Comment supprimer Winreanimator
Résolu
Utilisateur anonyme
-
Utilisateur anonyme -
Utilisateur anonyme -
bonjours tout le monde!depuis hier j'arrété pas de chercher d'eventuel solution pour suprimé se virus Winreanimator.j'ai lu les message posté sur se site a ce sujet mias il mon pas été de grande utilité ,mon probléme et le suivant se fau logiciel ma bloqué mon antivirus kaspersky que j'ai désistalé voir qu'il me ser a rien mnt et je pouvait pas le remétre en marche.j'ai téléchargé doctor spyware avec tool bar de google mais ce dérnier ne la pas neutralisé.et l'autre version doctor psyware qui est payante elle a détécté plusieur virus mais pour les suprimé faut l'acheter comment l'acheter ??? je sais pas ,déjas lordi est bouré de virus et je me demande comment puis je utilisé ma cart de crédit ....bref.quel'un pourai maider pour neutraliser se virus et réinstaler un antiverus!! merci
A voir également:
- Comment supprimer Winreanimator
- Supprimer rond bleu whatsapp - Guide
- Comment supprimer une page sur word - Guide
- Supprimer pub youtube - Accueil - Streaming
- Comment supprimer une application préinstallée sur android - Guide
- Fichier impossible à supprimer - Guide
72 réponses
jai trouver ca je sais pas ce que c'est:
pushd "C:\327882R2FWJFW\"
=============================================
ALLUSERSPROFILE=C:\Documents and Settings\All Users
APPDATA=C:\Documents and Settings\AS\Application Data
cfldr=327882R2FWJFW
CLIENTNAME=Console
CommonProgramFiles=C:\Program Files\Fichiers communs
COMPUTERNAME=FAMILLE
ComSpec=C:\WINDOWS\system32\cmd.exe
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Documents and Settings\AS
kmd=CF7755.exe
LOGONSERVER=\\FAMILLE
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=C:\327882R2FWJFW;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\wbem;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\wbem;C:\PROGRA~1\Borland\CBUILD~1\Bin;C:\PROGRA~1\Borland\CBUILD~1\Projects\Bpl
PATHEXT=.cfexe;.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 15 Model 1 Stepping 3, GenuineIntel
PROCESSOR_LEVEL=15
PROCESSOR_REVISION=0103
ProgramFiles=C:\Program Files
PROMPT=$
SESSIONNAME=Console
sfxname=C:\Documents and Settings\AS\Bureau\Combo-Fix.exe
system=C:\WINDOWS\system32
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOCUME~1\AS\LOCALS~1\Temp
TMP=C:\DOCUME~1\AS\LOCALS~1\Temp
USERDOMAIN=FAMILLE
USERNAME=AS
USERPROFILE=C:\Documents and Settings\AS
windir=C:\WINDOWS
=============================================
if not defined sfxname goto END
Nircmd win close ititle "ComboFix"
If [] == [] Set "SfxCmd="
if /I "C:\327882R2FWJFW" NEQ "C:\327882R2FWJFW" goto Abort
if exist "C:\DOCUME~1\AS\LOCALS~1\Temp\327882R2FWJFW327882R2FWJFW.log" del "C:\DOCUME~1\AS\LOCALS~1\Temp\327882R2FWJFW327882R2FWJFW.log"
SteelWerX Extended Configuration Access Control Lists
Written by Bobbi Flekman 2006 (C)
Ownerchange for "C:\WINDOWS\system32\cmd.exe" to Administrators group was successful
copy /y "C:\WINDOWS\system32\cmd.exe" "C:\WINDOWS\system32\CF7755.exe"
1 fichier(s) copi‚(s).
if not exist "C:\WINDOWS\system32\CF7755.exe" catchme -l nul -c "C:\WINDOWS\system32\cmd.exe" "C:\WINDOWS\system32\CF7755.exe"
For /F "tokens=*" %g in ("C:\Documents and Settings\AS\Bureau\Combo-Fix.exe") do @(
set "FileName=%~ng"
set "FilePath=%~dpg"
)
Set FileName 2>nul | GREP -Gisqx "FileName=[-[:alnum:]@.]*" || (
nircmd infobox "You cannot rename ComboFix as Combo-Fix~n~nPlease use another name, preferbaly made up of alphanumeric characters" ""
goto END
)
DIR /AD/B C:\* | FindStr.exe -IVX ComboFix 1>dirname00
FindStr.exe -LIXC:"Combo-Fix" dirname00 1>nul && call :NameChk
FindStr.exe -LIXC:"Combo-Fix" dirname03 1>nul 2>&1 && goto AbortB
if exist "\Combo-Fix\*.cfexe" goto :eof
If exist dirname0? del /Q dirname0?
If exist "\Combo-Fix" DIR /AD "\Combo-Fix" 1>nul && (
rd /s/q "\Combo-Fix"
If exist "\Combo-Fix" (
PV -kf findstr.exe *.cfexe
rd /s/q "\Combo-Fix"
)
If exist "\Combo-Fix" (
handle "C:\Combo-Fix" | SED -r "/pid:/!d; s/.*: (.*): .*/\1/" 1>temp00
for /F "tokens=1,2" %g in (temp00) do @echo.y | Handle -p %g -c %h
del /q temp00
rd /s/q "\Combo-Fix"
)
)
If exist "\Combo-Fix" rd /s/q "\Combo-Fix"
If exist "\Combo-Fix" goto :eof
VER | Findstr.exe -ic:"[Version 6.0" && (Call :Vista ) ||
CD ..
Set "comspec=C:\WINDOWS\system32\CF7755.exe"
(
echo.md "\Combo-Fix"
echo.Move /y "\327882R2FWJFW\*" "\Combo-Fix"
echo.RD /S/Q "\327882R2FWJFW"
echo.Start "." /d"C:\Combo-Fix" "C:\WINDOWS\system32\CF7755.exe" /k c.bat
echo.pv -kf cmd.exe
) 1>Start_.cmd
NirCmd exec hide "C:\WINDOWS\system32\CF7755.exe" /f:off /d /c call Start_.cmd
NirCmd execmd del "\327882R2FWJFW\prep.cmd"
pushd "C:\327882R2FWJFW\"
=============================================
ALLUSERSPROFILE=C:\Documents and Settings\All Users
APPDATA=C:\Documents and Settings\AS\Application Data
cfldr=327882R2FWJFW
CLIENTNAME=Console
CommonProgramFiles=C:\Program Files\Fichiers communs
COMPUTERNAME=FAMILLE
ComSpec=C:\WINDOWS\system32\cmd.exe
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Documents and Settings\AS
kmd=CF7755.exe
LOGONSERVER=\\FAMILLE
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=C:\327882R2FWJFW;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\wbem;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\wbem;C:\PROGRA~1\Borland\CBUILD~1\Bin;C:\PROGRA~1\Borland\CBUILD~1\Projects\Bpl
PATHEXT=.cfexe;.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 15 Model 1 Stepping 3, GenuineIntel
PROCESSOR_LEVEL=15
PROCESSOR_REVISION=0103
ProgramFiles=C:\Program Files
PROMPT=$
SESSIONNAME=Console
sfxname=C:\Documents and Settings\AS\Bureau\Combo-Fix.exe
system=C:\WINDOWS\system32
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOCUME~1\AS\LOCALS~1\Temp
TMP=C:\DOCUME~1\AS\LOCALS~1\Temp
USERDOMAIN=FAMILLE
USERNAME=AS
USERPROFILE=C:\Documents and Settings\AS
windir=C:\WINDOWS
=============================================
if not defined sfxname goto END
Nircmd win close ititle "ComboFix"
If [] == [] Set "SfxCmd="
if /I "C:\327882R2FWJFW" NEQ "C:\327882R2FWJFW" goto Abort
if exist "C:\DOCUME~1\AS\LOCALS~1\Temp\327882R2FWJFW327882R2FWJFW.log" del "C:\DOCUME~1\AS\LOCALS~1\Temp\327882R2FWJFW327882R2FWJFW.log"
SteelWerX Extended Configuration Access Control Lists
Written by Bobbi Flekman 2006 (C)
Ownerchange for "C:\WINDOWS\system32\cmd.exe" to Administrators group was successful
copy /y "C:\WINDOWS\system32\cmd.exe" "C:\WINDOWS\system32\CF7755.exe"
1 fichier(s) copi‚(s).
if not exist "C:\WINDOWS\system32\CF7755.exe" catchme -l nul -c "C:\WINDOWS\system32\cmd.exe" "C:\WINDOWS\system32\CF7755.exe"
For /F "tokens=*" %g in ("C:\Documents and Settings\AS\Bureau\Combo-Fix.exe") do @(
set "FileName=%~ng"
set "FilePath=%~dpg"
)
Set FileName 2>nul | GREP -Gisqx "FileName=[-[:alnum:]@.]*" || (
nircmd infobox "You cannot rename ComboFix as Combo-Fix~n~nPlease use another name, preferbaly made up of alphanumeric characters" ""
goto END
)
DIR /AD/B C:\* | FindStr.exe -IVX ComboFix 1>dirname00
FindStr.exe -LIXC:"Combo-Fix" dirname00 1>nul && call :NameChk
FindStr.exe -LIXC:"Combo-Fix" dirname03 1>nul 2>&1 && goto AbortB
if exist "\Combo-Fix\*.cfexe" goto :eof
If exist dirname0? del /Q dirname0?
If exist "\Combo-Fix" DIR /AD "\Combo-Fix" 1>nul && (
rd /s/q "\Combo-Fix"
If exist "\Combo-Fix" (
PV -kf findstr.exe *.cfexe
rd /s/q "\Combo-Fix"
)
If exist "\Combo-Fix" (
handle "C:\Combo-Fix" | SED -r "/pid:/!d; s/.*: (.*): .*/\1/" 1>temp00
for /F "tokens=1,2" %g in (temp00) do @echo.y | Handle -p %g -c %h
del /q temp00
rd /s/q "\Combo-Fix"
)
)
If exist "\Combo-Fix" rd /s/q "\Combo-Fix"
If exist "\Combo-Fix" goto :eof
VER | Findstr.exe -ic:"[Version 6.0" && (Call :Vista ) ||
CD ..
Set "comspec=C:\WINDOWS\system32\CF7755.exe"
(
echo.md "\Combo-Fix"
echo.Move /y "\327882R2FWJFW\*" "\Combo-Fix"
echo.RD /S/Q "\327882R2FWJFW"
echo.Start "." /d"C:\Combo-Fix" "C:\WINDOWS\system32\CF7755.exe" /k c.bat
echo.pv -kf cmd.exe
) 1>Start_.cmd
NirCmd exec hide "C:\WINDOWS\system32\CF7755.exe" /f:off /d /c call Start_.cmd
NirCmd execmd del "\327882R2FWJFW\prep.cmd"
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Re
Relance ComboFix , même manip qu'ici
http://www.commentcamarche.net/forum/affich 6531849 comment supprimer winreanimator#7
et poste le rapport qui va apparaître
Relance ComboFix , même manip qu'ici
http://www.commentcamarche.net/forum/affich 6531849 comment supprimer winreanimator#7
et poste le rapport qui va apparaître
ComboFix 08-05-21.3 - AS 2008-05-22 23:52:26.2 - NTFSx86
Endroit: C:\Documents and Settings\AS\Bureau\Combo-Fix.exe
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
[color=red]C:\WINDOWS\system32\dllcache\beep.sys[/color]
[color=red]C:\WINDOWS\system32\drivers\beep.sys[/color]
C:\WINDOWS\braviax.exe
C:\WINDOWS\cru629.dat
C:\WINDOWS\system32\braviax.exe
C:\WINDOWS\system32\Cfx32.lic
C:\WINDOWS\system32\cfx32.ocx
C:\WINDOWS\system32\cru629.dat
C:\WINDOWS\system32\univrs32.dat
C:\WINDOWS\system32\winivstr.exe
.
((((((((((((((((((((((((((((( Fichiers créés 2008-04-22 to 2008-05-22 ))))))))))))))))))))))))))))))))))))
.
2008-05-22 20:12 . 2002-09-07 02:00 4,224 --a------ C:\WINDOWS\system32\drivers\beep.sys
2008-05-22 20:12 . 2002-09-07 02:00 4,224 --a--c--- C:\WINDOWS\system32\dllcache\beep.sys
2008-05-22 19:18 . 2008-05-22 19:18 <REP> d-------- C:\Program Files\Trend Micro
2008-05-22 17:05 . 2007-12-10 14:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-05-22 17:05 . 2007-12-10 14:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-05-22 17:05 . 2008-02-01 12:55 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-05-22 17:05 . 2007-12-10 14:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-05-22 17:04 . 2008-05-22 18:05 <REP> d-------- C:\Program Files\Spyware Doctor
2008-05-22 17:04 . 2008-05-22 17:04 <REP> d-------- C:\Documents and Settings\AS\Application Data\PC Tools
2008-05-22 16:35 . 2008-05-22 17:47 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Google Updater
2008-05-22 16:13 . 2008-05-22 16:19 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2008-05-22 16:13 . 2008-05-22 16:19 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-05-22 13:01 . 2008-05-22 13:32 62,976 --a------ C:\WINDOWS\PegtopUI.exe
2008-05-22 12:54 . 2008-05-22 18:42 <REP> d-------- C:\Documents and Settings\AS\Application Data\DMCache
2008-05-22 12:53 . 2008-05-22 12:53 <REP> d-------- C:\Program Files\Internet Download Manager
2008-05-22 12:19 . 2008-05-22 12:19 <REP> d-------- C:\Program Files\Pegtop
2008-05-22 11:14 . 2008-05-22 11:16 172 --a------ C:\curr_ver.tmp
2008-05-22 11:03 . 2008-05-22 11:03 244 --ah----- C:\sqmnoopt03.sqm
2008-05-22 11:03 . 2008-05-22 11:03 232 --ah----- C:\sqmdata03.sqm
2008-05-22 09:53 . 2008-05-22 09:53 <REP> d-------- C:\Program Files\gt
2008-05-22 02:17 . 2008-05-22 02:30 <REP> d-------- C:\Program Files\Enigma Software Group
2008-05-22 01:41 . 2008-05-22 01:41 <REP> d-------- C:\Program Files\Alwil Software
2008-05-20 22:08 . 2008-05-20 22:08 268 --ah----- C:\sqmdata02.sqm
2008-05-20 22:08 . 2008-05-20 22:08 244 --ah----- C:\sqmnoopt02.sqm
2008-05-19 20:46 . 2008-05-19 20:52 <REP> d-------- C:\WINDOWS\ClamWin Portable
2008-05-19 00:27 . 2004-02-23 21:42 1,386,496 --a------ C:\WINDOWS\system32\msvbvm60.dll
2008-05-19 00:27 . 2004-03-09 00:00 152,848 --a------ C:\WINDOWS\system32\COMDLG32.OCX
2008-05-19 00:10 . 2008-05-19 00:54 <REP> d-------- C:\Program Files\Fake Webcam
2008-05-17 22:35 . 2008-05-17 22:35 268 --ah----- C:\sqmdata01.sqm
2008-05-17 22:35 . 2008-05-17 22:35 244 --ah----- C:\sqmnoopt01.sqm
2008-05-14 18:04 . 2008-05-14 18:04 268 --ah----- C:\sqmdata00.sqm
2008-05-14 18:04 . 2008-05-14 18:04 244 --ah----- C:\sqmnoopt00.sqm
2008-05-12 02:21 . 2008-05-12 02:21 <REP> d-------- C:\Program Files\Fichiers communs\NSV
2008-05-12 01:56 . 2007-03-08 01:51 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2008-05-12 01:56 . 2007-03-08 01:51 9,464 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2008-05-12 01:56 . 2007-03-08 01:51 9,336 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2008-05-12 01:55 . 2008-05-12 02:26 <REP> d-------- C:\Documents and Settings\AS\Application Data\Winamp
2008-05-09 16:30 . 2008-05-16 12:23 <REP> d-------- C:\Documents and Settings\AS\Application Data\Dev-Cpp
2008-05-09 13:41 . 2008-05-09 13:59 <REP> d--h----- C:\NotreLogiciel
2008-05-08 16:51 . 2008-05-09 13:47 13,030 --a------ C:\PDOXUSRS.NET
2008-05-08 15:14 . 2008-05-09 13:47 <REP> d-------- C:\WINDOWS\Lhsp
2008-05-08 15:06 . 2008-05-08 15:06 <REP> d-------- C:\WINDOWS\speech
2008-05-08 11:02 . 2008-05-08 11:11 <REP> d-------- C:\Program Files\Fichiers communs\Borland Shared
2008-05-08 11:02 . 2008-05-08 11:02 <REP> d-------- C:\Program Files\Borland
2008-05-08 10:40 . 2008-05-08 10:56 <REP> d-------- C:\Program Files\Borland CBuilder6 Evaluation
2008-05-07 16:05 . 2008-05-07 16:05 <REP> d-------- C:\Program Files\Kaspersky Lab
2008-05-06 23:20 . 2008-05-18 21:45 <REP> d-------- C:\Documents and Settings\AS\Application Data\Skype
2008-05-06 23:19 . 2008-05-06 23:19 <REP> d-------- C:\Program Files\Fichiers communs\Skype
2008-05-04 13:51 . 2006-10-26 19:58 30,512 --a------ C:\WINDOWS\system32\mdimon.dll
2008-05-04 13:49 . 2008-05-04 13:49 <REP> d-------- C:\Program Files\Microsoft Works
2008-05-04 13:38 . 2008-05-04 13:38 <REP> dr-h----- C:\MSOCache
2008-05-01 14:22 . 2008-05-01 14:23 <REP> d-------- C:\WINDOWS\ShellNew
2008-04-30 10:22 . 2008-05-22 21:02 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-04-30 01:51 . 2008-04-30 01:51 754 --a------ C:\WINDOWS\WORDPAD.INI
2008-04-23 10:33 . 2008-05-18 21:44 <REP> d-------- C:\Documents and Settings\AS\Application Data\skypePM
2008-04-22 13:10 . 2008-05-22 16:35 <REP> d--h----- C:\Program Files\Google
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-22 18:29 --------- d-----w C:\Program Files\eMule
2008-05-22 17:20 607 ----a-w C:\WINDOWS\system32\drivers\fwdrv.err
2008-05-21 23:39 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2008-05-16 10:14 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-05-16 08:40 84,232 ----a-w C:\Documents and Settings\AS\Application Data\GDIPFONTCACHEV1.DAT
2008-05-12 00:13 --------- d-----w C:\Program Files\Winamp
2008-05-11 07:54 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help
2008-05-06 21:19 --------- d-----w C:\Program Files\Skype
2008-04-29 15:35 --------- d-----w C:\Documents and Settings\AS\Application Data\vlc
2008-04-22 22:43 --------- d-----w C:\Documents and Settings\All Users\Application Data\Skype
2008-04-20 08:53 --------- d-----w C:\Program Files\RegCleaner
2008-04-08 16:02 --------- d-----w C:\Program Files\Java
2008-04-06 18:02 --------- d-----w C:\Program Files\Publication Web
2008-04-02 11:38 --------- d-----w C:\Program Files\CR-TEKnologies
2008-03-28 18:31 --------- d--h--w C:\Program Files\My Lockbox
2008-03-28 10:44 --------- d-----w C:\Documents and Settings\AS\Application Data\TeamViewer
2008-03-27 11:33 --------- d-----w C:\Documents and Settings\All Users\Application Data\WinZip
2008-03-25 18:40 32 ----a-w C:\Documents and Settings\All Users\Application Data\ezsid.dat
2008-03-24 08:35 --------- d-----w C:\Documents and Settings\AS\Application Data\MSNInstaller
2008-03-23 15:55 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-03-23 15:55 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2008-03-23 15:33 --------- d-----w C:\Program Files\Sunbelt Software
2008-03-23 15:30 --------- d-----w C:\Program Files\Fichiers communs\Java
2008-03-23 15:16 --------- d-----w C:\Program Files\JPEG PC Camera
2008-03-23 14:43 --------- d-----w C:\Documents and Settings\AS\Application Data\Ahead
2008-03-23 14:42 --------- d-----w C:\Program Files\Fichiers communs\Ahead
2008-03-23 14:42 --------- d-----w C:\Program Files\Ahead
2008-03-23 14:41 --------- d-----w C:\Documents and Settings\AS\Application Data\InterTrust
2008-03-23 14:25 --------- d-----w C:\Program Files\microsoft frontpage
2008-03-23 14:22 --------- d-----w C:\Program Files\Services en ligne
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 06:54 15360]
"Setup"="C:\WINDOWS\system32\msiexeca.exe" [2004-08-04 06:54 386048]
"eMuleAutoStart"="C:\Program Files\eMule\emule.exe" [ ]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 12:15 106496]
"SoundMan"="SOUNDMAN.EXE" [2005-02-23 12:13 77824 C:\WINDOWS\SOUNDMAN.EXE]
"flockbox"="C:\Program Files\My Lockbox\flockbox.exe" [2007-04-18 00:52 1070448]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2008-04-01 20:49 36352]
"ISTray"="C:\Program Files\Spyware Doctor\pctsTray.exe" [2008-02-01 12:55 1103240]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2006-08-05 08:23 108160]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 06:54 15360]
C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma Loader.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2008-05-16 12:14:28 110592]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 09:01:04 83360]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"53240:TCP"= 53240:TCP:PORT_53240
"11115:TCP"= 11115:TCP:PORT_11115
"9181:TCP"= 9181:TCP:PORT_9181
"27773:TCP"= 27773:TCP:PORT_27773
"55212:TCP"= 55212:TCP:PORT_55212
"63666:TCP"= 63666:TCP:PORT_63666
"53129:TCP"= 53129:TCP:PORT_53129
"61466:TCP"= 61466:TCP:PORT_61466
"63195:TCP"= 63195:TCP:PORT_63195
"41204:TCP"= 41204:TCP:PORT_41204
"38895:TCP"= 38895:TCP:PORT_38895
"44835:TCP"= 44835:TCP:PORT_44835
"53411:TCP"= 53411:TCP:PORT_53411
"53568:TCP"= 53568:TCP:PORT_53568
"27153:TCP"= 27153:TCP:PORT_27153
"53765:TCP"= 53765:TCP:PORT_53765
"41173:TCP"= 41173:TCP:PORT_41173
"54406:TCP"= 54406:TCP:PORT_54406
"46771:TCP"= 46771:TCP:PORT_46771
"41816:TCP"= 41816:TCP:PORT_41816
"51368:TCP"= 51368:TCP:PORT_51368
"25855:TCP"= 25855:TCP:PORT_25855
"59887:TCP"= 59887:TCP:PORT_59887
"50191:TCP"= 50191:TCP:PORT_50191
"30110:TCP"= 30110:TCP:PORT_30110
"31433:TCP"= 31433:TCP:PORT_31433
"30453:TCP"= 30453:TCP:PORT_30453
"9023:TCP"= 9023:TCP:PORT_9023
"57901:TCP"= 57901:TCP:PORT_57901
"16445:TCP"= 16445:TCP:PORT_16445
"23881:TCP"= 23881:TCP:PORT_23881
"10310:TCP"= 10310:TCP:PORT_10310
"38027:TCP"= 38027:TCP:PORT_38027
"54368:TCP"= 54368:TCP:PORT_54368
"48599:TCP"= 48599:TCP:PORT_48599
"37181:TCP"= 37181:TCP:PORT_37181
"43216:TCP"= 43216:TCP:PORT_43216
"32130:TCP"= 32130:TCP:PORT_32130
"51560:TCP"= 51560:TCP:PORT_51560
"51028:TCP"= 51028:TCP:PORT_51028
"59372:TCP"= 59372:TCP:PORT_59372
"43661:TCP"= 43661:TCP:PORT_43661
"41880:TCP"= 41880:TCP:PORT_41880
"14330:TCP"= 14330:TCP:PORT_14330
"46621:TCP"= 46621:TCP:PORT_46621
"53678:TCP"= 53678:TCP:PORT_53678
"37906:TCP"= 37906:TCP:PORT_37906
"13388:TCP"= 13388:TCP:PORT_13388
"61193:TCP"= 61193:TCP:PORT_61193
"22720:TCP"= 22720:TCP:PORT_22720
"47023:TCP"= 47023:TCP:PORT_47023
"53713:TCP"= 53713:TCP:PORT_53713
"65211:TCP"= 65211:TCP:PORT_65211
"42055:TCP"= 42055:TCP:PORT_42055
"5278:TCP"= 5278:TCP:PORT_5278
"27490:TCP"= 27490:TCP:PORT_27490
"54201:TCP"= 54201:TCP:PORT_54201
"51543:TCP"= 51543:TCP:PORT_51543
"11395:TCP"= 11395:TCP:PORT_11395
"31477:TCP"= 31477:TCP:PORT_31477
"36806:TCP"= 36806:TCP:PORT_36806
"65363:TCP"= 65363:TCP:PORT_65363
"52493:TCP"= 52493:TCP:PORT_52493
"13634:TCP"= 13634:TCP:PORT_13634
"30731:TCP"= 30731:TCP:PORT_30731
"62439:TCP"= 62439:TCP:PORT_62439
"27345:TCP"= 27345:TCP:PORT_27345
"24630:TCP"= 24630:TCP:PORT_24630
"23806:TCP"= 23806:TCP:PORT_23806
"6166:TCP"= 6166:TCP:PORT_6166
"12356:TCP"= 12356:TCP:PORT_12356
"46040:TCP"= 46040:TCP:PORT_46040
"59008:TCP"= 59008:TCP:PORT_59008
"37188:TCP"= 37188:TCP:PORT_37188
"9880:TCP"= 9880:TCP:PORT_9880
"13287:TCP"= 13287:TCP:PORT_13287
"8658:TCP"= 8658:TCP:PORT_8658
"53770:TCP"= 53770:TCP:PORT_53770
"27461:TCP"= 27461:TCP:PORT_27461
"26861:TCP"= 26861:TCP:PORT_26861
"7158:TCP"= 7158:TCP:PORT_7158
"52157:TCP"= 52157:TCP:PORT_52157
"61309:TCP"= 61309:TCP:PORT_61309
"57512:TCP"= 57512:TCP:PORT_57512
"55067:TCP"= 55067:TCP:PORT_55067
"7528:TCP"= 7528:TCP:PORT_7528
R0 MPRIFL;MPRIFL;C:\WINDOWS\system32\DRIVERS\MPRIFL.SYS [2007-04-18 00:52]
R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys [2007-04-26 10:21]
R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys [2007-04-26 10:21]
R3 CAM1690;USB 2.0 Compliance JPEG Video Camera;C:\WINDOWS\system32\Drivers\cam1690.sys [2007-01-05 14:45]
R3 slnt;Silan SC92031 PCI Fast Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\slnt.sys [2003-11-20 13:58]
S2 SPF4;Sunbelt Personal Firewall 4;"C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe" [2007-04-26 10:21]
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 00:08]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{504987c8-096d-11dd-a925-00e0205161ba}]
\Shell\AutoRun\command - wscript.exe .\.vbs
\Shell\open\command - wscript.exe .\.vbs
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-22 23:58:01
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cachés ...
Balayage caché autostart entries ...
Balayage des fichiers cachés ...
Scan terminé avec succès
Les fichiers cachés: 0
**************************************************************************
.
Temps d'accomplissement: 2008-05-23 0:03:36
ComboFix-quarantined-files.txt 2008-05-22 22:03:22
Pre-Run: 1,631,510,528 octets libres
Post-Run: 1,622,827,008 octets libres
256
Endroit: C:\Documents and Settings\AS\Bureau\Combo-Fix.exe
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
[color=red]C:\WINDOWS\system32\dllcache\beep.sys[/color]
[color=red]C:\WINDOWS\system32\drivers\beep.sys[/color]
C:\WINDOWS\braviax.exe
C:\WINDOWS\cru629.dat
C:\WINDOWS\system32\braviax.exe
C:\WINDOWS\system32\Cfx32.lic
C:\WINDOWS\system32\cfx32.ocx
C:\WINDOWS\system32\cru629.dat
C:\WINDOWS\system32\univrs32.dat
C:\WINDOWS\system32\winivstr.exe
.
((((((((((((((((((((((((((((( Fichiers créés 2008-04-22 to 2008-05-22 ))))))))))))))))))))))))))))))))))))
.
2008-05-22 20:12 . 2002-09-07 02:00 4,224 --a------ C:\WINDOWS\system32\drivers\beep.sys
2008-05-22 20:12 . 2002-09-07 02:00 4,224 --a--c--- C:\WINDOWS\system32\dllcache\beep.sys
2008-05-22 19:18 . 2008-05-22 19:18 <REP> d-------- C:\Program Files\Trend Micro
2008-05-22 17:05 . 2007-12-10 14:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-05-22 17:05 . 2007-12-10 14:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-05-22 17:05 . 2008-02-01 12:55 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-05-22 17:05 . 2007-12-10 14:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-05-22 17:04 . 2008-05-22 18:05 <REP> d-------- C:\Program Files\Spyware Doctor
2008-05-22 17:04 . 2008-05-22 17:04 <REP> d-------- C:\Documents and Settings\AS\Application Data\PC Tools
2008-05-22 16:35 . 2008-05-22 17:47 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Google Updater
2008-05-22 16:13 . 2008-05-22 16:19 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2008-05-22 16:13 . 2008-05-22 16:19 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-05-22 13:01 . 2008-05-22 13:32 62,976 --a------ C:\WINDOWS\PegtopUI.exe
2008-05-22 12:54 . 2008-05-22 18:42 <REP> d-------- C:\Documents and Settings\AS\Application Data\DMCache
2008-05-22 12:53 . 2008-05-22 12:53 <REP> d-------- C:\Program Files\Internet Download Manager
2008-05-22 12:19 . 2008-05-22 12:19 <REP> d-------- C:\Program Files\Pegtop
2008-05-22 11:14 . 2008-05-22 11:16 172 --a------ C:\curr_ver.tmp
2008-05-22 11:03 . 2008-05-22 11:03 244 --ah----- C:\sqmnoopt03.sqm
2008-05-22 11:03 . 2008-05-22 11:03 232 --ah----- C:\sqmdata03.sqm
2008-05-22 09:53 . 2008-05-22 09:53 <REP> d-------- C:\Program Files\gt
2008-05-22 02:17 . 2008-05-22 02:30 <REP> d-------- C:\Program Files\Enigma Software Group
2008-05-22 01:41 . 2008-05-22 01:41 <REP> d-------- C:\Program Files\Alwil Software
2008-05-20 22:08 . 2008-05-20 22:08 268 --ah----- C:\sqmdata02.sqm
2008-05-20 22:08 . 2008-05-20 22:08 244 --ah----- C:\sqmnoopt02.sqm
2008-05-19 20:46 . 2008-05-19 20:52 <REP> d-------- C:\WINDOWS\ClamWin Portable
2008-05-19 00:27 . 2004-02-23 21:42 1,386,496 --a------ C:\WINDOWS\system32\msvbvm60.dll
2008-05-19 00:27 . 2004-03-09 00:00 152,848 --a------ C:\WINDOWS\system32\COMDLG32.OCX
2008-05-19 00:10 . 2008-05-19 00:54 <REP> d-------- C:\Program Files\Fake Webcam
2008-05-17 22:35 . 2008-05-17 22:35 268 --ah----- C:\sqmdata01.sqm
2008-05-17 22:35 . 2008-05-17 22:35 244 --ah----- C:\sqmnoopt01.sqm
2008-05-14 18:04 . 2008-05-14 18:04 268 --ah----- C:\sqmdata00.sqm
2008-05-14 18:04 . 2008-05-14 18:04 244 --ah----- C:\sqmnoopt00.sqm
2008-05-12 02:21 . 2008-05-12 02:21 <REP> d-------- C:\Program Files\Fichiers communs\NSV
2008-05-12 01:56 . 2007-03-08 01:51 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2008-05-12 01:56 . 2007-03-08 01:51 9,464 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2008-05-12 01:56 . 2007-03-08 01:51 9,336 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2008-05-12 01:55 . 2008-05-12 02:26 <REP> d-------- C:\Documents and Settings\AS\Application Data\Winamp
2008-05-09 16:30 . 2008-05-16 12:23 <REP> d-------- C:\Documents and Settings\AS\Application Data\Dev-Cpp
2008-05-09 13:41 . 2008-05-09 13:59 <REP> d--h----- C:\NotreLogiciel
2008-05-08 16:51 . 2008-05-09 13:47 13,030 --a------ C:\PDOXUSRS.NET
2008-05-08 15:14 . 2008-05-09 13:47 <REP> d-------- C:\WINDOWS\Lhsp
2008-05-08 15:06 . 2008-05-08 15:06 <REP> d-------- C:\WINDOWS\speech
2008-05-08 11:02 . 2008-05-08 11:11 <REP> d-------- C:\Program Files\Fichiers communs\Borland Shared
2008-05-08 11:02 . 2008-05-08 11:02 <REP> d-------- C:\Program Files\Borland
2008-05-08 10:40 . 2008-05-08 10:56 <REP> d-------- C:\Program Files\Borland CBuilder6 Evaluation
2008-05-07 16:05 . 2008-05-07 16:05 <REP> d-------- C:\Program Files\Kaspersky Lab
2008-05-06 23:20 . 2008-05-18 21:45 <REP> d-------- C:\Documents and Settings\AS\Application Data\Skype
2008-05-06 23:19 . 2008-05-06 23:19 <REP> d-------- C:\Program Files\Fichiers communs\Skype
2008-05-04 13:51 . 2006-10-26 19:58 30,512 --a------ C:\WINDOWS\system32\mdimon.dll
2008-05-04 13:49 . 2008-05-04 13:49 <REP> d-------- C:\Program Files\Microsoft Works
2008-05-04 13:38 . 2008-05-04 13:38 <REP> dr-h----- C:\MSOCache
2008-05-01 14:22 . 2008-05-01 14:23 <REP> d-------- C:\WINDOWS\ShellNew
2008-04-30 10:22 . 2008-05-22 21:02 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-04-30 01:51 . 2008-04-30 01:51 754 --a------ C:\WINDOWS\WORDPAD.INI
2008-04-23 10:33 . 2008-05-18 21:44 <REP> d-------- C:\Documents and Settings\AS\Application Data\skypePM
2008-04-22 13:10 . 2008-05-22 16:35 <REP> d--h----- C:\Program Files\Google
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-22 18:29 --------- d-----w C:\Program Files\eMule
2008-05-22 17:20 607 ----a-w C:\WINDOWS\system32\drivers\fwdrv.err
2008-05-21 23:39 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2008-05-16 10:14 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-05-16 08:40 84,232 ----a-w C:\Documents and Settings\AS\Application Data\GDIPFONTCACHEV1.DAT
2008-05-12 00:13 --------- d-----w C:\Program Files\Winamp
2008-05-11 07:54 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help
2008-05-06 21:19 --------- d-----w C:\Program Files\Skype
2008-04-29 15:35 --------- d-----w C:\Documents and Settings\AS\Application Data\vlc
2008-04-22 22:43 --------- d-----w C:\Documents and Settings\All Users\Application Data\Skype
2008-04-20 08:53 --------- d-----w C:\Program Files\RegCleaner
2008-04-08 16:02 --------- d-----w C:\Program Files\Java
2008-04-06 18:02 --------- d-----w C:\Program Files\Publication Web
2008-04-02 11:38 --------- d-----w C:\Program Files\CR-TEKnologies
2008-03-28 18:31 --------- d--h--w C:\Program Files\My Lockbox
2008-03-28 10:44 --------- d-----w C:\Documents and Settings\AS\Application Data\TeamViewer
2008-03-27 11:33 --------- d-----w C:\Documents and Settings\All Users\Application Data\WinZip
2008-03-25 18:40 32 ----a-w C:\Documents and Settings\All Users\Application Data\ezsid.dat
2008-03-24 08:35 --------- d-----w C:\Documents and Settings\AS\Application Data\MSNInstaller
2008-03-23 15:55 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-03-23 15:55 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2008-03-23 15:33 --------- d-----w C:\Program Files\Sunbelt Software
2008-03-23 15:30 --------- d-----w C:\Program Files\Fichiers communs\Java
2008-03-23 15:16 --------- d-----w C:\Program Files\JPEG PC Camera
2008-03-23 14:43 --------- d-----w C:\Documents and Settings\AS\Application Data\Ahead
2008-03-23 14:42 --------- d-----w C:\Program Files\Fichiers communs\Ahead
2008-03-23 14:42 --------- d-----w C:\Program Files\Ahead
2008-03-23 14:41 --------- d-----w C:\Documents and Settings\AS\Application Data\InterTrust
2008-03-23 14:25 --------- d-----w C:\Program Files\microsoft frontpage
2008-03-23 14:22 --------- d-----w C:\Program Files\Services en ligne
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 06:54 15360]
"Setup"="C:\WINDOWS\system32\msiexeca.exe" [2004-08-04 06:54 386048]
"eMuleAutoStart"="C:\Program Files\eMule\emule.exe" [ ]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 12:15 106496]
"SoundMan"="SOUNDMAN.EXE" [2005-02-23 12:13 77824 C:\WINDOWS\SOUNDMAN.EXE]
"flockbox"="C:\Program Files\My Lockbox\flockbox.exe" [2007-04-18 00:52 1070448]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2008-04-01 20:49 36352]
"ISTray"="C:\Program Files\Spyware Doctor\pctsTray.exe" [2008-02-01 12:55 1103240]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2006-08-05 08:23 108160]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 06:54 15360]
C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma Loader.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2008-05-16 12:14:28 110592]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 09:01:04 83360]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"53240:TCP"= 53240:TCP:PORT_53240
"11115:TCP"= 11115:TCP:PORT_11115
"9181:TCP"= 9181:TCP:PORT_9181
"27773:TCP"= 27773:TCP:PORT_27773
"55212:TCP"= 55212:TCP:PORT_55212
"63666:TCP"= 63666:TCP:PORT_63666
"53129:TCP"= 53129:TCP:PORT_53129
"61466:TCP"= 61466:TCP:PORT_61466
"63195:TCP"= 63195:TCP:PORT_63195
"41204:TCP"= 41204:TCP:PORT_41204
"38895:TCP"= 38895:TCP:PORT_38895
"44835:TCP"= 44835:TCP:PORT_44835
"53411:TCP"= 53411:TCP:PORT_53411
"53568:TCP"= 53568:TCP:PORT_53568
"27153:TCP"= 27153:TCP:PORT_27153
"53765:TCP"= 53765:TCP:PORT_53765
"41173:TCP"= 41173:TCP:PORT_41173
"54406:TCP"= 54406:TCP:PORT_54406
"46771:TCP"= 46771:TCP:PORT_46771
"41816:TCP"= 41816:TCP:PORT_41816
"51368:TCP"= 51368:TCP:PORT_51368
"25855:TCP"= 25855:TCP:PORT_25855
"59887:TCP"= 59887:TCP:PORT_59887
"50191:TCP"= 50191:TCP:PORT_50191
"30110:TCP"= 30110:TCP:PORT_30110
"31433:TCP"= 31433:TCP:PORT_31433
"30453:TCP"= 30453:TCP:PORT_30453
"9023:TCP"= 9023:TCP:PORT_9023
"57901:TCP"= 57901:TCP:PORT_57901
"16445:TCP"= 16445:TCP:PORT_16445
"23881:TCP"= 23881:TCP:PORT_23881
"10310:TCP"= 10310:TCP:PORT_10310
"38027:TCP"= 38027:TCP:PORT_38027
"54368:TCP"= 54368:TCP:PORT_54368
"48599:TCP"= 48599:TCP:PORT_48599
"37181:TCP"= 37181:TCP:PORT_37181
"43216:TCP"= 43216:TCP:PORT_43216
"32130:TCP"= 32130:TCP:PORT_32130
"51560:TCP"= 51560:TCP:PORT_51560
"51028:TCP"= 51028:TCP:PORT_51028
"59372:TCP"= 59372:TCP:PORT_59372
"43661:TCP"= 43661:TCP:PORT_43661
"41880:TCP"= 41880:TCP:PORT_41880
"14330:TCP"= 14330:TCP:PORT_14330
"46621:TCP"= 46621:TCP:PORT_46621
"53678:TCP"= 53678:TCP:PORT_53678
"37906:TCP"= 37906:TCP:PORT_37906
"13388:TCP"= 13388:TCP:PORT_13388
"61193:TCP"= 61193:TCP:PORT_61193
"22720:TCP"= 22720:TCP:PORT_22720
"47023:TCP"= 47023:TCP:PORT_47023
"53713:TCP"= 53713:TCP:PORT_53713
"65211:TCP"= 65211:TCP:PORT_65211
"42055:TCP"= 42055:TCP:PORT_42055
"5278:TCP"= 5278:TCP:PORT_5278
"27490:TCP"= 27490:TCP:PORT_27490
"54201:TCP"= 54201:TCP:PORT_54201
"51543:TCP"= 51543:TCP:PORT_51543
"11395:TCP"= 11395:TCP:PORT_11395
"31477:TCP"= 31477:TCP:PORT_31477
"36806:TCP"= 36806:TCP:PORT_36806
"65363:TCP"= 65363:TCP:PORT_65363
"52493:TCP"= 52493:TCP:PORT_52493
"13634:TCP"= 13634:TCP:PORT_13634
"30731:TCP"= 30731:TCP:PORT_30731
"62439:TCP"= 62439:TCP:PORT_62439
"27345:TCP"= 27345:TCP:PORT_27345
"24630:TCP"= 24630:TCP:PORT_24630
"23806:TCP"= 23806:TCP:PORT_23806
"6166:TCP"= 6166:TCP:PORT_6166
"12356:TCP"= 12356:TCP:PORT_12356
"46040:TCP"= 46040:TCP:PORT_46040
"59008:TCP"= 59008:TCP:PORT_59008
"37188:TCP"= 37188:TCP:PORT_37188
"9880:TCP"= 9880:TCP:PORT_9880
"13287:TCP"= 13287:TCP:PORT_13287
"8658:TCP"= 8658:TCP:PORT_8658
"53770:TCP"= 53770:TCP:PORT_53770
"27461:TCP"= 27461:TCP:PORT_27461
"26861:TCP"= 26861:TCP:PORT_26861
"7158:TCP"= 7158:TCP:PORT_7158
"52157:TCP"= 52157:TCP:PORT_52157
"61309:TCP"= 61309:TCP:PORT_61309
"57512:TCP"= 57512:TCP:PORT_57512
"55067:TCP"= 55067:TCP:PORT_55067
"7528:TCP"= 7528:TCP:PORT_7528
R0 MPRIFL;MPRIFL;C:\WINDOWS\system32\DRIVERS\MPRIFL.SYS [2007-04-18 00:52]
R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys [2007-04-26 10:21]
R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys [2007-04-26 10:21]
R3 CAM1690;USB 2.0 Compliance JPEG Video Camera;C:\WINDOWS\system32\Drivers\cam1690.sys [2007-01-05 14:45]
R3 slnt;Silan SC92031 PCI Fast Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\slnt.sys [2003-11-20 13:58]
S2 SPF4;Sunbelt Personal Firewall 4;"C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe" [2007-04-26 10:21]
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 00:08]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{504987c8-096d-11dd-a925-00e0205161ba}]
\Shell\AutoRun\command - wscript.exe .\.vbs
\Shell\open\command - wscript.exe .\.vbs
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-22 23:58:01
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cachés ...
Balayage caché autostart entries ...
Balayage des fichiers cachés ...
Scan terminé avec succès
Les fichiers cachés: 0
**************************************************************************
.
Temps d'accomplissement: 2008-05-23 0:03:36
ComboFix-quarantined-files.txt 2008-05-22 22:03:22
Pre-Run: 1,631,510,528 octets libres
Post-Run: 1,622,827,008 octets libres
256
Bonjour Elvega
Bien joué, je regarde ton rapport, poste aussi un nouveau rapport HIjackthis stp.
@ tout à l'heure.
Bien joué, je regarde ton rapport, poste aussi un nouveau rapport HIjackthis stp.
@ tout à l'heure.
RE
je fait comment avec hijack? je désactive lantivirus ??et aussi la conexion ?? et je férme toute les feunetres???
je fait comment avec hijack? je désactive lantivirus ??et aussi la conexion ?? et je férme toute les feunetres???
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:14:52, on 23/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\My Lockbox\flockbox.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [flockbox] C:\Program Files\My Lockbox\flockbox.exe /a
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Setup] C:\WINDOWS\system32\msiexeca.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download all links with IDM - F:\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download FLV video content with IDM - F:\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Download with IDM - F:\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
Scan saved at 13:14:52, on 23/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\My Lockbox\flockbox.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [flockbox] C:\Program Files\My Lockbox\flockbox.exe /a
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Setup] C:\WINDOWS\system32\msiexeca.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download all links with IDM - F:\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download FLV video content with IDM - F:\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Download with IDM - F:\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
Re
OK, on continu :
Deux petites vérifications: ce sont deux fichiers légitimes, mais ComboFix nous a signaler quelque chose, je préfère vérifier :
Rends toi sur VIRUS TOTAL https://www.virustotal.com/gui/
* Clique sur "parcourir" : C:\WINDOWS\system32\drivers\beep.sys
* Recherche le fichier à analyser, puis clique ensuite sur "send".
Il faut patienter car tu es sur une file d'attente.
Le rapport ne sera complet que lorsque tu verras la mention "FINISHED"sur la droite.
Dépose le dans ta prochaine réponse.
Tuto : http://pageperso.aol.fr/loraline60/virus_total.htm
Note : Il est possible que tu es besoin d'avoir accès aux dossiers et fichiers cachés, pour cela "Affiche les dossiers cachés" Aide toi de B ) ici https://forum.pcastuces.com/sujet.asp?f=25&s=3902 si besoin.
Fais de même pour C:\WINDOWS\system32\dllcache\beep.sys
--> et poste les deux rapports.
********** Puis *********
Afin de suivre la procédure correctement, je te conseille d'enregistrer la page en sélectionnant toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procédure correctement.
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscure, demande des explications avant de commencer la désinfection.
1) Télécharge
Télécharge OTMoveIt2 (de Old_Timer) sur ton Bureau. http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
N'y touche pas pour le moment.
2) Lance HijackThis.
Je te conseille d'enregistrer toutes les lignes a fixer puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procédure correctement.
Lance Hijackthis en double cliquant sur son raccourci sur le Bureau.
Clique sur Scan Only et coche les lignes suivantes :
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Setup] C:\WINDOWS\system32\msiexeca.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
Ferme toutes les autres fenêtres, tous les autres programmes. Pas de connections Internet.
Clique sur Fix Checked puis clique sur OK
Puis ferme hijackthis.
Si certaines lignes sont absentes, signale les en fin de procédure
3) OTMoveIt (de Old_Timer)
Double clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :
Paste standard List of Files/Folders to be moved.
C:\WINDOWS\system32\msiexeca.exe
Clique sur MoveIt! pour lancer la suppression.
Le résultat apparaîtra dans le cadre Results.
Clique sur Exit pour fermer.
Il te sera peut-être demander de faire redémarrer le PC pour achever la suppression.
si c'est le cas accepte par Yes.
4) Rapports
Fais redémarrer ton PC puis poste en réponse :
* Le rapport d’OTMoveIt situé dans C:\_OTMoveIt\MovedFiles (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date et l'heure)
* Un nouveau rapport HijackThis.
@ suivre
OK, on continu :
Deux petites vérifications: ce sont deux fichiers légitimes, mais ComboFix nous a signaler quelque chose, je préfère vérifier :
Rends toi sur VIRUS TOTAL https://www.virustotal.com/gui/
* Clique sur "parcourir" : C:\WINDOWS\system32\drivers\beep.sys
* Recherche le fichier à analyser, puis clique ensuite sur "send".
Il faut patienter car tu es sur une file d'attente.
Le rapport ne sera complet que lorsque tu verras la mention "FINISHED"sur la droite.
Dépose le dans ta prochaine réponse.
Tuto : http://pageperso.aol.fr/loraline60/virus_total.htm
Note : Il est possible que tu es besoin d'avoir accès aux dossiers et fichiers cachés, pour cela "Affiche les dossiers cachés" Aide toi de B ) ici https://forum.pcastuces.com/sujet.asp?f=25&s=3902 si besoin.
Fais de même pour C:\WINDOWS\system32\dllcache\beep.sys
--> et poste les deux rapports.
********** Puis *********
Afin de suivre la procédure correctement, je te conseille d'enregistrer la page en sélectionnant toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procédure correctement.
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscure, demande des explications avant de commencer la désinfection.
1) Télécharge
Télécharge OTMoveIt2 (de Old_Timer) sur ton Bureau. http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
N'y touche pas pour le moment.
2) Lance HijackThis.
Je te conseille d'enregistrer toutes les lignes a fixer puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procédure correctement.
Lance Hijackthis en double cliquant sur son raccourci sur le Bureau.
Clique sur Scan Only et coche les lignes suivantes :
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Setup] C:\WINDOWS\system32\msiexeca.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
Ferme toutes les autres fenêtres, tous les autres programmes. Pas de connections Internet.
Clique sur Fix Checked puis clique sur OK
Puis ferme hijackthis.
Si certaines lignes sont absentes, signale les en fin de procédure
3) OTMoveIt (de Old_Timer)
Double clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :
Paste standard List of Files/Folders to be moved.
C:\WINDOWS\system32\msiexeca.exe
Clique sur MoveIt! pour lancer la suppression.
Le résultat apparaîtra dans le cadre Results.
Clique sur Exit pour fermer.
Il te sera peut-être demander de faire redémarrer le PC pour achever la suppression.
si c'est le cas accepte par Yes.
4) Rapports
Fais redémarrer ton PC puis poste en réponse :
* Le rapport d’OTMoveIt situé dans C:\_OTMoveIt\MovedFiles (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date et l'heure)
* Un nouveau rapport HijackThis.
@ suivre
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.5.22.1 2008.05.22 -
AntiVir 7.8.0.19 2008.05.22 -
Authentium 5.1.0.4 2008.05.22 -
Avast 4.8.1195.0 2008.05.22 -
AVG 7.5.0.516 2008.05.22 -
BitDefender 7.2 2008.05.23 -
CAT-QuickHeal 9.50 2008.05.22 -
ClamAV 0.92.1 2008.05.23 -
DrWeb 4.44.0.09170 2008.05.23 -
eSafe 7.0.15.0 2008.05.22 -
eTrust-Vet 31.4.5814 2008.05.22 -
Ewido 4.0 2008.05.22 -
F-Prot 4.4.2.54 2008.05.16 -
F-Secure 6.70.13260.0 2008.05.22 -
Fortinet 3.14.0.0 2008.05.22 -
GData 2.0.7306.1023 2008.05.23 -
Ikarus T3.1.1.26.0 2008.05.23 -
Kaspersky 7.0.0.125 2008.05.23 -
McAfee 5301 2008.05.22 -
Microsoft 1.3520 2008.05.23 -
NOD32v2 3124 2008.05.23 -
Norman 5.80.02 2008.05.22 -
Panda 9.0.0.4 2008.05.22 -
Prevx1 V2 2008.05.23 -
Rising 20.45.32.00 2008.05.22 -
Sophos 4.29.0 2008.05.22 -
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.23 -
TheHacker 6.2.92.318 2008.05.23 -
VBA32 3.12.6.6 2008.05.22 -
VirusBuster 4.3.26:9 2008.05.22 -
Webwasher-Gateway 6.6.2 2008.05.23 -
Information additionnelle
File size: 4224 bytes
MD5...: da1f27d85e0d1525f6621372e7b685e9
SHA1..: e3d2dc5eb273fa701de8af13b60d6baac7629260
SHA256: 5a81a46a3bdd19dafc6c87d277267a5d44f3a1b5302f2cc1111d84b7bad5610d
SHA512: 8b8a95965ccaf51d578c2dd761abfc750fe464360e8244e5a06c2089586ac6fd
e2989e3ab7cc8b28a034c8c9fdba69c2641730674ca55d172d0d1a3e7e53fa8b
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x1066c
timedatestamp.....: 0x3b7d82e5 (Fri Aug 17 20:47:33 2001)
machinetype.......: 0x14c (I386)
( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x300 0x424 0x480 5.77 64f775a399d212649b5b58a280791c2d
.rdata 0x780 0xad 0x100 2.62 0ace5f365131534c66de4137833221ad
INIT 0x880 0x284 0x300 4.44 13a9d0bea8490140305ffa9291acfd99
.rsrc 0xb80 0x3c8 0x400 3.22 9b654fc1759147ff04b147754f347be4
.reloc 0xf80 0x9a 0x100 2.80 5c4742feb834ca0995d1e806fe06cc57
( 2 imports )
> ntoskrnl.exe: MmLockPagableDataSection, KeCancelTimer, MmUnlockPagableImageSection, IoStartNextPacket, KeSetTimer, _allmul, IoStartPacket, KeInitializeEvent, KeInitializeTimer, KeInitializeDpc, IoCreateDevice, RtlInitUnicodeString, IoAcquireCancelSpinLock, KeRemoveDeviceQueue, KeRemoveEntryDeviceQueue, IoReleaseCancelSpinLock, IoDeleteDevice, IofCompleteRequest
> HAL.dll: ExReleaseFastMutex, KfRaiseIrql, KfLowerIrql, HalMakeBeep, ExAcquireFastMutex
( 0 exports )
AhnLab-V3 2008.5.22.1 2008.05.22 -
AntiVir 7.8.0.19 2008.05.22 -
Authentium 5.1.0.4 2008.05.22 -
Avast 4.8.1195.0 2008.05.22 -
AVG 7.5.0.516 2008.05.22 -
BitDefender 7.2 2008.05.23 -
CAT-QuickHeal 9.50 2008.05.22 -
ClamAV 0.92.1 2008.05.23 -
DrWeb 4.44.0.09170 2008.05.23 -
eSafe 7.0.15.0 2008.05.22 -
eTrust-Vet 31.4.5814 2008.05.22 -
Ewido 4.0 2008.05.22 -
F-Prot 4.4.2.54 2008.05.16 -
F-Secure 6.70.13260.0 2008.05.22 -
Fortinet 3.14.0.0 2008.05.22 -
GData 2.0.7306.1023 2008.05.23 -
Ikarus T3.1.1.26.0 2008.05.23 -
Kaspersky 7.0.0.125 2008.05.23 -
McAfee 5301 2008.05.22 -
Microsoft 1.3520 2008.05.23 -
NOD32v2 3124 2008.05.23 -
Norman 5.80.02 2008.05.22 -
Panda 9.0.0.4 2008.05.22 -
Prevx1 V2 2008.05.23 -
Rising 20.45.32.00 2008.05.22 -
Sophos 4.29.0 2008.05.22 -
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.23 -
TheHacker 6.2.92.318 2008.05.23 -
VBA32 3.12.6.6 2008.05.22 -
VirusBuster 4.3.26:9 2008.05.22 -
Webwasher-Gateway 6.6.2 2008.05.23 -
Information additionnelle
File size: 4224 bytes
MD5...: da1f27d85e0d1525f6621372e7b685e9
SHA1..: e3d2dc5eb273fa701de8af13b60d6baac7629260
SHA256: 5a81a46a3bdd19dafc6c87d277267a5d44f3a1b5302f2cc1111d84b7bad5610d
SHA512: 8b8a95965ccaf51d578c2dd761abfc750fe464360e8244e5a06c2089586ac6fd
e2989e3ab7cc8b28a034c8c9fdba69c2641730674ca55d172d0d1a3e7e53fa8b
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x1066c
timedatestamp.....: 0x3b7d82e5 (Fri Aug 17 20:47:33 2001)
machinetype.......: 0x14c (I386)
( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x300 0x424 0x480 5.77 64f775a399d212649b5b58a280791c2d
.rdata 0x780 0xad 0x100 2.62 0ace5f365131534c66de4137833221ad
INIT 0x880 0x284 0x300 4.44 13a9d0bea8490140305ffa9291acfd99
.rsrc 0xb80 0x3c8 0x400 3.22 9b654fc1759147ff04b147754f347be4
.reloc 0xf80 0x9a 0x100 2.80 5c4742feb834ca0995d1e806fe06cc57
( 2 imports )
> ntoskrnl.exe: MmLockPagableDataSection, KeCancelTimer, MmUnlockPagableImageSection, IoStartNextPacket, KeSetTimer, _allmul, IoStartPacket, KeInitializeEvent, KeInitializeTimer, KeInitializeDpc, IoCreateDevice, RtlInitUnicodeString, IoAcquireCancelSpinLock, KeRemoveDeviceQueue, KeRemoveEntryDeviceQueue, IoReleaseCancelSpinLock, IoDeleteDevice, IofCompleteRequest
> HAL.dll: ExReleaseFastMutex, KfRaiseIrql, KfLowerIrql, HalMakeBeep, ExAcquireFastMutex
( 0 exports )
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.5.22.1 2008.05.23 -
AntiVir 7.8.0.19 2008.05.23 -
Authentium 5.1.0.4 2008.05.22 -
Avast 4.8.1195.0 2008.05.23 -
AVG 7.5.0.516 2008.05.23 -
BitDefender 7.2 2008.05.23 -
CAT-QuickHeal 9.50 2008.05.22 -
ClamAV 0.92.1 2008.05.23 -
DrWeb 4.44.0.09170 2008.05.23 -
eSafe 7.0.15.0 2008.05.22 -
eTrust-Vet 31.4.5815 2008.05.23 -
Ewido 4.0 2008.05.23 -
F-Prot 4.4.4.56 2008.05.23 -
F-Secure 6.70.13260.0 2008.05.23 -
Fortinet 3.14.0.0 2008.05.23 -
GData 2.0.7306.1023 2008.05.23 -
Ikarus T3.1.1.26.0 2008.05.23 -
Kaspersky 7.0.0.125 2008.05.23 -
McAfee 5301 2008.05.22 -
Microsoft 1.3520 2008.05.23 -
NOD32v2 3126 2008.05.23 -
Norman 5.80.02 2008.05.22 -
Panda 9.0.0.4 2008.05.23 -
Prevx1 V2 2008.05.23 -
Rising 20.45.42.00 2008.05.23 -
Sophos 4.29.0 2008.05.23 -
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.23 -
TheHacker 6.2.92.318 2008.05.23 -
VBA32 3.12.6.6 2008.05.22 -
VirusBuster 4.3.26:9 2008.05.23 -
Webwasher-Gateway 6.6.2 2008.05.23 -
Information additionnelle
File size: 4224 bytes
MD5...: da1f27d85e0d1525f6621372e7b685e9
SHA1..: e3d2dc5eb273fa701de8af13b60d6baac7629260
SHA256: 5a81a46a3bdd19dafc6c87d277267a5d44f3a1b5302f2cc1111d84b7bad5610d
SHA512: 8b8a95965ccaf51d578c2dd761abfc750fe464360e8244e5a06c2089586ac6fd
e2989e3ab7cc8b28a034c8c9fdba69c2641730674ca55d172d0d1a3e7e53fa8b
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x1066c
timedatestamp.....: 0x3b7d82e5 (Fri Aug 17 20:47:33 2001)
machinetype.......: 0x14c (I386)
( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x300 0x424 0x480 5.77 64f775a399d212649b5b58a280791c2d
.rdata 0x780 0xad 0x100 2.62 0ace5f365131534c66de4137833221ad
INIT 0x880 0x284 0x300 4.44 13a9d0bea8490140305ffa9291acfd99
.rsrc 0xb80 0x3c8 0x400 3.22 9b654fc1759147ff04b147754f347be4
.reloc 0xf80 0x9a 0x100 2.80 5c4742feb834ca0995d1e806fe06cc57
( 2 imports )
> ntoskrnl.exe: MmLockPagableDataSection, KeCancelTimer, MmUnlockPagableImageSection, IoStartNextPacket, KeSetTimer, _allmul, IoStartPacket, KeInitializeEvent, KeInitializeTimer, KeInitializeDpc, IoCreateDevice, RtlInitUnicodeString, IoAcquireCancelSpinLock, KeRemoveDeviceQueue, KeRemoveEntryDeviceQueue, IoReleaseCancelSpinLock, IoDeleteDevice, IofCompleteRequest
> HAL.dll: ExReleaseFastMutex, KfRaiseIrql, KfLowerIrql, HalMakeBeep, ExAcquireFastMutex
( 0 exports )
AhnLab-V3 2008.5.22.1 2008.05.23 -
AntiVir 7.8.0.19 2008.05.23 -
Authentium 5.1.0.4 2008.05.22 -
Avast 4.8.1195.0 2008.05.23 -
AVG 7.5.0.516 2008.05.23 -
BitDefender 7.2 2008.05.23 -
CAT-QuickHeal 9.50 2008.05.22 -
ClamAV 0.92.1 2008.05.23 -
DrWeb 4.44.0.09170 2008.05.23 -
eSafe 7.0.15.0 2008.05.22 -
eTrust-Vet 31.4.5815 2008.05.23 -
Ewido 4.0 2008.05.23 -
F-Prot 4.4.4.56 2008.05.23 -
F-Secure 6.70.13260.0 2008.05.23 -
Fortinet 3.14.0.0 2008.05.23 -
GData 2.0.7306.1023 2008.05.23 -
Ikarus T3.1.1.26.0 2008.05.23 -
Kaspersky 7.0.0.125 2008.05.23 -
McAfee 5301 2008.05.22 -
Microsoft 1.3520 2008.05.23 -
NOD32v2 3126 2008.05.23 -
Norman 5.80.02 2008.05.22 -
Panda 9.0.0.4 2008.05.23 -
Prevx1 V2 2008.05.23 -
Rising 20.45.42.00 2008.05.23 -
Sophos 4.29.0 2008.05.23 -
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.23 -
TheHacker 6.2.92.318 2008.05.23 -
VBA32 3.12.6.6 2008.05.22 -
VirusBuster 4.3.26:9 2008.05.23 -
Webwasher-Gateway 6.6.2 2008.05.23 -
Information additionnelle
File size: 4224 bytes
MD5...: da1f27d85e0d1525f6621372e7b685e9
SHA1..: e3d2dc5eb273fa701de8af13b60d6baac7629260
SHA256: 5a81a46a3bdd19dafc6c87d277267a5d44f3a1b5302f2cc1111d84b7bad5610d
SHA512: 8b8a95965ccaf51d578c2dd761abfc750fe464360e8244e5a06c2089586ac6fd
e2989e3ab7cc8b28a034c8c9fdba69c2641730674ca55d172d0d1a3e7e53fa8b
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x1066c
timedatestamp.....: 0x3b7d82e5 (Fri Aug 17 20:47:33 2001)
machinetype.......: 0x14c (I386)
( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x300 0x424 0x480 5.77 64f775a399d212649b5b58a280791c2d
.rdata 0x780 0xad 0x100 2.62 0ace5f365131534c66de4137833221ad
INIT 0x880 0x284 0x300 4.44 13a9d0bea8490140305ffa9291acfd99
.rsrc 0xb80 0x3c8 0x400 3.22 9b654fc1759147ff04b147754f347be4
.reloc 0xf80 0x9a 0x100 2.80 5c4742feb834ca0995d1e806fe06cc57
( 2 imports )
> ntoskrnl.exe: MmLockPagableDataSection, KeCancelTimer, MmUnlockPagableImageSection, IoStartNextPacket, KeSetTimer, _allmul, IoStartPacket, KeInitializeEvent, KeInitializeTimer, KeInitializeDpc, IoCreateDevice, RtlInitUnicodeString, IoAcquireCancelSpinLock, KeRemoveDeviceQueue, KeRemoveEntryDeviceQueue, IoReleaseCancelSpinLock, IoDeleteDevice, IofCompleteRequest
> HAL.dll: ExReleaseFastMutex, KfRaiseIrql, KfLowerIrql, HalMakeBeep, ExAcquireFastMutex
( 0 exports )
pourquoi il me disent que ce ficher a dejas été analysé ???
Le fichier a déjà été analysé:
MD5: da1f27d85e0d1525f6621372e7b685e9
First received: 2008.04.17 07:23:36 (CET)
Date 2008.05.23 15:26:38 (CET) [<1D]
Résultats 0/32
Le fichier a déjà été analysé:
MD5: da1f27d85e0d1525f6621372e7b685e9
First received: 2008.04.17 07:23:36 (CET)
Date 2008.05.23 15:26:38 (CET) [<1D]
Résultats 0/32
Re!il ma pas demander nide supprimer ni de redemaré lodrinateur voila les rapporrs:
C:\WINDOWS\system32\msiexeca.exe moved successfully.
OTMoveIt2 by OldTimer - Version 1.0.4.2 log created on 05232008_144238
C:\WINDOWS\system32\msiexeca.exe moved successfully.
OTMoveIt2 by OldTimer - Version 1.0.4.2 log created on 05232008_144238
et voilà pour hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:46:01, on 23/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\My Lockbox\flockbox.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [flockbox] C:\Program Files\My Lockbox\flockbox.exe /a
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O8 - Extra context menu item: Download all links with IDM - F:\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download FLV video content with IDM - F:\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Download with IDM - F:\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:46:01, on 23/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\My Lockbox\flockbox.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [flockbox] C:\Program Files\My Lockbox\flockbox.exe /a
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O8 - Extra context menu item: Download all links with IDM - F:\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download FLV video content with IDM - F:\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Download with IDM - F:\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
Re
On continu ;)
Afin de suivre la procédure correctement, je te conseille d'enregistrer la page en sélectionnant toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procédure correctement.
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscure, demande des explications avant de commencer la désinfection.
1) Télécharge et installe
-- CCleaner
https://www.ccleaner.com/ccleaner/download
Choisi de préférence la version SLIM-No Toolbar.
Installe-le en prenant soin de décocher les diverses options dont la barre Yahoo et la mise à jour.
Lance CCleaner puis Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".
Pour les autres paramètres, laisse-le avec ses réglages par défaut.
Ferme le programme pour l’instant.
-- Malwarebyte's Anti-Malware
http://www.malwarebytes.org/mbam/program/mbam-setup.exe
A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée. >>> clique sur OK
Lance Malwarebyte's Anti-Malware en double-cliquant sur l'icône sur ton Bureau.
Au premier lancement, une fenêtre t'annonce que la version est Free >>> clique sur OK
Laisse les Mises à jour se télécharger
Ferme le programme pour l’instant.
2) Scan avec Malwarebyte's Anti-Malware
Lance Malwarebyte's Anti-Malware
Onglet "Recherche" >>> coche Executer un exame complet >>> Rechercher sélectionne tes disques durs puis clique sur Lancer l’examen
A la fin du scan >>> clique sur Afficher les résultats puis sur Enregistrer le rapport
Suppression des éléments détectés >>>> clique sur Supprimer la sélection
S'il t'es demandé de redémarrer >>> clique sur "Yes"
--> Un rapport de scan s'ouvre, enregistre sur ton Bureau.
Puis ferme Malwarebyte's Anti-Malware
3) Suppression de fichiers inutiles avec CCleaner
Lance CCleaner en double-cliquant sur son raccourci sur le bureau.
Puis dans le menu Nettoyeur
Clique sur Analyse (laisser travailler cela peut durer longtemps la 1ere fois)
Clique sur le bouton Lancer le nettoyage.
Clique une seconde fois sur le bouton Lancer le nettoyage puis ferme CCleaner.
4) Rapports
Poste en réponse :
* Un nouveau rapport HijackThis
* Le rapport de Malwarebyte's Anti-Malware que tu as sauvegardé sur ton Bureau.
Bon courage
@+
Tuto Malwarebyte's Anti-Malware: https://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm
On continu ;)
Afin de suivre la procédure correctement, je te conseille d'enregistrer la page en sélectionnant toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procédure correctement.
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscure, demande des explications avant de commencer la désinfection.
1) Télécharge et installe
-- CCleaner
https://www.ccleaner.com/ccleaner/download
Choisi de préférence la version SLIM-No Toolbar.
Installe-le en prenant soin de décocher les diverses options dont la barre Yahoo et la mise à jour.
Lance CCleaner puis Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".
Pour les autres paramètres, laisse-le avec ses réglages par défaut.
Ferme le programme pour l’instant.
-- Malwarebyte's Anti-Malware
http://www.malwarebytes.org/mbam/program/mbam-setup.exe
A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée. >>> clique sur OK
Lance Malwarebyte's Anti-Malware en double-cliquant sur l'icône sur ton Bureau.
Au premier lancement, une fenêtre t'annonce que la version est Free >>> clique sur OK
Laisse les Mises à jour se télécharger
Ferme le programme pour l’instant.
2) Scan avec Malwarebyte's Anti-Malware
Lance Malwarebyte's Anti-Malware
Onglet "Recherche" >>> coche Executer un exame complet >>> Rechercher sélectionne tes disques durs puis clique sur Lancer l’examen
A la fin du scan >>> clique sur Afficher les résultats puis sur Enregistrer le rapport
Suppression des éléments détectés >>>> clique sur Supprimer la sélection
S'il t'es demandé de redémarrer >>> clique sur "Yes"
--> Un rapport de scan s'ouvre, enregistre sur ton Bureau.
Puis ferme Malwarebyte's Anti-Malware
3) Suppression de fichiers inutiles avec CCleaner
Lance CCleaner en double-cliquant sur son raccourci sur le bureau.
Puis dans le menu Nettoyeur
Clique sur Analyse (laisser travailler cela peut durer longtemps la 1ere fois)
Clique sur le bouton Lancer le nettoyage.
Clique une seconde fois sur le bouton Lancer le nettoyage puis ferme CCleaner.
4) Rapports
Poste en réponse :
* Un nouveau rapport HijackThis
* Le rapport de Malwarebyte's Anti-Malware que tu as sauvegardé sur ton Bureau.
Bon courage
@+
Tuto Malwarebyte's Anti-Malware: https://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm