:\Windows\system32\drivers\down\247027.exe
C:\Windows\system32\drivers\down\254344.exe
C:\Windows\system32\drivers\down\344949.exe
C:\Windows\system32\drivers\down\347398.exe
C:\Windows\system32\drivers\down\348007.exe
C:\Windows\system32\drivers\down\353217.exe
C:\Windows\system32\drivers\down\355307.exe
C:\Windows\system32\drivers\down\357164.exe
C:\Windows\system32\drivers\down\399986.exe
C:\Windows\system32\drivers\down\402232.exe
C:\Windows\system32\drivers\down\407942.exe
C:\Windows\system32\drivers\down\411031.exe
C:\Windows\system32\drivers\down\412357.exe
C:\Windows\system32\drivers\down\412981.exe
C:\Windows\system32\drivers\down\413589.exe
C:\Windows\system32\drivers\down\416413.exe
C:\Windows\system32\drivers\down\417692.exe
C:\Windows\system32\drivers\down\444634.exe
C:\Windows\system32\drivers\down\447208.exe
C:\Windows\system32\drivers\down\451342.exe
C:\Windows\system32\drivers\down\612444.exe
C:\Windows\system32\drivers\down\622568.exe
C:\Windows\system32\drivers\down\627170.exe
C:\Windows\system32\drivers\down\65348.exe
C:\Windows\system32\drivers\down\79997.exe
C:\Windows\system32\drivers\down\82196.exe
C:\Windows\system32\drivers\down\88702.exe
C:\Windows\system32\drivers\down\92071.exe
C:\Windows\system32\drivers\down\94770.exe
C:\Windows\system32\drivers\down\94786.exe
C:\Windows\system32\drivers\down\96720.exe
C:\Windows\system32\koos.exe
C:\Windows\system32\kprof
C:\Windows\system32\poof

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_IDSVIX86
-------\LEGACY_SROSA

((((((((((((((((((((((((((((( Fichiers créés 2008-01-26 to 2008-02-26 ))))))))))))))))))))))))))))))))))))
.

2008-02-26 20:14 . 2007-09-19 15:26 195,928 --a------ C:\Windows\System32\drivers\pctfw2.sys
2008-02-26 20:14 . 2007-09-19 15:26 114,008 --a------ C:\Windows\System32\drivers\pctfw.sys
2008-02-26 20:13 . 2008-02-26 20:17 <REP> d-------- C:\Program Files\PC Tools Firewall Plus
2008-02-26 20:13 . 2008-02-26 20:13 <REP> d-------- C:\Program Files\Common Files\PC Tools
2008-02-26 20:13 . 2007-09-19 15:26 39,768 --a------ C:\Windows\System32\drivers\pctmp.sys
2008-02-26 20:13 . 2007-09-19 15:26 17,752 --a------ C:\Windows\System32\drivers\pctssipc.sys
2008-02-26 18:29 . 2008-02-26 18:42 <REP> d-------- C:\Program Files\Windows Live
2008-02-25 11:17 . 2008-02-25 17:06 <REP> d-------- C:\metin
2008-02-24 14:55 . 2008-02-24 14:55 <REP> d-------- C:\Program Files\Metin2_France
2008-02-22 16:37 . 2008-02-22 16:37 <REP> d-------- C:\Users\mac30@hotmail.fr\AppData\Roaming\Media Player Classic
2008-02-22 16:37 . 2008-02-22 16:37 <REP> d-------- C:\Users\MAC30@~1.FR\AppData\Roaming\Media Player Classic
2008-02-18 15:14 . 2008-02-18 15:15 <REP> d-------- C:\Program Files\Windows Live Safety Center
2008-02-14 09:56 . 2008-02-14 09:56 194,560 --a------ C:\Windows\System32\WebClnt.dll
2008-02-14 09:56 . 2008-02-14 09:56 110,080 --a------ C:\Windows\System32\drivers\mrxdav.sys
2008-02-14 09:52 . 2008-02-14 09:52 803,328 --a------ C:\Windows\System32\drivers\tcpip.sys
2008-02-14 09:52 . 2008-02-14 09:52 216,632 --a------ C:\Windows\System32\drivers\netio.sys
2008-02-14 09:52 . 2008-02-14 09:52 167,424 --a------ C:\Windows\System32\tcpipcfg.dll
2008-02-14 09:52 . 2008-02-14 09:52 24,064 --a------ C:\Windows\System32\netcfg.exe
2008-02-14 09:52 . 2008-02-14 09:52 22,016 --a------ C:\Windows\System32\netiougc.exe
2008-02-01 21:57 . 2008-02-01 21:57 244 --ah----- C:\sqmnoopt05.sqm
2008-02-01 21:57 . 2008-02-01 21:57 232 --ah----- C:\sqmdata05.sqm
2008-02-01 21:53 . 2008-02-01 21:53 244 --ah----- C:\sqmnoopt04.sqm
2008-02-01 21:53 . 2008-02-01 21:53 232 --ah----- C:\sqmdata04.sqm
2008-02-01 21:30 . 2008-02-01 21:30 244 --ah----- C:\sqmnoopt03.sqm
2008-02-01 21:30 . 2008-02-01 21:30 232 --ah----- C:\sqmdata03.sqm

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-26 19:38 --------- d-----w C:\PROGRA~2\Microsoft Help
2008-02-26 17:36 --------- d-----w C:\PROGRA~2\WLInstaller
2008-02-16 12:57 230,432 ----a-w C:\SPC500NC.DAT
2008-02-14 08:49 824,832 ----a-w C:\Windows\System32\wininet.dll
2008-02-14 08:49 56,320 ----a-w C:\Windows\System32\iesetup.dll
2008-02-14 08:49 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll
2008-02-14 08:49 26,624 ----a-w C:\Windows\System32\ieUnatt.exe
2008-01-23 18:49 --------- d-----w C:\Users\mac30@hotmail.fr\AppData\Roaming\CyberLink
2008-01-23 18:49 --------- d-----w C:\Users\MAC30@~1.FR\AppData\Roaming\CyberLink
2008-01-23 18:49 --------- d-----w C:\PROGRA~2\CyberLink
2008-01-23 08:35 --------- d-----w C:\Program Files\Common Files\Adobe
2008-01-22 17:17 --------- d-----w C:\Program Files\Lavasoft
2008-01-22 12:34 --------- d-----w C:\PROGRA~2\Spybot - Search & Destroy
2008-01-22 11:47 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-01-22 11:37 81,984 ----a-w C:\Windows\System32\bdod.bin
2008-01-21 21:41 --------- d-----w C:\Program Files\Avira
2008-01-21 21:41 --------- d-----w C:\PROGRA~2\Avira
2008-01-21 18:40 --------- d-----w C:\PROGRA~2\F-Secure
2008-01-20 16:57 --------- d-----w C:\Users\mac30@hotmail.fr\AppData\Roaming\F-Secure
2008-01-20 16:57 --------- d-----w C:\Users\MAC30@~1.FR\AppData\Roaming\F-Secure
2008-01-20 16:45 --------- d-----w C:\PROGRA~2\fssg
2008-01-20 15:40 --------- d-----w C:\Program Files\CCleaner
2008-01-20 13:44 --------- d-----w C:\Program Files\Trend Micro
2008-01-20 11:27 --------- d-----w C:\Program Files\MSN Messenger
2008-01-20 11:10 --------- d-----w C:\PROGRA~2\WindowsLiveInstaller
2008-01-19 21:38 --------- dcsh--w C:\Program Files\Common Files\WindowsLiveInstaller
2008-01-19 09:46 --------- d-----w C:\PROGRA~2\ashampoo
2008-01-19 09:26 47,360 ----a-w C:\Users\mac30@hotmail.fr\AppData\Roaming\pcouffin.sys
2008-01-19 09:26 47,360 ----a-w C:\Users\MAC30@~1.FR\AppData\Roaming\pcouffin.sys
2008-01-19 09:26 --------- d-----w C:\Users\mac30@hotmail.fr\AppData\Roaming\Vso
2008-01-19 09:26 --------- d-----w C:\Users\MAC30@~1.FR\AppData\Roaming\Vso
2008-01-19 09:23 47,360 ----a-w C:\Windows\system32\drivers\pcouffin.sys
2008-01-13 10:53 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-10 18:07 --------- d-----w C:\Users\mac30@hotmail.fr\AppData\Roaming\GrabIt
2008-01-10 18:07 --------- d-----w C:\Users\MAC30@~1.FR\AppData\Roaming\GrabIt
2008-01-09 22:12 11,776 ----a-w C:\Windows\System32\sbunattend.exe
2008-01-09 22:12 --------- d-----w C:\Program Files\Windows Sidebar
2007-12-29 20:42 --------- d-----w C:\Users\mac30@hotmail.fr\AppData\Roaming\vlc
2007-12-29 20:42 --------- d-----w C:\Users\MAC30@~1.FR\AppData\Roaming\vlc
2007-12-29 19:32 --------- d-----w C:\Program Files\Free.fr
2007-12-13 06:31 1,327,104 ----a-w C:\Windows\System32\quartz.dll
2007-12-13 06:30 9,728 ----a-w C:\Windows\System32\LAPRXY.DLL
2007-12-13 06:30 223,232 ----a-w C:\Windows\System32\WMASF.DLL
2007-12-13 06:27 3,504,824 ----a-w C:\Windows\System32\ntkrnlpa.exe
2007-12-13 06:27 3,470,520 ----a-w C:\Windows\System32\ntoskrnl.exe
2006-11-02 12:50 174 --sha-w C:\Program Files\desktop.ini
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-01-09 23:12 1232896]
"????r"="" []
"?????????"="" []
"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2006-11-02 13:35 125440]
"LDM"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe" [ ]
"ISUSPM Startup"="C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" [2005-08-11 15:30 249856]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" [ ]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46 1460560]
"ares"="D:\Ares\Ares.exe" [2007-12-31 15:29 962560]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 13:36 201728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2007-04-13 10:16 1006264]
"RtHDVCpl"="RtHDVCpl.exe" [2006-11-09 03:57 3784704 C:\Windows\RtHDVCpl.exe]
"Acer Tour"="" []
"Acer Empowering Technology Monitor"="C:\Windows\system32\SysMonitor.exe" [2006-11-23 15:24 319488]
"WarReg_PopUp"="C:\Acer\WR_PopUp\WarReg_PopUp.exe" [ ]
"eRecoveryService"="" []
"BigDog305"="C:\Windows\VM305_STI.exe" [2005-08-05 21:15 61440]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2007-06-29 05:24 286720]
"SPC500NC_Monitor"="C:\Windows\Philips\SPC500NC\Monitor.exe" [2008-01-20 17:09 319488]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-21 22:42 249896]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06 40048]
"00PCTFW"="C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe" [2007-09-19 15:27 2483504]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 11:34 5724184]

C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\Startup\
Empowering Technology Launcher.lnk - C:\Acer\Empowering Technology\eAPLauncher.exe [2006-12-14 14:18:59 528384]
Logitech Desktop Messenger.lnk - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2007-03-03 15:24:52 450560]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"TCP Query User{D2DB2E45-4DF4-47AD-AE2F-2AB9F1292E38}C:\program files\logitech\desktop messenger\8876480\program\backweb-8876480.exe"= UDP:C:\program files\logitech\desktop messenger\8876480\program\backweb-8876480.exe:Logitech Desktop Messenger|Desc=Logitech Desktop Messenger
"UDP Query User{D8A09E2A-5420-4DB2-98C4-25862086CBA5}C:\program files\logitech\desktop messenger\8876480\program\backweb-8876480.exe"= TCP:C:\program files\logitech\desktop messenger\8876480\program\backweb-8876480.exe:Logitech Desktop Messenger|Desc=Logitech Desktop Messenger
"TCP Query User{E800720B-AC92-421D-8CC0-0C6DED54FA4D}D:\emule\emule.exe"= UDP:D:\emule\emule.exe:eMule|Desc=eMule
"UDP Query User{3A7A2828-8113-40F1-ADA1-C2132F5A6647}D:\emule\emule.exe"= TCP:D:\emule\emule.exe:eMule|Desc=eMule
"{18617E06-76E5-4282-B201-5C1C391342A0}"= TCP:6004|C:\Program Files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
"{E670E9F6-7CCB-49F1-9ABD-A605DD691FC6}"= C:\Program Files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)|Edge=TRUE|
"{8B8A54D0-A47D-43E6-9905-480E28A99232}"= C:\Program Files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)|Edge=TRUE|
"{4E12AA0C-ACC4-4C18-A516-0DFDEC5BBEE3}"= C:\Program Files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)|Edge=TRUE|
"{73090CB7-B532-4212-99D5-8BCD161D317D}"= C:\Program Files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)|Edge=TRUE|
"{CEF4DDD1-D5B3-45AF-8684-3B7BF8F9B425}"= C:\Program Files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)|Edge=TRUE|
"{29F5D07F-AA72-4967-B21A-7FB4722DED1D}"= C:\Program Files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)|Edge=TRUE|
"{74CB2E61-4221-438E-8A33-CD56A88AECBC}"= C:\Program Files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)|Edge=TRUE|
"{7CCB08B9-7286-4EB7-9A9E-2DE13C8681CD}"= C:\Program Files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)|Edge=TRUE|
"{302F1AF8-7A51-4BCB-96C9-6868BCFDFE83}"= C:\Program Files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)|Edge=TRUE|
"{CF237559-E272-4B9B-8105-A976502B4879}"= C:\Program Files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)|Edge=TRUE|
"{A3698AB0-CDB4-427A-9FF2-F542527386CD}"= C:\Program Files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)|Edge=TRUE|
"{687AE64B-5A4A-401B-BE87-1E5C8BF0EA9E}"= C:\Program Files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)|Edge=TRUE|
"{52963A72-6958-4427-932A-1FEBE6253019}"= C:\Program Files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)|Edge=TRUE|
"{1F9D876A-FB8B-4AEB-B86F-1D42C42A8A23}"= C:\Program Files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)|Edge=TRUE|
"{3FA83965-A2B0-496E-89E8-A0186004D60D}"= C:\Program Files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)|Edge=TRUE|
"{93ABBE35-B905-46FF-BB0F-C8DF68201500}"= C:\Program Files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)|Edge=TRUE|
"{143632B5-38C9-4CE6-AF52-B769ACBAD7C4}"= UDP:C:\Program Files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0
"{0BFE481F-258E-4FB9-8FAF-14CC3BAAD900}"= TCP:C:\Program Files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0
"{C27FB5FA-4A2F-4DDA-AFD7-BF948C8D5390}"= UDP:C:\Program Files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0
"{A61614BA-8F85-49FE-A59E-09999F181870}"= TCP:C:\Program Files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0
"{B661D304-D8F1-4218-B750-F0D8FF5D1867}"= UDP:C:\Program Files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0
"{83237FEF-AA89-48F7-88F7-D77D1F383007}"= TCP:C:\Program Files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0
"TCP Query User{2F8439F9-D3FE-4686-87F4-E51B4ED4296A}C:\users\mac30@hotmail.fr\appdata\local\temp\qztemp\emule.exe"= UDP:C:\users\mac30@hotmail.fr\appdata\local\temp\qztemp\emule.exe:emule.exe|Desc=emule.exe
"UDP Query User{CEE0EA9F-F0BB-42B4-B140-180B81EFCAAC}C:\users\mac30@hotmail.fr\appdata\local\temp\qztemp\emule.exe"= TCP:C:\users\mac30@hotmail.fr\appdata\local\temp\qztemp\emule.exe:emule.exe|Desc=emule.exe
"TCP Query User{98811D98-75D5-40BB-9D9A-7C56D328E182}D:\lphant\elephantclient.exe"= UDP:D:\lphant\elephantclient.exe:lphant Client|Desc=lphant Client
"UDP Query User{75A8E5CB-0D87-46D0-A3B1-7D5789D1ECBA}D:\lphant\elephantclient.exe"= TCP:D:\lphant\elephantclient.exe:lphant Client|Desc=lphant Client
"{24FB3F2C-9EFA-4739-AD13-AB2CF3AB978C}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)|Edge=TRUE|
"{B7811C2D-AF33-4F4F-954E-416D3B551C93}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)|Edge=TRUE|
"{999E9AA4-71FA-4AB3-9D21-20B313FA0B36}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)|Edge=TRUE|
"{DD568884-2F44-4533-A4DB-410716E8A10D}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)|Edge=TRUE|
"{CBD0E49E-28D2-4179-9990-CA902AE10270}"= UDP:D:\LimeWire\LimeWire.exe:LimeWire
"{51C61193-F29A-4F67-AADA-6DDEC953E062}"= TCP:D:\LimeWire\LimeWire.exe:LimeWire
"{CE345439-B060-4BE5-B90B-352A25BF2B52}"= UDP:C:\Program Files\BitTorrent_DNA\dna.exe:DNA
"{9FFB11E5-7ABD-4955-AF83-F574A8AC29D1}"= TCP:C:\Program Files\BitTorrent_DNA\dna.exe:DNA
"{6890988F-A17C-4BC0-858A-A63BE3495D4B}"= UDP:D:\BitTorrent\bittorrent.exe:BitTorrent
"{D68886A8-3F1A-47DB-8AC3-ADC8275438A3}"= TCP:D:\BitTorrent\bittorrent.exe:BitTorrent
"TCP Query User{341DD81C-6868-4B49-A30F-10E68470D321}D:\adsltv.exe"= UDP:D:\adsltv.exe:adsltv|Desc=adsltv
"UDP Query User{0C8E23AC-5337-4F59-8F73-9D59D99E06A1}D:\adsltv.exe"= TCP:D:\adsltv.exe:adsltv|Desc=adsltv
"{8F29CC60-6695-4D46-89EF-94BCC3F66097}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)|Edge=TRUE|
"{F01724EC-D533-4F58-945A-66B12CEFA812}"= C:\Program Files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)|Edge=TRUE|
"TCP Query User{4CBAC4AC-88BF-4C35-9BA7-060AB81AE142}D:\azureus\azureus.exe"= Disabled:UDP:D:\azureus\azureus.exe:Azureus|Desc=Azureus
"UDP Query User{5CAE9B81-D0FD-464C-BB13-1FA6B3241F78}D:\azureus\azureus.exe"= Disabled:TCP:D:\azureus\azureus.exe:Azureus|Desc=Azureus
"{12A45747-2372-4071-AFC2-797A16389BB3}"= Disabled:UDP:C:\Program Files\Acer Zone\Acer Zone Main Page\MCE Deluxe Suite.exe:CyberLink MCE Deluxe Suite
"{857E81E3-6A25-4038-A976-590002A8FF54}"= Disabled:TCP:C:\Program Files\Acer Zone\Acer Zone Main Page\MCE Deluxe Suite.exe:CyberLink MCE Deluxe Suite
"{B2690F95-1BA9-42B6-8151-D37A873D97E9}"= Disabled:UDP:C:\Program Files\Acer Zone\Acer Picture Slide DVD\Component\CLSLDVD.exe:Cyberlink Picture Slide DVD workprocess
"{BE8168BD-1587-48C9-B8A9-8DA29EB488A4}"= Disabled:TCP:C:\Program Files\Acer Zone\Acer Picture Slide DVD\Component\CLSLDVD.exe:Cyberlink Picture Slide DVD workprocess
"{97A20D34-D5EB-42F9-8D75-7772B1CAAAB2}"= Disabled:UDP:C:\Program Files\Acer Zone\Acer Plug and Record\Component\ARAWP.exe:Cyberlink Plug and Record ARA workprocess
"{8FFFA071-A90B-466D-AAC6-D07DB72C5A9C}"= Disabled:TCP:C:\Program Files\Acer Zone\Acer Plug and Record\Component\ARAWP.exe:Cyberlink Plug and Record ARA workprocess
"{FBB2CD35-5498-46F4-8829-2DF3885C1C12}"= Disabled:UDP:C:\Program Files\Acer Zone\Acer Plug and Record\Component\DVAX2Process.exe:Cyberlink Plug and Record AVAX workprocess
"{0035BDE0-2E3C-476E-9D74-C9778E365572}"= Disabled:TCP:C:\Program Files\Acer Zone\Acer Plug and Record\Component\DVAX2Process.exe:Cyberlink Plug and Record AVAX workprocess
"{2C7749D8-584C-471D-AEFF-C677570CEC98}"= Disabled:UDP:C:\Program Files\Acer Zone\Acer Zone SoftDMA\SoftDMA.exe:CyberLink SoftDMA
"{6C2ADED2-5CD6-425A-A80E-00AA1D08D67B}"= Disabled:TCP:C:\Program Files\Acer Zone\Acer Zone SoftDMA\SoftDMA.exe:CyberLink SoftDMA
"{29278D60-0D80-4A89-8D19-3FAAAEB8CAB1}"= C:\Program Files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)|Edge=TRUE|

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]
"D:\BitTorrent\bittorrent.exe"= D:\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent

R1 pctfw2;pctfw2;C:\Windows\system32\drivers\pctfw2.sys [2007-09-19 15:26]
R1 pctmp;PC Tools Firewall Memory Protection Driver;C:\Windows\system32\drivers\pctmp.sys [2007-09-19 15:26]
R1 pctssipc;PC Tools Security Suite IPC Driver;C:\Windows\system32\drivers\pctssipc.sys [2007-09-19 15:26]
R3 SPC500NC;SPC 500NC Laptop Camera;C:\Windows\system32\DRIVERS\SPC610NC.SYS [2007-01-19 16:14]
R3 yukonwlh;NDIS6.0 Miniport Driver for Marvell Yukon Ethernet Controller;C:\Windows\system32\DRIVERS\yk60x86.sys [2006-11-09 02:52]
S3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\Windows\system32\DRIVERS\fbxusb32.sys [2004-10-20 14:23]
S3 WSVD;WSVD;C:\Windows\system32\drivers\WSVD.sys [2006-09-19 16:47]
S3 ZSMC0305;A4 TECH PC Camera V;C:\Windows\system32\Drivers\usbVM305.sys [2006-05-08 16:24]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{20714440-70d1-11dc-96e1-0007cb0000ff}]
\shell\Auto\command - cmd /C launch.bat
\shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL cmd /C launch.bat

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-26 20:58:30
Windows 6.0.6000 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\PC Tools Firewall Plus\FWService.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\DllHost.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\ehome\ehmsas.exe
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
.
**************************************************************************
.
Temps d'accomplissement: 2008-02-26 21:01:01 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-26 20:00:56
.
2008-02-26 19:38:26 --- E O F ---

Utilisateur anonyme · Answer

Re , 

Ouvre le Bloc-Notes (Démarrer\Tous les programmes\Accessoires\Bloc notes.)

Copie ce texte ( en gras )d'une traite ( CTRL+C pour copier ) puis colle-le ( CTRL+V dans le bloc-note ) 


Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"????r"=-
"?????????"=-

Sauvegarde ce fichier sur ton bureau sous le nom de CFScript.txt.



Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://serveur1.archive-host.com/membres/up/1366464061/CFScript.gif

Cela va relancer Combofix,

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

S'il n'y a pas de rédémarrage, poste quand même les rapports.

*****************************************************
1)Va dans ' poste de travail '  > ' Outil ' > ' Options des dossiers ' > Onglet ' Affichage ' 

2)Active le bouton ' Afficher les fichiers et dossiers cachés '
3)Décoche ' Masquer les fichiers protégés du systeme d'exploitation ( recommandé ) ' 
4)Décoche ' Masquer les extensions dont le type est connu '

5)Va sur ce site -->  https://www.virustotal.com/gui/

Clique sur ' parcourir ' 

Cherche ce fichier : ( mis en gras )

C:\Windows\system32\SysMonitor.exe

Clique sur ' send ' 

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

-> Poste le moi stp.

*************

Puis va sur ce site :  http://virusscan.jotti.org/de/ 


Et fait analyser le même fichier -> poste le rapport.

*****
A+
( 3 rapports )

afideg · Answer

Re,
C'est tout de même de l'inconscience exagérée.


Hello cyrildu17,
Eh bien! Il y a encore du boulot.
Je repasserai d'ici 1 mois .... 
Bonne continuation

Al.

afideg · Answer

Re,

Voici mon passe-partout (provisoire) Beagle:

File::
c:\windows\system32\mdelk.exe    
C:\WINDOWS\system32\anti_troj.exe 
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT 
C:\WINDOWS\system32\german.exe
C:\WINDOWS\system32\wintems.exe 
C:\WINDOWS\system32\drivers\hldrrr.exe 
c:\WINDOWS\system32\drivers\hidr.exe 
C:\WINDOWS\system32\drivers\SROSA.SYS 

Folder:: 
C:\WINDOWS\system32\drivers\down
C:\QooBox\Quarantine\Registry_backups
C:\Program Files\m  
 
Driver:: 
drvsyskit 
srosa 
hldrrr 
hidr 

Registry:: 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"drvsyskit"=- 
"german.exe"=-
"mule_st_key"=-
"C:\Documents and Settings\<user>\Application Data\m\flec006.exe"=- 
[-HKEY_CURRENT_USER\Software\FirstRRRun] 
[-HKEY_CURRENT_USER\SOFTWARE\DateTime4] 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa] 
"start"=dword:00000004 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa] 
"start"=- 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa] 
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa] 
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa] 
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa]


Bonne nuit
Al

balou30 · Answer

j'ai suivi t instruction mais dans la fenêtre bleu je nai pas sa : "Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide. "
 
il me sort une fenêtre limite de garantie.



PS: vous me faite flipper tous les 2 je croyais que mon probleme etait résolu moi !!

Utilisateur anonyme · Answer

il me sort une fenêtre limite de garantie.

?

balou30 · Answer

voici le message :

un guide d'utilisation de combofix adéquate se trouve ici :
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
__________________________________________________

Cet outi a été crée pour un usage privé. il ne doit jamais être utilisé sans supervision. Si des imperfections sont identifiés, l'outil redemerrera automatiquement windows pour compléter le processus de suppression. Merci de vous assurer que toutes les fenêtres soit bien fermé avant de procéder.
_____________________________________________________
Le programme vous est proposé "telquel", sans aucune garantie.
Toutes garantie implicites sont exclue.
Si vous n'accepter les termes ci-dessus, merci de cliquer sur no pour quitter.

oui            non

Utilisateur anonyme · Answer

Fait oui et continu
A+

balou30 · Answer

voici le premier rapportvoici le premier rapport

ComboFix 08-02-25.3 - mac30@hotmail.fr 2008-02-26 22:11:29.1 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6000.0.1252.1.1036.18.208 [GMT 1:00]
Endroit: C:\Users\mac30@hotmail.fr\Desktop\ComboFix.exe
Command switches used :: C:\Users\mac30@hotmail.fr\Desktop\CFScript.txt..txt
* Création d'un nouveau point de restauration
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Windows\system32\koos.exe
C:\Windows\system32\kprof
C:\Windows\system32\poof
.
---- Previous Run -------
.
C:\Windows\system32\koos.exe
C:\Windows\system32\kprof
C:\Windows\system32\poof

.
((((((((((((((((((((((((((((( Fichiers créés 2008-01-26 to 2008-02-26 ))))))))))))))))))))))))))))))))))))
.

2008-02-26 21:37 . 2008-02-26 21:40 <REP> d-------- C:\ComboFix[1]
2008-02-26 20:14 . 2007-09-19 15:26 195,928 --a------ C:\Windows\System32\drivers\pctfw2.sys
2008-02-26 20:14 . 2007-09-19 15:26 114,008 --a------ C:\Windows\System32\drivers\pctfw.sys
2008-02-26 20:13 . 2008-02-26 20:17 <REP> d-------- C:\Program Files\PC Tools Firewall Plus
2008-02-26 20:13 . 2008-02-26 20:13 <REP> d-------- C:\Program Files\Common Files\PC Tools
2008-02-26 20:13 . 2007-09-19 15:26 39,768 --a------ C:\Windows\System32\drivers\pctmp.sys
2008-02-26 20:13 . 2007-09-19 15:26 17,752 --a------ C:\Windows\System32\drivers\pctssipc.sys
2008-02-26 18:29 . 2008-02-26 18:42 <REP> d-------- C:\Program Files\Windows Live
2008-02-22 16:37 . 2008-02-22 16:37 <REP> d-------- C:\Users\mac30@hotmail.fr\AppData\Roaming\Media Player Classic
2008-02-18 15:14 . 2008-02-18 15:15 <REP> d-------- C:\Program Files\Windows Live Safety Center
2008-02-14 09:56 . 2008-02-14 09:56 194,560 --a------ C:\Windows\System32\WebClnt.dll
2008-02-14 09:56 . 2008-02-14 09:56 110,080 --a------ C:\Windows\System32\drivers\mrxdav.sys
2008-02-14 09:52 . 2008-02-14 09:52 803,328 --a------ C:\Windows\System32\drivers\tcpip.sys
2008-02-14 09:52 . 2008-02-14 09:52 216,632 --a------ C:\Windows\System32\drivers\netio.sys
2008-02-14 09:52 . 2008-02-14 09:52 167,424 --a------ C:\Windows\System32\tcpipcfg.dll
2008-02-14 09:52 . 2008-02-14 09:52 24,064 --a------ C:\Windows\System32\netcfg.exe
2008-02-14 09:52 . 2008-02-14 09:52 22,016 --a------ C:\Windows\System32\netiougc.exe
2008-02-01 21:57 . 2008-02-01 21:57 244 --ah----- C:\sqmnoopt05.sqm
2008-02-01 21:57 . 2008-02-01 21:57 232 --ah----- C:\sqmdata05.sqm
2008-02-01 21:53 . 2008-02-01 21:53 244 --ah----- C:\sqmnoopt04.sqm
2008-02-01 21:53 . 2008-02-01 21:53 232 --ah----- C:\sqmdata04.sqm
2008-02-01 21:30 . 2008-02-01 21:30 244 --ah----- C:\sqmnoopt03.sqm
2008-02-01 21:30 . 2008-02-01 21:30 232 --ah----- C:\sqmdata03.sqm

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-26 19:38 --------- d-----w C:\PROGRA~2\Microsoft Help
2008-02-26 17:36 --------- d-----w C:\PROGRA~2\WLInstaller
2008-02-14 08:55 54,784 ----a-w C:\Windows\system32\drivers\i8042prt.sys
2008-02-14 08:55 495,160 ----a-w C:\Windows\system32\drivers\Wdf01000.sys
2008-02-14 08:55 35,384 ----a-w C:\Windows\system32\drivers\WdfLdr.sys
2008-02-14 08:55 35,384 ----a-w C:\Windows\system32\drivers\kbdclass.sys
2008-02-14 08:55 34,360 ----a-w C:\Windows\system32\drivers\mouclass.sys
2008-02-14 08:55 19,968 ----a-w C:\Windows\system32\drivers\sermouse.sys
2008-02-14 08:55 15,872 ----a-w C:\Windows\system32\drivers\mouhid.sys
2008-02-14 08:55 15,872 ----a-w C:\Windows\system32\drivers\kbdhid.sys
2008-02-14 08:49 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll
2008-01-23 18:49 --------- d-----w C:\Users\mac30@hotmail.fr\AppData\Roaming\CyberLink
2008-01-23 18:49 --------- d-----w C:\PROGRA~2\CyberLink
2008-01-23 08:35 --------- d-----w C:\Program Files\Common Files\Adobe
2008-01-22 17:17 --------- d-----w C:\Program Files\Lavasoft
2008-01-22 12:34 --------- d-----w C:\PROGRA~2\Spybot - Search & Destroy
2008-01-22 11:47 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-01-21 21:41 --------- d-----w C:\Program Files\Avira
2008-01-21 21:41 --------- d-----w C:\PROGRA~2\Avira
2008-01-21 18:40 --------- d-----w C:\PROGRA~2\F-Secure
2008-01-20 16:57 --------- d-----w C:\Users\mac30@hotmail.fr\AppData\Roaming\F-Secure
2008-01-20 16:45 --------- d-----w C:\PROGRA~2\fssg
2008-01-20 15:40 --------- d-----w C:\Program Files\CCleaner
2008-01-20 11:27 --------- d-----w C:\Program Files\MSN Messenger
2008-01-20 11:10 --------- d-----w C:\PROGRA~2\WindowsLiveInstaller
2008-01-19 21:38 --------- dcsh--w C:\Program Files\Common Files\WindowsLiveInstaller
2008-01-19 09:46 --------- d-----w C:\PROGRA~2\ashampoo
2008-01-19 09:26 47,360 ----a-w C:\Users\mac30@hotmail.fr\AppData\Roaming\pcouffin.sys
2008-01-19 09:26 --------- d-----w C:\Users\mac30@hotmail.fr\AppData\Roaming\Vso
2008-01-19 09:23 47,360 ----a-w C:\Windows\system32\drivers\pcouffin.sys
2008-01-13 10:53 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-10 18:07 --------- d-----w C:\Users\mac30@hotmail.fr\AppData\Roaming\GrabIt
2008-01-09 22:12 --------- d-----w C:\Program Files\Windows Sidebar
2007-12-29 20:42 --------- d-----w C:\Users\mac30@hotmail.fr\AppData\Roaming\vlc
2007-12-29 19:32 --------- d-----w C:\Program Files\Free.fr
2006-11-02 12:50 174 --sha-w C:\Program Files\desktop.ini
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-01-09 23:12 1232896]
"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2006-11-02 13:35 125440]
"LDM"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe" [ ]
"ISUSPM Startup"="C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" [2005-08-11 15:30 249856]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" [ ]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46 1460560]
"ares"="D:\Ares\Ares.exe" [2007-12-31 15:29 962560]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 13:36 201728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2007-04-13 10:16 1006264]
"RtHDVCpl"="RtHDVCpl.exe" [2006-11-09 03:57 3784704 C:\Windows\RtHDVCpl.exe]
"Acer Tour"="" []
"Acer Empowering Technology Monitor"="C:\Windows\system32\SysMonitor.exe" [2006-11-23 15:24 319488]
"WarReg_PopUp"="C:\Acer\WR_PopUp\WarReg_PopUp.exe" [ ]
"eRecoveryService"="" []
"BigDog305"="C:\Windows\VM305_STI.exe" [2005-08-05 21:15 61440]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2007-06-29 05:24 286720]
"SPC500NC_Monitor"="C:\Windows\Philips\SPC500NC\Monitor.exe" [2008-01-20 17:09 319488]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-21 22:42 249896]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06 40048]
"00PCTFW"="C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe" [2007-09-19 15:27 2483504]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 11:34 5724184]

C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\Startup\
Empowering Technology Launcher.lnk - C:\Acer\Empowering Technology\eAPLauncher.exe [2006-12-14 14:18:59 528384]
Logitech Desktop Messenger.lnk - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2007-03-03 15:24:52 450560]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"TCP Query User{D2DB2E45-4DF4-47AD-AE2F-2AB9F1292E38}C:\program files\logitech\desktop messenger\8876480\program\backweb-8876480.exe"= UDP:C:\program files\logitech\desktop messenger\8876480\program\backweb-8876480.exe:Logitech Desktop Messenger|Desc=Logitech Desktop Messenger
"UDP Query User{D8A09E2A-5420-4DB2-98C4-25862086CBA5}C:\program files\logitech\desktop messenger\8876480\program\backweb-8876480.exe"= TCP:C:\program files\logitech\desktop messenger\8876480\program\backweb-8876480.exe:Logitech Desktop Messenger|Desc=Logitech Desktop Messenger
"TCP Query User{E800720B-AC92-421D-8CC0-0C6DED54FA4D}D:\emule\emule.exe"= UDP:D:\emule\emule.exe:eMule|Desc=eMule
"UDP Query User{3A7A2828-8113-40F1-ADA1-C2132F5A6647}D:\emule\emule.exe"= TCP:D:\emule\emule.exe:eMule|Desc=eMule
"{18617E06-76E5-4282-B201-5C1C391342A0}"= TCP:6004|C:\Program Files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
"{E670E9F6-7CCB-49F1-9ABD-A605DD691FC6}"= C:\Program Files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)|Edge=TRUE|
"{8B8A54D0-A47D-43E6-9905-480E28A99232}"= C:\Program Files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)|Edge=TRUE|
"{4E12AA0C-ACC4-4C18-A516-0DFDEC5BBEE3}"= C:\Program Files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)|Edge=TRUE|
"{73090CB7-B532-4212-99D5-8BCD161D317D}"= C:\Program Files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)|Edge=TRUE|
"{CEF4DDD1-D5B3-45AF-8684-3B7BF8F9B425}"= C:\Program Files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)|Edge=TRUE|
"{29F5D07F-AA72-4967-B21A-7FB4722DED1D}"= C:\Program Files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)|Edge=TRUE|
"{74CB2E61-4221-438E-8A33-CD56A88AECBC}"= C:\Program Files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)|Edge=TRUE|
"{7CCB08B9-7286-4EB7-9A9E-2DE13C8681CD}"= C:\Program Files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)|Edge=TRUE|
"{302F1AF8-7A51-4BCB-96C9-6868BCFDFE83}"= C:\Program Files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)|Edge=TRUE|
"{CF237559-E272-4B9B-8105-A976502B4879}"= C:\Program Files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)|Edge=TRUE|
"{A3698AB0-CDB4-427A-9FF2-F542527386CD}"= C:\Program Files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)|Edge=TRUE|
"{687AE64B-5A4A-401B-BE87-1E5C8BF0EA9E}"= C:\Program Files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)|Edge=TRUE|
"{52963A72-6958-4427-932A-1FEBE6253019}"= C:\Program Files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)|Edge=TRUE|
"{1F9D876A-FB8B-4AEB-B86F-1D42C42A8A23}"= C:\Program Files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)|Edge=TRUE|
"{3FA83965-A2B0-496E-89E8-A0186004D60D}"= C:\Program Files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)|Edge=TRUE|
"{93ABBE35-B905-46FF-BB0F-C8DF68201500}"= C:\Program Files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)|Edge=TRUE|
"{143632B5-38C9-4CE6-AF52-B769ACBAD7C4}"= UDP:C:\Program Files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0
"{0BFE481F-258E-4FB9-8FAF-14CC3BAAD900}"= TCP:C:\Program Files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0
"{C27FB5FA-4A2F-4DDA-AFD7-BF948C8D5390}"= UDP:C:\Program Files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0
"{A61614BA-8F85-49FE-A59E-09999F181870}"= TCP:C:\Program Files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0
"{B661D304-D8F1-4218-B750-F0D8FF5D1867}"= UDP:C:\Program Files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0
"{83237FEF-AA89-48F7-88F7-D77D1F383007}"= TCP:C:\Program Files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0
"TCP Query User{2F8439F9-D3FE-4686-87F4-E51B4ED4296A}C:\users\mac30@hotmail.fr\appdata\local\temp\qztemp\emule.exe"= UDP:C:\users\mac30@hotmail.fr\appdata\local\temp\qztemp\emule.exe:emule.exe|Desc=emule.exe
"UDP Query User{CEE0EA9F-F0BB-42B4-B140-180B81EFCAAC}C:\users\mac30@hotmail.fr\appdata\local\temp\qztemp\emule.exe"= TCP:C:\users\mac30@hotmail.fr\appdata\local\temp\qztemp\emule.exe:emule.exe|Desc=emule.exe
"TCP Query User{98811D98-75D5-40BB-9D9A-7C56D328E182}D:\lphant\elephantclient.exe"= UDP:D:\lphant\elephantclient.exe:lphant Client|Desc=lphant Client
"UDP Query User{75A8E5CB-0D87-46D0-A3B1-7D5789D1ECBA}D:\lphant\elephantclient.exe"= TCP:D:\lphant\elephantclient.exe:lphant Client|Desc=lphant Client
"{24FB3F2C-9EFA-4739-AD13-AB2CF3AB978C}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)|Edge=TRUE|
"{B7811C2D-AF33-4F4F-954E-416D3B551C93}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)|Edge=TRUE|
"{999E9AA4-71FA-4AB3-9D21-20B313FA0B36}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)|Edge=TRUE|
"{DD568884-2F44-4533-A4DB-410716E8A10D}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)|Edge=TRUE|
"{CBD0E49E-28D2-4179-9990-CA902AE10270}"= UDP:D:\LimeWire\LimeWire.exe:LimeWire
"{51C61193-F29A-4F67-AADA-6DDEC953E062}"= TCP:D:\LimeWire\LimeWire.exe:LimeWire
"{CE345439-B060-4BE5-B90B-352A25BF2B52}"= UDP:C:\Program Files\BitTorrent_DNA\dna.exe:DNA
"{9FFB11E5-7ABD-4955-AF83-F574A8AC29D1}"= TCP:C:\Program Files\BitTorrent_DNA\dna.exe:DNA
"{6890988F-A17C-4BC0-858A-A63BE3495D4B}"= UDP:D:\BitTorrent\bittorrent.exe:BitTorrent
"{D68886A8-3F1A-47DB-8AC3-ADC8275438A3}"= TCP:D:\BitTorrent\bittorrent.exe:BitTorrent
"TCP Query User{341DD81C-6868-4B49-A30F-10E68470D321}D:\adsltv.exe"= UDP:D:\adsltv.exe:adsltv|Desc=adsltv
"UDP Query User{0C8E23AC-5337-4F59-8F73-9D59D99E06A1}D:\adsltv.exe"= TCP:D:\adsltv.exe:adsltv|Desc=adsltv
"{8F29CC60-6695-4D46-89EF-94BCC3F66097}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)|Edge=TRUE|
"{F01724EC-D533-4F58-945A-66B12CEFA812}"= C:\Program Files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)|Edge=TRUE|
"TCP Query User{4CBAC4AC-88BF-4C35-9BA7-060AB81AE142}D:\azureus\azureus.exe"= Disabled:UDP:D:\azureus\azureus.exe:Azureus|Desc=Azureus
"UDP Query User{5CAE9B81-D0FD-464C-BB13-1FA6B3241F78}D:\azureus\azureus.exe"= Disabled:TCP:D:\azureus\azureus.exe:Azureus|Desc=Azureus
"{12A45747-2372-4071-AFC2-797A16389BB3}"= Disabled:UDP:C:\Program Files\Acer Zone\Acer Zone Main Page\MCE Deluxe Suite.exe:CyberLink MCE Deluxe Suite
"{857E81E3-6A25-4038-A976-590002A8FF54}"= Disabled:TCP:C:\Program Files\Acer Zone\Acer Zone Main Page\MCE Deluxe Suite.exe:CyberLink MCE Deluxe Suite
"{B2690F95-1BA9-42B6-8151-D37A873D97E9}"= Disabled:UDP:C:\Program Files\Acer Zone\Acer Picture Slide DVD\Component\CLSLDVD.exe:Cyberlink Picture Slide DVD workprocess
"{BE8168BD-1587-48C9-B8A9-8DA29EB488A4}"= Disabled:TCP:C:\Program Files\Acer Zone\Acer Picture Slide DVD\Component\CLSLDVD.exe:Cyberlink Picture Slide DVD workprocess
"{97A20D34-D5EB-42F9-8D75-7772B1CAAAB2}"= Disabled:UDP:C:\Program Files\Acer Zone\Acer Plug and Record\Component\ARAWP.exe:Cyberlink Plug and Record ARA workprocess
"{8FFFA071-A90B-466D-AAC6-D07DB72C5A9C}"= Disabled:TCP:C:\Program Files\Acer Zone\Acer Plug and Record\Component\ARAWP.exe:Cyberlink Plug and Record ARA workprocess
"{FBB2CD35-5498-46F4-8829-2DF3885C1C12}"= Disabled:UDP:C:\Program Files\Acer Zone\Acer Plug and Record\Component\DVAX2Process.exe:Cyberlink Plug and Record AVAX workprocess
"{0035BDE0-2E3C-476E-9D74-C9778E365572}"= Disabled:TCP:C:\Program Files\Acer Zone\Acer Plug and Record\Component\DVAX2Process.exe:Cyberlink Plug and Record AVAX workprocess
"{2C7749D8-584C-471D-AEFF-C677570CEC98}"= Disabled:UDP:C:\Program Files\Acer Zone\Acer Zone SoftDMA\SoftDMA.exe:CyberLink SoftDMA
"{6C2ADED2-5CD6-425A-A80E-00AA1D08D67B}"= Disabled:TCP:C:\Program Files\Acer Zone\Acer Zone SoftDMA\SoftDMA.exe:CyberLink SoftDMA
"{29278D60-0D80-4A89-8D19-3FAAAEB8CAB1}"= C:\Program Files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)|Edge=TRUE|

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]
"D:\BitTorrent\bittorrent.exe"= D:\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent

R1 pctfw2;pctfw2;C:\Windows\system32\drivers\pctfw2.sys [2007-09-19 15:26]
R1 pctmp;PC Tools Firewall Memory Protection Driver;C:\Windows\system32\drivers\pctmp.sys [2007-09-19 15:26]
R1 pctssipc;PC Tools Security Suite IPC Driver;C:\Windows\system32\drivers\pctssipc.sys [2007-09-19 15:26]
R3 SPC500NC;SPC 500NC Laptop Camera;C:\Windows\system32\DRIVERS\SPC610NC.SYS [2007-01-19 16:14]
R3 yukonwlh;NDIS6.0 Miniport Driver for Marvell Yukon Ethernet Controller;C:\Windows\system32\DRIVERS\yk60x86.sys [2006-11-09 02:52]
S3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\Windows\system32\DRIVERS\fbxusb32.sys [2004-10-20 14:23]
S3 WSVD;WSVD;C:\Windows\system32\drivers\WSVD.sys [2006-09-19 16:47]
S3 ZSMC0305;A4 TECH PC Camera V;C:\Windows\system32\Drivers\usbVM305.sys [2006-05-08 16:24]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{20714440-70d1-11dc-96e1-0007cb0000ff}]
\shell\Auto\command - cmd /C launch.bat
\shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL cmd /C launch.bat

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-26 22:18:41
Windows 6.0.6000 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\PC Tools Firewall Plus\FWService.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\conime.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Windows\ehome\ehmsas.exe
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
.
**************************************************************************
.
Temps d'accomplissement: 2008-02-26 22:20:59 - machine was rebooted [mac30@hotmail.fr]
ComboFix-quarantined-files.txt 2008-02-26 21:20:54
ComboFix2.txt 2008-02-26 20:01:01
.
2008-02-26 19:38:26 --- E O F ---

Utilisateur anonyme · Answer

Re ,ok  j'attends les 2 autres.
a+

balou30 · Answer

VOICI LE DEUXIEME RAPPORT


Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2008.2.22.0 2008.02.22 - 
AntiVir 7.6.0.67 2008.02.22 - 
Authentium 4.93.8 2008.02.22 - 
Avast 4.7.1098.0 2008.02.22 - 
AVG 7.5.0.516 2008.02.22 - 
BitDefender 7.2 2008.02.22 - 
CAT-QuickHeal 9.50 2008.02.22 - 
ClamAV 0.92.1 2008.02.22 - 
DrWeb 4.44.0.09170 2008.02.22 - 
eSafe 7.0.15.0 2008.02.21 - 
eTrust-Vet 31.3.5555 2008.02.22 - 
Ewido 4.0 2008.02.22 - 
FileAdvisor 1 2008.02.22 - 
Fortinet 3.14.0.0 2008.02.22 - 
F-Prot 4.4.2.54 2008.02.22 - 
F-Secure 6.70.13260.0 2008.02.22 - 
Ikarus T3.1.1.20 2008.02.22 - 
Kaspersky 7.0.0.125 2008.02.22 - 
McAfee 5236 2008.02.22 - 
Microsoft 1.3204 2008.02.22 - 
NOD32v2 2896 2008.02.22 - 
Norman 5.80.02 2008.02.22 - 
Panda 9.0.0.4 2008.02.22 - 
Prevx1 V2 2008.02.22 - 
Rising 20.32.42.00 2008.02.22 - 
Sophos 4.26.0 2008.02.22 - 
Sunbelt 3.0.890.0 2008.02.22 - 
Symantec 10 2008.02.22 - 
TheHacker 6.2.9.226 2008.02.22 - 
VBA32 3.12.6.1 2008.02.21 - 
VirusBuster 4.3.26:9 2008.02.22 - 
Webwasher-Gateway 6.6.2 2008.02.22 - 
Information additionnelle 
File size: 319488 bytes 
MD5: 201f07f6e5e08b41b5bcc2ab3d339ecc 
SHA1: e5139b16a8fffcce46cb1bb21dc7d01f59b5b3ff 
PEiD: -

Utilisateur anonyme · Answer

Le 3ème maintenant ;)

balou30 · Answer

PAR CONTRE POUR LE 3EME RAPPORT JE NE SAIS PAS SI C SA QUE TU VEUX



Service load:  0%        100%  
 
File:  SysMonitor.exe  
Status:  OK  
MD5:  201f07f6e5e08b41b5bcc2ab3d339ecc  
Packers detected:  - 
Bit9 reports:  Not analyzed yet (more info)  
 
Scanner results  
Scan taken on 26 Feb 2008 21:33:21 (GMT)  
A-Squared  Found nothing 
AntiVir  Found nothing 
ArcaVir  Found nothing 
Avast  Found nothing 
AVG Antivirus  Found nothing 
BitDefender  Found nothing 
ClamAV  Found nothing 
CPsecure  Found nothing 
Dr.Web  Found nothing 
F-Prot Antivirus  Found nothing 
F-Secure Anti-Virus  Found nothing 
Fortinet  Found nothing 
Ikarus  Found nothing 
Kaspersky Anti-Virus  Found nothing 
NOD32  Found nothing 
Norman Virus Control  Found nothing 
Panda Antivirus  Found nothing 
Rising Antivirus  Found nothing 
Sophos Antivirus  Found nothing 
VirusBuster  Found nothing 
VBA32  Found nothing

Utilisateur anonyme · Answer

Re , sa ira ;)

Tu peux reposter un rapport Hijackthis histoire de vérifier ?
a+

balou30 · Answer

Avec plaisir mais c'est quoi stp un rapport hitjack (desolé)

Utilisateur anonyme · Answer

Re , lol t'as oublié ^^ Pas grave : Télécharge HJT Place le dans ' C:\programmes\ ' Une fois cela fait , merci de renommer l'icône ( clique droit > renommer )' Hijackthis.exe 'située dans le dossier dans C:\ , en ' HJT.exe ' <<<<<<<<< Important !!! <<<<<<< Le chemin d'accés du programme doit être ressemblant à celui-ci : C:\Programme\Hijackthis\HJT.exe -> Ne pas renommer l'icône du raccourci sur le bureau bien entendu ... Puis lance-le et choisi l'option '' do a system scan and save a logfile '' et poste moi le rapport ( qui apparait sur le bloc-note ) Tuto si tu n'y arrive pas : http://pageperso.aol.fr/balltrap34/demohijack.htm +++

balou30 · Answer

VOICI LE RAPPORT


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:53:36, on 26/02/2008
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16609)
Boot mode: Normal

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\conime.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\SysMonitor.exe
C:\Windows\VM305_STI.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\Explorer.exe
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Windows\ehome\ehmsas.exe
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.fr.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\Windows\system32\SysMonitor.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [BigDog305] C:\Windows\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SPC500NC_Monitor] C:\Windows\Philips\SPC500NC\Monitor.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [00PCTFW] "C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe" -s
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ares] "D:\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'Default user')
O4 - Startup: Xinek.lnk = ?
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix: 
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O23 - Service: ePerformance Service (AcerMemUsageCheckService) - Unknown owner - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - D:\Ares\chatServer.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:\Program Files\PC Tools Firewall Plus\FWService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

Utilisateur anonyme · Answer

Re ,


Touche ' Windows+R ' ( reviens à executer ) > ' services.msc ' ,

- Clic droit sur le service cité -   Symantec Lic NetConnect service (CLTNetCnService)   ( ou quelque chose de ressemblant )
- propriétés
- et dans "type de démarrage" et mets le sur « désactivé ».
- Ensuite si le "Status du service" est sur "Démarré" faire : « arrêté » 

Tutorial : https://www.zebulon.fr/dossiers/windows/31-services.html

*********************************************

Ferme toutes les applications en cours, puis télécharge ToolsCleaner2 sur ton Bureau.

# Double clique sur ToolsCleaner2.exe >
# Clique sur .Recherche
# puis sur Suppression quand la liste est trouvée.
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). 
# Note : ton bureau RISQUE de disparaître, c'est normal. S'il n'apparaît pas à la fin du scan, fais la manip suivante :

CTRL+ALT+SUPP pour ouvrir le Gestionnaire des tâches.
Puis rends toi à l'onglet "Processus". Clique en haut à gauche sur Fichiers et choisis "Exécuter"

Tape explorer.exe et valide. Cela fera re-apparaître le Bureau

Tuto : http://www.commentcamarche.net/faq/sujet 8341 toolscleaner suppression des fix de force brute ( merci espion3004 )

A+

balou30 · Answer

il me met "impossible de créer le fichier C:\TCleaner.txt. accès refusé

Utilisateur anonyme · Answer

Re , pas grave on s'en fout , l'important c'est que tu es lancé Toolcleaner.
Au fait il à bien fonctionné ? ( cherche si il te reste les logiciels que je t'ai fait téléchargé ( Hijackthis , combo ... )) 

**********************************************************

Recache les fichiers protégés du Systeme d'exploitation 
Que je t'avais fait démasquer ici

***************************************************

Maintenant que ton PC n'est plus infecté, désactive ta "Restauration du système" puis réactive la, ce qui créer un point de restauration sain...

Désactivation :
Clique droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > coche la case "Désactiver la Restauration du système sur tous les lecteurs"
> Applique patiente jusqu’à ce que cela soit marqué "désactivé" puis Ok.

Activation :
Suivre le même chemin ; décoche la case "Désactiver la Restauration du système sur tous les lecteurs"
> Applique attends que cela soit à nouveau sur "surveillance" puis Ok. Redémarre l'ordinateur.

********************************************
Tiens moi au courant
Je vais me coucher.
A+

balou30 · Answer

Merci beaucoup pour aide je ne sais pas comment te remercier.


Bonne nuit et encore merci.

Je te dirais en détail ce que j'ai fais

balou30 · Answer

DONC VOICI MES MANIP


1°) Je te confirme qu'il reste certain logiciels que tu ma demander de télécharger

voici un copier/coller de Toolcleaner

C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !


2°) J'ai bien recacher les fichiers protégés

3°) Enfin en faisant un clique droit sur poste de travail il n'ya pas l'onglet restauration donc j'ai créer un point de restauration a cette date mais je ne sais pas si j'ai bien fait


En tous cas merci

Juste une dernière question doit je désinstaller : tollcleaner, HJT etc..


Merci et peut être a demain

Utilisateur anonyme · Answer

Re ,  oui je me suis trompé , je t'ai filé la manip pour XP  =S
voici le tutorial pour créer un nouveau point de restauration sous Vista

http://www.libellules.ch/restauration_system_vista.php

******************************************

Vire Hijackthis ( si ce n'est pas déja fait ) , Combofix , Toolcleaner , cleanup , Elibagla , Otmoveit.

*****************************

Voila si tu as fait tout cela c'est OK !   ;)

Par contre , va-y doucement avec les programme du genre E-mule , Bittorrent et autres ...  cela ne t'apportera que des saloperies à long terme.

Bonne continuation ;)
a+

balou30 · Answer

ok merci beaucoup pour tes conseils et ton aide.

Utilisateur anonyme · Answer

De rien ;)
A+

alexandrezeke · Answer

Après avoir téléchargé un programme sur eMule et après l'avoir installé, le virus wintems.exe s'est installé sous C:/Windows. Il a désactivé toutes les protections de l'ordinateur (Centre de Sécurité Windows) et a mis hors d'usage l'antivirus Avast.

Wintems.exe est active dès le démarrage de Windows. Vous ne pouvez pas le supprimer. Pour le désactivé au démarrage, faite Démarrer / Exécuter. Exécuter la commande msconfig.exe. Puis sur l'onglet « Démarrage », décochez la case correspondant à wintems.exe.

Pour rétablir le Centre de Sécurité Windows, il faut aller dans Panneau de Configuration / Outils d'administration / Services. Sur le service  Centre de Sécurité, cliquez droit puis propriété et sélectionné type de démarrage Automatique.

Sous Vista ou selon votre systèmes d'exploitation, vous devrez sûrement réactivé les autres protections (Windows Defender, Pare-Feu...), en procédant de la même manière ( réactiver les services en démarrage Automatique).

Pour Avast, il faut également réactiver les services en démarrage Automatique puis effectuer aller sur Ajout / Suppression de programmes, cliquez sur Avast comme-ci vous souhaitez le désinstallé, plusieurs options sont alors possibles : Suppression, Réparer... Sélectionné Réparez.

Redémarrer votre PC, vous pouvez maintenant supprimer manuellement wintems.exe sous C:/Windows. En suivant les étapes ci-dessus, Avast et votre centre de sécurité sont réactivé.

Le problème n'est pour autant pas régler, même en ayant supprimé wintems.exe. En faite, wintems  infecte d'autres programmes tels que Windows Messenger et installe un autre virus du nom de : mdelk.exe installé sous C:/Windows.

Si vous ne pouvez pas supprimer ce virus à l'aide de l'antivirus ou manuellement, c'est sûrement parce qu'il faut désactivé au démarrage, faite Démarrer / Exécuter. Exécuter la commande msconfig.exe. Puis sur l'onglet « Démarrage », décochez la case correspondant à mdelk.exe. Vous pourrez alors le supprimer au prochain démarrage.

Comme je le disais, wintems a également infecté d'autres programmes tels que Windows Messenger. Par exemple, lorsqu'on exécute Windows Messenger, l'éditeur du programme est alors inconnu est Windows demande si vous souhaitez vraiment exécuter ce programme ? Si vous l'exécutez, wintems s'installera de nouveau et le bazar recommencera. Vous devez supprimer Windows Messenger (et le réinstaller).

Il y a peut-être d'autres programmes affectés. Il faudra faire attention lorsque vous les exécuterez. Il est conseiller de faire une recherche de virus intégrale sur l'ensemble de vos disques C:/, D:/... Cela prendra du temps !

WINTEM.EXE

51 réponses

Votre réponse

Newsletters