Virus: Trojan-Downloader.Bagle et Email-Worm. Résolu/Fermé

Question

Bonjour,
   Trojan-Downloader.Win32.Bagle.jd 
   Email-Worm.Win32.Bagle.of 
Voilà ce qui m'ennuie aprés analyse avec Kaspersky on-line scanner.
Je suis loin d'être un spécialiste en informatique, mais je souhaiterais éliminer ces virus!
J'ai comme antivirus: Avast (qui ne fonctionne d'ailleurs plus, avec comme message: ...n'est plus une application Win32 valide.)
De plus j'ai depuis l'apparition de l'écran bleu qui me demande de contacter mon administrateur, et je dois alors arrêter mon PC!
Cela dure depuis plus d'1 semaine!
Merci pour votre aide, si vous avez besoin d'autres renseignements...

g!rly · Answer

Bonjour,

Télécharge ELIBAGLA en bas de cette page
http://www.zonavirus.com/datos/descargas/95/elibagla.asp (clique sur le bouton "Descargar Elibagla") sur ton bureau.

Lance-le, de préférence en mode sans échec si tu en as la possibilité, en mode normal dans le cas contraire. Patiente le temps du scan.
Lorsqu'il a terminé, poste le contenu du fichier infoSat.txt qui se trouve dans Poste de travail > Disque C:\
Et par la même occasion, précise si tu peux à nouveau démarrer en mode sans échec.

***Ne pas rebooter en passant par msconfig.

Comment redémarrer en mode sans echec? 

   Tu redemarre le pc et tapote la touche F8 des le début de l allumage sans t´arrêter.
   Une fenêtre sur fond noir va s’ouvrir, tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
   capture d´ecran : http://www.coupdepoucepc.com/images_cdppc4/fichespratiques/windowsxp/modese/modese2.jpg
   Une fois sur le bureau si il n y a pas toutes les couleurs et autres c´est normal!
   Ps : si F8 ne marche pas utilise la touche F5.

post le rapport infoSat.txt qui se trouve dans Poste de travail > Disque C:\

@+

afideg · Answer

Bonjour g!rly,
Un petit up, pour suivre.
Beaucoup de plantages logiciels ...dont Antivir. => difficile de réagir.
Un internaute a réinstallé IE7. (?) . Puis OK.
Merci
Al.

g!rly · Answer

Bonjour Afideg,
Merci pour le soutient ;-)
@+

Poucetinou · Answer

Voila le résultat G!rly:
 
   	  Tue Feb 05 14:28:19 2008
EliBagle v10.97  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"

	  Tue Feb 05 14:31:18 2008
EliBagle v10.97  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Program Files\SlySoft\AnyDVD\ANYDVD.EXE --> Eliminado Bagle.dldr

Nº Total de Directorios:   6471
Nº Total de Ficheros:      83251
Nº de Ficheros Analizados: 11572
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados:  1

	  Tue Feb 05 14:50:25 2008
EliBagle v10.97  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

	  Tue Feb 05 15:01:38 2008
EliBagle v10.97  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

	  Mon Feb 11 14:20:05 2008
EliBagle v10.98  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"

	  Mon Feb 11 14:20:48 2008
EliBagle v10.98  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Program Files\SlySoft\AnyDVD\ANYDVD.EXE --> Eliminado Bagle.dldr

Nº Total de Directorios:   6479
Nº Total de Ficheros:      87484
Nº de Ficheros Analizados: 11557
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados:  1

@+

g!rly · Answer

Ok.

Arrives tu as passer cette outil?

Télécharge combofix.exe (par sUBs) sur ton Bureau.

-> http://download.bleepingcomputer.com/sUBs/ComboFix.exe     

-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

@+

Poucetinou · Answer

Même Internet ne fonctionne plus, il tourne sans cesse et j'ai des difficultés à te transmettre les messages!
Je fais des Ctrl, Alt, Suppr en quantité...
Bon , j'ai téléchargé ComboFix mais il refuse de l'ouvrir, je l'ai donc désinstaller puis réinstaller: pareil!!!
C'est grave Doc?
En plus il m'a modifié l'affichage du Bureau!!! Bizarre!!!
@+

Poucetinou · Answer

G!rly, je m'absente un moment (obligation) mais j'attends tes instructions!!!
Merci @+

g!rly · Answer

Re,

Repasse Eliblaga en mode sans echec;  le mode sans echec devrait etre retabli.

Restaurada Clave: "SafeBoot\Minimal y Network"

Post le nouveau rapport infoSat.txt qui se trouve dans Poste de travail > Disque C:\

@+

Poucetinou · Answer

Me revoilou!
2 tentatives de mise en mode sans échec, 2 écrans bleus, impossible d'avancer!
Désolé!
@+

g!rly · Answer

Re,

on va essayer comme ceci :

Télécharge DiagHelp sur ton bureau:

http://www.malekal.com/download/DiagHelp.zip

# Décompresse l'archive sur ton bureau
# Dans le dossier DiagHelp que tu viens d'extraire, double-clique sur catchme.exe
# Deux fenêtres vont s'ouvrir: dans celle qui est grise, va dans l'onglet "script"
# Copie-colle ce texte dans l'onglet "script":

files to kill:
C:\WINDOWS\SYSTEM32\WINTEMS.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE

* Clique sur "run"
* Redémarre le PC
* Une fois redémarré, relance un scan EliBagla et poste le rapport.

@+

Poucetinou · Answer

Quand je clique sur "run", il apparait le message:
"Script completed with errors"! (avec le signe danger)
Help me!
@+

g!rly · Answer

Re,

ressaie Eliblaga stp 

et post le resultat

@+

Poucetinou · Answer

je viens de trouver ça sur le bureau:
catchme.log-Bloc-Notes
read file error: C:\WINDOWS\SYSTEM32\WINTEMS.EXE , Le fichier spécifié est introuvable.
read file error: C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS , Le fichier spécifié est introuvable.
read file error: C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE , Le fichier spécifié est introuvable.

Processing "Files to kill:"

read file error: C:\WINDOWS\SYSTEM32\WINTEMS.EXE , Le fichier spécifié est introuvable.
read file error: C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS , Le fichier spécifié est introuvable.
read file error: C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE , Le fichier spécifié est introuvable.

Processing "Files to kill:"

read file error: C:\WINDOWS\SYSTEM32\WINTEMS.EXE , Le fichier spécifié est introuvable.
read file error: C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS , Le fichier spécifié est introuvable.
read file error: C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE , Le fichier spécifié est introuvable.

Processing "Files to kill:"

read file error: C:\WINDOWS\SYSTEM32\WINTEMS.EXE , Le fichier spécifié est introuvable.
read file error: C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS , Le fichier spécifié est introuvable.
read file error: C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE , Le fichier spécifié est introuvable.


je réessais avec Eliblaga
@ tout de suite...

g!rly · Answer

Ok,

Merci .

@+

Poucetinou · Answer

Tue Feb 05 14:28:19 2008
EliBagle v10.97  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"

	  Tue Feb 05 14:31:18 2008
EliBagle v10.97  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Program Files\SlySoft\AnyDVD\ANYDVD.EXE --> Eliminado Bagle.dldr

Nº Total de Directorios:   6471
Nº Total de Ficheros:      83251
Nº de Ficheros Analizados: 11572
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados:  1

	  Tue Feb 05 14:50:25 2008
EliBagle v10.97  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

	  Tue Feb 05 15:01:38 2008
EliBagle v10.97  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.

	  Mon Feb 11 14:20:05 2008
EliBagle v10.98  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"

	  Mon Feb 11 14:20:48 2008
EliBagle v10.98  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Program Files\SlySoft\AnyDVD\ANYDVD.EXE --> Eliminado Bagle.dldr

Nº Total de Directorios:   6479
Nº Total de Ficheros:      87484
Nº de Ficheros Analizados: 11557
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados:  1

	  Mon Feb 11 17:10:02 2008
EliBagle v10.98  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"

	  Mon Feb 11 17:10:08 2008
EliBagle v10.98  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Program Files\SlySoft\AnyDVD\ANYDVD.EXE --> Eliminado Bagle.dldr

Nº Total de Directorios:   6482
Nº Total de Ficheros:      87677
Nº de Ficheros Analizados: 11578
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados:  1

Y-a-t-il du changement?

g!rly · Answer

Re,

non c´est pareil,

1/ Télécharger The Avenger par Swandog46 sur votre Bureau.

http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

l'extraire sur le bureau

2/ Copier tout le texte ci-dessous : mettre en surbrillance et faire un clic droit/ copier

Drivers to unload:
SROSA

Files to delete:
C:\WINDOWS\SYSTEM32\WINTEMS.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE
C:\WINDOWS\system32\MDELK.EXE
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT

Folders to delete:
c:\WINDOWS\system32\drivers\down

Ouvre le Bloc-Note et clic sur le menu Edition/Coller afin de coller le contenu qui est dans le cadre ci-dessus
Important : Tu dois avoir le contenu du cadre ci-dessous dans le bloc-note, vérifie qu'il n'y a pas de lignes manquantes au début ou à la fin.
- Enregistre le fichier sur ton bureau sous le nom remove.txt

Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

3/ Maintenant, lancer The Avenger en cliquant sur son icône du bureau.

* Sous "Script file to execute" choisir "Input Script Manually".
* Puis cliquer sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit script"
* Dans cette fenêtre, coller le texte précédemment copié sur le bureau par les touches (Ctrl+V).
* Cliquer Done
* ensuite cliquer sur l'icône en forme de Feu Vert pour démarrer l'exécution du script
* Répondre "Yes" deux fois quand demandé.

4/ The Avenger va automatiquement faire ce qui suit:

* Il va Re-démarrer le système. ( Dans les cas où le script contient un/des "Drivers to Unload", The Avenger re-démarrera votre système 2 fois.)
* Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur votre bureau, ceci est NORMAL.
* Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaître les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
* The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et transféré l'archive zip ici : C:\avenger\backup.zip.

5/ poste le rapport C:\avenger.txt

@+

afideg · Answer

g!rly

Cette ligne: C:\Program Files\SlySoft\AnyDVD\ANYDVD.EXE --> Eliminado Bagle.dldr 

L'internaute connait-il les composants : SlySoft\AnyDVD

Al

Poucetinou · Answer

je ne suis pas allé bien loin, j'ai le message:
C:\DOCUME..............\avenger[1].zip\avenger.exe n'est pas une application Win32.valide.
Je commence à être navré pour toi!
Dans le message de AL, ce sont 2 logiciels que je posséde depuis un certain temps déja (plus d'1 an) qui permettent de faire des copies de DVD et de CD donc!
@+

afideg · Answer

Re, Merci Peux-tu faire analyser le fichier chez VirusTotal, comme ceci: C:\Program Files\SlySoft\AnyDVD\ANYDVD.EXE 1°- Assure toi d'avoir accès aux dossiers/fichiers cachés : Soit en faisant : Ouvrir un dossier, n'importe lequel. Aller dans "Outils" >"Options des dossiers" > "Affichage" Soit en faisant « Démarrer »/ »PanneauConfiguration/OptionsDossiers /onglet « Affichage » et là : cocher la case devant les lignes: - afficher les fichiers et dossier cachés - afficher contenu dossier système décocher la case devant les lignes: - masquer les extensions des fichiers dont le type est connu - masquer les fichiers protégés du système d'exploitation Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte. Puis cliquer APPLIQUER à TOUS les Dossiers > [OK] Si tu n'es pas à l'aise dans la navigation des dossiers, je t'invite à suivre ce tutorial : < http://www.malekal.com/rechercher_fichiers.php > 2°- Vas là :< https://www.virustotal.com/gui/ > •- sur la page qui s'affiche tu cliques sur [Parcourir] •- ensuite sur la nouvelle page qui s'affiche, tu suis le chemin du fichier ANYDVD.EXE c'est-à-dire via "Poste de travail" > C:\Program Files\SlySoft\AnyDVD\ •- quand tu as trouvé le fichier ANYDVD.EXE , tu fais "ouvrir" ( sur cette dernière page affichée) •- le fichier ANYDVD.EXE se retrouve alors ainsi dans la fenêtre de Virustotal, pour l'analyse •- là, tu cliques sur "send file" ( de la page de Virustotal ) •- et tu attends le résultat (il faut parfois patienter) •- que tu postes sur le forum ( par un copier/coller de tout le texte de l’analyse ) Tutoriel ici http://bibou0007.com/tutos-f45/tutorial-sur-virustotal-t190.htm 3°- Merci pour ta collaboration Al.

Mérillym de 01.net · Answer

Bonjour,

Poucetinou, arrives-tu à accéder au mode sans échec ?

Autre question : as-tu un clavier et/ou une souris sans fil ?

++

Poucetinou · Answer

Fichier RegAnyDVD.exe reçu le 2008.02.11 18:26:14 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE 


Résultat: 0/32 (0%)
en train de charger les informations du serveur... 
Votre fichier est dans la file d'attente, en position: 10.
L'heure estimée de démarrage est entre 66 et 95 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse. 
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier. 
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération. 
 Formaté Impression des résultats  
Votre fichier a expiré ou n'existe pas. 
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée. 
 Email:  
  

Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2008.2.12.10 2008.02.11 - 
AntiVir 7.6.0.62 2008.02.11 - 
Authentium 4.93.8 2008.02.11 - 
Avast 4.7.1098.0 2008.02.10 - 
AVG 7.5.0.516 2008.02.11 - 
BitDefender 7.2 2008.02.11 - 
CAT-QuickHeal None 2008.02.11 - 
ClamAV 0.92 2008.02.11 - 
DrWeb 4.44.0.09170 2008.02.11 - 
eSafe 7.0.15.0 2008.02.11 - 
eTrust-Vet 31.3.5527 2008.02.11 - 
Ewido 4.0 2008.02.11 - 
FileAdvisor 1 2008.02.11 - 
Fortinet 3.14.0.0 2008.02.11 - 
F-Prot 4.4.2.54 2008.02.11 - 
F-Secure 6.70.13260.0 2008.02.11 - 
Ikarus T3.1.1.20 2008.02.11 - 
Kaspersky 7.0.0.125 2008.02.11 - 
McAfee 5226 2008.02.08 - 
Microsoft 1.3204 2008.02.11 - 
NOD32v2 2865 2008.02.11 - 
Norman 5.80.02 2008.02.11 - 
Panda 9.0.0.4 2008.02.10 - 
Prevx1 V2 2008.02.11 - 
Rising 20.29.22.00 2008.01.30 - 
Sophos 4.26.0 2008.02.11 - 
Sunbelt 2.2.907.0 2008.02.09 - 
Symantec 10 2008.02.11 - 
TheHacker 6.2.9.216 2008.02.11 - 
VBA32 3.12.6.0 2008.02.10 - 
VirusBuster 4.3.26:9 2008.02.11 - 
Webwasher-Gateway 6.6.2 2008.02.11 - 
Information additionnelle 
File size: 65536 bytes 
MD5: 6392d905aedc5b25eae06d58a395bd19 
SHA1: 0a9f97c6fb42227f11a066ce10ea87b3853d30d9 
PEiD: - 

Voila le rapport, il n'y avait pas la touche "formate", alors j'ai fait un copier coller!
Merci pour ton dévouement!
@+

Mérillym de 01.net · Answer

Réponds à mes questions stp ;)

Poucetinou · Answer

sorry Mérillym, je n'avais pas vu ton message.
J'ai tenté en effet plusieurs fois à la demande de G!rly une reprise en mode sans échec, mais toujours sans succés, il m'apparait l'écran bleu ou alors j'arrive sur le bureau et je ne peux plus rien faire!

J'ai une souris sans fil : Logitech et un clavier filaire Speed Link

Merci @+

Mérillym de 01.net · Answer

Re,

==> [g]Démarrer [/g]=> [g]Exécuter[/g] => tape [g]msconfig[/g] puis valide => [g]onglet Démarrage [/g]

Es-tu capable de repérer les cases associées à ton clavier et à ta souris ?

Ton clavier est avec fil ?

As-tu une souris avec fil sous la main ?

pour le mode sans échec qui ne marche, c'est normal je m'y attendais ^^ On va réparer tout ça mais j'ai besoin que tu répondes à ces questions préliminaires... sinon tu risques de te retrouver avec un PC qui n'a plus ni souris ni clavier :p

Mérillym de 01.net · Answer

Re, je recommence, les balises ne sont pas les mêmes que sur les forums que je fréquente ;)

Fais ça : menu démarrer, exécuter, tape "msconfig", vas dans l'onglet démarrage et dis-moi si tu es capable de repérer quelles sont les cases associées à ta souris et à ton clavier ;)

Poucetinou · Answer

Bien compris, je peux utiliser une souris avec fil et mon clavier en posséde un.
Mais que veux-tu dire par là: "repérer les cases associées au clavier et à la souris"?
Je vais donc remplacer ma souris sans fil par une autre avec fil!
OK?
@+

Poucetinou · Answer

Je suis dans l'onglet "démarrage" et j'ai 3 colonnes: élément de démarrage, commande et emplacement, mais je ne comprends pas encore "cases associées"?

Poucetinou · Answer

En tout cas le changement de souris s'est bien déroulée! ;)))

Mérillym de 01.net · Answer

re,

Dans l'onglet démarrage, tu as plusieurs lignes, chaque ligne correspond à une case... Tu remarqueras que certaines lignes sont liées à des programmes que tu reconnais, non ?

Comme je suppose qu'hijackthis te mets application win32 non valide, il faudrait, pour simplifier la chose que tu sois capable de repérer quelles sont les lignes qui correspondent à ton clavier mais surtout à ta souris, afin qu'on ne les décoche.

Sinon essaie de télécharger hijackthis en suivant cette astuce :

Rends-toi sur cette page :
http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/downl(...)

Sur la page tu as trois possibilités de téléchargement : le fichier install, un .zip ou l'"executable" (HJT lui meme quoi)
Fais un clique droit sur le troisième lien( dowload hijackthis executable ), enregistre la cible sous et là tu crées un dossier Hijackthis sur C: et tu renommes  le fichier .exe avant meme qu'il ne soit installé... Renomme le par exemple : "etHop"

Dis-moi si tu peux faire un scan avec hijackthis ;)


Voilà, tiens-moi au courant.

Pour info, je suis venu à bout de tous les bagles que j'ai croisés jusqu'à présent :D Donc on devrait y arriver.

++

Poucetinou · Answer

Encourageant ta dernière phrase, je m'exécute rapidement et te tiens au courant!
merci @+

Poucetinou · Answer

J'ai suivi tes instructions et je peux en effet effectuer un scan, enfin je crois est-ce que je clique sur:
"Do a system scan and save a logfile" ou un autre bouton?
J'attends :)

Mérillym de 01.net · Answer

Tu cliques sur "Do a system scan and save a logfile" et tu me postes le rapport ;) 

Si j'ai bien compris, maintenant ta souris et ton clavier sont avec fil ? :p

Poucetinou · Answer

oui, les 2 sur FIL et je scanne @+ pour le résultat!

Poucetinou · Answer

Rapide le scan!   

 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:43:36, on 11/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\Program Files\SPAMfighter\sfus.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\sistray.EXE
C:\WINDOWS\system32\keyhook.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Slim Multimedia Keyboard\MagicKey.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\Slim Multimedia Keyboard\OSD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe
C:\WINDOWS\explorer.exe
C:\HiJackThis\ehop.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.commentcamarche.net/forum/affich 4985476 virus trojan downloader bagle et email worm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\Raymond\Bureau\ELIBAGLA\EliBaglA.exe
O4 - HKCU\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Slim Multimedia Keyboard.lnk = C:\Program Files\Slim Multimedia Keyboard\MagicKey.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: SPAMfighter Update Service - SPAMfighter ApS - C:\Program Files\SPAMfighter\sfus.exe

Mérillym de 01.net · Answer

Re,

J'ai cru voir que tu avais effectué un scan online avec Kaspersky, non ?

Si oui tu peux me poster le rapport ?

Si non fais ça :

Fais un scan en ligne ici https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr (A faire avec Internet Explorer) 
 
Tutorial ici : http://bibou0007.com/tutos-f45/tutorial-kapersky-online-t394.htm

- Si tu as un probléme pour l'installation du Contrôle ActivX lis ceci http://www.inoculer.com/activex.php3

Poucetinou · Answer

C'est le rapport du scan avec Kaspersky.
    Est-ce suffisant ou veux-tu autre chose?
Merci.

KASPERSKY ON-LINE SCANNER REPORT  
Tuesday, February 05, 2008 10:15:39 PM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 5/02/2008
Enregistrements dans la base antivirus Kaspersky : 509900
 
 
Paramètres d'analyse 
Analyser avec la base antivirus suivante standard 
Analyser les archives vrai 
Analyser les bases de messagerie vrai 
 
Cible de l'analyse Zones critiques 
C:\WINDOWS
C:\DOCUME~1\Raymond\LOCALS~1\Temp\  
 
Statistiques de l'analyse 
Total d'objets analysés 19701 
Nombre de virus trouvés 2 
Nombre d'objets infectés 2 / 0 
Nombre d'objets suspects 0 
Durée de l'analyse 02:27:34 

Nom de l'objet infecté Nom du virus Dernière action 
C:\WINDOWS\$hf_mig$\KB890859\SP2QFE
toskrnl.exe  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\$hf_mig$\KB929338\SP2QFE
toskrnl.exe  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\$hf_mig$\KB931784\SP2QFE
toskrnl.exe  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\$NtUninstallKB890859$
toskrnl.exe  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\$NtUninstallKB929338$
toskrnl.exe  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\$NtUninstallKB931784$
toskrnl.exe  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\Debug\PASSWD.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\Driver Cache\i386
toskrnl.exe  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\Registration\{02D4B3F1-FD88-11D1-960D-00805FC79235}.{1B0494EF-4BD5-4076-AEEE-DC0AE3991FAC}.crmlog  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\SchedLgU.Txt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\Sti_Trace.log  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\CatRoot2\edb.log  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\CatRoot2	mp.edb  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\Antiviru.evt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\AppEvent.Evt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\default  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\default.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\Internet.evt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\Media Ce.evt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SAM  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SAM.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SecEvent.Evt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SECURITY  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SECURITY.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\software  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\software.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SysEvent.Evt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\system  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\system.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\drivers\hldrrr.exe  Infecté : Trojan-Downloader.Win32.Bagle.jd  ignoré  
 
C:\WINDOWS\system32\drivers\sptd.sys  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\h323log.txt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\mdelk.exe  Infecté : Email-Worm.Win32.Bagle.of  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\wiadebug.log  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\wiaservc.log  L'objet est verrouillé  ignoré  
 
C:\DOCUME~1\Raymond\LOCALS~1\Temp\~DF823D.tmp  L'objet est verrouillé  ignoré  
 
Analyse terminée.

Mérillym de 01.net · Answer

Tes données importantes ont-elles bien été sauvegardées ?


Imprime les instructions suivantes car il va y avoir un redémarrage de l'ordinateur ;)

*************************************************************************

1) Relance ELIBAGLA, cela va restaurer le mode sans échec.

2) Redémarre en mode sans échec ! aide ici : http://forum.telecharger.01net.com/forum/high-tech/SECURITE/Securite/redemarrer-mode-echec-sujet_1526_1.htm

3) Ouvre l'invite de commande : démarrage > programme > accessoire > invite de commande ou dans outils système > invite de commande
Tape les commandes suivantes successivement :

N.B :  si tu as des messages d'erreur lors de la suppression de certains fichiers, ne pas s'inquiéter, cela signifie qu'ils ne sont pas présents sur ta machine. Attention de ne pas faire de faute de frappe !

del c:\windows\system32\mdelk.exe > entrer : le fichier va s'effacer
puis
del c:\windows\system32\drivers\srosa.sys > entrer : le fichier va s'effacer
puis
del c:\windows\system32\drivers\hldrrr.exe > entrer : le fichier va s'effacer
puis
del c:\windows\system32\wintems.exe > entrer : le fichier va s'effacer

3) Désinstalle ton antivirus et réinstalle le ;)

4) Redémarre en mode normal et dis-moi si ton antivirus remarche ;)

;)

Poucetinou · Answer

J'avais également réalisé un scan avec ActiScan, si ça peut t'aider!   

 Incident                                                                        Statut                        Analyse                                                                                                                                                                                                                                                         

Virus:w32/bagle.hx.worm                                                         Désinfecté                    Système d’exploitation                                                                                                                                                                                                                                          
Spyware:Cookie/Advertising                                                      No Désinfecté                 C:\Documents and Settings\Raymond\Cookiesaymond@advertising[2].txt                                                                                                                                                                                            
Spyware:Cookie/Doubleclick                                                      No Désinfecté                 C:\Documents and Settings\Raymond\Cookiesaymond@doubleclick[1].txt                                                                                                                                                                                            
Spyware:Cookie/Overture                                                         No Désinfecté                 C:\Documents and Settings\Raymond\Cookiesaymond@overture[1].txt                                                                                                                                                                                               
Spyware:Cookie/Toplist                                                          No Désinfecté                 C:\Documents and Settings\Raymond\Cookiesaymond@toplist[1].txt                                                                                                                                                                                                
Spyware:Cookie/Xiti                                                             No Désinfecté                 C:\Documents and Settings\Raymond\Cookiesaymond@xiti[1].txt                                                                                                                                                                                                   
Virus:Trj/Downloader.RZC                                                        Désinfecté                    C:\Documents and Settings\Raymond\Local Settings\Temporary Internet Files\Content.IE5\4L6JMX0S\b64_1[1].jpg                                                                                                                                                     
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\Documents and Settings\Raymond\Local Settings\Temporary Internet Files\Content.IE5\4L6JMX0S\b64_31[1].jpg                                                                                                                                                    
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\Documents and Settings\Raymond\Local Settings\Temporary Internet Files\Content.IE5\8MACD8KY\b64_1[1].jpg                                                                                                                                                     
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\Documents and Settings\Raymond\Local Settings\Temporary Internet Files\Content.IE5\8MACD8KY\b64_1[2].jpg                                                                                                                                                     
Virus:W32/Bagle.QV.worm                                                         Désinfecté                    C:\Documents and Settings\Raymond\Local Settings\Temporary Internet Files\Content.IE5\8MACD8KY\b64_2[1].jpg                                                                                                                                                     
Virus:W32/Bagle.QV.worm                                                         Désinfecté                    C:\Documents and Settings\Raymond\Local Settings\Temporary Internet Files\Content.IE5\B39W234L\b64_2[1].jpg                                                                                                                                                     
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\Documents and Settings\Raymond\Local Settings\Temporary Internet Files\Content.IE5\NL15I5LL\b64_1[1].jpg                                                                                                                                                     
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\Documents and Settings\Raymond\Local Settings\Temporary Internet Files\Content.IE5\NL15I5LL\b64_1[2].jpg                                                                                                                                                     
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\Documents and Settings\Raymond\Local Settings\Temporary Internet Files\Content.IE5\NL15I5LL\b64_1[3].jpg                                                                                                                                                     
Virus:W32/Bagle.QV.worm                                                         Désinfecté                    C:\Documents and Settings\Raymond\Local Settings\Temporary Internet Files\Content.IE5\NL15I5LL\b64_2[1].jpg                                                                                                                                                     
Virus:W32/Bagle.QV.worm                                                         Désinfecté                    C:\Documents and Settings\Raymond\Local Settings\Temporary Internet Files\Content.IE5\NL15I5LL\b64_2[2].jpg                                                                                                                                                     
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\Documents and Settings\Raymond\Local Settings\Temporary Internet Files\Content.IE5\NL15I5LL\b64_31[1].jpg                                                                                                                                                    
Virus:Generic Malware                                                           Désinfecté                    C:\Program Files\Tweak-XP Pro 4	weak-xp.exe.BAK                                                                                                                                                                                                                
Virus:Generic Trojan                                                            Désinfecté                    C:\Program Files\Tweak-XP Pro 4	weak-xp.pro.4.07.retail-patch.exe                                                                                                                                                                                              
Security Risk:HackTool/Gendel.A                                                 No Désinfecté                 C:\WINDOWS\gendel32.exe                                                                                                                                                                                                                                         
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\100953.exe                                                                                                                                                                                                                     
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\103343.exe                                                                                                                                                                                                                     
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\106921.exe                                                                                                                                                                                                                     
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\108000.exe                                                                                                                                                                                                                     
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\119000.exe                                                                                                                                                                                                                     
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\14611906.exe                                                                                                                                                                                                                   
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\14613546.exe                                                                                                                                                                                                                   
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\14614359.exe                                                                                                                                                                                                                   
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\14617703.exe                                                                                                                                                                                                                   
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\14620531.exe                                                                                                                                                                                                                   
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\14622375.exe                                                                                                                                                                                                                   
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\14623468.exe                                                                                                                                                                                                                   
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\14658468.exe                                                                                                                                                                                                                   
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\14663281.exe                                                                                                                                                                                                                   
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\14666453.exe                                                                                                                                                                                                                   
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\149234.exe                                                                                                                                                                                                                     
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\158656.exe                                                                                                                                                                                                                     
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\166437.exe                                                                                                                                                                                                                     
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\18213078.exe                                                                                                                                                                                                                   
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\18220953.exe                                                                                                                                                                                                                   
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\196859.exe                                                                                                                                                                                                                     
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\199140.exe                                                                                                                                                                                                                     
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\199546.exe                                                                                                                                                                                                                     
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\201640.exe                                                                                                                                                                                                                     
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\201750.exe                                                                                                                                                                                                                     
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\209062.exe                                                                                                                                                                                                                     
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\29168406.exe                                                                                                                                                                                                                   
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\29173406.exe                                                                                                                                                                                                                   
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\29175078.exe                                                                                                                                                                                                                   
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\29175640.exe                                                                                                                                                                                                                   
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\29180656.exe                                                                                                                                                                                                                   
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\29185937.exe                                                                                                                                                                                                                   
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\317500.exe                                                                                                                                                                                                                     
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\320484.exe                                                                                                                                                                                                                     
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\322828.exe                                                                                                                                                                                                                     
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\328656.exe                                                                                                                                                                                                                     
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\369890.exe                                                                                                                                                                                                                     
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\374250.exe                                                                                                                                                                                                                     
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\376390.exe                                                                                                                                                                                                                     
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\397265.exe                                                                                                                                                                                                                     
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\427859.exe                                                                                                                                                                                                                     
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\43711812.exe                                                                                                                                                                                                                   
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\48703.exe                                                                                                                                                                                                                      
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\52750.exe                                                                                                                                                                                                                      
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\53437.exe                                                                                                                                                                                                                      
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\60265.exe                                                                                                                                                                                                                      
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\60406.exe                                                                                                                                                                                                                      
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\61859.exe                                                                                                                                                                                                                      
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\62015.exe                                                                                                                                                                                                                      
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\62937.exe                                                                                                                                                                                                                      
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\62984.exe                                                                                                                                                                                                                      
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\65031.exe                                                                                                                                                                                                                      
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\66125.exe                                                                                                                                                                                                                      
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\66343.exe                                                                                                                                                                                                                      
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\70453.exe                                                                                                                                                                                                                      
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\70703.exe                                                                                                                                                                                                                      
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\71953.exe                                                                                                                                                                                                                      
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\72921.exe                                                                                                                                                                                                                      
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\73468.exe                                                                                                                                                                                                                      
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\74515.exe                                                                                                                                                                                                                      
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\75359.exe                                                                                                                                                                                                                      
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\76093.exe                                                                                                                                                                                                                      
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\80953.exe                                                                                                                                                                                                                      
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\83031.exe                                                                                                                                                                                                                      
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\89093.exe                                                                                                                                                                                                                      
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\95343.exe                                                                                                                                                                                                                      
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\drivers\down\97734.exe                                                                                                                                                                                                                      
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\mdelk.exe                                                                                                                                                                                                                                   
Virus:W32/Bagle.RC.worm                                                         Désinfecté                    C:\WINDOWS\system32\wintems.exe                                                                                                                                                                                                                                 
Virus:Generic Trojan                                                            Désinfecté                    D:\Logiciels\Architecture\1\ !Appartement 3D - Architecture et DÚcoration - Micro Application [ installer ].exe                                                                                                                                                 
Outil indésirable:Application/Altnet                                            No Désinfecté                 D:\Logiciels\KaZaa\kmd.exe                                                                                                                                                                                                                                      
Virus:W32/Gaobot.PBJ.worm                                                       Désinfecté                    D:\Logiciels\Tweak XP\Tweak-XP.Pro.v4.0.7.incl.patch-BetaMaster.by.ChingLiu	xp4trial.exe                                                                                                                                                                       
Virus:W32/Nuwar.C.worm                                                          Désinfecté                    E:\System Volume Information\_restore{937208FF-FB8E-4E9B-AA68-E2C63EDF4E29}\RP485\A0965658.exe                                                                                                                                                                  
Virus:W32/Nuwar.C.worm                                                          Désinfecté                    E:\System Volume Information\_restore{937208FF-FB8E-4E9B-AA68-E2C63EDF4E29}\RP500\A0981562.exe

Mérillym de 01.net · Answer

Je  t'ai mis une procédure, essaie et tiens-moi au courant ;)

Mérillym de 01.net · Answer

Ah, j'oubliais, si ça ne marche pas le mode sans échec, j'ai une autre procédure, enfin deux idées là, mais la deuxième elle comporte quelques risques, même si elle a déjà fait ses preuves avec deux internautes ;)

Enfin, on verra bien ce qu'il en est ;)

Tiens-moi au courant ++

afideg · Answer

Hello Mérillym 

C'est sympa, merci .
Je viens juste de rentrer.

g!rly ,pas eu le temps de te prévenir. kiitos.


Al

g!rly · Answer

Bonsoir Mérillym,

C´est cool d´avoir des helpers de 01 telcharger.com qui s´exportent par ici  ;-)

Peux tu m´expliquer succinctement pourquoi as tu demandé a Poucetinou de brancher une sourie et clavier avec fil?

Afideg, 

Pas de souci.

kiitos`

Mérillym de 01.net · Answer

Coucou G!rly ^^

Je ne m'exporte pas mais  afideg m'a demandé si gentiment que je n'ai pas refusé ;)

En fait l'histoire du clavier et de la souris avec fil, pour l'instant ce n'est pas utilie.

Avec un autre helpeur de 01.net, qui a son propre forum : http://sasi.xooit.fr/index.php , on a mis une méthode au point.

Seulement on s'est rendu compte qu'elle pouvait être risquée, surtout si l'internaute ne connait strictement rien en informatique.

On l'a essayé avec deux internautes, tout c'est bien passé, mais je préfère être prudent.

J'attends de voir si la procédure donnée ci-dessus marche, sinon, je lui donnerai l'autre, en prévenant des éventuels risque. 

^^

Poucetinou · Answer

Bonsoir à la bande, je m'immisce parmi vous,
Nous avons fait, pardon TU (MERILLYM) AS FAIT UN GRAND PAS, j'ai réinstallé Avast et ça fonctionne!!! :))))
J'ai suivi ta 1ère procédure avec qques difficultés car quand je passais en mode sans échec, il apparaissait aussitôt l'écran bleu avec le message que j'ai décrit en message 5, et j'ai du éteindre puis rallumer le PC plusieurs fois mais un moment j'ai pu passer...
Est-ce que j'ai qque chose d'autre à faire maintenant à la suite de ce j'ai réalisé depuis?
J'attends tes instructions :))))
Je te remercie déja pour ça, c'est bien sympa de ta part, j'étais mal barré depuis une dizaine de jours...
@ tout de suite...

g!rly · Answer

Salut merillym,

Ok je comprends mieux alors ton intervention; merci Afideg ;-)

C´est cool en meme temps car je commencais un peu a ramer...

En faite ma prochaine étape/essaie aurait ete de renomer avenger et de tenter le script que j´avais etablie; mais tu es arrivée :D

Je suis bien curieuse de voir comment tu vas t´y prendre ,-)

Esperons qu´il n´arrive pas a redemarrer en mode sans echec pour que je voie ton autre manip! Non j´déconne LOL

En tous cas je suis...

ps : merci pour le lien ;-)

@+

Poucetinou · Answer

Merci aussi à toi G!rl, c'est bien sympa d'avoir commencé à m'aider et Merillym a pris le relais.
Non malheureusement, j'espère, tu ne verras pas la deuxième procédure à moins que...
Bonne soirée G!rl :)

Mérillym de 01.net · Answer

Re, 

Au grand désespoir de G!rly, il ne verra pas la deuxième procédure et d'ailleurs, je suis content de ne pas avoir besoin d'elle. Elle n'est pas sans risque ^^

Bon,  Poucetinou, je pense que je peux te laisse entre les mains de g!rly maintenant, il sait quoi faire pour finir la désinfection ^^

Je suis le topic jusqu'à sa résolution pour voir si tout est ok ^^

Bonne soirée à tous et content d'avoir pu être utile ^^

++

afideg · Answer

Bravo et merci Mérillym 
Bonne soirée
Albert

Poucetinou · Answer

En tout cas je garde sous le coude précieusement tes coordonnées (enfin j'ai le pseudo) et si j'ai besoin, crois-moi, je n'hésiterais pas à te recontacter, je plaisante, ça fait bien 4 à 5 ans que je n'ai pas eu de problèmes donc tu vois tu es tranquille pour un moment :))))
Encore merci, bonne soirée et bonne chance pour avec les autres...
A nous G!rl, puiqu'il faut terminer ;)))

g!rly · Answer

Bien joué Mérillym,

Dommage pour l´autre manip` peut etre une autre fois?!

Bon g!rly elle va continuer alors...

Poucetinou,

Maintenant combofix devrait passer sans probleme? 

peux tu poster son rapport ici stp

Avant d'utiliser ComboFix :

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

@+

Poucetinou · Answer

Ok j'opère!
@+ Girl!

g!rly · Answer

ok

Poucetinou · Answer

Je reviens plus tôt que prévu, toujours "...win32 invalide", mais j'ai repris le même!

g!rly · Answer

ok

desinstales le :

clcick sur demarrer > executer > tape ceci : Combofix /u valide par ok (respect l´espace)

reprends le ici : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

@+

Mérillym de 01.net · Answer

Re,

Oui désolé je viens de voir que c'était G!rly avec un "E". Toutes mes excuses. Quant à moi c'est Mérillym, sans "E", donc il ^^


Bonne continuation à tous les deux ;)

++

g!rly · Answer

Re,

Les pseudos c´est comme les éléphants; ca trompent...

Bonne continuation`

@+

poucetinou · Answer

j'ai du mal à passer mes messages, Internet fais des siennes je viens encore d'être déconnecté!
j'ai donc fait ce que tu m'as dit, je n'ai pas vu grand chose, mais d'ailleurs aurais-je du voir qquechose?
@+

afideg · Answer

Euh 
Chez moi, il fait déjà nuit
;)

g!rly · Answer

Afideg,

Chez moi aussi, d´ailleur je tombe de fatigue...

poucetinou,

combofix aurait du se supprimer tout seul.

tu l´as repris?

@+

Poucetinou · Answer

Oui, tu m'as donné le lien!
J'aurai peut-être pas du, alors?
@+

Poucetinou · Answer

Non effectivement, je n'ai plus CombiFix!
J'avais pas vu qu'il avait disparu!
Tant mieux, non?
@+

g!rly · Answer

Re,

retelecharge le et fais un scan avec 

Télécharge combofix.exe (par sUBs) sur ton Bureau.

-> http://download.bleepingcomputer.com/sUBs/ComboFix.exe     

-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.


Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

@+

Poucetinou · Answer

Voila le rapport! @+ Je suis obligé de me réidentifier à chaque fois!!! ComboFix 08-02-12.1 - Raymond 2008-02-13 0:02:36.3 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.574 [GMT 1:00] Endroit: C:\Documents and Settings\Raymond\Local Settings\Temporary Internet Files\Content.IE5\ETVC0N2R\ComboFix[1].exe [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . ((((((((((((((((((((((((((((( Fichiers créés 2008-01-12 to 2008-02-12 )))))))))))))))))))))))))))))))))))) . 2008-02-11 22:31 . 2004-08-10 13:00 400,896 --a------ C:\kmd.exe 2008-02-11 21:28 . 2007-12-04 14:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe 2008-02-11 21:28 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx 2008-02-11 21:28 . 2007-12-04 13:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr 2008-02-11 21:28 . 2007-12-04 15:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys 2008-02-11 21:28 . 2007-12-04 15:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys 2008-02-11 21:28 . 2007-12-04 15:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys 2008-02-11 21:28 . 2007-12-04 15:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys 2008-02-11 21:28 . 2007-12-04 15:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys 2008-02-11 19:36 . 2008-02-11 19:43 d-------- C:\HiJackThis 2008-02-06 15:34 . 2007-06-05 10:56 44,928 --a------ C:\WINDOWS\system32\drivers\SDTHOOK.SYS 2008-02-06 15:08 . 2008-02-06 18:21 d-------- C:\WINDOWS\system32\ActiveScan 2008-02-06 15:08 . 2008-02-06 15:26 30,590 --a------ C:\WINDOWS\system32\pavas.ico 2008-02-06 15:08 . 2008-02-06 15:26 2,550 --a------ C:\WINDOWS\system32\Uninstall.ico 2008-02-06 15:08 . 2008-02-06 15:26 1,406 --a------ C:\WINDOWS\system32\Help.ico 2008-02-05 19:26 . 2008-02-05 19:26 d-------- C:\WINDOWS\system32\Kaspersky Lab 2008-02-05 15:19 . 2008-02-05 15:19 d-------- C:\Program Files\Alwil Software 2008-01-31 18:48 . 2008-01-31 18:48 d-------- C:\Program Files\Zylom Games 2008-01-30 18:36 . 2008-01-30 18:36 d-------- C:\Documents and Settings\Raymond\Application Data\CursorArts 2008-01-30 18:36 . 2008-01-30 18:36 0 --a------ C:\Default.Bmp 2008-01-30 18:24 . 2008-01-30 18:21 58,849 --a------ C:\WINDOWS\system32\drapeau-corse-1_la-fouine-du-net_hardware.ico 2008-01-29 16:49 . 2008-01-30 09:51 d-------- C:\Program Files\Mystery Case Files Huntsville 2008-01-29 16:48 . 2008-01-29 16:48 d-------- C:\Program Files\ReflexiveArcade 2008-01-29 13:57 . 2008-01-29 13:57 d-------- C:\Documents and Settings\All Users\Application Data\Trymedia 2008-01-29 13:56 . 2008-01-29 13:56 d-------- C:\Program Files\BFG 2008-01-28 19:45 . 2001-08-17 21:56 7,552 --a------ C:\WINDOWS\system32\drivers\SONYPVU1.SYS 2008-01-28 19:45 . 2001-08-17 21:56 7,552 --a--c--- C:\WINDOWS\system32\dllcache\sonypvu1.sys 2008-01-25 20:02 . 2008-01-25 20:02 d-------- C:\Masks 2008-01-22 22:35 . 2008-01-22 22:35 d-------- C:\Program Files\UndoBDD 2008-01-22 22:10 . 2008-01-22 22:35 d-------- C:\Documents and Settings\Raymond\Application Data\Généatique2007 2008-01-22 22:00 . 2008-01-22 22:00 d-------- C:\Program FilesUndoBDD 2008-01-22 21:16 . 2004-12-07 06:11 258,352 --a------ C:\WINDOWS\system32\unicows.dll 2008-01-22 21:16 . 2006-01-30 08:32 5,632 --a------ C:\WINDOWS\system32\pxc25pm.dll 2008-01-22 21:15 . 2008-01-22 21:15 d-------- C:\Program Files\Tracker Software 2008-01-22 21:15 . 2008-01-22 21:15 d-------- C:\Program Files apoléon.gw 2008-01-22 21:15 . 2008-01-23 20:10 d-------- C:\Program Files\Geneatique2007 2008-01-22 21:15 . 2008-01-22 21:15 d-------- C:\Program Files\Démonstration.gw 2008-01-22 21:15 . 2008-01-22 21:15 d-------- C:\Program Files\Cadres 2008-01-22 21:15 . 2008-01-22 21:15 d-------- C:\Program Files\Branches 2008-01-22 21:15 . 2006-11-28 11:03 7,354 --a------ C:\Program Files\menu_arb.dat 2008-01-22 15:51 . 2008-01-29 14:15 10 --a------ C:\WINDOWS\popcinfo.dat 2008-01-22 15:35 . 2008-02-04 23:23 d-------- C:\Program Files\Zuma Deluxe 2008-01-15 18:33 . 2008-01-15 18:33 d-------- C:\TEMP 2008-01-15 18:33 . 1999-09-27 00:00 56,320 --a------ C:\WINDOWS\gendel32.exe 2008-01-14 17:08 . 2008-01-14 17:08 d-------- C:\Documents and Settings\Raymond\Application Data\Logitech 2008-01-14 17:08 . 2008-01-14 17:08 d-------- C:\Documents and Settings\All Users\Application Data\LogiShrd 2008-01-14 17:03 . 2008-01-14 17:03 0 --ah----- C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf 2008-01-14 17:03 . 2008-01-14 17:03 0 --ah----- C:\WINDOWS\system32\drivers\Msft_Kernel_LMouFilt_01005.Wdf 2008-01-14 17:02 . 2007-11-15 10:06 301,656 --a------ C:\WINDOWS\system32\BtCoreIf.dll 2008-01-14 17:02 . 2007-11-15 10:07 170,512 --a------ C:\WINDOWS\system32\kemutb.dll 2008-01-14 17:02 . 2007-11-15 10:07 141,840 --a------ C:\WINDOWS\system32\KemUtil.dll 2008-01-14 17:02 . 2007-11-15 10:07 117,264 --a------ C:\WINDOWS\system32\KemWnd.dll 2008-01-14 17:02 . 2007-11-15 10:07 76,304 --a------ C:\WINDOWS\system32\KemXML.dll 2008-01-14 17:01 . 2008-01-14 17:01 d-------- C:\Program Files\Logitech 2008-01-14 17:01 . 2008-01-14 17:02 d-------- C:\Program Files\Fichiers communs\Logishrd 2008-01-14 17:01 . 2008-01-14 17:08 d-------- C:\Documents and Settings\All Users\Application Data\Logitech . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-02-12 22:58 --------- d-----w C:\Program Files\SPAMfighter 2008-02-06 16:42 --------- d-----w C:\Program Files\Tweak-XP Pro 4 2008-02-06 16:40 --------- d-----w C:\Program Files\Slim Multimedia Keyboard 2008-02-06 16:08 --------- d-----w C:\Program Files\MSN Messenger 2008-02-06 15:30 --------- d-----w C:\Program Files\FlashFXP 2008-01-30 19:04 --------- d-----w C:\Program Files\adslTV 2008-01-30 18:55 --------- d-----w C:\Program Files\PokerStars 2008-01-25 19:14 --------- d-----w C:\Program Files\Click'N Design 3D (V5) 2008-01-24 14:22 --------- d-----w C:\Program Files\Winamp 2008-01-22 15:19 --------- d-----w C:\Program Files\PokerOffice 2008-01-14 16:01 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-01-11 14:00 --------- d-----w C:\Program Files\BSD Concept 2008-01-11 10:07 --------- d-----w C:\Program Files\PowerArchiver 2007-12-25 17:26 --------- d-----w C:\Documents and Settings\All Users\Application Data\QuickTime 2007-12-12 10:25 --------- d-----w C:\Documents and Settings\Raymond\Application Data\Canon 2006-12-19 08:41 29,325 ----a-w C:\Program Files\mode1.grf 2006-12-19 08:38 6,602 ----a-w C:\Program Files\asc-blocnote.grf 2006-12-19 08:32 54,009 ----a-w C:\Program Files\mixte-cousins photos.grf 2006-12-19 08:22 25,731 ----a-w C:\Program Files\mixte-cousins.grf 2006-11-28 09:49 16,408 ----a-w C:\Program Files\asc-artistique-Laurent-colline-photos.grf 2006-11-28 09:48 222 ----a-w C:\Program Files\Pierre.bch 2006-11-28 09:48 20,810 ----a-w C:\Program Files\mixte-branche-bois.grf 2006-11-28 09:48 180 ----a-w C:\Program Files\Bois.bch 2006-11-28 09:48 18,030 ----a-w C:\Program Files\asc-génération-5-pierre.grf 2006-11-28 09:48 13,128 ----a-w C:\Program Files\circ-desc-simple Nom Prenom.grf 2006-11-28 09:48 123,028 ----a-w C:\Program Files\circ-desc-sosa non vide.grf 2006-11-28 09:47 315,531 ----a-w C:\Program Files\circ-desc-par generation.grf 2006-11-28 09:47 198,115 ----a-w C:\Program Files\circ-desc-homme-femme.grf 2006-11-28 09:47 124,405 ----a-w C:\Program Files\circ-desc_complet.grf 2006-11-28 09:47 116,078 ----a-w C:\Program Files\circ-desc.grf 2006-11-28 09:45 80,075 ----a-w C:\Program Files\circ-asc-roue-complete-10-gen.grf 2006-11-28 09:44 200,365 ----a-w C:\Program Files\circ-asc10c.grf 2006-11-28 09:42 16,714 ----a-w C:\Program Files\asc-naturel.grf 2006-11-28 09:31 34,078 ----a-w C:\Program Files\asc-artistique-comique1.grf 2006-11-28 09:16 7,701 ----a-w C:\Program Files\asc-artistique-ete.grf 2006-11-28 09:16 15,277 ----a-w C:\Program Files\asc-patronymique-artistique.grf 2006-11-28 09:15 52,032 ----a-w C:\Program Files\asc-artistique.grf 2006-11-28 09:15 50,513 ----a-w C:\Program Files\asc-edition-christian.grf 2006-11-28 09:15 21,584 ----a-w C:\Program Files\asc-au-bord-du-lac-color.grf 2006-11-28 09:15 20,900 ----a-w C:\Program Files\asc-au-bord-du-lac.grf 2006-11-28 09:14 37,907 ----a-w C:\Program Files\desc-horizontale_image2.grf 2006-11-28 09:13 49,651 ----a-w C:\Program Files\asc-patronymique-photo.grf 2006-11-28 09:13 29,660 ----a-w C:\Program Files\mode1-rose-bleu-photos.grf 2006-11-28 09:13 204 ----a-w C:\Program Files\Feuilles.bch 2006-11-28 09:13 12,051 ----a-w C:\Program Files\asc-ancien-photos.grf 2006-11-28 09:12 36,230 ----a-w C:\Program Files\photo-artistique.grf 2006-11-28 09:12 13,910 ----a-w C:\Program Files\photos-sans cadre.grf 2006-11-28 09:11 12,159 ----a-w C:\Program Files\photo2.grf 2006-11-28 09:10 6,407 ----a-w C:\Program Files\mixte-simple.grf 2006-11-28 09:09 44,616 ----a-w C:\Program Files\asc-imbriquée.grf 2006-11-28 09:09 42,396 ----a-w C:\Program Files\desc-complète-couleurs.grf 2006-11-28 09:09 37,073 ----a-w C:\Program Files\asc-tous-les-mariages.grf 2006-11-28 09:08 381,331 ----a-w C:\Program Files\asc-génération-10c.grf 2006-11-28 09:08 26,413 ----a-w C:\Program Files\asc-simple_couleur.grf 2006-11-28 09:08 20,999 ----a-w C:\Program Files\asc-complète.grf 2006-11-28 09:07 39,389 ----a-w C:\Program Files\asc_6 générations.grf 2006-11-28 09:06 26,395 ----a-w C:\Program Files\asc-5gener_paysage.grf 2006-11-28 09:06 18,028 ----a-w C:\Program Files\asc-génération-5.grf 2006-11-28 09:05 31,064 ----a-w C:\Program Files\asc-patronymique frères et soeurs .grf 2006-11-28 09:05 209,881 ----a-w C:\Program Files\asc-blason.grf 2006-11-28 09:05 11,421 ----a-w C:\Program Files\photo-mixte.grf 2006-11-28 09:04 41,262 ----a-w C:\Program Files\asc-génération 5mariage.grf 2006-11-28 08:58 11,734 ----a-w C:\Program Files\asc-simple.grf 2006-11-28 08:56 33,432 ----a-w C:\Program Files\asc-génération-5c.grf 2006-11-22 10:20 68,559 ----a-w C:\Program Files\mode2.grf 2006-11-21 15:45 42,773 ----a-w C:\Program Files\arbre-chronologique-mixte-bleu.grf 2006-11-14 16:15 42,709 ----a-w C:\Program Files\arbre-chronologique-descendant.grf 2006-11-14 15:41 42,709 ----a-w C:\Program Files\arbre-chronologique-mixte.grf 2006-11-14 13:15 42,826 ----a-w C:\Program Files\arbre-chronologique-ascendant.grf 2006-11-14 11:27 1,376 ----a-w C:\Program Files\defaut.cns 2006-10-12 14:53 302 ----a-w C:\Program Files\defaut.be 2006-10-12 11:28 6,035 ----a-w C:\Program Files\livret ascendant rédigée.ff 2006-10-12 11:26 3,978 ----a-w C:\Program Files\export-html-compact.ff 2006-10-12 11:26 3,844 ----a-w C:\Program Files\export-HTML-graphique.ff 2006-10-12 11:24 3,999 ----a-w C:\Program Files\export-html-cadre.ff 2006-10-12 11:21 3,918 ----a-w C:\Program Files\defaut.ff 2006-10-12 11:20 3,878 ----a-w C:\Program Files\cadre structuré.ff 2006-10-12 11:20 3,856 ----a-w C:\Program Files\cadre structuré couleur.ff 2006-10-12 11:19 4,017 ----a-w C:\Program Files\ascendance rédigée.ff 2006-10-12 11:18 3,901 ----a-w C:\Program Files édigée.ff 2006-10-12 11:15 3,929 ----a-w C:\Program Files\parentele-alphabétique.ff 2006-10-12 11:12 3,897 ----a-w C:\Program Files\parentele.ff 2006-10-12 11:09 3,919 ----a-w C:\Program Files\fiche de couple rédigée.ff 2006-10-12 10:32 3,462 ----a-w C:\Program Files\arbitraire_dates.lsm 2006-10-12 10:26 78,042 ----a-w C:\Program Files\circ-asc-7c.grf 2006-10-10 09:44 27,160 ----a-w C:\Program Files\mixte-branche-feuille.grf 2006-10-10 09:41 309,953 ----a-w C:\Program Files\circ-desc-par date.grf 2006-10-10 09:36 9,943 ----a-w C:\Program Files\photo-cadre-bois.grf 2006-10-09 14:38 12,493 ----a-w C:\Program Files\mode1-rose-bleu.grf 2006-10-09 14:21 1,152 ----a-w C:\Program Files\complète (800x600).cns 2006-10-09 11:28 45,347 ----a-w C:\Program Files\desc-simple_couleur.grf 2006-10-09 11:16 289,916 ----a-w C:\Program Files\circ-asc-10_arc_en_ciel.grf 2006-10-06 15:51 1,072 ----a-w C:\Program Files\autre.cns 2006-10-06 15:50 1,115 ----a-w C:\Program Files\complète (1024X768).cns 2006-10-06 15:44 1,258 ----a-w C:\Program Files\simple.cns 2006-10-06 15:43 1,078 ----a-w C:\Program Files\simple2.cns 2006-10-06 14:35 33,849 ----a-w C:\Program Files\mode2-2004.grf 2006-10-06 12:16 11,545 ----a-w C:\Program Files\Liste par département.lsm 2006-10-06 12:06 8,674 ----a-w C:\Program Files\âge.lsm 2006-10-06 12:04 8,409 ----a-w C:\Program Files\âges-aux-événements.lsm . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AnyDVD"="C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe" [ ] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2006-11-16 19:04 139264] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 13:00 15360] "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208] "DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [ ] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-08-05 13:34 64512] "SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 11:15 106496] "Cmaudio"="cmicnfg.cpl" [] "SiS Tray"="C:\WINDOWS\system32\sistray.EXE" [2003-10-30 14:10 667648] "SiS Windows KeyHook"="C:\WINDOWS\system32\keyhook.exe" [2003-10-30 14:09 249856] "LanguageShortcut"="C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" [2006-05-18 11:29 49152] "NeroFilterCheck"="C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 15:40 155648] "CloneCDTray"="C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" [2005-05-19 14:47 57344] "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-03-05 13:24 98304] "SunJavaUpdateSched"="C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe" [2004-06-03 22:05 32881] "PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2004-03-11 00:26 406016] "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 13:00 15360] C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Logitech SetPoint.lnk - C:\Program Files\Logitech\SetPoint\SetPoint.exe [2008-01-14 17:02:05 784912] Slim Multimedia Keyboard.lnk - C:\Program Files\Slim Multimedia Keyboard\MagicKey.exe [2007-12-25 10:32:12 163840] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles "InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\LBTWlgn] c:\program files\fichiers communs\logishrd\bluetooth\LBTWlgn.dll 2007-11-15 10:10 72208 c:\Program Files\Fichiers communs\Logishrd\Bluetooth\LBTWLgn.dll R1 kbfilter;Keyboard Filter Driver;C:\WINDOWS\system32\drivers\kbfilter.sys [2001-11-27 15:07] R2 SPAMfighter Update Service;SPAMfighter Update Service;"C:\Program Files\SPAMfighter\sfus.exe" [2007-10-25 15:29] R3 camvid20;Philips ToUcam Camera; Video;C:\WINDOWS\system32\DRIVERS\camdrv21.sys [] S3 C-Dilla;C-Dilla;C:\WINDOWS\system32\drivers\CDANT.SYS [2003-04-01 10:23] S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 22:58] S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\##PIPISTRELLA#VAIO (D)] \Shell\AutoRun\command - setup.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{52e50066-eb36-11db-9b73-009027bff64e}] \Shell\AutoRun\command - G:\Geneo\Geneo.exe \Shell\start\command - G:\Geneo\Geneo.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9134b99c-f6fb-11db-9b80-009027bff64e}] \Shell\AutoRun\command - G:\GC.bat /m . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-02-13 00:03:26 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** . Temps d'accomplissement: 2008-02-13 0:04:03 ComboFix-quarantined-files.txt 2008-02-12 23:03:49 ComboFix2.txt 2008-02-12 23:00:12 . 2008-01-23 13:33:21 --- E O F ---

Poucetinou · Answer

G!rl, je suis désolé mais je me lève trés tôt demain et je vais me réduire, le PC reste allumé et si tu n'es pas ,de ton coté, déja allongée, j'attends (enfin le PC) tes instructions!!!
Encore merci pour ce que tu as fait :)
@++

g!rly · Answer

Re,

si tu le veux bien on reprendra demain.

bonne nuit`

@+

Poucetinou · Answer

Bonjour G!rl, me revoilou!
 Avast fonctionne normalement, et je t'avais envoyé le rapport CombiFix, nous en étions à ce stade!
J'attends tes instructions :)
@+    
PS: peux-tu me dire pourquoi je déconnecte à chaque fois, obligé de remettre le pseudo, le mail et antispam...Au début ça fonctionnait bien et maintenant ça coupe à tous les coups?

g!rly · Answer

Salut,

Je viens moi aussi egalement d´avoir des problemes pour que mes messages soient visible ici .

on va verifier que ces fichiers n´existent plus.

Copie le texte ci-dessous :

File::
C:\WINDOWS\gendel32.exe
C:\WINDOWS\popcinfo.dat

Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://serveur1.archive-host.com/membres/up/1366464061/CFScript.gif

Cela va relancer Combofix, 

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

S'il n'y a pas de rédémarrage, poste quand même les rapports.

Peux tu faire analyser ceci 

G:\Geneo\Geneo.exe

sur ce site :

http://virusscan.jotti.org/de/

@+

Poucetinou · Answer

Je n'ai pas eu le message 1 ou 2, il est parti directement en scan! et il n'y a pas eu rédémarrage! Pour HijackThis, comment faire? En attendant je passe Geneo.exe à l'analyse! Content de te revoir :) Merci @+ Et je suis encore obligé de me reconnecter!!! Galère! ComboFix 08-02-12.1 - Raymond 2008-02-13 14:26:23.4 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.482 [GMT 1:00] Endroit: C:\Documents and Settings\Raymond\Bureau\Combofix\ComboFix.exe Command switches used :: C:\Documents and Settings\Raymond\Bureau\CFScript.txt * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] FILE C:\WINDOWS\gendel32.exe C:\WINDOWS\popcinfo.dat . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\gendel32.exe C:\WINDOWS\popcinfo.dat . ((((((((((((((((((((((((((((( Fichiers créés 2008-01-13 to 2008-02-13 )))))))))))))))))))))))))))))))))))) . 2008-02-13 00:02 . 2008-02-13 00:04 d-------- C:\ComboFix[1] 2008-02-11 22:31 . 2004-08-10 13:00 400,896 --a------ C:\kmd.exe 2008-02-11 21:28 . 2007-12-04 14:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe 2008-02-11 21:28 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx 2008-02-11 21:28 . 2007-12-04 13:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr 2008-02-11 21:28 . 2007-12-04 15:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys 2008-02-11 21:28 . 2007-12-04 15:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys 2008-02-11 21:28 . 2007-12-04 15:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys 2008-02-11 21:28 . 2007-12-04 15:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys 2008-02-11 21:28 . 2007-12-04 15:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys 2008-02-11 19:36 . 2008-02-11 19:43 d-------- C:\HiJackThis 2008-02-06 15:34 . 2007-06-05 10:56 44,928 --a------ C:\WINDOWS\system32\drivers\SDTHOOK.SYS 2008-02-06 15:08 . 2008-02-06 18:21 d-------- C:\WINDOWS\system32\ActiveScan 2008-02-06 15:08 . 2008-02-06 15:26 30,590 --a------ C:\WINDOWS\system32\pavas.ico 2008-02-06 15:08 . 2008-02-06 15:26 2,550 --a------ C:\WINDOWS\system32\Uninstall.ico 2008-02-06 15:08 . 2008-02-06 15:26 1,406 --a------ C:\WINDOWS\system32\Help.ico 2008-02-05 19:26 . 2008-02-05 19:26 d-------- C:\WINDOWS\system32\Kaspersky Lab 2008-02-05 15:19 . 2008-02-05 15:19 d-------- C:\Program Files\Alwil Software 2008-01-31 18:48 . 2008-01-31 18:48 d-------- C:\Program Files\Zylom Games 2008-01-30 18:36 . 2008-01-30 18:36 d-------- C:\Documents and Settings\Raymond\Application Data\CursorArts 2008-01-30 18:24 . 2008-01-30 18:21 58,849 --a------ C:\WINDOWS\system32\drapeau-corse-1_la-fouine-du-net_hardware.ico 2008-01-29 16:49 . 2008-01-30 09:51 d-------- C:\Program Files\Mystery Case Files Huntsville 2008-01-29 16:48 . 2008-01-29 16:48 d-------- C:\Program Files\ReflexiveArcade 2008-01-29 13:57 . 2008-01-29 13:57 d-------- C:\Documents and Settings\All Users\Application Data\Trymedia 2008-01-29 13:56 . 2008-01-29 13:56 d-------- C:\Program Files\BFG 2008-01-28 19:45 . 2001-08-17 21:56 7,552 --a------ C:\WINDOWS\system32\drivers\SONYPVU1.SYS 2008-01-28 19:45 . 2001-08-17 21:56 7,552 --a--c--- C:\WINDOWS\system32\dllcache\sonypvu1.sys 2008-01-25 20:02 . 2008-01-25 20:02 d-------- C:\Masks 2008-01-22 22:35 . 2008-01-22 22:35 d-------- C:\Program Files\UndoBDD 2008-01-22 22:10 . 2008-01-22 22:35 d-------- C:\Documents and Settings\Raymond\Application Data\Généatique2007 2008-01-22 22:00 . 2008-01-22 22:00 d-------- C:\Program FilesUndoBDD 2008-01-22 21:16 . 2004-12-07 06:11 258,352 --a------ C:\WINDOWS\system32\unicows.dll 2008-01-22 21:16 . 2006-01-30 08:32 5,632 --a------ C:\WINDOWS\system32\pxc25pm.dll 2008-01-22 21:15 . 2008-01-22 21:15 d-------- C:\Program Files\Tracker Software 2008-01-22 21:15 . 2008-01-22 21:15 d-------- C:\Program Files apoléon.gw 2008-01-22 21:15 . 2008-01-23 20:10 d-------- C:\Program Files\Geneatique2007 2008-01-22 21:15 . 2008-01-22 21:15 d-------- C:\Program Files\Démonstration.gw 2008-01-22 21:15 . 2008-01-22 21:15 d-------- C:\Program Files\Cadres 2008-01-22 21:15 . 2008-01-22 21:15 d-------- C:\Program Files\Branches 2008-01-22 21:15 . 2006-11-28 11:03 7,354 --a------ C:\Program Files\menu_arb.dat 2008-01-22 15:35 . 2008-02-04 23:23 d-------- C:\Program Files\Zuma Deluxe 2008-01-15 18:33 . 2008-01-15 18:33 d-------- C:\TEMP 2008-01-14 17:08 . 2008-01-14 17:08 d-------- C:\Documents and Settings\Raymond\Application Data\Logitech 2008-01-14 17:08 . 2008-01-14 17:08 d-------- C:\Documents and Settings\All Users\Application Data\LogiShrd 2008-01-14 17:03 . 2008-01-14 17:03 0 --ah----- C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf 2008-01-14 17:03 . 2008-01-14 17:03 0 --ah----- C:\WINDOWS\system32\drivers\Msft_Kernel_LMouFilt_01005.Wdf 2008-01-14 17:02 . 2007-11-15 10:06 301,656 --a------ C:\WINDOWS\system32\BtCoreIf.dll 2008-01-14 17:02 . 2007-11-15 10:07 170,512 --a------ C:\WINDOWS\system32\kemutb.dll 2008-01-14 17:02 . 2007-11-15 10:07 141,840 --a------ C:\WINDOWS\system32\KemUtil.dll 2008-01-14 17:02 . 2007-11-15 10:07 117,264 --a------ C:\WINDOWS\system32\KemWnd.dll 2008-01-14 17:02 . 2007-11-15 10:07 76,304 --a------ C:\WINDOWS\system32\KemXML.dll 2008-01-14 17:01 . 2008-01-14 17:01 d-------- C:\Program Files\Logitech 2008-01-14 17:01 . 2008-01-14 17:02 d-------- C:\Program Files\Fichiers communs\Logishrd 2008-01-14 17:01 . 2008-01-14 17:08 d-------- C:\Documents and Settings\All Users\Application Data\Logitech . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-02-13 10:58 --------- d-----w C:\Program Files\SPAMfighter 2008-02-06 16:42 --------- d-----w C:\Program Files\Tweak-XP Pro 4 2008-02-06 16:40 --------- d-----w C:\Program Files\Slim Multimedia Keyboard 2008-02-06 16:08 --------- d-----w C:\Program Files\MSN Messenger 2008-02-06 15:30 --------- d-----w C:\Program Files\FlashFXP 2008-01-30 19:04 --------- d-----w C:\Program Files\adslTV 2008-01-30 18:55 --------- d-----w C:\Program Files\PokerStars 2008-01-25 19:14 --------- d-----w C:\Program Files\Click'N Design 3D (V5) 2008-01-24 14:22 --------- d-----w C:\Program Files\Winamp 2008-01-22 15:19 --------- d-----w C:\Program Files\PokerOffice 2008-01-14 16:01 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-01-11 14:00 --------- d-----w C:\Program Files\BSD Concept 2008-01-11 10:07 --------- d-----w C:\Program Files\PowerArchiver 2007-12-25 17:26 --------- d-----w C:\Documents and Settings\All Users\Application Data\QuickTime 2006-12-19 08:41 29,325 ----a-w C:\Program Files\mode1.grf 2006-12-19 08:38 6,602 ----a-w C:\Program Files\asc-blocnote.grf 2006-12-19 08:32 54,009 ----a-w C:\Program Files\mixte-cousins photos.grf 2006-12-19 08:22 25,731 ----a-w C:\Program Files\mixte-cousins.grf 2006-11-28 09:49 16,408 ----a-w C:\Program Files\asc-artistique-Laurent-colline-photos.grf 2006-11-28 09:48 222 ----a-w C:\Program Files\Pierre.bch 2006-11-28 09:48 20,810 ----a-w C:\Program Files\mixte-branche-bois.grf 2006-11-28 09:48 180 ----a-w C:\Program Files\Bois.bch 2006-11-28 09:48 18,030 ----a-w C:\Program Files\asc-génération-5-pierre.grf 2006-11-28 09:48 13,128 ----a-w C:\Program Files\circ-desc-simple Nom Prenom.grf 2006-11-28 09:48 123,028 ----a-w C:\Program Files\circ-desc-sosa non vide.grf 2006-11-28 09:47 315,531 ----a-w C:\Program Files\circ-desc-par generation.grf 2006-11-28 09:47 198,115 ----a-w C:\Program Files\circ-desc-homme-femme.grf 2006-11-28 09:47 124,405 ----a-w C:\Program Files\circ-desc_complet.grf 2006-11-28 09:47 116,078 ----a-w C:\Program Files\circ-desc.grf 2006-11-28 09:45 80,075 ----a-w C:\Program Files\circ-asc-roue-complete-10-gen.grf 2006-11-28 09:44 200,365 ----a-w C:\Program Files\circ-asc10c.grf 2006-11-28 09:42 16,714 ----a-w C:\Program Files\asc-naturel.grf 2006-11-28 09:31 34,078 ----a-w C:\Program Files\asc-artistique-comique1.grf 2006-11-28 09:16 7,701 ----a-w C:\Program Files\asc-artistique-ete.grf 2006-11-28 09:16 15,277 ----a-w C:\Program Files\asc-patronymique-artistique.grf 2006-11-28 09:15 52,032 ----a-w C:\Program Files\asc-artistique.grf 2006-11-28 09:15 50,513 ----a-w C:\Program Files\asc-edition-christian.grf 2006-11-28 09:15 21,584 ----a-w C:\Program Files\asc-au-bord-du-lac-color.grf 2006-11-28 09:15 20,900 ----a-w C:\Program Files\asc-au-bord-du-lac.grf 2006-11-28 09:14 37,907 ----a-w C:\Program Files\desc-horizontale_image2.grf 2006-11-28 09:13 49,651 ----a-w C:\Program Files\asc-patronymique-photo.grf 2006-11-28 09:13 29,660 ----a-w C:\Program Files\mode1-rose-bleu-photos.grf 2006-11-28 09:13 204 ----a-w C:\Program Files\Feuilles.bch 2006-11-28 09:13 12,051 ----a-w C:\Program Files\asc-ancien-photos.grf 2006-11-28 09:12 36,230 ----a-w C:\Program Files\photo-artistique.grf 2006-11-28 09:12 13,910 ----a-w C:\Program Files\photos-sans cadre.grf 2006-11-28 09:11 12,159 ----a-w C:\Program Files\photo2.grf 2006-11-28 09:10 6,407 ----a-w C:\Program Files\mixte-simple.grf 2006-11-28 09:09 44,616 ----a-w C:\Program Files\asc-imbriquée.grf 2006-11-28 09:09 42,396 ----a-w C:\Program Files\desc-complète-couleurs.grf 2006-11-28 09:09 37,073 ----a-w C:\Program Files\asc-tous-les-mariages.grf 2006-11-28 09:08 381,331 ----a-w C:\Program Files\asc-génération-10c.grf 2006-11-28 09:08 26,413 ----a-w C:\Program Files\asc-simple_couleur.grf 2006-11-28 09:08 20,999 ----a-w C:\Program Files\asc-complète.grf 2006-11-28 09:07 39,389 ----a-w C:\Program Files\asc_6 générations.grf 2006-11-28 09:06 26,395 ----a-w C:\Program Files\asc-5gener_paysage.grf 2006-11-28 09:06 18,028 ----a-w C:\Program Files\asc-génération-5.grf 2006-11-28 09:05 31,064 ----a-w C:\Program Files\asc-patronymique frères et soeurs .grf 2006-11-28 09:05 209,881 ----a-w C:\Program Files\asc-blason.grf 2006-11-28 09:05 11,421 ----a-w C:\Program Files\photo-mixte.grf 2006-11-28 09:04 41,262 ----a-w C:\Program Files\asc-génération 5mariage.grf 2006-11-28 08:58 11,734 ----a-w C:\Program Files\asc-simple.grf 2006-11-28 08:56 33,432 ----a-w C:\Program Files\asc-génération-5c.grf 2006-11-22 10:20 68,559 ----a-w C:\Program Files\mode2.grf 2006-11-21 15:45 42,773 ----a-w C:\Program Files\arbre-chronologique-mixte-bleu.grf 2006-11-14 16:15 42,709 ----a-w C:\Program Files\arbre-chronologique-descendant.grf 2006-11-14 15:41 42,709 ----a-w C:\Program Files\arbre-chronologique-mixte.grf 2006-11-14 13:15 42,826 ----a-w C:\Program Files\arbre-chronologique-ascendant.grf 2006-11-14 11:27 1,376 ----a-w C:\Program Files\defaut.cns 2006-10-12 14:53 302 ----a-w C:\Program Files\defaut.be 2006-10-12 11:28 6,035 ----a-w C:\Program Files\livret ascendant rédigée.ff 2006-10-12 11:26 3,978 ----a-w C:\Program Files\export-html-compact.ff 2006-10-12 11:26 3,844 ----a-w C:\Program Files\export-HTML-graphique.ff 2006-10-12 11:24 3,999 ----a-w C:\Program Files\export-html-cadre.ff 2006-10-12 11:21 3,918 ----a-w C:\Program Files\defaut.ff 2006-10-12 11:20 3,878 ----a-w C:\Program Files\cadre structuré.ff 2006-10-12 11:20 3,856 ----a-w C:\Program Files\cadre structuré couleur.ff 2006-10-12 11:19 4,017 ----a-w C:\Program Files\ascendance rédigée.ff 2006-10-12 11:18 3,901 ----a-w C:\Program Files édigée.ff 2006-10-12 11:15 3,929 ----a-w C:\Program Files\parentele-alphabétique.ff 2006-10-12 11:12 3,897 ----a-w C:\Program Files\parentele.ff 2006-10-12 11:09 3,919 ----a-w C:\Program Files\fiche de couple rédigée.ff 2006-10-12 10:32 3,462 ----a-w C:\Program Files\arbitraire_dates.lsm 2006-10-12 10:26 78,042 ----a-w C:\Program Files\circ-asc-7c.grf 2006-10-10 09:44 27,160 ----a-w C:\Program Files\mixte-branche-feuille.grf 2006-10-10 09:41 309,953 ----a-w C:\Program Files\circ-desc-par date.grf 2006-10-10 09:36 9,943 ----a-w C:\Program Files\photo-cadre-bois.grf 2006-10-09 14:38 12,493 ----a-w C:\Program Files\mode1-rose-bleu.grf 2006-10-09 14:21 1,152 ----a-w C:\Program Files\complète (800x600).cns 2006-10-09 11:28 45,347 ----a-w C:\Program Files\desc-simple_couleur.grf 2006-10-09 11:16 289,916 ----a-w C:\Program Files\circ-asc-10_arc_en_ciel.grf 2006-10-06 15:51 1,072 ----a-w C:\Program Files\autre.cns 2006-10-06 15:50 1,115 ----a-w C:\Program Files\complète (1024X768).cns 2006-10-06 15:44 1,258 ----a-w C:\Program Files\simple.cns 2006-10-06 15:43 1,078 ----a-w C:\Program Files\simple2.cns 2006-10-06 14:35 33,849 ----a-w C:\Program Files\mode2-2004.grf 2006-10-06 12:16 11,545 ----a-w C:\Program Files\Liste par département.lsm 2006-10-06 12:06 8,674 ----a-w C:\Program Files\âge.lsm 2006-10-06 12:04 8,409 ----a-w C:\Program Files\âges-aux-événements.lsm 2006-10-06 12:04 6,637 ----a-w C:\Program Files\ancetres_parents_inconnus.lsm . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AnyDVD"="C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe" [ ] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2006-11-16 19:04 139264] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 13:00 15360] "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208] "DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [ ] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-08-05 13:34 64512] "SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 11:15 106496] "Cmaudio"="cmicnfg.cpl" [] "SiS Tray"="C:\WINDOWS\system32\sistray.EXE" [2003-10-30 14:10 667648] "SiS Windows KeyHook"="C:\WINDOWS\system32\keyhook.exe" [2003-10-30 14:09 249856] "LanguageShortcut"="C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" [2006-05-18 11:29 49152] "NeroFilterCheck"="C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 15:40 155648] "CloneCDTray"="C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" [2005-05-19 14:47 57344] "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-03-05 13:24 98304] "SunJavaUpdateSched"="C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe" [2004-06-03 22:05 32881] "PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2004-03-11 00:26 406016] "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 13:00 15360] C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Logitech SetPoint.lnk - C:\Program Files\Logitech\SetPoint\SetPoint.exe [2008-01-14 17:02:05 784912] Slim Multimedia Keyboard.lnk - C:\Program Files\Slim Multimedia Keyboard\MagicKey.exe [2007-12-25 10:32:12 163840] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles "InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\LBTWlgn] c:\program files\fichiers communs\logishrd\bluetooth\LBTWlgn.dll 2007-11-15 10:10 72208 c:\Program Files\Fichiers communs\Logishrd\Bluetooth\LBTWLgn.dll R1 kbfilter;Keyboard Filter Driver;C:\WINDOWS\system32\drivers\kbfilter.sys [2001-11-27 15:07] R2 SPAMfighter Update Service;SPAMfighter Update Service;"C:\Program Files\SPAMfighter\sfus.exe" [2007-10-25 15:29] R3 camvid20;Philips ToUcam Camera; Video;C:\WINDOWS\system32\DRIVERS\camdrv21.sys [] S3 C-Dilla;C-Dilla;C:\WINDOWS\system32\drivers\CDANT.SYS [2003-04-01 10:23] S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 22:58] S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\##PIPISTRELLA#VAIO (D)] \Shell\AutoRun\command - setup.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{52e50066-eb36-11db-9b73-009027bff64e}] \Shell\AutoRun\command - G:\Geneo\Geneo.exe \Shell\start\command - G:\Geneo\Geneo.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9134b99c-f6fb-11db-9b80-009027bff64e}] \Shell\AutoRun\command - G:\GC.bat /m . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-02-13 14:27:26 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** . Temps d'accomplissement: 2008-02-13 14:28:01 ComboFix-quarantined-files.txt 2008-02-13 13:27:53 ComboFix2.txt 2008-02-12 23:04:04 ComboFix3.txt 2008-02-12 23:00:12 . 2008-01-23 13:33:21 --- E O F ---

Poucetinou · Answer

L'analyse est bizarre, j'ai relancé 3 fois et j'obtiens 3 résultats différents!!!
En fait Geneo se trouve sur une clé USB que je connecte pour réaliser l'analyse, le point .EXE se trouve sur la clé, enfin je crois :]
@    

Zuletzt gefundene Malware war pinch.exe, gefunden von:

Scanner  Name der Malware  
1)
A-Squared  X  
AntiVir  TR/Spy.Gen  
ArcaVir  Trojan.Psw.Ldpinch.Cds  
Avast  Win32:LdPinch-AH  
AVG Antivirus  PSW.Ldpinch.REZ  
BitDefender  Generic.LdPinch1.ECBDA575  
ClamAV  X  
CPsecure  X  
Dr.Web  Trojan.PWS.LDPinch.1941  
F-Prot Antivirus  X  
F-Secure Anti-Virus  Trojan-PSW.Win32.LdPinch.cds  
Fortinet  W32/LdPinch.BYX!tr.pws  
Ikarus  Trojan-Spy.Win32.Agent.DI  
Kaspersky Anti-Virus  Trojan-PSW.Win32.LdPinch.cds  
NOD32  Win32/PSW.LdPinch.NEL  
Norman Virus Control  LdPinch.gen1  
Panda Antivirus  Trj/Ldpinch.APF  
Rising Antivirus  Trojan.PSW.Win32.LdPinch.cds  
Sophos Antivirus  Troj/LDPinch-RG  
VirusBuster  Trojan.PWS.LdPinch.CCL  
VBA32  MalwareScope.Trojan-PSW.Pinch.42  

2)
Zuletzt gefundene Malware war ok.exe, gefunden von:

Scanner  Name der Malware  
A-Squared  Backdoor.Win32.Hupigon.asif  
AntiVir  BDS/Hupigon.Gen  
ArcaVir  Trojan.Hupigon.Asnh  
Avast  X  
AVG Antivirus  X  
BitDefender  Packer.YodaBased.B  
ClamAV  Trojan.Hupigon-141  
CPsecure  X  
Dr.Web  X  
F-Prot Antivirus  X  
F-Secure Anti-Virus  Backdoor.Win32.Hupigon.atwb  
Fortinet  X  
Ikarus  Generic.Graybird  
Kaspersky Anti-Virus  Backdoor.Win32.Hupigon.atwb  
NOD32  a variant of Win32/Hupigon  
Norman Virus Control  W32/Bandok.gen1  
Panda Antivirus  X  
Rising Antivirus  X  
Sophos Antivirus  Mal/Emogen-E  
VirusBuster  X  
VBA32  Backdoor.Win32.Hupigon.audv  

3)

Zuletzt gefundene Malware war Ropsgen_1[1].0.zip, gefunden von:

Scanner  Name der Malware  
A-Squared  Trojan-Dropper.Win32.Agent.bcw  
AntiVir  SPR/Ardamax.K.Gen  
ArcaVir  Trojan.Dropper.Agent.Bcw  
Avast  Win32:Agent-LWO  
AVG Antivirus  Dropper.Agent.DDD  
BitDefender  Trojan.Dropper.Agent.BCW  
ClamAV  Trojan.Dropper-649  
CPsecure  X  
Dr.Web  Program.Ardamax  
F-Prot Antivirus  X  
F-Secure Anti-Virus  Trojan-Dropper.Win32.Agent.bcw  
Fortinet  W32/Agent.BCW!tr  
Ikarus  Trojan-Dropper.Win32.Agent.bcw  
Kaspersky Anti-Virus  Trojan-Dropper.Win32.Agent.bcw  
NOD32  X  
Norman Virus Control  W32/Agent.BSYM  
Panda Antivirus  Generic  
Rising Antivirus  Dropper.Agent.nab  
Sophos Antivirus  Troj/Dropper-QR  
VirusBuster  Trojan.DR.Agent.Gen.3  
VBA32  Trojan-Dropper.Win32.Agent.bcw

Poucetinou · Answer

L'analyse est bizarre, j'ai relancé 3 fois et j'obtiens 3 résultats différents!!!
En fait Geneo se trouve sur une clé USB que je connecte pour réaliser l'analyse, le point .EXE se trouve sur la clé, enfin je crois :]
@    

Zuletzt gefundene Malware war pinch.exe, gefunden von:

Scanner  Name der Malware  
1)
A-Squared  X  
AntiVir  TR/Spy.Gen  
ArcaVir  Trojan.Psw.Ldpinch.Cds  
Avast  Win32:LdPinch-AH  
AVG Antivirus  PSW.Ldpinch.REZ  
BitDefender  Generic.LdPinch1.ECBDA575  
ClamAV  X  
CPsecure  X  
Dr.Web  Trojan.PWS.LDPinch.1941  
F-Prot Antivirus  X  
F-Secure Anti-Virus  Trojan-PSW.Win32.LdPinch.cds  
Fortinet  W32/LdPinch.BYX!tr.pws  
Ikarus  Trojan-Spy.Win32.Agent.DI  
Kaspersky Anti-Virus  Trojan-PSW.Win32.LdPinch.cds  
NOD32  Win32/PSW.LdPinch.NEL  
Norman Virus Control  LdPinch.gen1  
Panda Antivirus  Trj/Ldpinch.APF  
Rising Antivirus  Trojan.PSW.Win32.LdPinch.cds  
Sophos Antivirus  Troj/LDPinch-RG  
VirusBuster  Trojan.PWS.LdPinch.CCL  
VBA32  MalwareScope.Trojan-PSW.Pinch.42  

2)
Zuletzt gefundene Malware war ok.exe, gefunden von:

Scanner  Name der Malware  
A-Squared  Backdoor.Win32.Hupigon.asif  
AntiVir  BDS/Hupigon.Gen  
ArcaVir  Trojan.Hupigon.Asnh  
Avast  X  
AVG Antivirus  X  
BitDefender  Packer.YodaBased.B  
ClamAV  Trojan.Hupigon-141  
CPsecure  X  
Dr.Web  X  
F-Prot Antivirus  X  
F-Secure Anti-Virus  Backdoor.Win32.Hupigon.atwb  
Fortinet  X  
Ikarus  Generic.Graybird  
Kaspersky Anti-Virus  Backdoor.Win32.Hupigon.atwb  
NOD32  a variant of Win32/Hupigon  
Norman Virus Control  W32/Bandok.gen1  
Panda Antivirus  X  
Rising Antivirus  X  
Sophos Antivirus  Mal/Emogen-E  
VirusBuster  X  
VBA32  Backdoor.Win32.Hupigon.audv  

3)

Zuletzt gefundene Malware war Ropsgen_1[1].0.zip, gefunden von:

Scanner  Name der Malware  
A-Squared  Trojan-Dropper.Win32.Agent.bcw  
AntiVir  SPR/Ardamax.K.Gen  
ArcaVir  Trojan.Dropper.Agent.Bcw  
Avast  Win32:Agent-LWO  
AVG Antivirus  Dropper.Agent.DDD  
BitDefender  Trojan.Dropper.Agent.BCW  
ClamAV  Trojan.Dropper-649  
CPsecure  X  
Dr.Web  Program.Ardamax  
F-Prot Antivirus  X  
F-Secure Anti-Virus  Trojan-Dropper.Win32.Agent.bcw  
Fortinet  W32/Agent.BCW!tr  
Ikarus  Trojan-Dropper.Win32.Agent.bcw  
Kaspersky Anti-Virus  Trojan-Dropper.Win32.Agent.bcw  
NOD32  X  
Norman Virus Control  W32/Agent.BSYM  
Panda Antivirus  Generic  
Rising Antivirus  Dropper.Agent.nab  
Sophos Antivirus  Troj/Dropper-QR  
VirusBuster  Trojan.DR.Agent.Gen.3  
VBA32  Trojan-Dropper.Win32.Agent.bcw

g!rly · Answer

ok merci :

fais ceci :

Copie le texte ci-dessous :

File::
G:\Geneo\Geneo.exe
G:\GC.bat

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{52e500 66-eb36-11db-9b73-009027bff64e}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9134b9 9c-f6fb-11db-9b80-009027bff64e}]

Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://serveur1.archive-host.com/membres/up/1366464061/CFScript.gif

Cela va relancer Combofix, 

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

S'il n'y a pas de rédémarrage, poste quand même les rapports.

peux tu me dire a quoi corrspondent ceci >:

C:\Program Files\Démonstration.gw
C:\Program Files
apoléon.gw

@+

Poucetinou · Answer

Voici le rapport HijackThis, sans rédémarrage!
@+    

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:22, on 2008-02-13
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\Program Files\SPAMfighter\sfus.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\sistray.EXE
C:\WINDOWS\system32\keyhook.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Slim Multimedia Keyboard\MagicKey.exe
C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Slim Multimedia Keyboard\OSD.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\explorer.exe
C:\Documents and Settings\Raymond\Bureau\HijackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.commentcamarche.net/forum/affich 4985476 virus trojan downloader bagle et email worm?page=2#40
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Slim Multimedia Keyboard.lnk = C:\Program Files\Slim Multimedia Keyboard\MagicKey.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: SPAMfighter Update Service - SPAMfighter ApS - C:\Program Files\SPAMfighter\sfus.exe

g!rly · Answer

re,

je peux voir le raport combofix4,txt egalement stp

peux tu me dire a quoi correspondent ceci :

C:\Program Files\Démonstration.gw
C:\Program Files
apoléon.gw 

@+

Poucetinou · Answer

1) Rapport ComboFix: ComboFix 08-02-12.1 - Raymond 2008-02-13 15:32:52.5 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.466 [GMT 1:00] Endroit: C:\Documents and Settings\Raymond\Bureau\Combofix\ComboFix.exe Command switches used :: C:\Documents and Settings\Raymond\Bureau\CFScript.txt * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] FILE G:\GC.bat G:\Geneo\Geneo.exe . ((((((((((((((((((((((((((((( Fichiers créés 2008-01-13 to 2008-02-13 )))))))))))))))))))))))))))))))))))) . 2008-02-13 00:02 . 2008-02-13 00:04 d-------- C:\ComboFix[1] 2008-02-11 22:31 . 2004-08-10 13:00 400,896 --a------ C:\kmd.exe 2008-02-11 21:28 . 2007-12-04 14:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe 2008-02-11 21:28 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx 2008-02-11 21:28 . 2007-12-04 13:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr 2008-02-11 21:28 . 2007-12-04 15:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys 2008-02-11 21:28 . 2007-12-04 15:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys 2008-02-11 21:28 . 2007-12-04 15:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys 2008-02-11 21:28 . 2007-12-04 15:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys 2008-02-11 21:28 . 2007-12-04 15:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys 2008-02-11 19:36 . 2008-02-11 19:43 d-------- C:\HiJackThis 2008-02-06 15:34 . 2007-06-05 10:56 44,928 --a------ C:\WINDOWS\system32\drivers\SDTHOOK.SYS 2008-02-06 15:08 . 2008-02-06 18:21 d-------- C:\WINDOWS\system32\ActiveScan 2008-02-06 15:08 . 2008-02-06 15:26 30,590 --a------ C:\WINDOWS\system32\pavas.ico 2008-02-06 15:08 . 2008-02-06 15:26 2,550 --a------ C:\WINDOWS\system32\Uninstall.ico 2008-02-06 15:08 . 2008-02-06 15:26 1,406 --a------ C:\WINDOWS\system32\Help.ico 2008-02-05 19:26 . 2008-02-05 19:26 d-------- C:\WINDOWS\system32\Kaspersky Lab 2008-02-05 15:19 . 2008-02-05 15:19 d-------- C:\Program Files\Alwil Software 2008-01-31 18:48 . 2008-01-31 18:48 d-------- C:\Program Files\Zylom Games 2008-01-30 18:36 . 2008-01-30 18:36 d-------- C:\Documents and Settings\Raymond\Application Data\CursorArts 2008-01-30 18:24 . 2008-01-30 18:21 58,849 --a------ C:\WINDOWS\system32\drapeau-corse-1_la-fouine-du-net_hardware.ico 2008-01-29 16:49 . 2008-01-30 09:51 d-------- C:\Program Files\Mystery Case Files Huntsville 2008-01-29 16:48 . 2008-01-29 16:48 d-------- C:\Program Files\ReflexiveArcade 2008-01-29 13:57 . 2008-01-29 13:57 d-------- C:\Documents and Settings\All Users\Application Data\Trymedia 2008-01-29 13:56 . 2008-01-29 13:56 d-------- C:\Program Files\BFG 2008-01-28 19:45 . 2001-08-17 21:56 7,552 --a------ C:\WINDOWS\system32\drivers\SONYPVU1.SYS 2008-01-28 19:45 . 2001-08-17 21:56 7,552 --a--c--- C:\WINDOWS\system32\dllcache\sonypvu1.sys 2008-01-25 20:02 . 2008-01-25 20:02 d-------- C:\Masks 2008-01-22 22:35 . 2008-01-22 22:35 d-------- C:\Program Files\UndoBDD 2008-01-22 22:10 . 2008-01-22 22:35 d-------- C:\Documents and Settings\Raymond\Application Data\Généatique2007 2008-01-22 22:00 . 2008-01-22 22:00 d-------- C:\Program FilesUndoBDD 2008-01-22 21:16 . 2004-12-07 06:11 258,352 --a------ C:\WINDOWS\system32\unicows.dll 2008-01-22 21:16 . 2006-01-30 08:32 5,632 --a------ C:\WINDOWS\system32\pxc25pm.dll 2008-01-22 21:15 . 2008-01-22 21:15 d-------- C:\Program Files\Tracker Software 2008-01-22 21:15 . 2008-01-22 21:15 d-------- C:\Program Files apoléon.gw 2008-01-22 21:15 . 2008-01-23 20:10 d-------- C:\Program Files\Geneatique2007 2008-01-22 21:15 . 2008-01-22 21:15 d-------- C:\Program Files\Démonstration.gw 2008-01-22 21:15 . 2008-01-22 21:15 d-------- C:\Program Files\Cadres 2008-01-22 21:15 . 2008-01-22 21:15 d-------- C:\Program Files\Branches 2008-01-22 21:15 . 2006-11-28 11:03 7,354 --a------ C:\Program Files\menu_arb.dat 2008-01-22 15:35 . 2008-02-04 23:23 d-------- C:\Program Files\Zuma Deluxe 2008-01-15 18:33 . 2008-01-15 18:33 d-------- C:\TEMP 2008-01-14 17:08 . 2008-01-14 17:08 d-------- C:\Documents and Settings\Raymond\Application Data\Logitech 2008-01-14 17:08 . 2008-01-14 17:08 d-------- C:\Documents and Settings\All Users\Application Data\LogiShrd 2008-01-14 17:03 . 2008-01-14 17:03 0 --ah----- C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf 2008-01-14 17:03 . 2008-01-14 17:03 0 --ah----- C:\WINDOWS\system32\drivers\Msft_Kernel_LMouFilt_01005.Wdf 2008-01-14 17:02 . 2007-11-15 10:06 301,656 --a------ C:\WINDOWS\system32\BtCoreIf.dll 2008-01-14 17:02 . 2007-11-15 10:07 170,512 --a------ C:\WINDOWS\system32\kemutb.dll 2008-01-14 17:02 . 2007-11-15 10:07 141,840 --a------ C:\WINDOWS\system32\KemUtil.dll 2008-01-14 17:02 . 2007-11-15 10:07 117,264 --a------ C:\WINDOWS\system32\KemWnd.dll 2008-01-14 17:02 . 2007-11-15 10:07 76,304 --a------ C:\WINDOWS\system32\KemXML.dll 2008-01-14 17:01 . 2008-01-14 17:01 d-------- C:\Program Files\Logitech 2008-01-14 17:01 . 2008-01-14 17:02 d-------- C:\Program Files\Fichiers communs\Logishrd 2008-01-14 17:01 . 2008-01-14 17:08 d-------- C:\Documents and Settings\All Users\Application Data\Logitech . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-02-13 10:58 --------- d-----w C:\Program Files\SPAMfighter 2008-02-06 16:42 --------- d-----w C:\Program Files\Tweak-XP Pro 4 2008-02-06 16:40 --------- d-----w C:\Program Files\Slim Multimedia Keyboard 2008-02-06 16:08 --------- d-----w C:\Program Files\MSN Messenger 2008-02-06 15:30 --------- d-----w C:\Program Files\FlashFXP 2008-01-30 19:04 --------- d-----w C:\Program Files\adslTV 2008-01-30 18:55 --------- d-----w C:\Program Files\PokerStars 2008-01-25 19:14 --------- d-----w C:\Program Files\Click'N Design 3D (V5) 2008-01-24 14:22 --------- d-----w C:\Program Files\Winamp 2008-01-22 15:19 --------- d-----w C:\Program Files\PokerOffice 2008-01-14 16:01 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-01-11 14:00 --------- d-----w C:\Program Files\BSD Concept 2008-01-11 10:07 --------- d-----w C:\Program Files\PowerArchiver 2007-12-25 17:26 --------- d-----w C:\Documents and Settings\All Users\Application Data\QuickTime 2006-12-19 08:41 29,325 ----a-w C:\Program Files\mode1.grf 2006-12-19 08:38 6,602 ----a-w C:\Program Files\asc-blocnote.grf 2006-12-19 08:32 54,009 ----a-w C:\Program Files\mixte-cousins photos.grf 2006-12-19 08:22 25,731 ----a-w C:\Program Files\mixte-cousins.grf 2006-11-28 09:49 16,408 ----a-w C:\Program Files\asc-artistique-Laurent-colline-photos.grf 2006-11-28 09:48 222 ----a-w C:\Program Files\Pierre.bch 2006-11-28 09:48 20,810 ----a-w C:\Program Files\mixte-branche-bois.grf 2006-11-28 09:48 180 ----a-w C:\Program Files\Bois.bch 2006-11-28 09:48 18,030 ----a-w C:\Program Files\asc-génération-5-pierre.grf 2006-11-28 09:48 13,128 ----a-w C:\Program Files\circ-desc-simple Nom Prenom.grf 2006-11-28 09:48 123,028 ----a-w C:\Program Files\circ-desc-sosa non vide.grf 2006-11-28 09:47 315,531 ----a-w C:\Program Files\circ-desc-par generation.grf 2006-11-28 09:47 198,115 ----a-w C:\Program Files\circ-desc-homme-femme.grf 2006-11-28 09:47 124,405 ----a-w C:\Program Files\circ-desc_complet.grf 2006-11-28 09:47 116,078 ----a-w C:\Program Files\circ-desc.grf 2006-11-28 09:45 80,075 ----a-w C:\Program Files\circ-asc-roue-complete-10-gen.grf 2006-11-28 09:44 200,365 ----a-w C:\Program Files\circ-asc10c.grf 2006-11-28 09:42 16,714 ----a-w C:\Program Files\asc-naturel.grf 2006-11-28 09:31 34,078 ----a-w C:\Program Files\asc-artistique-comique1.grf 2006-11-28 09:16 7,701 ----a-w C:\Program Files\asc-artistique-ete.grf 2006-11-28 09:16 15,277 ----a-w C:\Program Files\asc-patronymique-artistique.grf 2006-11-28 09:15 52,032 ----a-w C:\Program Files\asc-artistique.grf 2006-11-28 09:15 50,513 ----a-w C:\Program Files\asc-edition-christian.grf 2006-11-28 09:15 21,584 ----a-w C:\Program Files\asc-au-bord-du-lac-color.grf 2006-11-28 09:15 20,900 ----a-w C:\Program Files\asc-au-bord-du-lac.grf 2006-11-28 09:14 37,907 ----a-w C:\Program Files\desc-horizontale_image2.grf 2006-11-28 09:13 49,651 ----a-w C:\Program Files\asc-patronymique-photo.grf 2006-11-28 09:13 29,660 ----a-w C:\Program Files\mode1-rose-bleu-photos.grf 2006-11-28 09:13 204 ----a-w C:\Program Files\Feuilles.bch 2006-11-28 09:13 12,051 ----a-w C:\Program Files\asc-ancien-photos.grf 2006-11-28 09:12 36,230 ----a-w C:\Program Files\photo-artistique.grf 2006-11-28 09:12 13,910 ----a-w C:\Program Files\photos-sans cadre.grf 2006-11-28 09:11 12,159 ----a-w C:\Program Files\photo2.grf 2006-11-28 09:10 6,407 ----a-w C:\Program Files\mixte-simple.grf 2006-11-28 09:09 44,616 ----a-w C:\Program Files\asc-imbriquée.grf 2006-11-28 09:09 42,396 ----a-w C:\Program Files\desc-complète-couleurs.grf 2006-11-28 09:09 37,073 ----a-w C:\Program Files\asc-tous-les-mariages.grf 2006-11-28 09:08 381,331 ----a-w C:\Program Files\asc-génération-10c.grf 2006-11-28 09:08 26,413 ----a-w C:\Program Files\asc-simple_couleur.grf 2006-11-28 09:08 20,999 ----a-w C:\Program Files\asc-complète.grf 2006-11-28 09:07 39,389 ----a-w C:\Program Files\asc_6 générations.grf 2006-11-28 09:06 26,395 ----a-w C:\Program Files\asc-5gener_paysage.grf 2006-11-28 09:06 18,028 ----a-w C:\Program Files\asc-génération-5.grf 2006-11-28 09:05 31,064 ----a-w C:\Program Files\asc-patronymique frères et soeurs .grf 2006-11-28 09:05 209,881 ----a-w C:\Program Files\asc-blason.grf 2006-11-28 09:05 11,421 ----a-w C:\Program Files\photo-mixte.grf 2006-11-28 09:04 41,262 ----a-w C:\Program Files\asc-génération 5mariage.grf 2006-11-28 08:58 11,734 ----a-w C:\Program Files\asc-simple.grf 2006-11-28 08:56 33,432 ----a-w C:\Program Files\asc-génération-5c.grf 2006-11-22 10:20 68,559 ----a-w C:\Program Files\mode2.grf 2006-11-21 15:45 42,773 ----a-w C:\Program Files\arbre-chronologique-mixte-bleu.grf 2006-11-14 16:15 42,709 ----a-w C:\Program Files\arbre-chronologique-descendant.grf 2006-11-14 15:41 42,709 ----a-w C:\Program Files\arbre-chronologique-mixte.grf 2006-11-14 13:15 42,826 ----a-w C:\Program Files\arbre-chronologique-ascendant.grf 2006-11-14 11:27 1,376 ----a-w C:\Program Files\defaut.cns 2006-10-12 14:53 302 ----a-w C:\Program Files\defaut.be 2006-10-12 11:28 6,035 ----a-w C:\Program Files\livret ascendant rédigée.ff 2006-10-12 11:26 3,978 ----a-w C:\Program Files\export-html-compact.ff 2006-10-12 11:26 3,844 ----a-w C:\Program Files\export-HTML-graphique.ff 2006-10-12 11:24 3,999 ----a-w C:\Program Files\export-html-cadre.ff 2006-10-12 11:21 3,918 ----a-w C:\Program Files\defaut.ff 2006-10-12 11:20 3,878 ----a-w C:\Program Files\cadre structuré.ff 2006-10-12 11:20 3,856 ----a-w C:\Program Files\cadre structuré couleur.ff 2006-10-12 11:19 4,017 ----a-w C:\Program Files\ascendance rédigée.ff 2006-10-12 11:18 3,901 ----a-w C:\Program Files édigée.ff 2006-10-12 11:15 3,929 ----a-w C:\Program Files\parentele-alphabétique.ff 2006-10-12 11:12 3,897 ----a-w C:\Program Files\parentele.ff 2006-10-12 11:09 3,919 ----a-w C:\Program Files\fiche de couple rédigée.ff 2006-10-12 10:32 3,462 ----a-w C:\Program Files\arbitraire_dates.lsm 2006-10-12 10:26 78,042 ----a-w C:\Program Files\circ-asc-7c.grf 2006-10-10 09:44 27,160 ----a-w C:\Program Files\mixte-branche-feuille.grf 2006-10-10 09:41 309,953 ----a-w C:\Program Files\circ-desc-par date.grf 2006-10-10 09:36 9,943 ----a-w C:\Program Files\photo-cadre-bois.grf 2006-10-09 14:38 12,493 ----a-w C:\Program Files\mode1-rose-bleu.grf 2006-10-09 14:21 1,152 ----a-w C:\Program Files\complète (800x600).cns 2006-10-09 11:28 45,347 ----a-w C:\Program Files\desc-simple_couleur.grf 2006-10-09 11:16 289,916 ----a-w C:\Program Files\circ-asc-10_arc_en_ciel.grf 2006-10-06 15:51 1,072 ----a-w C:\Program Files\autre.cns 2006-10-06 15:50 1,115 ----a-w C:\Program Files\complète (1024X768).cns 2006-10-06 15:44 1,258 ----a-w C:\Program Files\simple.cns 2006-10-06 15:43 1,078 ----a-w C:\Program Files\simple2.cns 2006-10-06 14:35 33,849 ----a-w C:\Program Files\mode2-2004.grf 2006-10-06 12:16 11,545 ----a-w C:\Program Files\Liste par département.lsm 2006-10-06 12:06 8,674 ----a-w C:\Program Files\âge.lsm 2006-10-06 12:04 8,409 ----a-w C:\Program Files\âges-aux-événements.lsm 2006-10-06 12:04 6,637 ----a-w C:\Program Files\ancetres_parents_inconnus.lsm . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AnyDVD"="C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe" [ ] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2006-11-16 19:04 139264] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 13:00 15360] "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208] "DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [ ] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-08-05 13:34 64512] "SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 11:15 106496] "Cmaudio"="cmicnfg.cpl" [] "SiS Tray"="C:\WINDOWS\system32\sistray.EXE" [2003-10-30 14:10 667648] "SiS Windows KeyHook"="C:\WINDOWS\system32\keyhook.exe" [2003-10-30 14:09 249856] "LanguageShortcut"="C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" [2006-05-18 11:29 49152] "NeroFilterCheck"="C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 15:40 155648] "CloneCDTray"="C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" [2005-05-19 14:47 57344] "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-03-05 13:24 98304] "SunJavaUpdateSched"="C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe" [2004-06-03 22:05 32881] "PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2004-03-11 00:26 406016] "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 13:00 15360] C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Logitech SetPoint.lnk - C:\Program Files\Logitech\SetPoint\SetPoint.exe [2008-01-14 17:02:05 784912] Slim Multimedia Keyboard.lnk - C:\Program Files\Slim Multimedia Keyboard\MagicKey.exe [2007-12-25 10:32:12 163840] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles "InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\LBTWlgn] c:\program files\fichiers communs\logishrd\bluetooth\LBTWlgn.dll 2007-11-15 10:10 72208 c:\Program Files\Fichiers communs\Logishrd\Bluetooth\LBTWLgn.dll R1 kbfilter;Keyboard Filter Driver;C:\WINDOWS\system32\drivers\kbfilter.sys [2001-11-27 15:07] R2 SPAMfighter Update Service;SPAMfighter Update Service;"C:\Program Files\SPAMfighter\sfus.exe" [2007-10-25 15:29] R3 camvid20;Philips ToUcam Camera; Video;C:\WINDOWS\system32\DRIVERS\camdrv21.sys [] S3 C-Dilla;C-Dilla;C:\WINDOWS\system32\drivers\CDANT.SYS [2003-04-01 10:23] S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 22:58] S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\##PIPISTRELLA#VAIO (D)] \Shell\AutoRun\command - setup.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{52e50066-eb36-11db-9b73-009027bff64e}] \Shell\AutoRun\command - G:\Geneo\Geneo.exe \Shell\start\command - G:\Geneo\Geneo.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9134b99c-f6fb-11db-9b80-009027bff64e}] \Shell\AutoRun\command - G:\GC.bat /m . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-02-13 15:33:45 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** . Temps d'accomplissement: 2008-02-13 15:34:22 ComboFix-quarantined-files.txt 2008-02-13 14:34:14 ComboFix2.txt 2008-02-13 13:28:02 ComboFix3.txt 2008-02-12 23:04:04 ComboFix4.txt 2008-02-12 23:00:12 . 2008-01-23 13:33:21 --- E O F --- 2) Rapport HijackThis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:36, on 2008-02-13 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Program Files\CyberLink\Shared files\RichVideo.exe C:\Program Files\SPAMfighter\sfus.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\system32\sistray.EXE C:\WINDOWS\system32\keyhook.exe C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Logitech\SetPoint\SetPoint.exe C:\Program Files\Slim Multimedia Keyboard\MagicKey.exe C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE C:\WINDOWS\eHome\ehmsas.exe C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe C:\Program Files\Slim Multimedia Keyboard\OSD.EXE C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE C:\Program Files\internet explorer\iexplore.exe C:\WINDOWS\explorer.exe C:\Documents and Settings\Raymond\Bureau\HijackThis\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.commentcamarche.net/forum/affich 4985476 virus trojan downloader bagle et email worm?page=4#0 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKCU\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe O4 - Global Startup: Slim Multimedia Keyboard.lnk = C:\Program Files\Slim Multimedia Keyboard\MagicKey.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/... O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\Logishrd\Bluetooth\LBTServ.exe O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe O23 - Service: SPAMfighter Update Service - SPAMfighter ApS - C:\Program Files\SPAMfighter\sfus.exe

poucetinou · Answer

Tu me réclames: combofix4,txt : Késako?
@++

Poucetinou · Answer

Je ne sais pas si tu as eu le 3ément du message 76 qui est resté en clair:   

 3) c:\programme files\demonstration.gw et napoleon.gw: 
se trouvent dans le logiciel Généatique (que j'ai récupéré sous e-mule!!!) et que je n'utilise pas

@+    
et toujours obligé de me reconnecter!!!

g!rly · Answer

Re,

c´est le rapport que tu m´as posté ;-)

supprime logiciel Généatique alors et tout sont contenu.

j´aimerais si Afideg est dans le coin qu´il jette un coup d´oeuil sur ceci et qu´il me dise ce qu´il en pensse

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\##PIPIS TRELLA#VAIO (D)]
\Shell\AutoRun\command - setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{52e500 66-eb36-11db-9b73-009027bff64e}]
\Shell\AutoRun\command - G:\Geneo\Geneo.exe
\Shell\start\command - G:\Geneo\Geneo.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9134b9 9c-f6fb-11db-9b80-009027bff64e}]
\Shell\AutoRun\command - G:\GC.bat /m 

@+

g!rly · Answer

Re, On va tenter ca : Branche ta cle USB, sans l´ouvrir avant de lancer ce FIX Télécharge Rav antivirus: http://ww25.evosla.com/compteur.php?soft=rav_antivirus • Clique droit sur le fichier .ZIP > Extraire sur > le Bureau • Doucle clic sur >> RAV.exe << afin de lancer l'outil. • Une fois RAV ANTIVIRUS lancé, laisse-le réagir, il scanne automatiquement tous les lecteurs (disques fixes et amovibles) • Si infection > un rapport s'établira, sinon s'affichera (très rapide) ==>Votre Ordinateur est sain . • Retire tes disques amovibles et redémarre ton ordinateur . Poste le rapport , si infection! @+

Poucetinou · Answer

1) Rapport avec la clé:   

 [2008-02-13 16:17:04] -  virus trouvé : g:\AUTORUN.INF
[2008-02-13 16:17:05] -  virus Supprimé avec succès ==>g:\autorun.inf
[2008-02-13 16:17:07] -  virus Supprimé avec succès ==>g:\Geneo\Geneo.exe
[2008-02-13 16:17:08] -  virus Supprimé avec succès
  

2) Généatique est complétement désinstallé

je te transmets le message, enlève la clé et redémarre le PC

@+

Poucetinou · Answer

Le PC a rédémarré, j'espère que j'ai bien suivi tes conseils, en tout cas , je m'applique;)))
Merci @+

g!rly · Answer

re,

oui ca l´as bien fait ;-)

regarde ceci concernant avast :

antivir vs avast :

-> http://forum.malekal.com/ftopic3528.php

alors je te conseille de le desinstaller et d´installer antivir a la place

Telecharge et instal l'antivirus Antivir Personal Edition Classic :

->https://www.malekal.com/avira-free-security-antivirus-gratuit/

https://www.avira.com/en/prime

http://mickael.barroux.free.fr/securite/antivir.php 
http://speedweb1.free.fr/frames2.php?page=tuto5
<- tutoriel configuration du scanner...

une fois antivir ouvert click surconfiguration et coche la case "expert mode" puis sur l´onglet scanner dans la fenetre du dessous tu va voir : rootkit search click sur le petit + pour deployer et coche la case a coté de ton disk dur
puis click sur configuration en haut a droite; dans la nouvelle fenetre a gauche >scanner > coche "scan all files" et en dessous >scanner priority = High
coche : allow stopping the scanner, comme cela tu peux faire une pause pendant le scan si tu le desir.
puis sur la droite coche les case suivantes : 
scan boot sectors of selected drives
scan master boot sectors
scan memory
search foe rootkit before scan
decoche :
ignore off line files
toujours a gauche > scan > deploie > heuristique > macrovirus heuristic = coché et en dessous > win32 heuristic la case coché et high detection level

Je te dis tout ca car j´aimerais que tu fasse un scan complet de ta machine a l´aide d´antivir avec les reglages stipulés ci dessus et que tu post le rapport ici stp.

@+

Poucetinou · Answer

Ok, je vais tenter cette opération en live et je te transmets le rapport!
@+

g!rly · Answer

ok

@+

Hermyne · Answer

Bonjour à tous,

Ayant souffert de l’intrusion de ce cher Bagle et m’étant démené sans compter pour le supprimer avec succès, je vous fais part de la marche suivie qui, dans mon cas, à été concluante.
Avant toute chose, soyez sur d’avoir affaire à notre ami en personne, il est plus simple de savoir contre qui on se bat.
Pour ce faire, chargez Elibagla 10.98 au bas de cette page : http://www.zonavirus.com/datos/descargas/95/elibagla.asp
Exécutez le et si notre cher Bagle est présent sur votre machine, un ou plusieurs fichiers seront pour ce programme impossibles a retirer mais il aura déjà fait une part du travail et nous sommes, à présent, sûrs d’avoir ce ver.

Maintenant, nous allons passer à la phase éradication.
Comme Bagle empêche le fonctionnement d’anti-virus, pas la peine de s’énerver à tenter d’en installer un ou l’autre, ça ne servirait à rien. Il nous reste donc le scan en ligne. Faites donc un scan Panda totalscan sur cette page : https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan . Une fois fait, supprimer déjà manuellement tout ce que vous pouvez suivant le rapport du scan.

Il ne devrait plus vous rester que un ou deux petits trucs tenaces invirables après cette manœuvre.

Avant de continuer, assurez vous d’avoir sur votre ordinateur votre anti-virus habituel (Ou un autre) en exécutable pour pouvoir le réinstaller par la suite. Ensuite, désinstallez TOUS vos anti-spy/virus et coupez votre pare feu.

Relancez votre ordinateur en mode sans echec

 La touche F8 est le seul moyen permettant de passer en mode sans échec. 
 Redémarrez l’ordinateur 

 Dès le chargement du BIOS, commencez à appuyer sur la touche F8 de votre clavier. Procédez ainsi jusqu'à ce que le menu des options avancées de Windows apparaisse. Si vous commencez à appuyer sur la touche F8 trop tôt, il est possible que certains ordinateurs affichent le message "erreur clavier". Si ceci se produit, redémarrez l'ordinateur et essayez de nouveau. 

 Dans le menu d'options avancées de Windows, sélectionnez Mode sans échec si cette option n'est pas sélectionnée. 

 Utilisez les touches fléchées (flèches de direction) pour sélectionner l'option 

 Appuyez sur Entrée 
Windows démarre en mode sans échec. (Ceci peut prendre quelques minutes.) 

Une fois sur votre bureau, refaites travailler Elibagla et profitez-en d’être dans ce mode pour nettoyer l’un où l’autre dossier qui vous gênerait en temps normal.
Redémarrez en mode normal, Elibagla devrait alors refaire un scan et il ne devrait plus rien rester du tout.
Il vous reste à réinstaller pare-feu et anti-virus de votre choix.

J’espère que cela vous aura grandement aidé, bonne journée sur un ordinateur tout propre.

Et courage...

g!rly · Answer

Merci pour toutes ces precisions ;-)

Poucetinou · Answer

G!rl,
Je ne t'ai pas dit, j'y pense maintenant, il est temps, un deuxième PC est branché avec celui-ci en réseau et protégé également par Avast.
Il fonctionne correctement, sans problème, mais il est également branchéi, est-ce génant? Dois-je l'arrêter?
@+

g!rly · Answer

re,

Je ne pensse pas que ca gêne...

Poucetinou · Answer

G!rl, je désinstalle ou non avec Avast? On continue ta procédure ou on suit Hermine?
En tout cas merci Hermine pour ton intervention.
Je reste à vos ordres CHEFS!
@+

g!rly · Answer

re,

si tu as installé antivir comme je te l´ai suggéré desinstales avast oui.

pour ce qui est de bagle c´est du passé...

@+

Poucetinou · Answer

Non je n'ai pas encore eu le temps de désistaller Avast! ni installer Antivir!
Mais je fais comme tu veux!!!!
@+

g!rly · Answer

ok

je te le remets ici :

regarde ceci concernant avast :

antivir vs avast :

-> http://forum.malekal.com/ftopic3528.php

alors je te conseille de le desinstaller et d´installer antivir a la place

Telecharge et instal l'antivirus Antivir Personal Edition Classic :

->https://www.malekal.com/avira-free-security-antivirus-gratuit/

https://www.avira.com/en/prime

http://mickael.barroux.free.fr/securite/antivir.php
http://speedweb1.free.fr/frames2.php?page=tuto5
<- tutoriel configuration du scanner...

une fois antivir ouvert click surconfiguration et coche la case "expert mode" puis sur l´onglet scanner dans la fenetre du dessous tu va voir : rootkit search click sur le petit + pour deployer et coche la case a coté de ton disk dur
puis click sur configuration en haut a droite; dans la nouvelle fenetre a gauche >scanner > coche "scan all files" et en dessous >scanner priority = High
coche : allow stopping the scanner, comme cela tu peux faire une pause pendant le scan si tu le desir.
puis sur la droite coche les case suivantes :
scan boot sectors of selected drives
scan master boot sectors
scan memory
search foe rootkit before scan
decoche :
ignore off line files
toujours a gauche > scan > deploie > heuristique > macrovirus heuristic = coché et en dessous > win32 heuristic la case coché et high detection level

Je te dis tout ca car j´aimerais que tu fasse un scan complet de ta machine a l´aide d´antivir avec les reglages stipulés ci dessus et que tu post le rapport ici stp.

@+

poucetinou · Answer

une fois antivir ouvert click surconfiguration et coche la case "expert mode" puis sur l´onglet scanner dans la fenetre du dessous tu va voir : rootkit search click sur le petit + pour deployer et coche la case a coté de ton disk dur ,
tout le reste est fait, mais je n'ai pas trouvé ce qui est en gras et souligné!!!
@+

g!rly · Answer

re,

ouvre antivir, tu va voir un onglet scanner (en haut) le deuxieme en partant de la gauche click dessus

rootkit search se trouve vers le bas en suite

Poucetinou · Answer

Ok, ça scanne, je ne trouvais pas "rootkit search" car j'étais passé directement par la configuration d'Antivir!!
Voilà le rapport:



AntiVir PersonalEdition Classic
Report file date: 2008-02-13  18:55

Scanning for 1100436 virus strains and unwanted programs.

Licensed to:      Avira AntiVir PersonalEdition Classic
Serial number:    0000149996-ADJIE-0001
Platform:         Windows XP
Windows version:  (Service Pack 2)  [5.1.2600]
Username:         Raymond
Computer name:    RAY

Version information:
BUILD.DAT    : 270           15603 Bytes  2007-09-19 13:32:00
AVSCAN.EXE   : 7.0.6.1      290856 Bytes  2007-08-23 13:16:29
AVSCAN.DLL   : 7.0.6.0       49192 Bytes  2007-08-16 12:23:51
LUKE.DLL     : 7.0.5.3      147496 Bytes  2007-08-14 15:32:47
LUKERES.DLL  : 7.0.6.1       10280 Bytes  2007-08-21 12:35:20
ANTIVIR0.VDF : 6.40.0.0    11030528 Bytes  2007-07-18 14:27:15
ANTIVIR1.VDF : 7.0.1.95    3367424 Bytes  2007-12-14 17:30:48
ANTIVIR2.VDF : 7.0.2.113   1673728 Bytes  2008-02-08 17:30:48
ANTIVIR3.VDF : 7.0.2.125     54784 Bytes  2008-02-12 17:30:48
AVEWIN32.DLL : 7.6.0.65    3240448 Bytes  2008-02-13 17:30:50
AVWINLL.DLL  : 1.0.0.7       14376 Bytes  2007-02-26 10:36:26
AVPREF.DLL   : 7.0.2.2       25640 Bytes  2007-07-18 07:39:17
AVREP.DLL    : 7.0.0.1      155688 Bytes  2007-04-16 13:16:24
AVPACK32.DLL : 7.6.0.3      360488 Bytes  2008-02-13 17:30:50
AVREG.DLL    : 7.0.1.6       30760 Bytes  2007-07-18 07:17:06
AVARKT.DLL   : 1.0.0.20     278568 Bytes  2007-08-28 12:26:33
AVEVTLOG.DLL : 7.0.0.20      86056 Bytes  2007-07-18 07:10:18
NETNT.DLL    : 7.0.0.0        7720 Bytes  2007-03-08 11:09:42
RCIMAGE.DLL  : 7.0.1.30    2342952 Bytes  2007-08-07 12:38:13
RCTEXT.DLL   : 7.0.62.0      86056 Bytes  2007-08-21 12:50:37
SQLITE3.DLL  : 3.3.17.1     339968 Bytes  2007-07-23 09:37:21

Configuration settings for the scan:
Jobname..........................: Rootkit search
Configuration file...............: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\PROFILESootkit.avp
Logging..........................: high
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Scan memory......................: off
Process scan.....................: off
Scan registry....................: off
Search for rootkits..............: on
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: high
Expanded search settings.........: 0x00300922

Start of the scan: 2008-02-13  18:55

Starting search for hidden objects.
HKEY_USERS\S-1-5-21-823518204-884357618-682003330-1003\Software\SPAMfighter\Rules\Sender\Trust\addresses
      [NOTE]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32	hreadingmodel
      [NOTE]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32\cd042efbbd7f7af1647644e76e06692b
      [NOTE]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32	hreadingmodel
      [NOTE]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32\bca643cdc5c2726b20d2ecedcc62c59b
      [NOTE]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32	hreadingmodel
      [NOTE]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32\2c81e34222e8052573023a60d06dd016
      [NOTE]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32	hreadingmodel
      [NOTE]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32\2582ae41fb52324423be06337561aa48
      [NOTE]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32	hreadingmodel
      [NOTE]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32\caaeda5fd7a9ed7697d9686d4b818472
      [NOTE]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32	hreadingmodel
      [NOTE]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32\a4a1bcf2cc2b8bc3716b74b2b4522f5d
      [NOTE]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32	hreadingmodel
      [NOTE]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32\4d370831d2c43cd13623e232fed27b7b
      [NOTE]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32	hreadingmodel
      [NOTE]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32\1d68fe701cdea33e477eb204b76f993d
      [NOTE]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32	hreadingmodel
      [NOTE]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32\1fac81b91d8e3c5aa4b0a51804d844a3
      [NOTE]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32	hreadingmodel
      [NOTE]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32\f5f62a6129303efb32fbe080bb27835b
      [NOTE]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32	hreadingmodel
      [NOTE]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32\fd4e2e1a3940b94dceb5a6a021f2e3c6
      [NOTE]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32	hreadingmodel
      [NOTE]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32\8a8aec57dd6508a385616fbc86791ec2
      [NOTE]      The registry entry is invisible.
'390990' objects were checked, '25' hidden objects were found.


End of the scan: 2008-02-13  18:58
Used time: 03:15 min

The scan has been done completely.

      0 Scanning directories
      0 Files were scanned
      0 viruses and/or unwanted programs were found
      0 Files were classified as suspicious:
      0 files were deleted
      0 files were repaired
      0 files were moved to quarantine
      0 files were renamed
      0 Files cannot be scanned
      0 Files not concerned
      0 Archives were scanned
      0 Warnings
      0 Notes
 390990 Objects were scanned with rootkit scan
     25 Hidden objects were found

@+

Poucetinou · Answer

Salut Afideg,
je viens de trouver ton message plus haut, et c'est vrai que je travaille actuellement avec G!rl, mais hier est intervenu à la suite de G!rl :Mérillym, puis toi,tu es également intervenu.Ne vous connaissant pas, malheureusement, c'est pour cette raison que, aprés l'intervention d'Hermine, je me suis tourné vers G!rl et que je lui ai demandé qui suivre!!!
J'aurai pu penser que Hermine aurait pu prendre le relais, comme l'a fait Mérillym hier!!!
Mais pour le moment ça fonctionne bien avec G!rl et elle reste mon interlocuteur.
Désolé si tu ais cru que j'avais commis un impair, ce n'était pas du tout mon but! Bien au contraire!
@+

g!rly · Answer

re,

ca a ete bien vite tout ca?!!

Poucetinou · Answer

Tu parles du scan, G!rl!
@+

g!rly · Answer

oui,

A peine je t´ai dis comment cocher rootkit search a peine le scan etait terminé??

Peux tu faire un scan avec spybot en mode sans echec stp.

http://www.commentcamarche.net/telecharger/telecharger 122 spybot

Supprime bien tout ce qu´il va trouver.

Rapport ce qu´il a trouvé.

@+

poucetinou · Answer

Antivir me fait une alerte:
c:\System Volume Information\...\A0056734.exe
Is the Trojan horse TR/Bagle.Gen.B
Est-il préférable de:
1) Delete
2) Access deny
@+

En attendant je fais un scan avec spybot...

Poucetinou · Answer

G!rl, impossible de scanner, il refuse l'installation de Spybot avec le message:

Error sending request
The server name or adress could not be resolved

Que fais-je?
@+   

SVP: si tu peux me trouver une solution pour que je ne sois pas obligé de me reconnecter à chaque message ou dès que je change de page ou...MERCI GRANDEMENT :)))))

g!rly · Answer

re,

deconnecte toi du net, coupe tes protections et retente de faire le scan avec spybot.

pour tes problemes de connections sur le site je ne voie pas? je sais que ca arrive parfois...

pour l´alerte d´antivir, tu as supprimé?, c´etait la restauration system... on la nettoiera a la fin.

@+

Poucetinou · Answer

ca y est le scn avec Spybot est effectué , en mode normal impossible en mode sans échec, mais avec Antivir coupé!
Tout est nettoyé!
où puis-je prendre le rapport de Spybot, si toutefois il y en a un?
@+

g!rly · Answer

ok, 

dis moi juste ce qu´il a trouvé stp

@+

poucetinou · Answer

en mode normal ,impossible en mode sans échec (il manque la virgule, ça change tout) donc bien en mode normal!
@+

poucetinou · Answer

EverestPoker et Win32.Bagle.hi
@+

g!rly · Answer

ok

peux tu refaire un scan avec antivir stp

@+

Oucetinou · Answer

Rapport Antivir:    

AntiVir PersonalEdition Classic
Report file date: 2008-02-13  22:24

Scanning for 1100436 virus strains and unwanted programs.

Licensed to:      Avira AntiVir PersonalEdition Classic
Serial number:    0000149996-ADJIE-0001
Platform:         Windows XP
Windows version:  (Service Pack 2)  [5.1.2600]
Username:         Raymond
Computer name:    RAY

Version information:
BUILD.DAT    : 270           15603 Bytes  2007-09-19 13:32:00
AVSCAN.EXE   : 7.0.6.1      290856 Bytes  2007-08-23 13:16:29
AVSCAN.DLL   : 7.0.6.0       49192 Bytes  2007-08-16 12:23:51
LUKE.DLL     : 7.0.5.3      147496 Bytes  2007-08-14 15:32:47
LUKERES.DLL  : 7.0.6.1       10280 Bytes  2007-08-21 12:35:20
ANTIVIR0.VDF : 6.40.0.0    11030528 Bytes  2007-07-18 14:27:15
ANTIVIR1.VDF : 7.0.1.95    3367424 Bytes  2007-12-14 17:30:48
ANTIVIR2.VDF : 7.0.2.113   1673728 Bytes  2008-02-08 17:30:48
ANTIVIR3.VDF : 7.0.2.125     54784 Bytes  2008-02-12 17:30:48
AVEWIN32.DLL : 7.6.0.65    3240448 Bytes  2008-02-13 17:30:50
AVWINLL.DLL  : 1.0.0.7       14376 Bytes  2007-02-26 10:36:26
AVPREF.DLL   : 7.0.2.2       25640 Bytes  2007-07-18 07:39:17
AVREP.DLL    : 7.0.0.1      155688 Bytes  2007-04-16 13:16:24
AVPACK32.DLL : 7.6.0.3      360488 Bytes  2008-02-13 17:30:50
AVREG.DLL    : 7.0.1.6       30760 Bytes  2007-07-18 07:17:06
AVARKT.DLL   : 1.0.0.20     278568 Bytes  2007-08-28 12:26:33
AVEVTLOG.DLL : 7.0.0.20      86056 Bytes  2007-07-18 07:10:18
NETNT.DLL    : 7.0.0.0        7720 Bytes  2007-03-08 11:09:42
RCIMAGE.DLL  : 7.0.1.30    2342952 Bytes  2007-08-07 12:38:13
RCTEXT.DLL   : 7.0.62.0      86056 Bytes  2007-08-21 12:50:37
SQLITE3.DLL  : 3.3.17.1     339968 Bytes  2007-07-23 09:37:21

Configuration settings for the scan:
Jobname..........................: Rootkit search
Configuration file...............: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\PROFILESootkit.avp
Logging..........................: high
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Scan memory......................: off
Process scan.....................: off
Scan registry....................: off
Search for rootkits..............: on
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: high
Expanded search settings.........: 0x00300922

Start of the scan: 2008-02-13  22:24

Starting search for hidden objects.
HKEY_USERS\S-1-5-21-823518204-884357618-682003330-1003\Software\SPAMfighter\Rules\Sender\Trust\addresses
      [NOTE]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32	hreadingmodel
      [NOTE]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32\cd042efbbd7f7af1647644e76e06692b
      [NOTE]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32	hreadingmodel
      [NOTE]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32\bca643cdc5c2726b20d2ecedcc62c59b
      [NOTE]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32	hreadingmodel
      [NOTE]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32\2c81e34222e8052573023a60d06dd016
      [NOTE]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32	hreadingmodel
      [NOTE]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32\2582ae41fb52324423be06337561aa48
      [NOTE]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32	hreadingmodel
      [NOTE]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32\caaeda5fd7a9ed7697d9686d4b818472
      [NOTE]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32	hreadingmodel
      [NOTE]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32\a4a1bcf2cc2b8bc3716b74b2b4522f5d
      [NOTE]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32	hreadingmodel
      [NOTE]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32\4d370831d2c43cd13623e232fed27b7b
      [NOTE]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32	hreadingmodel
      [NOTE]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32\1d68fe701cdea33e477eb204b76f993d
      [NOTE]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32	hreadingmodel
      [NOTE]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32\1fac81b91d8e3c5aa4b0a51804d844a3
      [NOTE]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32	hreadingmodel
      [NOTE]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32\f5f62a6129303efb32fbe080bb27835b
      [NOTE]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32	hreadingmodel
      [NOTE]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32\fd4e2e1a3940b94dceb5a6a021f2e3c6
      [NOTE]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32	hreadingmodel
      [NOTE]      The registry entry is invisible.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32\8a8aec57dd6508a385616fbc86791ec2
      [NOTE]      The registry entry is invisible.
'474977' objects were checked, '25' hidden objects were found.


End of the scan: 2008-02-13  22:27
Used time: 03:23 min

The scan has been done completely.

      0 Scanning directories
      0 Files were scanned
      0 viruses and/or unwanted programs were found
      0 Files were classified as suspicious:
      0 files were deleted
      0 files were repaired
      0 files were moved to quarantine
      0 files were renamed
      0 Files cannot be scanned
      0 Files not concerned
      0 Archives were scanned
      0 Warnings
      0 Notes
 474977 Objects were scanned with rootkit scan
     25 Hidden objects were found

g!rly · Answer

re,

elles m´aspirent pas confience ces cles de registre invisible!

qu´en pensse afideg?

@+

afideg · Answer

Euh Afideg ras-le-bol ici également http://www.commentcamarche.net/forum/affich 4874313 help marie?page=6#112 Mais Spybot S&D possède un rapport, je crois. Je n'ai plus ni Spybot S&D, ni Ad-Aware depuis longtemps ==> j'ai oublié. Regarde ici https://jesses.pagesperso-orange.fr/Docs/Logiciels/SpybotUtil.htm ==> onglet "utilisation" (c'est expliqué pour obtenir les clés) Fais relancer Spybot S&D et appliquer pour avoir les clés (si encore temps ! ) ;) SINON: Everest Poker, tu le localises avec OAD de Laurent. Pour l'autre, tente cette commande avec "Exécuter" ==> del c:\windows\system32\mdelk.exe Et relance un ScanOnline PANDA (sous Internet explorer donc ) < https://www.pandasecurity.com/?ref=www.pandasoftware.com/activescan/fr/activescan_principal.htm > •- Procédure : - Branche les disques amovibles éventuellement. - "Analyser votre pc" -> "suivant" -> remplir adresse mail (factice) -> Pays/Etat-région -> envoyer -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "Poste de Travail" -> fermer la popup. •- Note : Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : < https://jetable.org/en/index > •- Un tuto < https://www.malekal.com/scan-antivirus-ligne-nod32/ > ) ou là < https://www.hugedomains.com/domain_profile.cfm?d=monaco-pro&e=com NOTE* A la fin du scanning, sauvegarde et fais un copier/coller du rapport d'analyse dans ta prochaine réponse. Attention!! Panda peut entrer en conflit avec autre antivirus . Par exemple, pour pouvoir télécharger le contrôle active x de Panda, il faut que tu désactives Antivir le temps du scan. (idem pour le Tea-Timer de Spybot S&D si tu l’as). Al.

Poucetinou · Answer

Je fais ça G!rl? ou c'est à toi qu'il cause?
Donne moi le feu vert! ou c'est Afideg qui prend le relais?
Merci @+

afideg · Answer

Poucetinou

Regarde déjà ça:   « Mais Spybot S&D possède un rapport, je crois. 
Je n'ai plus ni Spybot S&D, ni AdAware depuis longtemps ==> j'ai oublié. 
Regarde ici https://jesses.pagesperso-orange.fr/Docs/Logiciels/SpybotUtil.htm ==> onglet "utilisation" (c'est expliqué pour obtenir les clés) 
Fais relancer Spybot S&D et appliquer pour avoir les clés (si encore temps ! ) ;)  »

Ce n'est pas du temps perdu !


Al.

Poucetinou · Answer

Ok Afideg!
@+

Poucetinou · Answer

Dernier rapport avec Spybot: Je peux trasmettre l'ancien! @+ --- Search result list --- Félicitations!: Aucun mouchard n'a été trouvé. () --- Spybot - Search & Destroy version: 1.5 (build: 20070830) --- 2007-08-31 blindman.exe (1.0.0.6) 2007-08-31 SDMain.exe (1.0.0.4) 2007-08-31 SDUpdate.exe (1.0.6.4) 2007-08-31 SDWinSec.exe (1.0.0.8) 2007-08-31 SpybotSD.exe (1.5.1.15) 2007-08-31 TeaTimer.exe (1.5.0.9) 2008-02-13 unins000.exe (51.46.0.0) 2007-08-31 Update.exe (1.4.0.5) 2007-08-31 advcheck.dll (1.5.3.0) 2007-04-02 aports.dll (2.1.0.0) 2007-04-02 DelZip179.dll (1.79.5.3) 2007-08-31 SDHelper.dll (1.5.0.8) 2007-08-31 Tools.dll (2.1.2.0) 2008-02-06 Includes\Cookies.sbi (*) 2007-12-26 Includes\Dialer.sbi (*) 2008-02-06 Includes\DialerC.sbi (*) 2008-02-06 Includes\HeavyDuty.sbi (*) 2008-02-06 Includes\Hijackers.sbi (*) 2008-02-06 Includes\HijackersC.sbi (*) 2007-10-04 Includes\Keyloggers.sbi (*) 2008-02-06 Includes\KeyloggersC.sbi (*) 2004-11-29 Includes\LSP.sbi (*) 2008-01-16 Includes\Malware.sbi (*) 2008-02-06 Includes\MalwareC.sbi (*) 2007-10-24 Includes\PUPS.sbi (*) 2008-02-06 Includes\PUPSC.sbi (*) 2008-02-06 Includes\Revision.sbi (*) 2008-01-09 Includes\Security.sbi (*) 2008-02-06 Includes\SecurityC.sbi (*) 2008-01-23 Includes\Spybots.sbi (*) 2008-02-06 Includes\SpybotsC.sbi (*) 2007-11-06 Includes\Tracks.uti 2008-02-06 Includes\Trojans.sbi (*) 2008-02-06 Includes\TrojansC.sbi (*) 2008-12-24 Plugins\TCPIPAddress.dll --- System information --- Windows XP (Build: 2600) Service Pack 2 (5.1.2600) / .NETFramework / 1.0: Microsoft .NET Framework 1.0 Hotfix (KB887998) / .NETFramework / 1.0: Microsoft .NET Framework 1.0 Hotfix (KB930494) / .NETFramework / 1.1: Microsoft .NET Framework 1.1 Hotfix (KB928366) / .NETFramework / 1.1: Microsoft .NET Framework 1.1 Service Pack 1 (KB867460) / Media Center 2005 / SP4: Correctif n° 2 pour Windows XP Édition Media Center 2005 / MSXML4SP2: FIX: ASP stops responding when calling Response.Redirect to another server using msxml4 sp2 / MSXML4SP2: Security update for MSXML4 SP2 (KB936181) / Windows / SP1: Microsoft Internationalized Domain Names Mitigation APIs / Windows / SP1: Microsoft National Language Support Downlevel APIs / Windows Media Format 11 SDK: Hotfix for Windows Media Format 11 SDK (KB929399) / Windows Media Player 10: Mise à jour pour Lecteur Windows Media 10 (KB913800) / Windows Media Player 10: Mise à jour de sécurité pour Lecteur Windows Media 10 (KB917734) / Windows Media Player 11: Mise à jour de sécurité pour Lecteur Windows Media 11 (KB936782) / Windows Media Player 11: Correctif pour Lecteur Windows Media 11 (KB939683) / Windows Media Player 6.4: Mise à jour de sécurité pour Lecteur Windows Media 6.4 (KB925398) / Windows XP: Mise à jour de sécurité pour Windows XP (KB923689) / Windows XP: Mise à jour de sécurité pour Windows XP (KB941569) / Windows XP / SP0: Mise à jour de sécurité pour Windows Internet Explorer 7 (KB928090) / Windows XP / SP0: Mise à jour de sécurité pour Windows Internet Explorer 7 (KB929969) / Windows XP / SP0: Mise à jour de sécurité pour Windows Internet Explorer 7 (KB931768) / Windows XP / SP0: Mise à jour de sécurité pour Windows Internet Explorer 7 (KB933566) / Windows XP / SP0: Mise à jour de sécurité pour Windows Internet Explorer 7 (KB937143) / Windows XP / SP0: Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127) / Windows XP / SP0: Mise à jour de sécurité pour Windows Internet Explorer 7 (KB939653) / Windows XP / SP0: Mise à jour de sécurité pour Windows Internet Explorer 7 (KB942615) / Windows XP / SP10: Microsoft Compression Client Pack 1.0 for Windows XP / Windows XP / SP3: Correctif Windows XP - KB873339 / Windows XP / SP3: Correctif Windows XP - KB885835 / Windows XP / SP3: Correctif Windows XP - KB885836 / Windows XP / SP3: Correctif Windows XP - KB886185 / Windows XP / SP3: Correctif Windows XP - KB887472 / Windows XP / SP3: Microsoft .NET Framework 1.0 Hotfix (KB887998) / Windows XP / SP3: Correctif Windows XP - KB888302 / Windows XP / SP3: Correctif pour Windows XP (KB888795) / Windows XP / SP3: Correctif Windows XP - KB890859 / Windows XP / SP3: Correctif pour Windows XP (KB891593) / Windows XP / SP3: Correctif Windows XP - KB891781 / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB893756) / Windows XP / SP3: Windows Installer 3.1 (KB893803) / Windows XP / SP3: Mise à jour pour Windows XP (KB894391) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB896358) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB896423) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB896424) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB896428) / Windows XP / SP3: Mise à jour pour Windows XP (KB898461) / Windows XP / SP3: Correctif pour Windows XP (KB899337) / Windows XP / SP3: Correctif pour Windows XP (KB899510) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB899587) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB899591) / Windows XP / SP3: Mise à jour pour Windows XP (KB900485) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB900725) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB901017) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB901214) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB902400) / Windows XP / SP3: Correctif pour Windows XP (KB902841) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB904706) / Windows XP / SP3: Mise à jour pour Windows XP (KB904942) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB905414) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB905749) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB908519) / Windows XP / SP3: Mise à jour pour Windows XP (KB908531) / Windows XP / SP3: Mise à jour pour Windows XP (KB910437) / Windows XP / SP3: Mise à jour pour Windows XP (KB911280) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB911562) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB911927) / Windows XP / SP3: Correctif pour Windows XP (KB912024) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB912919) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB913580) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB914388) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB914389) / Windows XP / SP3: Correctif pour Windows XP (KB914440) / Windows XP / SP3: Hotfix for Windows XP (KB915865) / Windows XP / SP3: Mise à jour pour Windows XP (KB916595) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB917344) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB917422) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB917953) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB918118) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB918439) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB919007) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB920213) / Windows XP / SP3: Mise à jour pour Windows XP (KB920342) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB920670) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB920683) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB920685) / Windows XP / SP3: Mise à jour pour Windows XP (KB920872) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB921503) / Windows XP / SP3: Mise à jour pour Windows XP (KB922582) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB922819) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB923191) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB923414) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB923694) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB923980) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB924191) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB924270) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB924496) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB924667) / Windows XP / SP3: Mise à jour pour Windows XP (KB925876) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB925902) / Windows XP / SP3: Hotfix for Windows XP (KB926239) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB926255) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB926436) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB927779) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB927802) / Windows XP / SP3: Mise à jour pour Windows XP (KB927891) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB928090) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB928255) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB928843) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB929123) / Windows XP / SP3: Mise à jour pour Windows XP (KB929338) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB929969) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB930178) / Windows XP / SP3: Microsoft .NET Framework 1.0 Hotfix (KB930494) / Windows XP / SP3: Mise à jour pour Windows XP (KB930916) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB931261) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB931784) / Windows XP / SP3: Mise à jour pour Windows XP (KB931836) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB932168) / Windows XP / SP3: Mise à jour pour Windows XP (KB933360) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB933729) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB935839) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB935840) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB936021) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB937894) / Windows XP / SP3: Mise à jour pour Windows XP (KB938828) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB938829) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB941202) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB941568) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB941644) / Windows XP / SP3: Mise à jour pour Windows XP (KB942763) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB943460) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB943485) / Windows XP / SP3: Mise à jour de sécurité pour Windows XP (KB944653) --- Startup entries list --- Located: HK_LM:Run, Adobe Reader Speed Launcher command: "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" file: C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe size: 39792 MD5: 8B9145D229D4E89D15ACB820D4A3A90F Located: HK_LM:Run, avgnt command: "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min file: C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe size: 249896 MD5: 6E898F5959E7195D64594C30E9251938 Located: HK_LM:Run, CloneCDTray command: "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s file: C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe size: 57344 MD5: 8D413793DE35F0280FAAC2817254873E Located: HK_LM:Run, Cmaudio command: RunDll32 cmicnfg.cpl,CMICtrlWnd file: size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: HK_LM:Run, ehTray command: C:\WINDOWS\ehome\ehtray.exe file: C:\WINDOWS\ehome\ehtray.exe size: 64512 MD5: 9C69E6A25F5500501B14AF43311F8D8B Located: HK_LM:Run, LanguageShortcut command: "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" file: C:\Program Files\CyberLink\PowerDVD\Language\Language.exe size: 49152 MD5: 4377DDC405D4569530962138EEE20F83 Located: HK_LM:Run, NeroFilterCheck command: C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe file: C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe size: 155648 MD5: C93AB037A8C792D5F8A1A9FC88A7C7C5 Located: HK_LM:Run, PinnacleDriverCheck command: C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg file: C:\WINDOWS\system32\PSDrvCheck.exe size: 406016 MD5: 39D31D333C39CAA9A13B738804B43284 Located: HK_LM:Run, QuickTime Task command: "C:\Program Files\QuickTime\qttask.exe" -atboottime file: C:\Program Files\QuickTime\qttask.exe size: 98304 MD5: 76A3A30B58405C2C6D833895253A51A9 Located: HK_LM:Run, SiS Tray command: C:\WINDOWS\system32\sistray.EXE file: C:\WINDOWS\system32\sistray.EXE size: 667648 MD5: CE5003BFB3ACC6153CC4B814D907C243 Located: HK_LM:Run, SiS Windows KeyHook command: C:\WINDOWS\system32\keyhook.exe file: C:\WINDOWS\system32\keyhook.exe size: 249856 MD5: AD4B20A54D92BE78D00CC9C02C85B089 Located: HK_LM:Run, SiSUSBRG command: C:\WINDOWS\SiSUSBrg.exe file: C:\WINDOWS\SiSUSBrg.exe size: 106496 MD5: ECCDCF23CD86F033274306790A4E23E3 Located: HK_LM:Run, SunJavaUpdateSched command: C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe file: C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe size: 32881 MD5: BED6EDDBF28DB980AA8D3A42D4A05586 Located: HK_CU:Run, CTFMON.EXE where: .DEFAULT... command: C:\WINDOWS\system32\CTFMON.EXE file: C:\WINDOWS\system32\CTFMON.EXE size: 15360 MD5: 5584247B568C2E53934873F4B655FE6A Located: HK_CU:Run, CTFMON.EXE where: S-1-5-19... command: C:\WINDOWS\system32\CTFMON.EXE file: C:\WINDOWS\system32\CTFMON.EXE size: 15360 MD5: 5584247B568C2E53934873F4B655FE6A Located: HK_CU:Run, CTFMON.EXE where: S-1-5-20... command: C:\WINDOWS\system32\CTFMON.EXE file: C:\WINDOWS\system32\CTFMON.EXE size: 15360 MD5: 5584247B568C2E53934873F4B655FE6A Located: HK_CU:Run, AnyDVD where: S-1-5-21-823518204-884357618-682003330-1003... command: C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe file: size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: HK_CU:Run, BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} where: S-1-5-21-823518204-884357618-682003330-1003... command: "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" file: C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe size: 139264 MD5: 3DBE5B70FCA1F15BE651A5EB02594B84 Located: HK_CU:Run, ctfmon.exe where: S-1-5-21-823518204-884357618-682003330-1003... command: C:\WINDOWS\system32\ctfmon.exe file: C:\WINDOWS\system32\ctfmon.exe size: 15360 MD5: 5584247B568C2E53934873F4B655FE6A Located: HK_CU:Run, DAEMON Tools where: S-1-5-21-823518204-884357618-682003330-1003... command: "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033 file: size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: HK_CU:Run, MSMSGS where: S-1-5-21-823518204-884357618-682003330-1003... command: "C:\Program Files\Messenger\msmsgs.exe" /background file: C:\Program Files\Messenger\msmsgs.exe size: 1694208 MD5: 74E6E96C6F0E2ECA4EDBB7F7A468F259 Located: HK_CU:Run, SpybotSD TeaTimer where: S-1-5-21-823518204-884357618-682003330-1003... command: C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe file: C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe size: 1460560 MD5: B7D4586BFC0DD6C3BE7DCCC252A3E97E Located: HK_CU:Run, CTFMON.EXE where: S-1-5-18... command: C:\WINDOWS\system32\CTFMON.EXE file: C:\WINDOWS\system32\CTFMON.EXE size: 15360 MD5: 5584247B568C2E53934873F4B655FE6A Located: Démarrage (tous utilisateurs), Logitech SetPoint.lnk where: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage... command: C:\Program Files\Logitech\SetPoint\SetPoint.exe file: C:\Program Files\Logitech\SetPoint\SetPoint.exe size: 784912 MD5: 4212D11C8599A16F05E8CC68F3177673 Located: Démarrage (tous utilisateurs), Slim Multimedia Keyboard.lnk where: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage... command: C:\Program Files\Slim Multimedia Keyboard\MagicKey.exe file: C:\Program Files\Slim Multimedia Keyboard\MagicKey.exe size: 163840 MD5: 4E745AC502CC7F4945E39A1E58D58A1C Located: WinLogon, crypt32chain command: crypt32.dll file: crypt32.dll size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: WinLogon, cryptnet command: cryptnet.dll file: cryptnet.dll size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: WinLogon, cscdll command: cscdll.dll file: cscdll.dll size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: WinLogon, LBTWlgn command: c:\program files\fichiers communs\logishrd\bluetooth\LBTWlgn.dll file: c:\program files\fichiers communs\logishrd\bluetooth\LBTWlgn.dll size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: WinLogon, ScCertProp command: wlnotify.dll file: wlnotify.dll size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: WinLogon, Schedule command: wlnotify.dll file: wlnotify.dll size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: WinLogon, sclgntfy command: sclgntfy.dll file: sclgntfy.dll size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: WinLogon, SensLogn command: WlNotify.dll file: WlNotify.dll size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: WinLogon, termsrv command: wlnotify.dll file: wlnotify.dll size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: WinLogon, WgaLogon command: WgaLogon.dll file: WgaLogon.dll size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: WinLogon, wlballoon command: wlnotify.dll file: wlnotify.dll size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! --- Browser helper object list --- {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader) location: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ BHO name: CLSID name: Aide pour le lien d'Adobe PDF Reader description: Adobe Acrobat reader classification: Legitimate known filename: AcroIEhelper.ocx
AcroIEhelper.dll info link: https://get2.adobe.com/reader/otherversions/ info source: TonyKlein Path: C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\ Long name: AcroIEHelper.dll Short name: ACROIE~1.DLL Date (created): 2006-10-22 22:08:42 Date (last access): 2008-02-13 23:31:42 Date (last write): 2006-10-22 23:08:42 Filesize: 62080 Attributes: archive MD5: C11F6A1F61481E24BE3FDC06EA6F7D2A CRC32: E388508F Version: 8.0.0.456 {2E03C0FD-4C48-43A7-9A54-00240C70FF16} (e-Carte Bleue Browser Helper Object) location: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ BHO name: e-Carte Bleue Browser Helper Object CLSID name: ECarteBleueBrowserHelper Class description: e-Carte Bleue internet banking software classification: Legitimate known filename: BhoECart.dll info link: info source: TonyKlein Path: C:\WINDOWS\system32\ Long name: BhoECart.dll Short name: Date (created): 2005-12-08 17:15:50 Date (last access): 2008-02-13 23:34:54 Date (last write): 2005-12-08 17:15:50 Filesize: 81920 Attributes: archive MD5: AB2B14222FD336AD99F3BA8FAD4C7F5A CRC32: BBDE8D27 Version: 2.2.1.0 {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection) location: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ BHO name: CLSID name: Spybot-S&D IE Protection description: Spybot-S&D IE Browser plugin classification: Legitimate known filename: SDhelper.dll info link: http://spybot.eon.net.au/ info source: Patrick M. Kolla Path: C:\PROGRA~1\SPYBOT~1\ Long name: SDHelper.dll Short name: Date (created): 2008-02-13 21:17:58 Date (last access): 2008-02-13 23:34:54 Date (last write): 2007-08-31 16:46:14 Filesize: 1122128 Attributes: archive MD5: B8958471DAA4481E93B03DF8F991DD6E CRC32: 35E35F14 Version: 1.5.0.8 {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class) location: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ BHO name: CLSID name: SSVHelper Class Path: C:\Program Files\Java\jre1.6.0_03\bin\ Long name: ssv.dll Short name: Date (created): 2007-10-18 09:02:58 Date (last access): 2008-02-13 23:34:56 Date (last write): 2007-09-25 00:11:34 Filesize: 501136 Attributes: archive MD5: D787E3123FAD2BD58AB45B9A5C360ACD CRC32: DDC625C2 Version: 6.0.30.5 {7E853D72-626A-48EC-A868-BA8D5E23E045} () location: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ BHO name: CLSID name: {E5A1691B-D188-4419-AD02-90002030B8EE} (FlashFXP Helper for Internet Explorer) location: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ BHO name: CLSID name: FlashFXP Helper for Internet Explorer Path: C:\PROGRA~1\FlashFXP\ Long name: IEFlash.dll Short name: Date (created): 2006-03-31 22:27:14 Date (last access): 2008-02-13 23:34:56 Date (last write): 2006-03-31 22:27:14 Filesize: 191096 Attributes: archive MD5: 3507AEE207E68553606F17DB01574E60 CRC32: 7906032A Version: 3.0.0.1015 --- ActiveX list --- {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) DPF name: CLSID name: WUWebControl Class Installer: C:\WINDOWS\Downloaded Program Files\wuweb.inf Codebase: http://update.microsoft.com/... Path: C:\WINDOWS\system32\ Long name: wuweb.dll Short name: Date (created): 2007-03-04 18:15:16 Date (last access): 2008-02-13 23:47:08 Date (last write): 2007-07-30 18:19:28 Filesize: 203096 Attributes: archive MD5: 5C9A003E7C6BA03F04DC2D9C82A7E6E0 CRC32: E29E0153 Version: 7.0.6000.381 {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) DPF name: Java Runtime Environment 1.6.0 CLSID name: Java Plug-in 1.6.0_03 Installer: Codebase: http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab description: Sun Java classification: Legitimate known filename: %PROGRAM FILES%\JabaSoft\JRE\*\Bin pjava131.dll info link: info source: Patrick M. Kolla Path: C:\Program Files\Java\jre1.6.0_03\bin\ Long name: npjpi160_03.dll Short name: NPJPI1~1.DLL Date (created): 2007-09-24 22:31:44 Date (last access): 2008-02-14 00:07:48 Date (last write): 2007-09-25 00:11:34 Filesize: 132496 Attributes: archive MD5: D6A4682A6FF41832A3F1A7AB9AE08199 CRC32: 9080B537 Version: 6.0.30.5 {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} () DPF name: CLSID name: Installer: C:\WINDOWS\Downloaded Program Files\erma.inf Codebase: http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) DPF name: CLSID name: ActiveScan Installer Class Installer: C:\WINDOWS\Downloaded Program Files\asinst.inf Codebase: http://acs.pandasoftware.com/activescan/as5free/asinst.cab Path: C:\WINDOWS\Downloaded Program Files\ Long name: asinst.dll Short name: Date (created): 2006-08-24 08:28:54 Date (last access): 2008-02-13 23:35:48 Date (last write): 2006-08-24 08:28:54 Filesize: 141424 Attributes: archive MD5: CB0EBD772D7D003BD11A999FF515A89A CRC32: 3CFE74C1 Version: 58.6.0.0 {CAFEEFAC-0014-0002-0005-ABCDEFFEDCBA} (Java Runtime Environment 1.4.2) DPF name: Java Runtime Environment 1.4.2 CLSID name: Java Plug-in 1.4.2_05 Installer: Codebase: https://www.oracle.com/java/technologies/ Path: C:\Program Files\Java\j2re1.4.2_05\bin\ Long name: NPJPI142_05.dll Short name: NPJPI1~1.DLL Date (created): 2068-06-03 22:05:12 Date (last access): 2008-02-14 00:07:48 Date (last write): 2004-06-03 22:05:06 Filesize: 65650 Attributes: archive MD5: 174488C8877FA852448D1937C322AABB CRC32: 62C2460D Version: 1.4.2.50 {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} (Java Runtime Environment 1.5.0) DPF name: Java Runtime Environment 1.5.0 CLSID name: Java Plug-in 1.5.0_10 Installer: Codebase: http://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab Path: C:\Program Files\Java\jre1.5.0_10\bin\ Long name: NPJPI150_10.dll Short name: NPJPI1~1.DLL Date (created): 2006-11-09 15:07:34 Date (last access): 2008-02-14 00:07:48 Date (last write): 2006-11-09 15:21:54 Filesize: 75528 Attributes: archive MD5: 635F4B3A0F1C661B5CEDE628BA85E46B CRC32: 0C9B7145 Version: 5.0.100.3 {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.6.0) DPF name: Java Runtime Environment 1.6.0 CLSID name: Java Plug-in 1.6.0_01 Installer: Codebase: http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab Path: C:\Program Files\Java\jre1.6.0_01\bin\ Long name: npjpi160_01.dll Short name: NPJPI1~1.DLL Date (created): 2007-03-14 01:04:46 Date (last access): 2008-02-14 00:07:48 Date (last write): 2007-03-14 02:43:42 Filesize: 132760 Attributes: archive MD5: F112FB2FD2EF66D439799E3F834DF000 CRC32: D2B09219 Version: 6.0.0.6 {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.6.0) DPF name: Java Runtime Environment 1.6.0 CLSID name: Java Plug-in 1.6.0_02 Installer: Codebase: http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab Path: C:\Program Files\Java\jre1.6.0_02\bin\ Long name: npjpi160_02.dll Short name: NPJPI1~1.DLL Date (created): 2007-07-12 01:22:38 Date (last access): 2008-02-14 00:07:48 Date (last write): 2007-07-12 03:00:36 Filesize: 132496 Attributes: archive MD5: E3811F1A1C5063C941EC0E2766C3EA39 CRC32: AEFD3747 Version: 6.0.20.6 {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Runtime Environment 1.6.0) DPF name: Java Runtime Environment 1.6.0 CLSID name: Java Plug-in 1.6.0_03 Installer: Codebase: http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab Path: C:\Program Files\Java\jre1.6.0_03\bin\ Long name: npjpi160_03.dll Short name: NPJPI1~1.DLL Date (created): 2007-09-24 22:31:44 Date (last access): 2008-02-14 00:07:48 Date (last write): 2007-09-25 00:11:34 Filesize: 132496 Attributes: archive MD5: D6A4682A6FF41832A3F1A7AB9AE08199 CRC32: 9080B537 Version: 6.0.30.5 {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Runtime Environment 1.6.0) DPF name: Java Runtime Environment 1.6.0 CLSID name: Java Plug-in 1.6.0_03 Installer: Codebase: http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab Path: C:\Program Files\Java\jre1.6.0_03\bin\ Long name: npjpi160_03.dll Short name: NPJPI1~1.DLL Date (created): 2007-09-24 22:31:44 Date (last access): 2008-02-14 00:07:48 Date (last write): 2007-09-25 00:11:34 Filesize: 132496 Attributes: archive MD5: D6A4682A6FF41832A3F1A7AB9AE08199 CRC32: 9080B537 Version: 6.0.30.5 {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) DPF name: CLSID name: Shockwave Flash Object Installer: C:\WINDOWS\Downloaded Program Files\swflash.inf Codebase: http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab description: Macromedia Shockwave Flash Player classification: Legitimate known filename: info link: info source: Patrick M. Kolla Path: C:\WINDOWS\system32\Macromed\Flash\ Long name: Flash9d.ocx Short name: Date (created): 2007-06-11 21:04:30 Date (last access): 2008-02-13 23:34:58 Date (last write): 2007-06-11 21:04:30 Filesize: 2267368 Attributes: readonly archive MD5: B01E2A41389FBA42B7B5A026EA88C9B7 CRC32: 8980B6EC Version: 9.0.47.0 --- Process list --- PID: 0 ( 0) [System] PID: 780 ( 0) \SystemRoot\System32\smss.exe size: 50688 PID: 828 ( 0) \??\C:\WINDOWS\system32\csrss.exe size: 6144 PID: 852 ( 0) \??\C:\WINDOWS\system32\winlogon.exe size: 506368 PID: 896 ( 0) C:\WINDOWS\system32\services.exe size: 108544 MD5: 732E0B1ABAACE15D80EC19056B0A2AF9 PID: 908 ( 0) C:\WINDOWS\system32\lsass.exe size: 13312 MD5: 9F3744A5C6F49291A7A685040A013399 PID: 1068 ( 0) C:\WINDOWS\system32\svchost.exe size: 14336 MD5: 1BD6C2F707A275CB7C16FD99FE0F31CA PID: 1144 ( 0) C:\WINDOWS\system32\svchost.exe size: 14336 MD5: 1BD6C2F707A275CB7C16FD99FE0F31CA PID: 1372 ( 0) C:\WINDOWS\System32\svchost.exe size: 14336 MD5: 1BD6C2F707A275CB7C16FD99FE0F31CA PID: 1420 ( 0) C:\WINDOWS\system32\svchost.exe size: 14336 MD5: 1BD6C2F707A275CB7C16FD99FE0F31CA PID: 1476 ( 0) C:\WINDOWS\system32\svchost.exe size: 14336 MD5: 1BD6C2F707A275CB7C16FD99FE0F31CA PID: 1796 ( 0) C:\WINDOWS\system32\spoolsv.exe size: 57856 MD5: DA81EC57ACD4CDC3D4C51CF3D409AF9F PID: 1848 ( 0) C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe size: 214056 MD5: F640EA98231D7B1DB730385813BFCE79 PID: 656 ( 0) C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe size: 63016 MD5: A6FA9C14E649B2F3DE15390A1840774D PID: 672 ( 0) C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE size: 46080 MD5: 12C13F85BE9D3A58FDB463A6F7DE4E61 PID: 696 ( 0) C:\WINDOWS\eHome\ehRecvr.exe size: 237568 MD5: 5D1347AA5AE6E2F77D7F4F8372D95AC9 PID: 728 ( 0) C:\WINDOWS\eHome\ehSched.exe size: 103424 MD5: 980EEEA91776357518892C5544768E2B PID: 776 ( 0) C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE size: 322120 MD5: 11F714F85530A2BD134074DC30E99FCA PID: 1212 ( 0) C:\Program Files\CyberLink\Shared files\RichVideo.exe size: 167936 MD5: BD517C7FB119997EFFBE39D5E4B37B05 PID: 1256 ( 0) C:\Program Files\SPAMfighter\sfus.exe size: 184976 MD5: AF6E0C7D8EB7DB00EEB424F5EF6A26CD PID: 1436 ( 0) C:\WINDOWS\system32\svchost.exe size: 14336 MD5: 1BD6C2F707A275CB7C16FD99FE0F31CA PID: 1572 ( 0) C:\WINDOWS\system32\svchost.exe size: 14336 MD5: 1BD6C2F707A275CB7C16FD99FE0F31CA PID: 1968 ( 0) C:\WINDOWS\ehome\mcrdsvc.exe size: 99328 MD5: 52404CC76E9D53843BDF97564BB16BED PID: 1324 ( 0) C:\WINDOWS\Explorer.EXE size: 1037312 MD5: D0288319660EDCFED07C7E74C4EA38A5 PID: 2068 ( 0) C:\WINDOWS\system32\dllhost.exe size: 5120 MD5: D66259C3BCEFC9CAEB481ED52A4EAC74 PID: 2448 ( 0) C:\WINDOWS\System32\alg.exe size: 44544 MD5: 2FE681D10C5FC343DBBC0610B8DD4D24 PID: 2628 ( 0) C:\WINDOWS\ehome\ehtray.exe size: 64512 MD5: 9C69E6A25F5500501B14AF43311F8D8B PID: 2712 ( 0) C:\WINDOWS\system32\RunDll32.exe size: 33792 MD5: F5402CD47B7389DDC21F92119A906EEE PID: 2732 ( 0) C:\WINDOWS\system32\sistray.EXE size: 667648 MD5: CE5003BFB3ACC6153CC4B814D907C243 PID: 2740 ( 0) C:\WINDOWS\eHome\ehmsas.exe size: 46592 MD5: DAEFB050AC8FEE4F1097FCF7CB97220E PID: 2756 ( 0) C:\WINDOWS\system32\keyhook.exe size: 249856 MD5: AD4B20A54D92BE78D00CC9C02C85B089 PID: 2996 ( 0) C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe size: 32881 MD5: BED6EDDBF28DB980AA8D3A42D4A05586 PID: 3144 ( 0) C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe size: 249896 MD5: 6E898F5959E7195D64594C30E9251938 PID: 3152 ( 0) C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe size: 139264 MD5: 3DBE5B70FCA1F15BE651A5EB02594B84 PID: 3172 ( 0) C:\WINDOWS\system32\ctfmon.exe size: 15360 MD5: 5584247B568C2E53934873F4B655FE6A PID: 3208 ( 0) C:\Program Files\Messenger\msmsgs.exe size: 1694208 MD5: 74E6E96C6F0E2ECA4EDBB7F7A468F259 PID: 3376 ( 0) C:\Program Files\Logitech\SetPoint\SetPoint.exe size: 784912 MD5: 4212D11C8599A16F05E8CC68F3177673 PID: 3384 ( 0) C:\Program Files\Slim Multimedia Keyboard\MagicKey.exe size: 163840 MD5: 4E745AC502CC7F4945E39A1E58D58A1C PID: 3540 ( 0) C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe size: 884736 MD5: 1E55333843B8398B2EB60EA8C39569FA PID: 3676 ( 0) C:\Program Files\Slim Multimedia Keyboard\OSD.EXE size: 45056 MD5: 6113F0854E99F73F1423687FC068BED2 PID: 3872 ( 0) C:\WINDOWS\System32\svchost.exe size: 14336 MD5: 1BD6C2F707A275CB7C16FD99FE0F31CA PID: 3988 ( 0) C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE size: 55824 MD5: 0C3BF35A6AADC2708875DA3B866A22E0 PID: 3584 ( 0) C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe size: 1460560 MD5: B7D4586BFC0DD6C3BE7DCCC252A3E97E PID: 3704 ( 0) C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE size: 12037688 MD5: 1EEA7DD2F1EA6EFEF380B99A90228D2F PID: 3264 ( 0) C:\WINDOWS\system32\wuauclt.exe size: 53080 MD5: F3E9065EB617A7E3A832A7976BFA021B PID: 3196 ( 0) C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe size: 4943184 MD5: C92780F50B8BB7A89E919585916494A9 PID: 3216 ( 0) C:\Program Files\internet explorer\iexplore.exe size: 625152 MD5: E854D02E4231F704D9BE782A424E6D8B --- Browser start & search pages list --- Spybot - Search & Destroy browser pages report, 2008-02-14 00:10:11 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Local Page C:\WINDOWS\system32\blank.htm HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Page http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page http://www.commentcamarche.net/forum/affich 4985476 virus trojan downloader bagle et email worm?page=6# HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Local Page %SystemRoot%\system32\blank.htm HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Search Page https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Start Page https://www.msn.com/fr-fr/?ocid=iehp HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL https://www.msn.com/fr-fr/?ocid=iehp HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Search_URL https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchasst.htm HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchcust.htm --- Winsock Layered Service Provider list --- Protocol 0: MSAFD Irda [IrDA] GUID: {3972523D-2AF1-11D1-B655-00805F3642CC} Filename: %SystemRoot%\system32\mswsock.dll Description: Infrared protocol DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: MSAFD Irda [IrDA] Protocol 1: MSAFD Tcpip [TCP/IP] GUID: {E70F1AA0-AB8B-11CF-8CA3-00805F48A192} Filename: %SystemRoot%\system32\mswsock.dll Description: Microsoft Windows NT/2k/XP IP protocol DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: MSAFD Tcpip [*] Protocol 2: MSAFD Tcpip [UDP/IP] GUID: {E70F1AA0-AB8B-11CF-8CA3-00805F48A192} Filename: %SystemRoot%\system32\mswsock.dll Description: Microsoft Windows NT/2k/XP IP protocol DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: MSAFD Tcpip [*] Protocol 3: MSAFD Tcpip [RAW/IP] GUID: {E70F1AA0-AB8B-11CF-8CA3-00805F48A192} Filename: %SystemRoot%\system32\mswsock.dll Description: Microsoft Windows NT/2k/XP IP protocol DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: MSAFD Tcpip [*] Protocol 4: RSVP UDP Service Provider GUID: {9D60A9E0-337A-11D0-BD88-0000C082E69A} Filename: %SystemRoot%\system32 svpsp.dll Description: Microsoft Windows NT/2k/XP RVSP DB filename: %SystemRoot%\system32 svpsp.dll DB protocol: RSVP * Service Provider Protocol 5: RSVP TCP Service Provider GUID: {9D60A9E0-337A-11D0-BD88-0000C082E69A} Filename: %SystemRoot%\system32 svpsp.dll Description: Microsoft Windows NT/2k/XP RVSP DB filename: %SystemRoot%\system32 svpsp.dll DB protocol: RSVP * Service Provider Protocol 6: MSAFD NetBIOS [\Device\NetBT_Tcpip_{C4B9002B-DFF8-47E2-8B52-D81E365552CE}] SEQPACKET 4 GUID: {8D5F1830-C273-11CF-95C8-00805F48A192} Filename: %SystemRoot%\system32\mswsock.dll Description: Microsoft Windows NT/2k/XP NetBios protocol DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: MSAFD NetBIOS * Protocol 7: MSAFD NetBIOS [\Device\NetBT_Tcpip_{C4B9002B-DFF8-47E2-8B52-D81E365552CE}] DATAGRAM 4 GUID: {8D5F1830-C273-11CF-95C8-00805F48A192} Filename: %SystemRoot%\system32\mswsock.dll Description: Microsoft Windows NT/2k/XP NetBios protocol DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: MSAFD NetBIOS * Protocol 8: MSAFD NetBIOS [\Device\NetBT_Tcpip_{15759A2B-F85B-4169-8502-9E3B79FBBA80}] SEQPACKET 3 GUID: {8D5F1830-C273-11CF-95C8-00805F48A192} Filename: %SystemRoot%\system32\mswsock.dll Description: Microsoft Windows NT/2k/XP NetBios protocol DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: MSAFD NetBIOS * Protocol 9: MSAFD NetBIOS [\Device\NetBT_Tcpip_{15759A2B-F85B-4169-8502-9E3B79FBBA80}] DATAGRAM 3 GUID: {8D5F1830-C273-11CF-95C8-00805F48A192} Filename: %SystemRoot%\system32\mswsock.dll Description: Microsoft Windows NT/2k/XP NetBios protocol DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: MSAFD NetBIOS * Protocol 10: MSAFD NetBIOS [\Device\NetBT_Tcpip_{E288B205-3BE9-42FB-9FF7-950AD6C68091}] SEQPACKET 0 GUID: {8D5F1830-C273-11CF-95C8-00805F48A192} Filename: %SystemRoot%\system32\mswsock.dll Description: Microsoft Windows NT/2k/XP NetBios protocol DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: MSAFD NetBIOS * Protocol 11: MSAFD NetBIOS [\Device\NetBT_Tcpip_{E288B205-3BE9-42FB-9FF7-950AD6C68091}] DATAGRAM 0 GUID: {8D5F1830-C273-11CF-95C8-00805F48A192} Filename: %SystemRoot%\system32\mswsock.dll Description: Microsoft Windows NT/2k/XP NetBios protocol DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: MSAFD NetBIOS * Protocol 12: MSAFD NetBIOS [\Device\NetBT_Tcpip_{254A2536-1EFE-4BFA-999C-84416E2EB7E4}] SEQPACKET 1 GUID: {8D5F1830-C273-11CF-95C8-00805F48A192} Filename: %SystemRoot%\system32\mswsock.dll Description: Microsoft Windows NT/2k/XP NetBios protocol DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: MSAFD NetBIOS * Protocol 13: MSAFD NetBIOS [\Device\NetBT_Tcpip_{254A2536-1EFE-4BFA-999C-84416E2EB7E4}] DATAGRAM 1 GUID: {8D5F1830-C273-11CF-95C8-00805F48A192} Filename: %SystemRoot%\system32\mswsock.dll Description: Microsoft Windows NT/2k/XP NetBios protocol DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: MSAFD NetBIOS * Protocol 14: MSAFD NetBIOS [\Device\NetBT_Tcpip_{C43730B2-E7B6-4937-84FD-140BB57C1850}] SEQPACKET 2 GUID: {8D5F1830-C273-11CF-95C8-00805F48A192} Filename: %SystemRoot%\system32\mswsock.dll Description: Microsoft Windows NT/2k/XP NetBios protocol DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: MSAFD NetBIOS * Protocol 15: MSAFD NetBIOS [\Device\NetBT_Tcpip_{C43730B2-E7B6-4937-84FD-140BB57C1850}] DATAGRAM 2 GUID: {8D5F1830-C273-11CF-95C8-00805F48A192} Filename: %SystemRoot%\system32\mswsock.dll Description: Microsoft Windows NT/2k/XP NetBios protocol DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: MSAFD NetBIOS * Namespace Provider 0: TCP/IP GUID: {22059D40-7E9E-11CF-AE5A-00AA00A7112B} Filename: %SystemRoot%\System32\mswsock.dll Description: Microsoft Windows NT/2k/XP TCP/IP name space provider DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: TCP/IP Namespace Provider 1: NTDS GUID: {3B2637EE-E580-11CF-A555-00C04FD8D4AC} Filename: %SystemRoot%\System32\winrnr.dll Description: Microsoft Windows NT/2k/XP name space provider DB filename: %SystemRoot%\system32\winrnr.dll DB protocol: NTDS Namespace Provider 2: Espace de noms NLA (Network Location Awareness) GUID: {6642243A-3BA8-4AA6-BAA5-2E0BD71FDD83} Filename: %SystemRoot%\System32\mswsock.dll Description: Microsoft Windows NT/2k/XP name space provider DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: NLA-Namespace

g!rly · Answer

re,

comment va ton pc?

Poucetinou · Answer

Il a l'air de tourner correctement, il ralentit bien un peu de temps en temps!
Il y a encore qque chose à supprimer, je suppose?
@+

Poucetinou · Answer

J'essaie d'actaliser notre page, et bien Internet tourne, tourne, tourne...avant de réactuliser!
Je posséde un disque dur externe, et depuis je n'y ai plus accés! Je l'entends tourner sans cesse, mais je ne peux y accéder, penses-tu qu'il aurait pu être également infecté? Laplupart du temps, il est débranché, je ne le branche que pour les sauvegardes.
@+

afideg · Answer

Oui,
supprime ces 4 failles de sécurité-là :

C:\Program Files\Java\jre1.5.0_10 
C:\Program Files\Java\jre1.6.0_01
C:\Program Files\Java\j2re1.4.2_05
C:\Program Files\Java\jre1.6.0_02

Soit via "Panneau de configuration" > "Ajout/suppr.de programmes"
Soit via "Poste de travail"  > disque local C:\  > "Program Files"  > Java

ATTENTION  NE PAS SUPPRIMER  C:\Program Files\Java\jre1.6.0_03  !!

Bonne nuit
Al.

g!rly · Answer

re,

fais ceci :

Fix.reg

Ouvre le bloc-notes (click droit sur le bureau > dans l´arborescence choisie nouveau et nouveau fichier texte) et fais un copier coller de ce qui est en citation ci-dessous (copie tout d'un trait-sans les barres(X)) :

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
REGEDIT4

[-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocSer ver32	hreadingmodel]
[-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocSer ver32\cd042efbbd7f7af1647644e76e06692b]
[-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocSer ver32	hreadingmodel]
[-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocSer ver32\bca643cdc5c2726b20d2ecedcc62c59b]
[-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocSer ver32	hreadingmodel]
[-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocSer ver32\2c81e34222e8052573023a60d06dd016]
[-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocSer ver32	hreadingmodel]
[-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocSer ver32\2582ae41fb52324423be06337561aa48]
[-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocSer ver32	hreadingmodel]
[-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocSer ver32\caaeda5fd7a9ed7697d9686d4b818472]
[-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocSer ver32	hreadingmodel]
[-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocSer ver32\a4a1bcf2cc2b8bc3716b74b2b4522f5d]
[-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocSer ver32	hreadingmodel]
[-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocSer ver32\4d370831d2c43cd13623e232fed27b7b]
[-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocSer ver32	hreadingmodel]
[-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocSer ver32\1d68fe701cdea33e477eb204b76f993d]
[-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocSer ver32	hreadingmodel]
[-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocSer ver32\1fac81b91d8e3c5aa4b0a51804d844a3]
[-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocSer ver32	hreadingmodel]
[-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocSer ver32\f5f62a6129303efb32fbe080bb27835b]
[-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocSer ver32	hreadingmodel]
[-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocSer ver32\fd4e2e1a3940b94dceb5a6a021f2e3c6]
[-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocSer ver32	hreadingmodel]
[-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocSer ver32\8a8aec57dd6508a385616fbc86791ec2]

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Note : regedit 4 est sur la premiere ligne dans le bloc note et il y a une ligne blanche a la fin
Puis click sur "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : fix.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"

ca doit ressembler a ca une fois enrregistré :

http://img520.imageshack.us/img520/4251/screenshot005ps2.png

quitte internet et double clique sur fix.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"

@+

afideg · Answer

Re,

Je posséde un disque dur externe, et depuis je n'y ai plus accés! 

En faisant "clic-droit > Ouvrir" ==> que se passe-t-il ?


-- 

Patience-Vigilance-Amour.

afideg · Answer

Up

poucetinou · Answer

Dans un 1er tzemps j'ai supprimé ce que demandait Afideg, il reste:
j2re1.42_05 qui refuse d'être supprimé, les autres (à part: jre1.60_03) ont été supprimé!
Je passe à ton message G!rl!
@+

poucetinou · Answer

C'est fait G!rl, c'est inscrit dans le registre!
@+

g!rly · Answer

ok

je vais me coucher 

bonne nuit

@demain

Poucetinou · Answer

Il m'est apparu sur le bureau un message de Spybot: "un élément important du registre a été décelé", il donne l'ancienne valeur et la nouvelle et soit on autorise la modif, soit on la refuse!!!
J'attends tes instructions!
Merci @+

g!rly · Answer

Re,

Desactive le resident de spybot et refais la manip avec le fichier .reg a savoir double click dessus et accepte la fusion au registre.

poucetinou · Answer

Je crois que tu as rendu ton tablier pour aujourd'hui, j'en fait de même et je vais me réduire!
Merci bcp, je laisse tout en plan pour demain (enfin tout à l'heure)
Bonne nuit.
@ tout à l'heure.

POUCETINOU · Answer

Desactive le resident de spybot : kézako?

afideg · Answer

Re,
Pour vous servir :
« Tout d'abord > Désactive le Tea-Timer de Spybot en passant par les options de Spybot: une fois dans le logiciel, il faut aller dans le menu "Mode" => coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Teatimer" . Tu ne dois plus voir l'icône du Tea- Timer dans la barre de tâches!
Ne fais pas l'impasse sur cette étape, car ça peut faire échouer la procédure de désinfection ! » 

Bonne chance
Al.

Poucetinou · Answer

Bonjour Afideg, content de te retrouver! J e viens de régler ton message précédent (134) l'icone TeaTimer a disparu. Comme je m'étais absenté, j'avais lancé à toute fins utiles, une analyse par Antivir en mode échec. Je te transmets le rapport, peut-être sera-t-il utile??? @+ AntiVir PersonalEdition Classic Report file date: 2008-02-14 11:40 Scanning for 1100436 virus strains and unwanted programs. Licensed to: Avira AntiVir PersonalEdition Classic Serial number: 0000149996-ADJIE-0001 Platform: Windows XP Windows version: (Service Pack 2) [5.1.2600] Username: Raymond Computer name: RAY Version information: BUILD.DAT : 270 15603 Bytes 2007-09-19 13:32:00 AVSCAN.EXE : 7.0.6.1 290856 Bytes 2007-08-23 13:16:29 AVSCAN.DLL : 7.0.6.0 49192 Bytes 2007-08-16 12:23:51 LUKE.DLL : 7.0.5.3 147496 Bytes 2007-08-14 15:32:47 LUKERES.DLL : 7.0.6.1 10280 Bytes 2007-08-21 12:35:20 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 2007-07-18 14:27:15 ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 2007-12-14 17:30:48 ANTIVIR2.VDF : 7.0.2.113 1673728 Bytes 2008-02-08 17:30:48 ANTIVIR3.VDF : 7.0.2.125 54784 Bytes 2008-02-12 17:30:48 AVEWIN32.DLL : 7.6.0.65 3240448 Bytes 2008-02-13 17:30:50 AVWINLL.DLL : 1.0.0.7 14376 Bytes 2007-02-26 10:36:26 AVPREF.DLL : 7.0.2.2 25640 Bytes 2007-07-18 07:39:17 AVREP.DLL : 7.0.0.1 155688 Bytes 2007-04-16 13:16:24 AVPACK32.DLL : 7.6.0.3 360488 Bytes 2008-02-13 17:30:50 AVREG.DLL : 7.0.1.6 30760 Bytes 2007-07-18 07:17:06 AVARKT.DLL : 1.0.0.20 278568 Bytes 2007-08-28 12:26:33 AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 2007-07-18 07:10:18 NETNT.DLL : 7.0.0.0 7720 Bytes 2007-03-08 11:09:42 RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 2007-08-07 12:38:13 RCTEXT.DLL : 7.0.62.0 86056 Bytes 2007-08-21 12:50:37 SQLITE3.DLL : 3.3.17.1 339968 Bytes 2007-07-23 09:37:21 Configuration settings for the scan: Jobname..........................: Manual Selection Configuration file...............: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\PROFILES\folder.avp Logging..........................: low Primary action...................: interactive Secondary action.................: ignore Scan master boot sector..........: on Scan boot sector.................: on Boot sectors.....................: Z:, Scan memory......................: on Process scan.....................: on Scan registry....................: on Search for rootkits..............: on Scan all files...................: All files Scan archives....................: on Recursion depth..................: 20 Smart extensions.................: on Deviating archive types..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, Macro heuristic..................: on File heuristic...................: high Deviating risk categories........: +APPL,+GAME,+JOKE,+PCK,+SPR, Start of the scan: 2008-02-14 11:40 Starting search for hidden objects. The driver could not be initialized. The scan of running processes will be started Scan process 'avscan.exe' - '1' Module(s) have been scanned Scan process 'avcenter.exe' - '1' Module(s) have been scanned Scan process 'explorer.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'lsass.exe' - '1' Module(s) have been scanned Scan process 'services.exe' - '1' Module(s) have been scanned Scan process 'winlogon.exe' - '1' Module(s) have been scanned Scan process 'csrss.exe' - '1' Module(s) have been scanned Scan process 'smss.exe' - '1' Module(s) have been scanned 10 processes with 10 modules were scanned Starting master boot sector scan: Master boot sector HD0 [NOTE] No virus was found! Master boot sector HD1 [NOTE] No virus was found! Start scanning boot sectors: Boot sector 'A:\' [NOTE] In the drive 'A:\' no data medium is inserted! Boot sector 'C:\' [NOTE] No virus was found! Boot sector 'D:\' [NOTE] No virus was found! Boot sector 'E:\' [NOTE] No virus was found! Boot sector 'F:\' [NOTE] No virus was found! Starting to scan the registry. The registry was scanned ( '36' files ). Starting the file scan: Begin scan in 'A:\' Search path A:\ could not be opened! Le périphérique n'est pas prêt. Begin scan in 'C:\' C:\pagefile.sys [WARNING] The file could not be opened! C:\Documents and Settings\Raymond\Bureau\Combofix\ComboFix.exe [0] Archive type: RAR SFX (self extracting) --> 327882R2FWJFW ircmd.com [DETECTION] Contains detection pattern of the application APPL/NirCmd.3 --> 327882R2FWJFW ircmd.cfexe [DETECTION] Contains detection pattern of the application APPL/NirCmd.3 --> 327882R2FWJFW\psexec.cfexe [DETECTION] Contains detection pattern of the application APPL/Rmadmin.131072 [INFO] The file was moved to '48212224.qua'! C:\QooBox\Quarantine\C\WINDOWS\gendel32.exe.vir [DETECTION] Contains detection pattern of the SPR/Hacktooldel.B program [INFO] The file was deleted! C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\105562.exe.vir [DETECTION] Is the Trojan horse TR/Bagle.Gen.B [INFO] The file was deleted! C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\14600093.exe.vir [DETECTION] Contains detection pattern of the worm WORM/Bagle.Gen [INFO] The file was deleted! C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\14602312.exe.vir [DETECTION] Is the Trojan horse TR/Bagle.Gen.B [INFO] The file was deleted! C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\14610250.exe.vir [DETECTION] Is the Trojan horse TR/Bagle.Gen.B [INFO] The file was deleted! C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\14627250.exe.vir [DETECTION] Contains detection pattern of the worm WORM/Bagle.Gen [INFO] The file was deleted! C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\14763937.exe.vir [DETECTION] Is the Trojan horse TR/Bagle.Gen.B [INFO] The file was deleted! C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\160468.exe.vir [DETECTION] Is the Trojan horse TR/Bagle.Gen.B [INFO] The file was deleted! C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\229031.exe.vir [DETECTION] Contains detection pattern of the worm WORM/Bagle.Gen [INFO] The file was deleted! C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\237703.exe.vir [DETECTION] Is the Trojan horse TR/Bagle.Gen.B [INFO] The file was deleted! C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\29140125.exe.vir [DETECTION] Contains detection pattern of the worm WORM/Bagle.Gen [INFO] The file was deleted! C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\29234703.exe.vir [DETECTION] Contains detection pattern of the worm WORM/Bagle.Gen [INFO] The file was deleted! C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\29834437.exe.vir [DETECTION] Is the Trojan horse TR/Bagle.Gen.B [INFO] The file was deleted! C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\58593.exe.vir [DETECTION] Contains detection pattern of the worm WORM/Bagle.Gen [INFO] The file was deleted! C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\59234.exe.vir [DETECTION] Is the Trojan horse TR/Bagle.Gen.B [INFO] The file was deleted! C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\59656.exe.vir [DETECTION] Contains detection pattern of the worm WORM/Bagle.Gen [INFO] The file was deleted! C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\61484.exe.vir [DETECTION] Contains detection pattern of the worm WORM/Bagle.Gen [INFO] The file was deleted! C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\62812.exe.vir [DETECTION] Contains detection pattern of the worm WORM/Bagle.Gen [INFO] The file was deleted! C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\64875.exe.vir [DETECTION] Contains detection pattern of the worm WORM/Bagle.Gen [INFO] The file was deleted! C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\65546.exe.vir [DETECTION] Is the Trojan horse TR/Bagle.Gen.B [INFO] The file was deleted! C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\65656.exe.vir [DETECTION] Is the Trojan horse TR/Bagle.Gen.B [INFO] The file was deleted! C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\741890.exe.vir [DETECTION] Contains detection pattern of the worm WORM/Bagle.Gen [INFO] The file was deleted! C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\748546.exe.vir [DETECTION] Is the Trojan horse TR/Bagle.Gen.B [INFO] The file was deleted! C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\82406.exe.vir [DETECTION] Is the Trojan horse TR/Bagle.Gen.B [INFO] The file was deleted! C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\82937.exe.vir [DETECTION] Is the Trojan horse TR/Bagle.Gen.B [INFO] The file was deleted! C:\WINDOWS\Nircmd.exe [DETECTION] Contains detection pattern of the application APPL/NirCmd.3 [INFO] The file was deleted! C:\WINDOWS\system32\ActiveScan\pskavs.dll [DETECTION] Contains detection pattern of the Windows virus W95/Blumblebee.1738 [INFO] The file was deleted! C:\WINDOWS\system32\drivers\sptd.sys [WARNING] The file could not be opened! Begin scan in 'D:\' D:\Divers\Joe Dassin 1\Joe Dassin (Ses 55 Meilleurs Chansons) 192 Kbps.ace [0] Archive type: ACE --> Joe Dassin - L'Et‚ Indien.mp3 [WARNING] Error creating the file --> Joe Dassin - La Marche Aux Puces.mp3 [WARNING] No further files can be extracted from this archive. The archive will be closed [WARNING] No further files can be extracted from this archive. The archive will be closed D:\Divers\Joe Dassin 1\Joe Dassin (Ses 55 Meilleurs Chansons) 192 Kbps.zip [0] Archive type: ZIP --> Joe Dassin (Ses 55 Meilleurs Chansons) 192 Kbps.ace [1] Archive type: ACE --> Joe Dassin - L'Et‚ Indien.mp3 [WARNING] Error creating the file --> Joe Dassin - La Marche Aux Puces.mp3 [WARNING] No further files can be extracted from this archive. The archive will be closed [WARNING] No further files can be extracted from this archive. The archive will be closed D:\Divers\Joe Dassin 2\Joe Dassin Integrale 192Kbps By Nico3 Ace.ace [0] Archive type: ACE --> Joe Dassin\Joe Dassin - Vol.3\CÞõa M'avance AÞ_ Quoi.mp3 [WARNING] Error creating the file --> Joe Dassin\Vol. 8 - La Demoiselle De Deshonneur\Dans Les Yeux d'Emilie.mp3 [WARNING] No further files can be extracted from this archive. The archive will be closed [WARNING] No further files can be extracted from this archive. The archive will be closed Begin scan in 'E:\' Begin scan in 'F:\' Begin scan in 'Y:\' Search path Y:\ could not be opened! Le périphérique n'est pas prêt. Begin scan in 'Z:\' Search path Z:\ could not be opened! Le périphérique n'est pas prêt. End of the scan: 2008-02-14 15:04 Used time: 3:24:21 min The scan has been done completely. 7620 Scanning directories 322253 Files were scanned 30 viruses and/or unwanted programs were found 0 Files were classified as suspicious: 27 files were deleted 0 files were repaired 1 files were moved to quarantine 0 files were renamed 2 Files cannot be scanned 322223 Files not concerned 1836 Archives were scanned 11 Warnings 181 Notes

Poucetinou · Answer

G!rl, bonjour ou peut-être Afideg,
J'ai effectué ta manip N° 131, et c'est inscrit au registre!
Donc 131 et 134 sont faits!
@+

Poucetinou · Answer

G!rl, bonjour ou peut-être Afideg, 
J'ai effectué ta manip N° 131, et c'est inscrit au registre! 
Donc 131 et 134 sont faits! 
@+

Poucetinou · Answer

G!rl,Afideg...
J'attends vos instructions...
@++

afideg · Answer

Bonsoir
Comment va le PC ?
As-tu encore des soucis ?
Al.

Poucetinou · Answer

Bonsoir Afideg,
Ca a l'air de fonctionner normalement, je garde en fin de compte Antivir à la place de Avast, qu'en penses-tu?
Est-ce qu'on a pu supprimer tout ce qui génait, ou reste-t-il encore qque chose à faire?
@+

g!rly · Answer

Salut Poucetinou,

Pour moi c´est ok`

Oui garde antivir, tu as quel par feu ?
 
puis :

Télécharge ToolsCleaner sur ton bureau.
--> http://www.commentcamarche.net/telecharger/telechargement 34055291 toolsclean(...)
# Clique sur Recherche et laisse le scan agir ...
# Clique sur Suppression pour finaliser.
# Tu peux, si tu le souhaites, te servir des Options facultatives.
# Clique sur Quitter pour obtenir le rapport.
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

@+

Poucetinou · Answer

Bonsoir G!rl, bien content de te retrouver.
Effectivement, comme nous avions installé Antivir ,je le garde et me sépare d'Avast.
Comme pare-feu, j'ai tout simplement celui de Windows! Il y a meilleur?
Je te transmets le rapport de ToolCleaner
Merci
@+


-->- Recherche: 

C:\HijackThis: trouvé !
C:\Qoobox: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Raymond\Bureau\HijackThis: trouvé !
C:\Documents and Settings\Raymond\Bureau\Dossier Test\Logiciels antivirus\DiagHelp: trouvé !
C:\Documents and Settings\Raymond\Bureau\Dossier Test\Logiciels antivirus\DiagHelp\DiagHelp.zip: trouvé !
C:\Documents and Settings\Raymond\Bureau\ELIBAGLA\EliBaglA.exe: trouvé !
C:\Documents and Settings\Raymond\Bureau\HijackThis\HijackThis.exe: trouvé !
C:\Documents and Settings\Raymond\Recent\HijackThis.lnk: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Raymond\Bureau\Dossier Test\Logiciels antivirus\DiagHelp\DiagHelp.zip: supprimé !
C:\Documents and Settings\Raymond\Bureau\ELIBAGLA\EliBaglA.exe: supprimé !
C:\Documents and Settings\Raymond\Bureau\HijackThis\HijackThis.exe: supprimé !
C:\Documents and Settings\Raymond\Recent\HijackThis.lnk: supprimé !
C:\HijackThis: supprimé !
C:\Qoobox: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\Raymond\Bureau\HijackThis: supprimé !
C:\Documents and Settings\Raymond\Bureau\Dossier Test\Logiciels antivirus\DiagHelp: supprimé !

Fichiers temporaires nettoyés !
Corbeille vidée!
Point de restauration crée !

g!rly · Answer

Ok

pour le par feu :

par feu : kerio

http://www.malekal.com/kerio_firewall.php#mozTocId721480

https://www.vulgarisation-informatique.com/kerio.php

https://kerio.probb.fr/f2-sunbelt-kerio-personal-firewall

ou zone alarm plus facil a configurer mais moins performant

https://www.malekal.com/tutoriel-zonealarm-firewall/

anti spyware :

spywareblaster : (il va completer le tea timer de spybot)

http://www.brightfort.com/spywareblaster.html

c´est un resident, il suffit de le mettre a jour de temps en temps car la version gratuite ne le fait pas toute seul , une fois installé et mis a jour tu mets toutes les protections sur "enable"

tuto : http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/question-spywareblaser-sujet_174747_1.htm

Voila

Bonne soirée

@+

Poucetinou · Answer

Ok, bien sympa G!rl!
Bonne soirée.
@+

g!rly · Answer

De rien ;-)
Bonne nuit`
@+

g!rly · Answer

--
mouvement de non entraide a suivre très prochainement...

Virus: Trojan-Downloader.Bagle et Email-Worm.

140 réponses

Discussions similaires

Newsletters