VIRUS- qui suprime mon antivirus!!Résolu/Fermé

Question

Bonjour, je fais apel a vous car mon frere a reussi a degoter un VIRUS d'un autres monde^^, je m'explique: 

-le virus en question me suprime mon anti-virus AVAST et Windows defender (mis hors de fonction), cependant jai 

effectuer plusieurs ScanOnline et une tentative de réinstalation de mon anti-virus, malgre cela, le virus resiste c'est pour 

cela que je fais apel a vous :)

Lyonnais92 · Accepted Answer

Bonsoir,

bagle ?

Rends toi sur ce site :
http://www.zonavirus.com/datos/descargas/95/elibagla.asp
tout en bas de cette page tu trouveras un outil
à télécharger,clique sur "escargar Elibagla" (le numéro de version change au fur et à mesure des mises à jour)
installe ce fichier sur le bureau.
ensuite double-clic sur Elibagla.exe
>laisse la case "eliminar ficheros automaticamente" coché
>clique sur"explorar"
>laisse-le travailler

démarre en mode sans échec,

 Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
    Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
    Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
    (Si F8 ne marche pas utilise la touche F5).

relance 2 fois de suite elibagla

reviens en mode normal.

>poste le rapport final qui sera dans c:\infosat.txt

genie0001 · Answer

reste hors connection internet mettre pc en mode sans echec instalé avg 7.5 c gratuite fais un scan compllte de ton pc  et  suprimer les virus detecter apres le scanne et redemarrer ton pc c tous

chimay8 · Answer

normal, bagle les a shotter!!

chimay8 · Answer

voir poste 7 avast est une daube; mais fait attention,bagle est coriace,suis ce que dit lyonnais92.

Lyonnais92 · Answer

Bonjour,

elibagla a fait son travail.

Réinstalle Avast et Windows defender (supprime ta version actuelle et retélécharge les).

   Fais une analyse par HijackThis, comme ceci:

    1)- Avec connexion au Net en service,
    Télécharge la version finale de Hijackthis (Trend Secure) ==> HijackThis™ 2.0 .2 < http://www.trendsecure.com/portal/en-US/threat_analytics/hijackthis.php?page=download  > avec un installeur. Sur la page, choisis « Download HijackThis Installer »  et enregistre-le sur le bureau. Tu dois voir une nouvelle icône « HJTInstall.exe » sur le bureau.

    2)- Installation : clic-droit sur l’ icône « HJTInstall.exe » présente sur ton bureau et choisis : "Exécuter en tant qu'administrateur" dans le menu déroulant qui s'affiche.
    - Ensuite, clic sur « Exécuter », puis sur « Install ».
    - Accepte la licence en cliquant sur le bouton "I Accept"
    - Le programme s’installe de lui-même dans un dossier dédié.
    - Par défaut, il s'installera en C:\Program Files\Trend Micro\HijackThis
    - Et un raccourci pour lancer l’analyse apparaît sur le bureau.

    Note: Comme cette version est appelée à rester sur le PC, faire un clic-droit sur HJTInstall.exe > Propriétés >  Onglet compatibilité > coche la case "Exécuter en tant qu'administrateur" en bas .
    - Cette solution pérennise le choix qui peut être obtenu de manière provisoire par « clic-droit sur l'icône de raccourci/Exécuter en tant qu'administrateur» dans le menu contextuel.

    3)Analyse :
    •-Important à faire en priorité si tu possèdes  le logiciel Spybot S&D > Désactive le Tea Timer de Spybot en passant par les options de Spybot: il faut une fois dans le logiciel il faut aller dans le menu "Mode" => coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Tea Timer" .
    - Tu ne dois plus voir l'icône du Tea Timer dans la barre de tâches (Systray près de l’horloge)!

    •-Arrête tous les programmes en cours et ferme toutes les fenêtres.
    •- Puis, double-clic sur le raccourci HJT créé sur le bureau, et  clic sur "Do a system scan and save a logfile" pour lancer l'analyse.
    - À la fin du scan le bloc-notes va s'ouvrir sur le bureau
    - Tu fais un copier/coller de tout son contenu.
    - Et tu le postes sur le forum.
    - Il sera enregistré dans le dossier C:\Program Files\Trend Micro\HijackThis, sous hijackthis.log.

Si tu as téléchargé un crack, supprime le.

momolastico · Answer

voici lanalyse de combofix : 

ComboFix 08-05-09.1 - Morgan 2008-05-11 10:51:12.1 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium   6.0.6000.0.1252.1.1036.18.1206 [GMT 2:00]
Endroit: C:\Users\Morgan.PC-de-Lob2To\Desktop\ComboFix.exe
 * Création d'un nouveau point de restauration
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Program Files\ContextTool
C:\Program Files\ContextTool\ContextHelper.dat
C:\Program Files\ContextTool\pcre3.dll
C:\Program Files\ContextTool\uninstall.exe
C:\Windows\system32\drivers\downld
C:\Windows\system32\drivers\downld\207562.exe
C:\Windows\system32\drivers\downld\215843.exe
C:\Windows\system32\drivers\downld\262078.exe
C:\Windows\system32\drivers\downld\262562.exe
C:\Windows\system32\drivers\downld\284843.exe
C:\Windows\system32\drivers\downld\290734.exe
C:\Windows\system32\drivers\downld\314546.exe
C:\Windows\system32\drivers\downld\330562.exe
C:\Windows\system32\drivers\downld\364453.exe
C:\Windows\system32\drivers\downld\378578.exe
C:\Windows\system32\drivers\downld\409078.exe
C:\Windows\system32\drivers\downld\52640.exe
C:\Windows\system32\drivers\downld\53609.exe
C:\Windows\system32\drivers\downld\60953.exe
C:\Windows\system32\drivers\downld\76174984.exe
C:\Windows\system32\drivers\downld\788734.exe
C:\Windows\system32\drivers\downld\825625.exe
C:\Windows\system32\drivers\downld\83937.exe
C:\Windows\system32\drivers\downld\858734.exe
C:\Windows\system32\drivers\downld\907187.exe
C:\Windows\system32\drivers\downld\931781.exe
C:\Windows\system32\drivers\downld\954203.exe
C:\Windows\system32\drivers\downld\966671.exe
C:\Windows\system32\drivers\downld\99578.exe
C:\Windows\system32\tcpip.sys

.
(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SROSA


(((((((((((((((((((((((((((((   Fichiers cr‚‚s 2008-04-11 to 2008-05-11  ))))))))))))))))))))))))))))))))))))
.

Pas de nouveau fichier cr‚‚ dans cet espace de temps

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-10 19:50	---------	d-----w	C:\Program Files\Panda Security
2008-05-09 17:26	---------	d-----w	C:\Users\MORGAN~1.PC-\AppData\Roaming\Xfire
2008-05-09 17:26	---------	d-----w	C:\Users\Morgan.PC-de-Lob2To\AppData\Roaming\Xfire
2008-05-09 17:26	---------	d-----w	C:\Program Files\Winamp
2008-05-09 17:26	---------	d-----w	C:\PROGRA~2\Xfire
2008-05-02 07:32	---------	d-----w	C:\Users\MORGAN~1.PC-\AppData\Roaming\Ahead
2008-05-02 07:32	---------	d-----w	C:\Users\Morgan.PC-de-Lob2To\AppData\Roaming\Ahead
2008-04-30 17:55	22,328	----a-w	C:\Windows\system32\drivers\PnkBstrK.sys
2008-04-20 14:37	---------	d-----w	C:\Users\MORGAN~1.PC-\AppData\Roaming\vlc
2008-04-20 14:37	---------	d-----w	C:\Users\Morgan.PC-de-Lob2To\AppData\Roaming\vlc
2008-04-13 12:38	---------	d-----w	C:\Program Files\Microsoft Games
2008-04-13 05:44	---------	d--h--r	C:\Users\MORGAN~1.PC-\AppData\Roaming\SecuROM
2008-04-13 05:44	---------	d--h--r	C:\Users\Morgan.PC-de-Lob2To\AppData\Roaming\SecuROM
2008-04-10 13:13	---------	d-----w	C:\Program Files\Windows Mail
2008-04-10 13:08	---------	d-----w	C:\PROGRA~2\Microsoft Help
2008-03-27 11:45	---------	d-----w	C:\Program Files\WinSesame
2008-03-27 11:43	---------	d-----w	C:\Users\MORGAN~1.PC-\AppData\Roaming\WinSesame
2008-03-27 11:43	---------	d-----w	C:\Users\MORGAN~1.PC-\AppData\Roaming\T.Aragon
2008-03-27 11:43	---------	d-----w	C:\Users\Morgan.PC-de-Lob2To\AppData\Roaming\WinSesame
2008-03-27 11:43	---------	d-----w	C:\Users\Morgan.PC-de-Lob2To\AppData\Roaming\T.Aragon
2008-03-23 14:09	---------	d-----w	C:\Users\MORGAN~1.PC-\AppData\Roaming\Autodesk
2008-03-23 14:09	---------	d-----w	C:\Users\Morgan.PC-de-Lob2To\AppData\Roaming\Autodesk
2008-03-23 13:26	---------	dcsh--w	C:\Program Files\Common Files\WindowsLiveInstaller
2008-03-23 13:26	---------	d-----w	C:\Program Files\Windows Live
2008-03-23 13:25	---------	d-----w	C:\PROGRA~2\WLInstaller
2008-03-23 13:07	---------	d-----w	C:\Program Files\Java
2008-02-21 04:43	52,736	----a-w	C:\Windows\AppPatch\iebrshim.dll
2008-02-14 07:02	537,600	----a-w	C:\Windows\AppPatch\AcLayers.dll
2008-02-14 07:02	449,536	----a-w	C:\Windows\AppPatch\AcSpecfc.dll
2008-02-14 07:02	2,560	----a-w	C:\Windows\AppPatch\AcRes.dll
2008-02-14 07:02	2,144,256	----a-w	C:\Windows\AppPatch\AcGenral.dll
2008-02-14 07:02	173,056	----a-w	C:\Windows\AppPatch\AcXtrnal.dll
2008-01-29 10:12	21	----a-w	C:\Program Files\Common Files\appop.log
2007-10-12 13:03	174	--sha-w	C:\Program Files\desktop.ini
2006-10-12 18:51	299,276	----a-w	C:\Program Files\nv_disp.cat
2006-10-10 02:45	31,554	----a-w	C:\Program Files\nv_disp.inf
.

------- Sigcheck -------

.
(((((((((((((((((((((((((((((((((   Point de chargement Reg   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-01-10 19:02 1232896]
"msnmsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2007-10-12 14:56 1006264]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"NvSvc"="C:\Windows\system32\nvsvc.dll" [2007-10-28 17:52 86016]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2007-10-28 17:52 8538656]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2007-10-28 17:52 81920]
"Windows Mobile-based device management"="%windir%\WindowsMobile\wmdSync.exe" [ ]
"Adobe Reader Speed Launcher"="D:\Logiciels\Adobe\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"NeroFilterCheck"="C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe" [ ]
"winsesame_del"="C:\Program Files\WinSesame\effaceur.exe" [ ]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-11 09:44 108160]

C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\Startup\
Acc‚l‚rateur de d‚marrage AutoCAD.lnk - C:\Program Files\Common Files\Autodesk Shared\acstart17.exe [2006-03-05 14:43:54 11000]
InterVideo WinCinema Manager.lnk - C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe [2007-10-29 19:59:55 270336]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"LogonHoursAction"= 2 (0x2)
"DontDisplayLogonHoursWarnings"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Accélérateur de démarrage AutoCAD.lnk]
path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Accélérateur de démarrage AutoCAD.lnk
backup=C:\Windows\pss\Accélérateur de démarrage AutoCAD.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^HP Digital Imaging Monitor.lnk]
path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk
backup=C:\Windows\pss\HP Digital Imaging Monitor.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^Users^Lob2To^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Xfire.lnk]
path=C:\Users\Lob2To\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Xfire.lnk
backup=C:\Windows\pss\Xfire.lnk.Startup
backupExtension=.Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 23:16 39792 D:\Logiciels\Adobe\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
D:\Logiciels\Daemon Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2006-12-10 21:52 49152 C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Odebit Multimedia V3]
D:\Logiciels\Odébit\Odebit.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Odebit Multimedia V3 - Services]
D:\Logiciels\Odébit\Odebit.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2006-11-21 19:38 35328 C:\Program Files\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-1585898823-1607510143-1259984497-1002]
"EnableNotificationsRef"=dword:00000006

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"TCP Query User{16265A4A-29E6-4D2F-AE02-F6E5DF882522}D:\jeux\xfire\xfire.exe"= UDP:D:\jeux\xfire\xfire.exe:Xfire
"UDP Query User{D5492440-0DA8-446F-95FE-D53F2BCAFC44}D:\jeux\xfire\xfire.exe"= TCP:D:\jeux\xfire\xfire.exe:Xfire
"TCP Query User{3FDEC15F-2B5C-438C-8CD5-3E65A9641B8B}D:\jeux\call of duty²\cod2mp_s.exe"= UDP:D:\jeux\call of duty²\cod2mp_s.exe:CoD2MP_s
"UDP Query User{9DA83481-4A70-4A60-A2D4-FF2A4E0892F0}D:\jeux\call of duty²\cod2mp_s.exe"= TCP:D:\jeux\call of duty²\cod2mp_s.exe:CoD2MP_s
"{1C010FC1-1D28-48EC-ADE4-311F0A7BF297}"= UDP:D:\Jeux\Battlefield 2\BF2.exe:Battlefield 2
"{CF71DE05-D7A4-4091-8F12-AE392EE2A971}"= TCP:D:\Jeux\Battlefield 2\BF2.exe:Battlefield 2
"{145AEEC6-DE73-4C8A-9B1A-5885D97A725E}"= UDP:D:\Jeux\Medal Of Honor Airbone\UnrealEngine3\Binaries\MOHA.exe:Medal of Honor Airborne
"{86544C1F-1303-4A21-A9AD-810DF71818A5}"= TCP:D:\Jeux\Medal Of Honor Airbone\UnrealEngine3\Binaries\MOHA.exe:Medal of Honor Airborne
"{505B0243-B2B5-4784-8EA5-EE669AD443A3}"= TCP:6004|C:\Program Files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
"TCP Query User{6DF47916-01C3-4110-820E-2672AB5F320A}C:\program files\internet explorer\iexplore.exe"= UDP:C:\program files\internet explorer\iexplore.exe:Internet Explorer
"UDP Query User{174D6562-E367-4132-AF05-C444E07D8C02}C:\program files\internet explorer\iexplore.exe"= TCP:C:\program files\internet explorer\iexplore.exe:Internet Explorer
"TCP Query User{3DDE5D66-7E10-4C6D-B8E7-428BF0C1C1DA}C:\program files\mozilla firefox\firefox.exe"= UDP:C:\program files\mozilla firefox\firefox.exe:Firefox
"UDP Query User{07476266-B41F-4A20-BB59-E4593AFEFAC0}C:\program files\mozilla firefox\firefox.exe"= TCP:C:\program files\mozilla firefox\firefox.exe:Firefox
"TCP Query User{8F606650-6525-475F-BB5A-5529B9E20F3A}C:\program files\dap\dap.exe"= UDP:C:\program files\dap\dap.exe:Download Accelerator Plus (DAP)
"UDP Query User{0E7DF687-E065-4793-995F-9022C7221204}C:\program files\dap\dap.exe"= TCP:C:\program files\dap\dap.exe:Download Accelerator Plus (DAP)
"TCP Query User{83D1EC02-ED85-4A78-81CF-1A2AA86A45C1}D:\logiciels\odébit\odebit.exe"= UDP:D:\logiciels\odébit\odebit.exe:Odébit Multimédia
"UDP Query User{760F09E2-D5F1-458E-AE65-0BB52A10A0DC}D:\logiciels\odébit\odebit.exe"= TCP:D:\logiciels\odébit\odebit.exe:Odébit Multimédia
"{B5406E3A-C403-4730-B139-5925CDEF886F}"= UDP:C:\Windows\System32\PnkBstrA.exe:PnkBstrA
"{5A40DD28-4C1A-4A24-946A-199AD845A0A0}"= TCP:C:\Windows\System32\PnkBstrA.exe:PnkBstrA
"{9E0EE5DC-8BD2-4D18-8A09-ED08DEAA0B57}"= UDP:C:\Windows\System32\PnkBstrB.exe:PnkBstrB
"{2C309500-026C-4087-9606-FC464AD1C23C}"= TCP:C:\Windows\System32\PnkBstrB.exe:PnkBstrB
"{04334D5E-ADA8-4E03-863F-38CB8BB2D74D}"= UDP:D:\Jeux\Call Of Duty4\iw3mp.exe:Call of Duty(R) 4 - Modern Warfare(TM)
"{86894D6C-72B8-4849-A8B7-D0B5E1231048}"= TCP:D:\Jeux\Call Of Duty4\iw3mp.exe:Call of Duty(R) 4 - Modern Warfare(TM)
"TCP Query User{9FC1DA78-7269-4D03-B25D-3E94EC19720D}D:\logiciels\logiciels de partage\limewire\limewire.exe"= UDP:D:\logiciels\logiciels de partage\limewire\limewire.exe:LimeWire
"UDP Query User{FCF4E7BC-7FCB-44EC-BAED-4132F2735B3E}D:\logiciels\logiciels de partage\limewire\limewire.exe"= TCP:D:\logiciels\logiciels de partage\limewire\limewire.exe:LimeWire
"{BE385D34-D906-404E-B03C-2B9A37AB85E6}"= UDP:D:\Logiciels\Logiciels de partage\Lime Wire\LimeWire.exe:LimeWire
"{F8BA61B5-34A0-4219-B3F1-10B7F042571A}"= TCP:D:\Logiciels\Logiciels de partage\Lime Wire\LimeWire.exe:LimeWire
"TCP Query User{9759692F-B0B4-42EA-B643-FC7F3CDF9DB2}D:\logiciels\azureus\azureus.exe"= UDP:D:\logiciels\azureus\azureus.exe:Azureus
"UDP Query User{927F2820-09DF-46E8-BC41-9C68533F5CD8}D:\logiciels\azureus\azureus.exe"= TCP:D:\logiciels\azureus\azureus.exe:Azureus
"TCP Query User{2B3D6A50-1324-476C-B9E0-23942563B76D}D:\logiciels\azureus\azureus.exe"= UDP:D:\logiciels\azureus\azureus.exe:Azureus
"UDP Query User{82FFE9A0-E62C-458D-9033-2CEE66410F09}D:\logiciels\azureus\azureus.exe"= TCP:D:\logiciels\azureus\azureus.exe:Azureus
"TCP Query User{A7182BDD-ABFC-4955-9815-FA909F9D59A1}D:\logiciels\vlc\vlc.exe"= UDP:D:\logiciels\vlc\vlc.exe:VLC media player
"UDP Query User{1CB74F78-E0E1-4575-B375-2BD3CD874E5A}D:\logiciels\vlc\vlc.exe"= TCP:D:\logiciels\vlc\vlc.exe:VLC media player
"TCP Query User{99C95BD3-D3BF-4C1B-8576-F983DE561889}D:\jeux\[pc] tom clancys rainbow six vegas v1.04 [rip] [dopeman]\rainbow six vegas\binaries\r6vegas_game.exe"= UDP:D:\jeux\[pc] tom clancys rainbow six vegas v1.04 [rip] [dopeman]\rainbow six vegas\binaries\r6vegas_game.exe:R6Vegas_Game
"UDP Query User{C486CAAA-5A36-4976-A520-0F762CB229EB}D:\jeux\[pc] tom clancys rainbow six vegas v1.04 [rip] [dopeman]\rainbow six vegas\binaries\r6vegas_game.exe"= TCP:D:\jeux\[pc] tom clancys rainbow six vegas v1.04 [rip] [dopeman]\rainbow six vegas\binaries\r6vegas_game.exe:R6Vegas_Game
"TCP Query User{501278E2-FF42-491C-86B4-1766DB277163}D:\jeux\[pc] tom clancys rainbow six vegas v1.04 [rip] [dopeman]\rainbow six vegas\binaries\r6vegas_game.exe"= UDP:D:\jeux\[pc] tom clancys rainbow six vegas v1.04 [rip] [dopeman]\rainbow six vegas\binaries\r6vegas_game.exe:R6Vegas_Game
"UDP Query User{7B1E1C63-0B83-4BE6-A046-FC60C30FEDDE}D:\jeux\[pc] tom clancys rainbow six vegas v1.04 [rip] [dopeman]\rainbow six vegas\binaries\r6vegas_game.exe"= TCP:D:\jeux\[pc] tom clancys rainbow six vegas v1.04 [rip] [dopeman]\rainbow six vegas\binaries\r6vegas_game.exe:R6Vegas_Game
"TCP Query User{DA8A4580-465A-446C-A2B1-A363499C301D}C:\program files\utorrent\utorrent.exe"= UDP:C:\program files\utorrent\utorrent.exe:uTorrent
"UDP Query User{5942E5DE-F018-48B2-B8DF-C9020BEFC4DB}C:\program files\utorrent\utorrent.exe"= TCP:C:\program files\utorrent\utorrent.exe:uTorrent
"TCP Query User{5F3EC21E-0C1E-440A-B932-40621B764333}D:\jeux\ghost recon 2\ghost recon advanced warfighter 2\graw2.exe"= UDP:D:\jeux\ghost recon 2\ghost recon advanced warfighter 2\graw2.exe:Ghost Recon Advanced Warfighter® 2
"UDP Query User{D0FB75C3-0162-4658-A19B-627985B8E96D}D:\jeux\ghost recon 2\ghost recon advanced warfighter 2\graw2.exe"= TCP:D:\jeux\ghost recon 2\ghost recon advanced warfighter 2\graw2.exe:Ghost Recon Advanced Warfighter® 2
"{D1A5F105-83C9-4FA2-BCF0-09ECB2392D8C}"= UDP:D:\Jeux\World in Conflict\wic.exe:World in Conflict
"{63832D73-1FA9-4B1C-9480-D265792EBCD2}"= TCP:D:\Jeux\World in Conflict\wic.exe:World in Conflict
"{8FD88DB5-77EB-4F4D-892D-81AFFCCC7C3F}"= UDP:D:\Jeux\World in Conflict\wic_online.exe:World in Conflict - En ligne uniquement
"{83B7FB6D-5DE7-4FD1-AE5B-7BE59BA568ED}"= TCP:D:\Jeux\World in Conflict\wic_online.exe:World in Conflict - En ligne uniquement
"{1912C0C5-256D-431A-A804-99E52B81331F}"= UDP:D:\Jeux\World in Conflict\wic_ds.exe:World in Conflict - Serveur dédié
"{3C9C407F-B843-4EF5-B949-AE5907CC46D3}"= TCP:D:\Jeux\World in Conflict\wic_ds.exe:World in Conflict - Serveur dédié
"TCP Query User{16F1C535-D707-4D5A-A01F-59A4A7903B70}D:\jeux\world in conflict\wic.exe"= UDP:D:\jeux\world in conflict\wic.exe:World in Conflict
"UDP Query User{9398C1B1-DCA1-4A2D-936B-3D8CB14A0A87}D:\jeux\world in conflict\wic.exe"= TCP:D:\jeux\world in conflict\wic.exe:World in Conflict
"{158DD6D8-EC8C-4195-A6DF-D3F9AB22ECBE}"= UDP:D:\Logiciels\Logiciels de partage\eMule\emule.exe:eMule
"{3211986C-21C7-4F3A-962E-67F90DE66504}"= TCP:D:\Logiciels\Logiciels de partage\eMule\emule.exe:eMule
"{171C6992-0D75-4225-9997-58D66EB9F932}"= UDP:D:\Logiciels\Logiciels de partage\eMule\LinkCreator.exe:LinkCreator
"{DF7641C4-6E66-4E72-94D6-4F7E55C5AFF6}"= TCP:D:\Logiciels\Logiciels de partage\eMule\LinkCreator.exe:LinkCreator
"{2A962409-B38F-4DE0-884A-128743A9913E}"= UDP:64986:64986
"{F68CF13F-416B-4FF5-A4B5-9187C1F8F35E}"= TCP:5215:5215
"TCP Query User{50887CB2-B80A-4B12-A022-9C9884143CDB}D:\logiciels\logiciels de partage\emule\emule.exe"= UDP:D:\logiciels\logiciels de partage\emule\emule.exe:eMule
"UDP Query User{46D447B4-6855-42FF-9863-CEDD3442C77B}D:\logiciels\logiciels de partage\emule\emule.exe"= TCP:D:\logiciels\logiciels de partage\emule\emule.exe:eMule
"TCP Query User{8C082560-6734-4C01-AB46-5012D673E8CF}D:\jeux\battlefield 2\bf2.exe"= UDP:D:\jeux\battlefield 2\bf2.exe:BF2
"UDP Query User{46AED6DD-3CD8-4633-B3FF-C971F655C436}D:\jeux\battlefield 2\bf2.exe"= TCP:D:\jeux\battlefield 2\bf2.exe:BF2
"TCP Query User{142B9359-9559-452D-BC1E-749EC246AFA9}D:\jeux\battlefield 2\bf2_w32ded.exe"= UDP:D:\jeux\battlefield 2\bf2_w32ded.exe:bf2_w32ded
"UDP Query User{0DB88670-0DFF-4E68-A531-341C4C40D86E}D:\jeux\battlefield 2\bf2_w32ded.exe"= TCP:D:\jeux\battlefield 2\bf2_w32ded.exe:bf2_w32ded
"{028AEBFC-E904-46FE-8D42-0DADA770C204}"= UDP:990:LocalSubnet:LocalSubnet|IF={53E1A5F8-8D97-41FF-AB5B-D82550215A93}|%SystemRoot%\system32\svchost.exe|Svc=rapimgr:@%systemroot%\WindowsMobile\wmdSync.exe,-4001
"{E2C4E5A7-3E3F-4299-A30A-5D7FEAE78AB8}"= UDP:4662:4662
"{9A804485-AC0F-49D0-9C03-F5622A3D4991}"= TCP:7672:4672
"{43D23A05-E7A9-4125-8429-E1F39DA81F73}"= Disabled:UDP:D:\Jeux\Battlefield 2142\BF2142.exe:Battlefield 2
"{A027BEC9-9E37-4975-90E9-A46CFBD747FB}"= Disabled:TCP:D:\Jeux\Battlefield 2142\BF2142.exe:Battlefield 2
"TCP Query User{69BA2B7A-6937-4FC2-968B-25180E1978A5}C:\users\lob2to\desktop\wow-frfr-installer-downloader.exe"= Disabled:UDP:C:\users\lob2to\desktop\wow-frfr-installer-downloader.exe:wow-frfr-installer-downloader.exe
"UDP Query User{DB544E9D-54D5-463B-8E0B-469CB989A335}C:\users\lob2to\desktop\wow-frfr-installer-downloader.exe"= Disabled:TCP:C:\users\lob2to\desktop\wow-frfr-installer-downloader.exe:wow-frfr-installer-downloader.exe
"{591F75F2-E7B9-4B51-A79A-B346C7817BEA}"= UDP:D:\Jeux\Call Of Duty4\iw3mp.exe:Call of Duty(R) 4 - Modern Warfare(TM) 
"{8B5C5FA5-8077-4522-8785-BAD2B01E4E09}"= TCP:D:\Jeux\Call Of Duty4\iw3mp.exe:Call of Duty(R) 4 - Modern Warfare(TM) 
"TCP Query User{A9062446-85BA-471D-AB57-F5A09E26228D}C:\users\lob2to\desktop\burningcrusade.exe"= UDP:C:\users\lob2to\desktop\burningcrusade.exe:burningcrusade.exe
"UDP Query User{69ED0F07-CF70-4E53-9EC6-B79415AD4D28}C:\users\lob2to\desktop\burningcrusade.exe"= TCP:C:\users\lob2to\desktop\burningcrusade.exe:burningcrusade.exe
"TCP Query User{36827AAB-DFA0-4AA5-B545-7B7E4BD46499}D:\jeux\xfire\xfire.exe"= UDP:D:\jeux\xfire\xfire.exe:Xfire
"UDP Query User{07737C39-4E88-4932-8F36-A3FA9FB66B6B}D:\jeux\xfire\xfire.exe"= TCP:D:\jeux\xfire\xfire.exe:Xfire
"{86DDC915-1363-4A11-8D0E-9B898E77D063}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"{EC379BF7-0F37-44DD-A771-B223A5BA1494}"= UDP:D:\MoRgaN\Jeux\Flight simulator\fs9.exe:Microsoft Flight Simulator 2004
"{3EC0924B-3566-4E6F-BA8F-92568C41C0AE}"= TCP:D:\MoRgaN\Jeux\Flight simulator\fs9.exe:Microsoft Flight Simulator 2004
"TCP Query User{6233193B-6722-4937-A3DE-B79A5FB8368E}D:\jeux\medal of honor airbone\unrealengine3\binaries\mohaserver.exe"= UDP:D:\jeux\medal of honor airbone\unrealengine3\binaries\mohaserver.exe:Medal of Honor Airborne™
"UDP Query User{7400BB67-7C58-4184-824C-DCE869F370D7}D:\jeux\medal of honor airbone\unrealengine3\binaries\mohaserver.exe"= TCP:D:\jeux\medal of honor airbone\unrealengine3\binaries\mohaserver.exe:Medal of Honor Airborne™

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

R2 RapiMgr;Connectivité de l'appareil Windows Mobile;C:\Windows\system32\svchost.exe [2006-11-02 11:45]
R3 yukonwlh;NDIS6.0 Miniport Driver for Marvell Yukon Ethernet Controller;C:\Windows\system32\DRIVERS\yk60x86.sys [2007-07-31 08:22]
S2 WcesComm;Connectivité de l'appareil Windows Mobile 2003;C:\Windows\system32\svchost.exe [2006-11-02 11:45]
S3 Ph3xIB32;Philips 713x Inbox PCI TV Card;C:\Windows\system32\DRIVERS\Ph3xIB32.sys [2006-11-06 11:14]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
WindowsMobile	REG_MULTI_SZ   	wcescomm rapimgr
LocalServiceRestricted	REG_MULTI_SZ   	WcesComm RapiMgr

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1f251bfb-7b09-11dc-8c2a-0018f34a6a88}]
\shell\AutoRun\command - G:\nideiect.com
\shell\explore\Command - G:\nideiect.com
\shell\open\Command - G:\nideiect.com

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6daa2bf7-afc2-11dc-9a4a-0018f34a6a88}]
\shell\AutoRun\command - F:\nideiect.com
\shell\explore\Command - F:\nideiect.com
\shell\open\Command - F:\nideiect.com

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-11 10:56:52
Windows 6.0.6000  NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Windows\System32\audiodg.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Windows\System32\PnkBstrA.exe
C:\Windows\System32\PnkBstrB.exe
C:\Windows\System32\conime.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\wbem\unsecapp.exe
C:\Windows\System32\dllhost.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-05-11 10:58:48 - machine was rebooted
ComboFix-quarantined-files.txt  2008-05-11 08:58:41

      Le texte du message associé au numéro 0x2379 est introuvable dans le fichier de messages pour Application.
      Le texte du message associ‚ au num‚ro 0x2379 est introuvable dans le fichier de messages pour Application.

268	--- E O F ---	2008-04-22 10:31:25

momolastico · Answer

Quel bordel mdr

Lyonnais92 · Answer

Re,

envoie (submit comme demandé).

Ensuite, fais ça :

* Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.

http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
hxxp://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe

fais un clic droit sur l'icône et exécuter en tant qu'administrateur.

* Clique sur Recherche et laisse le scan se terminer.

* Clique, sur Suppression pour finaliser.

* Tu peux, si tu le souhaites, te servir des Options facultatives.

* Clique sur Quitter, pour que le rapport puisse se créer.

* Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).




puis :

  Fais une analyse par HijackThis, comme ceci:

    1)- Avec connexion au Net en service,
    Télécharge la version finale de Hijackthis (Trend Secure) ==> HijackThis™ 2.0 .2 < http://www.trendsecure.com/portal/en-US/threat_analytics/hijackthis.php?page=download  > avec un installeur. Sur la page, choisis « Download HijackThis Installer »  et enregistre-le sur le bureau. Tu dois voir une nouvelle icône « HJTInstall.exe » sur le bureau.

    2)- Installation : clic-droit sur l’ icône « HJTInstall.exe » présente sur ton bureau et choisis : "Exécuter en tant qu'administrateur" dans le menu déroulant qui s'affiche.
    - Ensuite, clic sur « Exécuter », puis sur « Install ».
    - Accepte la licence en cliquant sur le bouton "I Accept"
    - Le programme s’installe de lui-même dans un dossier dédié.
    - Par défaut, il s'installera en C:\Program Files\Trend Micro\HijackThis
    - Et un raccourci pour lancer l’analyse apparaît sur le bureau.

    Note: Comme cette version est appelée à rester sur le PC, faire un clic-droit sur HJTInstall.exe > Propriétés >  Onglet compatibilité > coche la case "Exécuter en tant qu'administrateur" en bas .
    - Cette solution pérennise le choix qui peut être obtenu de manière provisoire par « clic-droit sur l'icône de raccourci/Exécuter en tant qu'administrateur» dans le menu contextuel.

    3)Analyse :
    •-Important à faire en priorité si tu possèdes  le logiciel Spybot S&D > Désactive le Tea Timer de Spybot en passant par les options de Spybot: il faut une fois dans le logiciel il faut aller dans le menu "Mode" => coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Tea Timer" .
    - Tu ne dois plus voir l'icône du Tea Timer dans la barre de tâches (Systray près de l’horloge)!

    •-Arrête tous les programmes en cours et ferme toutes les fenêtres.
    •- Puis, double-clic sur le raccourci HJT créé sur le bureau, et  clic sur "Do a system scan and save a logfile" pour lancer l'analyse.
    - À la fin du scan le bloc-notes va s'ouvrir sur le bureau
    - Tu fais un copier/coller de tout son contenu.
    - Et tu le postes sur le forum.
    - Il sera enregistré dans le dossier C:\Program Files\Trend Micro\HijackThis, sous hijackthis.log.

momolastico · Answer

voici le submit, je suis entrain de faire lanalyse de Toolscleaner2 : 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:10:04, on 11/05/2008
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16643)
Boot mode: Normal

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\conime.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Windows\System32undll32.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Windows\System32undll32.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\Explorer.exe
C:\Windows\system32
otepad.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32
vsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Windows Mobile-based device management] %windir%\WindowsMobile\wmdSync.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Logiciels\Adobe\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [winsesame_del] C:\Program Files\WinSesame\effaceur.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart17.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O13 - Gopher Prefix: 
O15 - Trusted Zone: http://click.getmirar.com (HKLM)
O15 - Trusted Zone: http://click.mirarsearch.com (HKLM)
O15 - Trusted Zone: http://redirect.mirarsearch.com (HKLM)
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/VistaMSNPUpldfr-fr.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O16 - DPF: {6CCE3920-3183-4B3D-808A-B12EB769DE12} (CSS Web Installer Class) - http://ww11.commandondemand.com/eval/cod/cabs/cssweb.cab
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - D:\Logiciels\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe

momolastico · Answer

et voila maintenan avec tout de effectuer : Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:17:22, on 11/05/2008
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16643)
Boot mode: Normal

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\conime.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Windows\System32undll32.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Windows\System32undll32.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\Explorer.exe
C:\Windows\system32
otepad.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Windows\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32
vsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Windows Mobile-based device management] %windir%\WindowsMobile\wmdSync.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Logiciels\Adobe\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [winsesame_del] C:\Program Files\WinSesame\effaceur.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart17.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O13 - Gopher Prefix: 
O15 - Trusted Zone: http://click.getmirar.com (HKLM)
O15 - Trusted Zone: http://click.mirarsearch.com (HKLM)
O15 - Trusted Zone: http://redirect.mirarsearch.com (HKLM)
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/VistaMSNPUpldfr-fr.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O16 - DPF: {6CCE3920-3183-4B3D-808A-B12EB769DE12} (CSS Web Installer Class) - http://ww11.commandondemand.com/eval/cod/cabs/cssweb.cab
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - D:\Logiciels\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe

Lyonnais92 · Answer

Re,

Lis bien et exécute cette manip dans l’ordre.

#Télécharge et installe ces logiciels (si tu ne les as pas) pour les 3 premiers
mets les à jour, comme indiqué dans les démos ou tutos.

Ne les utilise pas tout de suite.


Antispywares et autres :
 
Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton bureau à partir de ce lien :

https://www.malwarebytes.com/

A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue.


Nettoyeurs (de fichiers inutiles) et autres :

*Ccleaner (gratuit)
Téléchargement :
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
Tuto :
https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

Lors de l’installation, [décoche] l’option qui t’installerait la barre Yahoo !

========================================
->Affiche tous les fichiers et dossiers :
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

[Coche] « afficher les dossiers et fichiers cachés »

[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

[Décoche] « masquer les extensions dont le type est connu »

Puis fais [appliquer] pour valider les changements.

Et [Ok]
========================================
-> Relance HijackThis cliques sur « scanner seulement » ou (« do a scan only »),
coche les cases devant ces lignes :

O15 - Trusted Zone: http://click.getmirar.com (HKLM)
O15 - Trusted Zone: http://click.mirarsearch.com (HKLM)
O15 - Trusted Zone: http://redirect.mirarsearch.com (HKLM)

et ensuite ferme toutes les fenêtres actives autres que HijackThis!, navigateur inclus,
puis clique "Fix checked"( ou « fixer objet »). Ferme HijackThis!
========================================


=======================================

->Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec
puis tape « entrée ».
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
========================================

========================================
->Lance CCleaner.

Suppression des fichiers temporaires

Va dans la section "Options" situé dans la marge gauche.
Décoche "Avancé"
Retourne ensuite dans la section "Nettoyeur"
Fais bien attention de cocher toutes ces cases dans la marge gauche (Internet Explorer/Windows Explorer/Système)
• Clique sur [Analyse]
• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
• Une fois le scan terminé, clique sur [Lancer le Nettoyage]



========================================
Lance Malwarebytes AntiMalware

Dans l'onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

MBAM analyse ton ordinateur. L'analyse peut prendre un certain teps. Il suffit de vérifier de temps en temps son avancement.

A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Ferme le bloc-note. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

Ferme MBAM en cliquant sur Quitter. 
========================================

->Relance CCleaner.
Suppression des incohérences du registre

• Clique sur l'icône [Erreurs] situés dans la marge à gauche
• Puis clique sur [Analyser les erreurs]
• Patiente pendant que CCleaner scan ton registre.
• Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
• Tu peux cliquer ensuite sur [Corriger les erreurs].

Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrées cochées pour les restaurer ultérieurement.
========================================
->Vide ta Corbeille.
========================================
->Redémarre en mode normal,


- > Ouvre ce lien pour scanner ton PC avec un BitDefender en ligne (uniquement sous Internet Explorer) :

https://www.bitdefender.com/toolbox/

Utilisation :
Cliquer sur "J'accepte" puis accepter également l'ActiveX bloqué par la barre anti-popup du SP2 qui clignotera en haut et l'installer.
Ensuite, cliquer sur "Cliquez ici pour scanner".
Patienter jusqu'à la fin du scan qui peut durer assez longtemps...

Copier/coller le rapport entier sur le forum.

Tutoriel en images ici : http://pageperso.aol.fr/rginformatique/mapage/defender.htm (merci à Balltrap34 pour cette réalisation)
[Recoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

Relance Hijackthis et copie/colle un nouveau rapport sur le forum.

Et dis moi ou en sont tes problèmes s’il t’en reste.

momolastico · Answer

ébien, je dis un grand merci a tous se qui mon aider a resoudre ce souci :) tout particulierement  Lyonnais92, un grand merci!!

et je dis bravo au informaticien, bravo au createur de ce site exeptinnel ;-) et pas un grand bravo au createur de VIRUs!!!  Merci a tous, le probleme et resolue (meme si windows defender ne marche tj pas mais sa c'est pas un soucis^^)

Lyonnais92 · Answer

Re,

je voudrais bien avoir les rapport de MBAM, Bit defender et Hijackthis.

J'aimerai bien aussi que l'on nettoie les outils.

VIRUS- qui suprime mon antivirus!!

13 réponses

Discussions similaires

Newsletters