RogueAntiSpyware

bilou -  
g!rly Messages postés 18462 Statut Contributeur -
Bonjour,
voici les infections trouvés sur mon pc :
RogueAntiSpyware.AVSystemCare
RogueAntiSpyware.ErrClean
RogueAntiSpyware.AntiSpyware_LLC
Application.NirCmd
que faire ? pouvez vous me dire la marche à suivre
Merci par avance
Configuration: Windows XP
Internet Explorer 7.0

7 réponses

  1. g!rly Messages postés 18462 Statut Contributeur 407
     
    salut bilou,

    Télécharge combofix.exe (par sUBs) sur ton Bureau.

    -> http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    -> Double clique combofix.exe.
    -> Tape sur la touche 1 (Yes) pour démarrer le scan.
    -> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt

    Avant d'utiliser ComboFix :

    -> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

    -> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

    Une fois fait, sur ton bureau double-clic sur Combofix.exe.

    - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    /!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

    - En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

    - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

    -> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    -> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message ainsi qu´un hijack this.

    -> Tutoriel https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    Télécharge HijackThis ici :

    -> http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis

    Tutoriel d´instalation : (Merci a Balltrap34 pour cette réalisation)

    -> http://pageperso.aol.fr/balltrap34/Hijenr.gif

    Tutoriel d´utilisation (video) : (Merci a Balltrap34 pour cette réalisation)

    -> http://pageperso.aol.fr/balltrap34/demohijack.htm

    Post le rapport généré ici stp...

    @+
    0
    1. bilou
       
      ComboFix 08-03-06.4 - a 2008-03-07 9:07:39.2 - NTFSx86
      Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.1382 [GMT 1:00]
      Endroit: C:\Documents and Settings\a\Local Settings\Temporary Internet Files\Content.IE5\ZJAD76J0\ComboFix[1].exe

      [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
      .

      ((((((((((((((((((((((((((((( Fichiers créés 2008-02-07 to 2008-03-07 ))))))))))))))))))))))))))))))))))))
      .

      2008-03-06 19:05 . 2008-03-06 19:05 <REP> d-------- C:\Documents and Settings\All Users\Application Data\IM
      2008-03-06 19:03 . 2008-03-06 19:03 <REP> d-------- C:\Documents and Settings\All Users\Application Data\IncrediMail
      2008-03-05 23:26 . 2008-03-05 23:26 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
      2008-03-05 23:26 . 2008-03-05 23:26 <REP> d-------- C:\Documents and Settings\a\Application Data\Grisoft
      2008-03-05 23:26 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
      2008-03-05 22:38 . 2008-03-05 22:39 <REP> d-------- C:\Documents and Settings\a\Application Data\Antispyware
      2008-03-05 09:44 . 2008-03-05 10:46 <REP> d-------- C:\WINDOWS\BDOSCAN8
      2008-03-04 09:32 . 2008-03-05 09:17 <REP> d-------- C:\Program Files\Navilog1

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2008-03-07 08:04 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
      2008-03-06 18:04 --------- d-----w C:\Program Files\IncrediMail
      2008-03-06 04:20 --------- d-----w C:\Program Files\Spyware Doctor
      2008-03-04 08:20 --------- d-----w C:\Program Files\Fichiers communs\Logitech
      2008-03-04 07:58 --------- d-----w C:\Program Files\Yahoo!
      2008-03-03 07:34 --------- d-----w C:\Program Files\Lx_cats
      2008-02-28 02:01 --------- d-----w C:\Program Files\Windows Live
      2008-02-21 13:01 --------- d-----w C:\Program Files\Fichiers communs\Adobe
      2008-02-01 11:55 42,376 ----a-w C:\WINDOWS\system32\drivers\ikfilesec.sys
      2008-02-01 10:17 587,264 ----a-w C:\WINDOWS\WLXPGSS.SCR
      2008-01-20 10:07 --------- d-----w C:\Documents and Settings\a\Application Data\LimeWire
      2008-01-20 09:20 --------- d-----w C:\Program Files\OrangeHSS
      2008-01-18 08:11 --------- d--h--w C:\Program Files\InstallShield Installation Information
      2008-01-14 10:45 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
      2008-01-14 09:46 --------- d-----w C:\Program Files\Microsoft SQL Server Compact Edition
      2008-01-14 09:42 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller
      2007-12-07 02:08 824,832 ----a-w C:\WINDOWS\system32\wininet.dll
      2007-12-04 06:40 260,632 ----a-w C:\Documents and Settings\a\Application Data\setup_fr[1].exe
      2005-12-19 17:42 0 -c--a-w C:\Documents and Settings\a\Application Data\wklnhst.dat
      2005-05-13 16:12 217,073 -csha-r C:\WINDOWS\meta4.exe
      2005-10-24 10:13 66,560 -csha-r C:\WINDOWS\MOTA113.exe
      2005-10-13 20:27 422,400 -csha-r C:\WINDOWS\x2.64.exe
      2005-10-07 18:14 308,224 -csha-r C:\WINDOWS\system32\avisynth.dll
      2005-07-14 11:31 27,648 -csha-r C:\WINDOWS\system32\AVSredirect.dll
      2005-06-26 14:32 616,448 -csha-r C:\WINDOWS\system32\cygwin1.dll
      2005-06-21 21:37 45,568 -csha-r C:\WINDOWS\system32\cygz.dll
      2004-01-24 23:00 70,656 --sha-r C:\WINDOWS\system32\i420vfw.dll
      2006-04-27 09:24 2,945,024 -csha-r C:\WINDOWS\system32\Smab.dll
      2005-02-28 12:16 240,128 -csha-r C:\WINDOWS\system32\x.264.exe
      2004-01-24 23:00 70,656 --sha-r C:\WINDOWS\system32\yv12vfw.dll
      .

      ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      REGEDIT4
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]
      "H/PC Connection Agent"="C:\PROGRA~1\MI3AA1~1\wcescomm.exe" [2005-11-15 19:21 1204224]
      "IncrediMail Tray Application"="C:\PROGRA~1\INCRED~1\bin\IncMail.exe" [2008-03-02 11:46 243072]
      "Microsoft Office Outlook"="C:\PROGRA~1\MICROS~3\OFFICE11\OUTLOOK.exe" [2006-11-23 19:56 196368]
      "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00 15360]
      "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-20 07:49 68856]
      "IncrediMail"="C:\Program Files\IncrediMail\bin\IncMail.exe" [2008-03-02 11:46 243072]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-03-10 16:07 5566464]
      "LXCECATS"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll" [2005-07-20 14:46 73728]
      "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
      "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-07-02 16:24 282624]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00 15360]

      C:\Documents and Settings\a\Menu D‚marrer\Programmes\D‚marrage\
      Raccourci vers YzDock.exe.lnk - C:\Documents and Settings\a\Mes documents\yz_dck0083_full_fr\YzDock.exe [2007-03-01 22:18:54 386560]

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
      "MaxRecentDocs"= 9 (0x9)

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
      "fsc-reminder.exe"=C:\WINDOWS\reminder\fsc-reminder.exe 2453714 10
      "swg"=C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      "IncrediMail"=C:\Program Files\IncrediMail\bin\IncMail.exe /c
      "ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
      "EzPrint"="C:\Program Files\Lexmark 4300 Series\ezprint.exe"
      "AlcWzrd"=ALCWZRD.EXE
      "SMSERIAL"=sm56hlpr.exe
      "RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
      "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
      "Alcmtr"=ALCMTR.EXE
      "FaxCenterServer"="C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
      "nwiz"=nwiz.exe /install
      "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" -atboottime
      "Raccourci vers la page des propriétés de High Definition Audio"=HDAShCut.exe
      "InstantOn"="C:\Program Files\CyberLink\PowerCinema Linux\ion_install.exe" /c
      "UserFaultCheck"=%systemroot%\system32\dumprep 0 -u
      "lxdeamon"="C:\Program Files\Lexmark 4800 Series\lxdeamon.exe"
      "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
      "lxdemon.exe"="C:\Program Files\Lexmark 4800 Series\lxdemon.exe"
      "SoundMan"=SOUNDMAN.EXE
      "Salestart"="C:\Program Files\Fichiers communs\ErreurChasseur\strpmon.exe" dm=http://erreurchasseur.com ad=http://erreurchasseur.com sd=http://repay.erreurchasseur.com
      "ORAHSSSessionManager"=C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe
      "SynTPEnh"=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      "SynTPLpr"=C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
      "SDTray"="C:\Program Files\Spyware Doctor\SDTrayApp.exe"
      "avast!"=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "C:\\Program Files\\IncrediMail\\bin\\IMApp.exe"=
      "C:\\Program Files\\IncrediMail\\bin\\IncMail.exe"=
      "C:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"=
      "C:\\Program Files\\Microsoft ActiveSync\\WCESCOMM.EXE"=
      "C:\\Program Files\\Microsoft ActiveSync\\WCESMGR.EXE"=
      "C:\\Program Files\\eMule\\emule.exe"=
      "C:\\WINDOWS\\system32\\lxcecoms.exe"=
      "C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxcepswx.exe"=
      "C:\\Program Files\\IncrediMail\\bin\\ImLc.exe"=
      "C:\Program Files\Microsoft ActiveSync\rapimgr.exe"= C:\Program Files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
      "C:\\Program Files\\LimeWire\\LimeWire.exe"=
      "C:\\Program Files\\Lexmark 4800 Series\\lxdeamon.exe"=
      "C:\\Program Files\\Lexmark 4800 Series\\frun.exe"=
      "C:\\Program Files\\Lexmark Fax Solutions\\FaxCtr.exe"=
      "C:\\Program Files\\Lexmark 4800 Series\\lxdemon.exe"=
      "C:\\WINDOWS\\system32\\lxdecfg.exe"=
      "C:\\WINDOWS\\system32\\lxdecoms.exe"=
      "C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdepswx.exe"=
      "C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdetime.exe"=
      "C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdejswx.exe"=
      "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
      "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
      "C:\\Program Files\\OrangeHSS\\Connectivity\\ConnectivityManager.exe"=
      "C:\\Program Files\\Lexmark 4800 Series\\Wireless\\lxdewpss.exe"=
      "C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdewbgw.exe"=
      "C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"=
      "C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
      "135:TCP"= 135:TCP:TCP Port 135
      "5000:TCP"= 5000:TCP:TCP Port 5000
      "5001:TCP"= 5001:TCP:TCP Port 5001
      "5002:TCP"= 5002:TCP:TCP Port 5002
      "5003:TCP"= 5003:TCP:TCP Port 5003
      "5004:TCP"= 5004:TCP:TCP Port 5004
      "5005:TCP"= 5005:TCP:TCP Port 5005
      "5006:TCP"= 5006:TCP:TCP Port 5006
      "5007:TCP"= 5007:TCP:TCP Port 5007
      "5008:TCP"= 5008:TCP:TCP Port 5008
      "5009:TCP"= 5009:TCP:TCP Port 5009
      "5010:TCP"= 5010:TCP:TCP Port 5010
      "5011:TCP"= 5011:TCP:TCP Port 5011
      "5012:TCP"= 5012:TCP:TCP Port 5012
      "5013:TCP"= 5013:TCP:TCP Port 5013
      "5014:TCP"= 5014:TCP:TCP Port 5014
      "5015:TCP"= 5015:TCP:TCP Port 5015
      "5016:TCP"= 5016:TCP:TCP Port 5016
      "5017:TCP"= 5017:TCP:TCP Port 5017
      "5018:TCP"= 5018:TCP:TCP Port 5018
      "5019:TCP"= 5019:TCP:TCP Port 5019
      "5020:TCP"= 5020:TCP:TCP Port 5020
      "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

      R2 lxde_device;lxde_device;C:\WINDOWS\system32\lxdecoms.exe [2007-05-29 10:07]
      R2 lxdeCATSCustConnectService;lxdeCATSCustConnectService;C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxdeserv.exe [2007-05-29 10:06]
      R2 UxTuneUp;TuneUp Extension de thème;C:\WINDOWS\System32\svchost.exe [2004-08-05 13:00]
      S2 FILESpy;FILESpy;C:\Program Files\Softwin\BitDefender9\filespy.sys []
      S3 DTVFW;DVB-T USB adapter firmware;C:\WINDOWS\system32\DRIVERS\dtvfw.sys [2005-11-30 09:51]
      S3 phc600;USB PC Camera (phc600);C:\WINDOWS\system32\DRIVERS\phc600.sys [2005-02-22 19:48]
      S3 usbdtv;DVB-T TV Tuner;C:\WINDOWS\system32\Drivers\usbdtv.sys [2005-11-30 09:51]
      S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 21:58]
      S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 22:08]

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
      UxTuneUp

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{402659ec-5df5-11db-bffa-001500243a84}]
      \Shell\AutoRun\command - setup.exe

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{536bbdf3-ee48-11db-80c4-001500243a84}]
      \Shell\AutoRun\command - E:\InstallTomTomHOME.exe

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ba39bfc4-3cf5-11db-bfbc-001500243a84}]
      \Shell\AutoRun\command - setup.exe

      .
      Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
      "2008-03-07 02:00:00 C:\WINDOWS\Tasks\Antispyware Scheduled Scan.job"
      - C:\Program Files\AntiSpywareApp\AntiSpyware.ex
      - C:\Program Files\AntiSpywareApp
      "2007-12-03 23:13:55 C:\WINDOWS\Tasks\Maintenance en 1 clic.job"
      - C:\Program Files\TuneUp Utilities 2007\SystemOptimizer.exe
      .
      **************************************************************************

      catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2008-03-07 09:09:57
      Windows 5.1.2600 Service Pack 2 NTFS

      Balayage processus cachés ...

      Balayage caché autostart entries ...

      HKLM\Software\Microsoft\Windows\CurrentVersion\Run
      LXCECATS = rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll,_RunDLLEntry@16???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

      Balayage des fichiers cachés ...

      Scan terminé avec succès
      Les fichiers cachés: 0

      **************************************************************************
      .
      Temps d'accomplissement: 2008-03-07 9:10:59
      ComboFix2.txt 2008-03-07 08:01:22
      .
      2008-02-28 02:02:04 --- E O F ---
      ComboFix 08-03-06.4 - a 2008-03-07 9:07:39.2 - NTFSx86
      Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.1382 [GMT 1:00]
      Endroit: C:\Documents and Settings\a\Local Settings\Temporary Internet Files\Content.IE5\ZJAD76J0\ComboFix[1].exe

      [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
      .

      ((((((((((((((((((((((((((((( Fichiers créés 2008-02-07 to 2008-03-07 ))))))))))))))))))))))))))))))))))))
      .

      2008-03-06 19:05 . 2008-03-06 19:05 <REP> d-------- C:\Documents and Settings\All Users\Application Data\IM
      2008-03-06 19:03 . 2008-03-06 19:03 <REP> d-------- C:\Documents and Settings\All Users\Application Data\IncrediMail
      2008-03-05 23:26 . 2008-03-05 23:26 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
      2008-03-05 23:26 . 2008-03-05 23:26 <REP> d-------- C:\Documents and Settings\a\Application Data\Grisoft
      2008-03-05 23:26 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
      2008-03-05 22:38 . 2008-03-05 22:39 <REP> d-------- C:\Documents and Settings\a\Application Data\Antispyware
      2008-03-05 09:44 . 2008-03-05 10:46 <REP> d-------- C:\WINDOWS\BDOSCAN8
      2008-03-04 09:32 . 2008-03-05 09:17 <REP> d-------- C:\Program Files\Navilog1

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2008-03-07 08:04 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
      2008-03-06 18:04 --------- d-----w C:\Program Files\IncrediMail
      2008-03-06 04:20 --------- d-----w C:\Program Files\Spyware Doctor
      2008-03-04 08:20 --------- d-----w C:\Program Files\Fichiers communs\Logitech
      2008-03-04 07:58 --------- d-----w C:\Program Files\Yahoo!
      2008-03-03 07:34 --------- d-----w C:\Program Files\Lx_cats
      2008-02-28 02:01 --------- d-----w C:\Program Files\Windows Live
      2008-02-21 13:01 --------- d-----w C:\Program Files\Fichiers communs\Adobe
      2008-02-01 11:55 42,376 ----a-w C:\WINDOWS\system32\drivers\ikfilesec.sys
      2008-02-01 10:17 587,264 ----a-w C:\WINDOWS\WLXPGSS.SCR
      2008-01-20 10:07 --------- d-----w C:\Documents and Settings\a\Application Data\LimeWire
      2008-01-20 09:20 --------- d-----w C:\Program Files\OrangeHSS
      2008-01-18 08:11 --------- d--h--w C:\Program Files\InstallShield Installation Information
      2008-01-14 10:45 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
      2008-01-14 09:46 --------- d-----w C:\Program Files\Microsoft SQL Server Compact Edition
      2008-01-14 09:42 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller
      2007-12-07 02:08 824,832 ----a-w C:\WINDOWS\system32\wininet.dll
      2007-12-04 06:40 260,632 ----a-w C:\Documents and Settings\a\Application Data\setup_fr[1].exe
      2005-12-19 17:42 0 -c--a-w C:\Documents and Settings\a\Application Data\wklnhst.dat
      2005-05-13 16:12 217,073 -csha-r C:\WINDOWS\meta4.exe
      2005-10-24 10:13 66,560 -csha-r C:\WINDOWS\MOTA113.exe
      2005-10-13 20:27 422,400 -csha-r C:\WINDOWS\x2.64.exe
      2005-10-07 18:14 308,224 -csha-r C:\WINDOWS\system32\avisynth.dll
      2005-07-14 11:31 27,648 -csha-r C:\WINDOWS\system32\AVSredirect.dll
      2005-06-26 14:32 616,448 -csha-r C:\WINDOWS\system32\cygwin1.dll
      2005-06-21 21:37 45,568 -csha-r C:\WINDOWS\system32\cygz.dll
      2004-01-24 23:00 70,656 --sha-r C:\WINDOWS\system32\i420vfw.dll
      2006-04-27 09:24 2,945,024 -csha-r C:\WINDOWS\system32\Smab.dll
      2005-02-28 12:16 240,128 -csha-r C:\WINDOWS\system32\x.264.exe
      2004-01-24 23:00 70,656 --sha-r C:\WINDOWS\system32\yv12vfw.dll
      .

      ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      REGEDIT4
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]
      "H/PC Connection Agent"="C:\PROGRA~1\MI3AA1~1\wcescomm.exe" [2005-11-15 19:21 1204224]
      "IncrediMail Tray Application"="C:\PROGRA~1\INCRED~1\bin\IncMail.exe" [2008-03-02 11:46 243072]
      "Microsoft Office Outlook"="C:\PROGRA~1\MICROS~3\OFFICE11\OUTLOOK.exe" [2006-11-23 19:56 196368]
      "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00 15360]
      "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-20 07:49 68856]
      "IncrediMail"="C:\Program Files\IncrediMail\bin\IncMail.exe" [2008-03-02 11:46 243072]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-03-10 16:07 5566464]
      "LXCECATS"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll" [2005-07-20 14:46 73728]
      "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
      "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-07-02 16:24 282624]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00 15360]

      C:\Documents and Settings\a\Menu D‚marrer\Programmes\D‚marrage\
      Raccourci vers YzDock.exe.lnk - C:\Documents and Settings\a\Mes documents\yz_dck0083_full_fr\YzDock.exe [2007-03-01 22:18:54 386560]

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
      "MaxRecentDocs"= 9 (0x9)

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
      "fsc-reminder.exe"=C:\WINDOWS\reminder\fsc-reminder.exe 2453714 10
      "swg"=C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      "IncrediMail"=C:\Program Files\IncrediMail\bin\IncMail.exe /c
      "ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
      "EzPrint"="C:\Program Files\Lexmark 4300 Series\ezprint.exe"
      "AlcWzrd"=ALCWZRD.EXE
      "SMSERIAL"=sm56hlpr.exe
      "RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
      "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
      "Alcmtr"=ALCMTR.EXE
      "FaxCenterServer"="C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
      "nwiz"=nwiz.exe /install
      "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" -atboottime
      "Raccourci vers la page des propriétés de High Definition Audio"=HDAShCut.exe
      "InstantOn"="C:\Program Files\CyberLink\PowerCinema Linux\ion_install.exe" /c
      "UserFaultCheck"=%systemroot%\system32\dumprep 0 -u
      "lxdeamon"="C:\Program Files\Lexmark 4800 Series\lxdeamon.exe"
      "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
      "lxdemon.exe"="C:\Program Files\Lexmark 4800 Series\lxdemon.exe"
      "SoundMan"=SOUNDMAN.EXE
      "Salestart"="C:\Program Files\Fichiers communs\ErreurChasseur\strpmon.exe" dm=http://erreurchasseur.com ad=http://erreurchasseur.com sd=http://repay.erreurchasseur.com
      "ORAHSSSessionManager"=C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe
      "SynTPEnh"=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      "SynTPLpr"=C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
      "SDTray"="C:\Program Files\Spyware Doctor\SDTrayApp.exe"
      "avast!"=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "C:\\Program Files\\IncrediMail\\bin\\IMApp.exe"=
      "C:\\Program Files\\IncrediMail\\bin\\IncMail.exe"=
      "C:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"=
      "C:\\Program Files\\Microsoft ActiveSync\\WCESCOMM.EXE"=
      "C:\\Program Files\\Microsoft ActiveSync\\WCESMGR.EXE"=
      "C:\\Program Files\\eMule\\emule.exe"=
      "C:\\WINDOWS\\system32\\lxcecoms.exe"=
      "C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxcepswx.exe"=
      "C:\\Program Files\\IncrediMail\\bin\\ImLc.exe"=
      "C:\Program Files\Microsoft ActiveSync\rapimgr.exe"= C:\Program Files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
      "C:\\Program Files\\LimeWire\\LimeWire.exe"=
      "C:\\Program Files\\Lexmark 4800 Series\\lxdeamon.exe"=
      "C:\\Program Files\\Lexmark 4800 Series\\frun.exe"=
      "C:\\Program Files\\Lexmark Fax Solutions\\FaxCtr.exe"=
      "C:\\Program Files\\Lexmark 4800 Series\\lxdemon.exe"=
      "C:\\WINDOWS\\system32\\lxdecfg.exe"=
      "C:\\WINDOWS\\system32\\lxdecoms.exe"=
      "C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdepswx.exe"=
      "C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdetime.exe"=
      "C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdejswx.exe"=
      "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
      "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
      "C:\\Program Files\\OrangeHSS\\Connectivity\\ConnectivityManager.exe"=
      "C:\\Program Files\\Lexmark 4800 Series\\Wireless\\lxdewpss.exe"=
      "C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdewbgw.exe"=
      "C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"=
      "C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
      "135:TCP"= 135:TCP:TCP Port 135
      "5000:TCP"= 5000:TCP:TCP Port 5000
      "5001:TCP"= 5001:TCP:TCP Port 5001
      "5002:TCP"= 5002:TCP:TCP Port 5002
      "5003:TCP"= 5003:TCP:TCP Port 5003
      "5004:TCP"= 5004:TCP:TCP Port 5004
      "5005:TCP"= 5005:TCP:TCP Port 5005
      "5006:TCP"= 5006:TCP:TCP Port 5006
      "5007:TCP"= 5007:TCP:TCP Port 5007
      "5008:TCP"= 5008:TCP:TCP Port 5008
      "5009:TCP"= 5009:TCP:TCP Port 5009
      "5010:TCP"= 5010:TCP:TCP Port 5010
      "5011:TCP"= 5011:TCP:TCP Port 5011
      "5012:TCP"= 5012:TCP:TCP Port 5012
      "5013:TCP"= 5013:TCP:TCP Port 5013
      "5014:TCP"= 5014:TCP:TCP Port 5014
      "5015:TCP"= 5015:TCP:TCP Port 5015
      "5016:TCP"= 5016:TCP:TCP Port 5016
      "5017:TCP"= 5017:TCP:TCP Port 5017
      "5018:TCP"= 5018:TCP:TCP Port 5018
      "5019:TCP"= 5019:TCP:TCP Port 5019
      "5020:TCP"= 5020:TCP:TCP Port 5020
      "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

      R2 lxde_device;lxde_device;C:\WINDOWS\system32\lxdecoms.exe [2007-05-29 10:07]
      R2 lxdeCATSCustConnectService;lxdeCATSCustConnectService;C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxdeserv.exe [2007-05-29 10:06]
      R2 UxTuneUp;TuneUp Extension de thème;C:\WINDOWS\System32\svchost.exe [2004-08-05 13:00]
      S2 FILESpy;FILESpy;C:\Program Files\Softwin\BitDefender9\filespy.sys []
      S3 DTVFW;DVB-T USB adapter firmware;C:\WINDOWS\system32\DRIVERS\dtvfw.sys [2005-11-30 09:51]
      S3 phc600;USB PC Camera (phc600);C:\WINDOWS\system32\DRIVERS\phc600.sys [2005-02-22 19:48]
      S3 usbdtv;DVB-T TV Tuner;C:\WINDOWS\system32\Drivers\usbdtv.sys [2005-11-30 09:51]
      S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 21:58]
      S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 22:08]

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
      UxTuneUp

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{402659ec-5df5-11db-bffa-001500243a84}]
      \Shell\AutoRun\command - setup.exe

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{536bbdf3-ee48-11db-80c4-001500243a84}]
      \Shell\AutoRun\command - E:\InstallTomTomHOME.exe

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ba39bfc4-3cf5-11db-bfbc-001500243a84}]
      \Shell\AutoRun\command - setup.exe

      .
      Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
      "2008-03-07 02:00:00 C:\WINDOWS\Tasks\Antispyware Scheduled Scan.job"
      - C:\Program Files\AntiSpywareApp\AntiSpyware.ex
      - C:\Program Files\AntiSpywareApp
      "2007-12-03 23:13:55 C:\WINDOWS\Tasks\Maintenance en 1 clic.job"
      - C:\Program Files\TuneUp Utilities 2007\SystemOptimizer.exe
      .
      **************************************************************************

      catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2008-03-07 09:09:57
      Windows 5.1.2600 Service Pack 2 NTFS

      Balayage processus cachés ...

      Balayage caché autostart entries ...

      HKLM\Software\Microsoft\Windows\CurrentVersion\Run
      LXCECATS = rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll,_RunDLLEntry@16???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

      Balayage des fichiers cachés ...

      Scan terminé avec succès
      Les fichiers cachés: 0

      **************************************************************************
      .
      Temps d'accomplissement: 2008-03-07 9:10:59
      ComboFix2.txt 2008-03-07 08:01:22
      .
      2008-02-28 02:02:04 --- E O F ---
      et aussi :

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 09:22:53, on 07/03/2008
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.6000.16608)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      C:\PROGRA~1\MI3AA1~1\wcescomm.exe
      C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      C:\Documents and Settings\a\Mes documents\yz_dck0083_full_fr\YzDock.exe
      C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\lxdeserv.exe
      C:\WINDOWS\system32\lxdecoms.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\PROGRA~1\MI3AA1~1\rapimgr.exe
      C:\WINDOWS\system32\nvsvc32.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\vssvc.exe
      C:\WINDOWS\system32\CNAC1RPK.EXE
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\WINDOWS\system32\lxcecoms.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe
      C:\WINDOWS\System32\alg.exe
      C:\Program Files\Windows Live\Messenger\usnsvc.exe
      C:\WINDOWS\system32\WISPTIS.EXE
      C:\WINDOWS\explorer.exe
      C:\WINDOWS\system32\notepad.exe
      C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
      C:\Program Files\Spyware Doctor\pctsAuxs.exe
      C:\Program Files\Spyware Doctor\pctsSvc.exe
      C:\Program Files\Spyware Doctor\pctsTray.exe
      C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
      C:\Program Files\Internet Explorer\IEXPLORE.EXE
      C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mystart.incredimail.com/french/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
      R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)
      O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
      O2 - BHO: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll
      O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll (file missing)
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
      O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
      O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
      O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
      O3 - Toolbar: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [LXCECATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll,_RunDLLEntry@16
      O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
      O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
      O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MI3AA1~1\wcescomm.exe"
      O4 - HKCU\..\Run: [IncrediMail Tray Application] C:\PROGRA~1\INCRED~1\bin\IncMail.exe
      O4 - HKCU\..\Run: [Microsoft Office Outlook] C:\PROGRA~1\MICROS~3\OFFICE11\OUTLOOK.EXE Outlook:Contacts
      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      O4 - Startup: Raccourci vers YzDock.exe.lnk = C:\Documents and Settings\a\Mes documents\yz_dck0083_full_fr\YzDock.exe
      O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
      O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
      O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
      O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
      O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
      O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
      O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
      O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://pascal1964france.spaces.live.com//PhotoUpload/MsnPUpld.cab
      O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
      O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP.cab
      O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
      O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
      O23 - Service: Process Monitor (LVPrcSrv) - Unknown owner - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe (file missing)
      O23 - Service: lxce_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcecoms.exe
      O23 - Service: lxdeCATSCustConnectService - Lexmark International, Inc. - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxdeserv.exe
      O23 - Service: lxde_device - - C:\WINDOWS\system32\lxdecoms.exe
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
      O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
      O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
      O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
      0
  2. g!rly Messages postés 18462 Statut Contributeur 407
     
    salut bilou,

    a l´aide de hijack this coche et fix les lignes les lignes suivantes :

    R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)
    O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll (file missing)
    O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab

    comment fixer :

    Tutoriel d´utilisation (video) : (Merci a Balltrap34 pour cette réalisation)

    -> http://pageperso.aol.fr/balltrap34/demohijack.htm

    vas dans C:\windows > double click sur bdoscandel.exe

    apparament tu as essayé bitdefender version 9, je peux te conseiller un meilleur anti virus (gratuit) qu´avast :

    regarde ceci concernant avast :

    antivir vs avast :

    -> http://forum.malekal.com/ftopic3528.php

    alors je te conseille de le desinstaller et d´installer antivir a la place

    Telecharge et instales l'antivirus Antivir Personal Edition Classic :

    ->https://www.malekal.com/avira-free-security-antivirus-gratuit/

    https://www.avira.com/en/prime

    http://mickael.barroux.free.fr/securite/antivir.php
    http://speedweb1.free.fr/frames2.php?page=tuto5
    <- tutoriel configuration du scanner...

    une fois antivir ouvert click surconfiguration et coche la case "expert mode" puis sur l´onglet scanner dans la fenetre du dessous tu va voir : rootkit search click sur le petit + pour deployer et coche la case a coté de ton disk dur
    puis click sur configuration en haut a droite; dans la nouvelle fenetre a gauche >scanner > coche "scan all files" et en dessous >scanner priority = High
    coche : allow stopping the scanner, comme cela tu peux faire une pause pendant le scan si tu le desir.
    puis sur la droite coche les case suivantes :
    scan boot sectors of selected drives
    scan master boot sectors
    scan memory
    search foe rootkit before scan
    decoche :
    ignore off line files
    toujours a gauche > scan > deploie > heuristique > macrovirus heuristic = coché et en dessous > win32 heuristic la case coché et high detection level

    puis il te faut egalement un par feu :

    par feu : kerio

    http://www.malekal.com/kerio_firewall.php#mozTocId721480

    https://www.vulgarisation-informatique.com/kerio.php

    https://kerio.probb.fr/f2-sunbelt-kerio-personal-firewall

    Comodo 3 pro :

    http://www.commentcamarche.net/telecharger/telecharger 34055041 comodo firewall pro

    Online armor :

    http://www.commentcamarche.net/telecharger/telecharger 34055356 online armor personal firewall

    tuto : https://forum.pcastuces.com/sujet.asp?f=25&s=35606

    ou zone alarm plus facil a configurer mais moins performant

    https://www.malekal.com/tutoriel-zonealarm-firewall/

    anti spyware :

    spywareblaster :

    http://www.brightfort.com/spywareblaster.html

    c´est un resident, il suffit de le mettre a jour de temps en temps car la version gratuite ne le fait pas toute seul , une fois installé et mis a jour tu mets toutes les protections sur "enable"

    tuto : http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/question-spywareblaser-sujet_174747_1.htm

    puis

    pourquoi ne pas surfer avec firefox? = plus sur, tout en gardant ie 7.0 pour les mises a jour windows car impossible a effectuer sous firefox

    http://www.mozilla-europe.org/fr/

    Copie le texte ci-dessous :

    File::
    C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe

    Folder::
    C:\Program Files\Fichiers communs\ErreurChasseur
    C:\Program Files\Softwin

    Registry::
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
    "Salestart"=-

    Driver::
    FILESpy
    France Telecom Routing Table Service
    FTRTSVC

    Ouvre le Bloc-Notes puis colle le texte copié.
    (Démarrer\Tous les programmes\Accessoires\Bloc notes.)
    Sauvegarde ce fichier sous le nom de CFScript.txt.

    Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

    http://serveur1.archive-host.com/membres/up/1366464061/CFScript.gif

    Cela va relancer Combofix,

    Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

    Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

    Ne touche à rien tant que le scan n'est pas terminé.

    Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

    S'il n'y a pas de rédémarrage, poste quand même les rapports.

    @+
    0
    1. bilou
       
      Merci, pour cette aide ! j'ai presque tout réussi sauf que je ne retrouve pas combofix.exe pour mettre le bloc not (CFScript.txt) dedans en glissant . comment retrouver Combofix.exe
      Merci par avance
      0
  3. g!rly Messages postés 18462 Statut Contributeur 407
     
    uhmmm.

    fais ceci

    click sur demarrer > executer > dans la boite de dialogue tape > combofix /u et valide par ok ( respect l´espace entre le x et la /)

    puis reprends le ici :

    -> http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    @+
    0
  4. bilou
     
    il ne trouve toujours pas dans exécuter pourtant j'ai bien mis l'espace
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. g!rly Messages postés 18462 Statut Contributeur 407
     
    Re,

    ce que je t´ai fais faire avec la commande executé, avit pour effet de supprimer tout composant de combofix, pour que tu puisses le reprendre et repartir sur des bases saines...

    si tu n´arrives pas a le reprendre et a faire la manip avec; fais ceci a la place :

    * Télécharge OTMoveIt2 (de Old_Timer) sur ton bureau : http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

    n´y touches pas

    redemarre en mode sans echec:

    Comment redémarrer en mode sans echec?

    Tu redemarre le pc et tapote la touche F8 des le début de l allumage sans t´arrêter.
    Une fenêtre sur fond noir va s’ouvrir, tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
    capture d´ecran : http://www.coupdepoucepc.com/images_cdppc4/fichespratiques/windowsxp/modese/modese2.jpg
    Une fois sur le bureau si il n y a pas toutes les couleurs et autres c´est normal!
    Ps : si F8 ne marche pas utilise la touche F5.

    Note : en mode sans echec tu n´auras plus acces au net alors imprime ou copie les instructions ci dessous dans un fichier texte que tu pourras consulter a souhait
    une fois en mode sans echec.

    Fix.reg

    Ouvre le bloc-notes (click droit sur le bureau > dans l´arborescence choisie nouveau et nouveau fichier texte) et fais un copier coller de ce qui est en citation ci-dessous (copie tout d'un trait-sans les barres(x)) :

    XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
    REGEDIT4

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
    "Salestart"=-
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
    "Salestart"=-

    XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
    Note : Regedit4 est sur la premiere ligne dans le bloc note et il y a une ligne blanche a la fin.
    Puis click sur "fichier"/"enregistrer sous" :
    dans : sur le bureau
    Nom du fichier : fix.reg
    Type de fichier : "tous les fichiers"
    clique sur "enregistrer"

    ca doit ressembler a ca une fois enrregistré :

    http://img520.imageshack.us/img520/4251/screenshot005ps2.png

    double clique sur fix.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
    Si c'est bien le cas, clique sur "oui"

    fais ceci pour supprimer les services :

    1°- « Démarrer » > « Executer » > taper cmd > valide par ok

    dans la fenetre noire tape ceci en respectant bien les espaces et guillemets

    sc stop "France Telecom Routing Table Service" ==> [Enter]
    sc config "France Telecom Routing Table Service" start= disabled ==> [Enter]

    2°- « Démarrer » > « Executer » > taper cmd >valide par ok

    sc delete "France Telecom Routing Table Service" ==> [Enter]

    puis fais la meme chose avec : FILESpy sans les guillemets.

    * Double-clique sur OTMoveIt.exe pour lancer le programme,
    * Copie la liste de fichiers ou de dossiers ci-dessous et colle-la dans la fenêtre du programme "Paste Custom List of Files/Folders to Move" :

    C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
    C:\Program Files\Fichiers communs\ErreurChasseur
    C:\Program Files\Softwin

    * Clique sur MoveIt! pour lancer la suppression,
    * Le résultat appraraîtra dans le cadre Results.
    * Clique sur Exit pour fermer le programme.
    * Poste le rapport qui est situé ici : C:\\\_OTMoveIt\MovedFiles
    * Il te sera peut-être demandé de redémarrer ton PC. Dans ce cas, clique sur Yes.

    Redemarre normalement et post le rapport de ot_move it ici stp.

    puis post aussi un rapport de ceci pour verifier que tout est bien partie :

    Télécharge ComboScan sur ton Bureau en bas de cette pae en clickant sur download file

    -> http://www.geekstogo.com/forum/files/

    Ferme toutes les applications en cours : antivirus, pare-feu, etc ..
    Double-clic sur comboscan.exe, dans la fenêtre qui s'affiche, clic sur OK.
    Soit patient...
    Le rapport Comboscan.txt s'affichera, copie et colle le contenu de ce fichier ici.

    Le rapport peut-être long et en deux morceaux vérifie qu'il soit en entier.

    ps : tu voies c´est plus rapide avec combofix...

    @+
    0
  7. bilou
     
    la manip s'arrête à partir de là ( ne marche pas):

    2°- « Démarrer » > « Executer » > taper cmd >valide par ok

    sc delete "France Telecom Routing Table Service" ==> [Enter]

    puis fais la meme chose avec : FILESpy sans les guillemets.

    * Double-clique sur OTMoveIt.exe pour lancer le programme,
    * Copie la liste de fichiers ou de dossiers ci-dessous et colle-la dans la fenêtre du programme "Paste Custom List of Files/Folders to Move" :

    C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
    C:\Program Files\Fichiers communs\ErreurChasseur
    C:\Program Files\Softwin

    * Clique sur MoveIt! pour lancer la suppression,
    * Le résultat appraraîtra dans le cadre Results.
    * Clique sur Exit pour fermer le programme.
    * Poste le rapport qui est situé ici : C:\\\_OTMoveIt\MovedFiles
    * Il te sera peut-être demandé de redémarrer ton PC. Dans ce cas, clique sur Yes.

    Redemarre normalement et post le rapport de ot_move it ici stp.

    puis post un rapport de ceci pour verifier que tout est bien partie :

    Télécharge ComboScan sur ton Bureau en bas de cette pae en clickant sur download file

    -> http://www.geekstogo.com/forum/files/

    Ferme toutes les applications en cours : antivirus, pare-feu, etc ..
    Double-clic sur comboscan.exe, dans la fenêtre qui s'affiche, clic sur OK.
    Soit patient...
    Le rapport Comboscan.txt s'affichera, copie et colle le contenu de ce fichier ici

    Y a t'il une autre solution plus simple et aussi efficace et à quoi sert cela ?
    0
  8. g!rly Messages postés 18462 Statut Contributeur 407
     
    Re,

    oublies les services pour le moment fais ceci :

    * Télécharge OTMoveIt2 (de Old_Timer) sur ton bureau : http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

    n´y touches pas

    redemarre en mode sans echec:

    Comment redémarrer en mode sans echec?

    Tu redemarre le pc et tapote la touche F8 des le début de l allumage sans t´arrêter.
    Une fenêtre sur fond noir va s’ouvrir, tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
    capture d´ecran : http://www.coupdepoucepc.com/
    Une fois sur le bureau si il n y a pas toutes les couleurs et autres c´est normal!
    Ps : si F8 ne marche pas utilise la touche F5.

    Note : en mode sans echec tu n´auras plus acces au net alors imprime ou copie les instructions ci dessous dans un fichier texte que tu pourras consulter a souhait
    une fois en mode sans echec.

    Fix.reg

    Ouvre le bloc-notes (click droit sur le bureau > dans l´arborescence choisie nouveau et nouveau fichier texte) et fais un copier coller de ce qui est en citation ci-dessous (copie tout d'un trait-sans les barres(x)) :

    XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
    REGEDIT4

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
    "Salestart"=-
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
    "Salestart"=-

    XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
    Note : Regedit4 est sur la premiere ligne dans le bloc note et il y a une ligne blanche a la fin.
    Puis click sur "fichier"/"enregistrer sous" :
    dans : sur le bureau
    Nom du fichier : fix.reg
    Type de fichier : "tous les fichiers"
    clique sur "enregistrer"

    ca doit ressembler a ca une fois enrregistré :

    http://img520.imageshack.us/img520/4251/screenshot005ps2.png

    double clique sur fix.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
    Si c'est bien le cas, clique sur "oui"

    * Double-clique sur OTMoveIt.exe pour lancer le programme,
    * Copie la liste de fichiers ou de dossiers ci-dessous et colle-la dans la fenêtre du programme "Paste Custom List of Files/Folders to Move" :

    C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
    C:\Program Files\Fichiers communs\ErreurChasseur
    C:\Program Files\Softwin

    * Clique sur MoveIt! pour lancer la suppression,
    * Le résultat appraraîtra dans le cadre Results.
    * Clique sur Exit pour fermer le programme.
    * Poste le rapport qui est situé ici : C:\\\_OTMoveIt\MovedFiles
    * Il te sera peut-être demandé de redémarrer ton PC. Dans ce cas, clique sur Yes.

    Redemarre normalement et post le rapport de ot_move it ici stp.

    puis post aussi un rapport de ceci pour verifier que tout est bien partie :

    Télécharge ComboScan sur ton Bureau en bas de cette pae en clickant sur download file

    -> http://www.geekstogo.com/forum/files/

    Ferme toutes les applications en cours : antivirus, pare-feu, etc ..
    Double-clic sur comboscan.exe, dans la fenêtre qui s'affiche, clic sur OK.
    Soit patient...
    Le rapport Comboscan.txt s'affichera, copie et colle le contenu de ce fichier ici.

    Le rapport peut-être long et en deux morceaux vérifie qu'il soit en entier.

    @+
    0