virtumonde encore

Question

Bonsoir, tout d abord merci d exister et merci de votre patiente... voila mon soucis j ai ete infecté recemment par virtumonde j ai reussi dans un premier temps a l eliminer avec les questions reponses sur ce troyen. Mais apparement il est reapparu plus fort. j ai scanne avec Malwarebyte's anti malware et voici le rapport accrochez vous :


Version de la base de données: 791

Type de recherche: Examen complet (C:\|)
Eléments examinés: 192698
Temps écoulé: 1 hour(s), 20 minute(s), 14 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 10
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 12
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\atfxqogp.bsog (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\atfxqogp.toolbar.1 (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{9e6cd9df-5ef9-40f4-84fa-c4842eb1f283} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{de4a7692-b2cb-4d1a-9956-76a8a028caa0} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{1c2a0cbe-9c8b-49f3-9e56-bd989db7e8c3} (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\AXPFixer (Rogue.AdvancedXPFixer) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32 (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{9e6cd9df-5ef9-40f4-84fa-c4842eb1f283} (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\vltdfabw (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\vregfwlx (Trojan.FakeAlert) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Documents and Settings\faustine raybois\Application Data\AXPFixer (Rogue.AdvancedXPFixer) -> No action taken.
C:\Documents and Settings\faustine raybois\Application Data\AXPFixer\AXPFixer (Rogue.AdvancedXPFixer) -> No action taken.
C:\Documents and Settings\faustine raybois\Application Data\AXPFixer\AXPFixer\Quarantine (Rogue.AdvancedXPFixer) -> No action taken.
C:\Documents and Settings\faustine raybois\Application Data\AXPFixer\AXPFixer\Quarantine\Autorun (Rogue.AdvancedXPFixer) -> No action taken.
C:\Documents and Settings\faustine raybois\Application Data\AXPFixer\AXPFixer\Quarantine\BrowserObjects (Rogue.AdvancedXPFixer) -> No action taken.
C:\Documents and Settings\faustine raybois\Application Data\AXPFixer\AXPFixer\Quarantine\Packages (Rogue.AdvancedXPFixer) -> No action taken.
C:\Documents and Settings\faustine raybois\Application Data\AXPFixer\AXPFixer\Quarantine\Autorun\HKCU (Rogue.AdvancedXPFixer) -> No action taken.
C:\Documents and Settings\faustine raybois\Application Data\AXPFixer\AXPFixer\Quarantine\Autorun\HKLM (Rogue.AdvancedXPFixer) -> No action taken.
C:\Documents and Settings\faustine raybois\Application Data\AXPFixer\AXPFixer\Quarantine\Autorun\StartMenuAllUsers (Rogue.AdvancedXPFixer) -> No action taken.
C:\Documents and Settings\faustine raybois\Application Data\AXPFixer\AXPFixer\Quarantine\Autorun\StartMenuCurrentUser (Rogue.AdvancedXPFixer) -> No action taken.
C:\Documents and Settings\faustine raybois\Application Data\AXPFixer\AXPFixer\Quarantine\Autorun\HKCU\RunOnce (Rogue.AdvancedXPFixer) -> No action taken.
C:\Documents and Settings\faustine raybois\Application Data\AXPFixer\AXPFixer\Quarantine\Autorun\HKLM\RunOnce (Rogue.AdvancedXPFixer) -> No action taken.

Fichier(s) infecté(s):
C:\WINDOWS\system32\blackster.scr (Trojan.Agent) -> No action taken.
   



je n ai tente aucune action de quarantaine ou autre via mawarebyte's pour l instant....





voilci egalement le rapport hijackthis 


Scan saved at 22:12:18, on 27/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Microsoft Windows OneCare Live\Antivirus\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\a-squared Anti-Malware\a2service.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\o2flash.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Microsoft Windows OneCare Live\Firewall\msfwsvc.exe
C:\Program Files\Microsoft Windows OneCare Live\winss.exe
C:\Program Files\Microsoft Windows OneCare Live\winssnotify.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\Orange\systray\systrayapp.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Orange\Launcher\Launcher.exe
C:\Program Files\Orange\Deskboard\deskboard.exe
C:\Program Files\Orange\connectivity\connectivitymanager.exe
C:\Program Files\Orange\connectivity\CoreCom\CoreCom.exe
C:\Program Files\Orange\connectivity\CoreCom\OraConfigRecover.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
O3 - Toolbar: atfxqogp - {9E6CD9DF-5EF9-40F4-84FA-C4842EB1F283} - C:\WINDOWS\atfxqogp.dll (file missing)
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [fsc-reminder.exe] C:\WINDOWS\reminder\fsc-reminder.exe 2454007 14
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: @c:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: @c:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Program Files\Messenger\msmsgs.exe (file missing)
O15 - Trusted Zone: https://www.orange.fr/portail
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://sdlc-esd.sun.com/ESD40/JSCDL/jre/6u5-b19/jinstall-6u5-windows-i586-jc.cab?AuthParam=1209042383_9546408007631e2b353b0eeb11bb397b&GroupName=JSC&BHost=javadl.sun.com&FilePath=/ESD40/JSCDL/jre/6u5-b19/jinstall-6u5-windows-i586-jc.cab&File=jinstall-6u5-windows-i586-jc.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AA576FCA-EBE3-43B6-83A8-49E9C6EE1D3D}: NameServer = 192.168.1.1
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
O21 - SSODL: vregfwlx - {23BE381C-4F09-4DCD-81F8-A49B2B6B7700} - C:\WINDOWS\vregfwlx.dll (file missing)
O21 - SSODL: vltdfabw - {DC885009-3405-4A87-9981-B702405C248F} - C:\WINDOWS\vltdfabw.dll (file missing)
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Program Files\a-squared Anti-Malware\a2service.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe

g!rly · Answer

salut,

supprime les fichiers trouvés par malwarebytes puis vide sa quarantaine.

puis

Télécharge combofix.exe (par sUBs) sur ton Bureau.

-> http://download.bleepingcomputer.com/sUBs/ComboFix.exe     

-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

-> Tutoriel https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Post egalement un nouveau rapport hijack this stp

@+

Utilisateur anonyme · Answer

salut


je ne vois pas virtumonde là mais bon tu as fait 1 bon ménage avec malwarebytes !!

lance tout de meme ceci ,ca coute rien:

    Télécharge VirtumundoBegone sur le bureau:
    http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

    Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions.
    Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse avec un nouveau rapport HijackThis. 



Ne t'inquiète pas si tu vois un message Ecran bleu "Erreur fatale", c'est normal et attendu



aussi lance navilog stp et collele rapport :

lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
pour télécharger navilog1.exe.

Choisis Enregistrer

et enregistre-le sur ton bureau.

Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité du rapport dans ta réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

bises

g!rly · Answer

Salut FunnyGirl`

T´empiettes sur mes platebandes ?! LOL

Utilisateur anonyme · Answer

mdr oups ^^ ma friend précieuse

g!rly · Answer

re,

frederick tu veux faire quoi en mode sans echec ?

FREDERICK62 · Answer

voila le rapport de combofix :

boFix 08-05-26.2 - faustine raybois 2008-05-27 22:53:43.5 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.359 [GMT 2:00]
Endroit: C:\Documents and Settings\faustine raybois\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

((((((((((((((((((((((((((((( Fichiers créés 2008-04-27 to 2008-05-27 ))))))))))))))))))))))))))))))))))))
.

2008-05-27 22:09 . 2008-05-27 22:09 <REP> d-------- C:\Documents and Settings\faustine raybois\Application Data\Leadertech
2008-05-27 20:40 . 2008-05-27 20:40 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-05-27 20:40 . 2008-05-27 20:40 <REP> d-------- C:\Documents and Settings\faustine raybois\Application Data\Malwarebytes
2008-05-27 20:40 . 2008-05-27 20:40 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-05-27 20:40 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-27 20:40 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-05-27 04:35 . 2008-05-27 04:35 3,396 --a------ C:\WINDOWS\system32\OEMINFO.PNF
2008-05-27 01:40 . 2008-05-27 01:40 <REP> d-------- C:\Program Files\Avira
2008-05-27 01:40 . 2008-05-27 01:40 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-05-26 22:32 . 2007-11-27 22:56 116,416 --a------ C:\WINDOWS\system32\drivers\msfwhlpr.sys
2008-05-26 22:32 . 2007-11-27 22:56 91,328 --a------ C:\WINDOWS\system32\drivers\msfwdrv.sys
2008-05-26 22:31 . 2008-05-26 22:31 <REP> d-------- C:\WINDOWS\system32\bits
2008-05-26 22:31 . 2007-07-06 15:09 70,928 --a------ C:\WINDOWS\system32\drivers\MpFilter.sys
2008-05-26 22:30 . 2007-03-29 14:58 7,168 -----c--- C:\WINDOWS\system32\dllcache\bitsprx4.dll
2008-05-26 22:30 . 2007-03-29 14:58 7,168 --------- C:\WINDOWS\system32\bitsprx4.dll
2008-05-26 22:22 . 2008-05-27 19:40 <REP> d-------- C:\Program Files\Microsoft Windows OneCare Live
2008-05-26 19:36 . 2008-05-26 19:43 <REP> d-------- C:\killpage
2008-05-26 16:20 . 2006-06-22 13:40 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
2008-05-26 16:20 . 2006-06-22 13:40 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-05-26 16:20 . 2006-06-22 11:48 <REP> d--h----- C:\Documents and Settings\Administrateur\Modèles
2008-05-26 16:20 . 2006-06-28 16:53 <REP> dr------- C:\Documents and Settings\Administrateur\Mes documents
2008-05-26 16:20 . 2006-06-22 13:24 <REP> dr------- C:\Documents and Settings\Administrateur\Menu Démarrer
2008-05-26 16:20 . 2006-06-28 16:53 <REP> dr------- C:\Documents and Settings\Administrateur\Favoris
2008-05-26 16:20 . 2006-06-22 13:24 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-05-26 16:20 . 2006-06-22 13:34 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\ATI
2008-05-26 16:20 . 2008-05-26 16:20 <REP> d-------- C:\Documents and Settings\Administrateur
2008-05-26 13:45 . 2008-05-26 13:45 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-05-26 11:09 . 2008-05-26 11:09 <REP> d-------- C:\Program Files\Trend Micro
2008-05-26 01:18 . 2008-05-26 02:37 <REP> d-------- C:\Program Files\ATS2
2008-05-26 00:24 . 2008-05-26 00:24 <REP> d-------- C:\VundoFix Backups
2008-05-25 21:36 . 2008-05-25 21:43 <REP> d-------- C:\Program Files\EoRezo
2008-05-25 21:36 . 2008-05-25 21:42 <REP> d-------- C:\Documents and Settings\faustine raybois\Application Data\EoRezo
2008-05-25 20:09 . 2008-05-26 12:19 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2008-05-25 20:09 . 2008-05-26 12:20 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-05-25 18:46 . 2008-05-25 18:46 <REP> d-------- C:\Program Files\Avast.Antivirus.Pro.v4.7.892.FR.Incl-Keygen
2008-05-24 19:23 . 2008-05-25 23:11 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-05-24 18:48 . 2008-05-25 23:13 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-05-15 00:04 . 2008-05-15 00:04 360,832 --a------ C:\WINDOWS\system32\drivers\TCPIP.SYS.ORIGINAL
2008-05-14 16:34 . 2008-05-22 16:07 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-05-14 16:34 . 2008-05-14 16:34 1,409 --a------ C:\WINDOWS\QTFont.for
2008-05-13 15:02 . 2008-05-13 15:02 <REP> d-------- C:\Documents and Settings\faustine raybois\Application Data\Publish Providers
2008-05-13 15:02 . 2008-05-13 15:02 <REP> d-------- C:\Documents and Settings\faustine raybois\Application Data\NetMedia Providers
2008-05-13 14:58 . 2008-05-13 14:58 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Sony
2008-05-13 14:57 . 2002-12-17 16:23 33,340 --------- C:\WINDOWS\system32\dbmsqlgc.dll
2008-05-13 14:57 . 2002-10-20 14:05 24,576 --------- C:\WINDOWS\system32\dbmsgnet.dll
2008-05-13 14:56 . 2008-05-13 14:56 <REP> d-------- C:\Program Files\Microsoft SQL Server
2008-05-13 14:55 . 2008-05-13 14:55 <REP> d-------- C:\Program Files\Sony
2008-05-13 14:39 . 2008-05-13 14:39 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Pinnacle
2008-05-13 14:33 . 2002-09-26 17:34 153,088 --a------ C:\WINDOWS\system32\IWUninstall.exe
2008-05-13 14:32 . 1998-10-29 15:45 306,688 --a------ C:\WINDOWS\IsUninst.exe
2008-05-13 14:31 . 2008-05-13 14:31 <REP> d-------- C:\Documents and Settings\faustine raybois\WINDOWS
2008-05-13 14:29 . 2008-05-13 14:30 <REP> d-------- C:\Program Files\Steinberg
2008-05-13 10:39 . 2008-05-13 10:39 <REP> d-------- C:\Program Files\Fichiers communs\AVSMedia
2008-05-13 10:39 . 2008-05-13 10:39 <REP> d-------- C:\Program Files\AVS4YOU
2008-05-13 10:39 . 2008-05-13 10:39 <REP> d-------- C:\Documents and Settings\faustine raybois\Application Data\AVS4YOU
2008-05-13 10:39 . 2008-05-13 10:39 <REP> d-------- C:\Documents and Settings\All Users\Application Data\AVS4YOU
2008-05-13 10:39 . 2006-03-03 10:02 658,432 --a------ C:\WINDOWS\system32\cc3270mt.dll
2008-05-13 10:39 . 2002-01-05 15:40 487,424 --a------ C:\WINDOWS\system32\msvcp70.dll
2008-05-13 10:36 . 2008-05-13 10:36 <REP> d-------- C:\Program Files\LitexMedia
2008-05-09 16:12 . 2008-05-09 16:12 <REP> d-------- C:\Program Files\SAGEM
2008-05-09 15:58 . 2008-05-09 15:58 <REP> d-------- C:\Program Files\Securitoo
2008-05-05 20:45 . 2008-05-05 20:47 218 --a------ C:\WINDOWS\MPW.INI
2008-05-05 20:29 . 2004-01-23 19:56 345,604 --a------ C:\WINDOWS\system32\msinfhlp.exe
2008-05-05 20:29 . 2000-07-15 00:00 98,192 --a------ C:\WINDOWS\system32\vjreg.exe
2008-05-05 20:26 . 2008-05-05 20:47 <REP> d-------- C:\Program Files\Ihsv
2008-05-05 20:24 . 2008-05-26 00:01 554 --a------ C:\WINDOWS\wininit.ini
2008-05-05 20:23 . 2008-05-05 20:32 <REP> d-------- C:\Program Files\Zylom Games
2008-05-05 20:23 . 2008-05-05 20:23 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Zylom
2008-05-02 16:08 . 1996-08-20 20:37 15,840 --a------ C:\WINDOWS\system32\Machnm1.exe
2008-05-02 16:08 . 2005-09-25 16:37 5,632 --a------ C:\WINDOWS\system32\Machnm64.sys
2008-05-02 16:08 . 2008-05-02 16:08 3,120 --a------ C:\WINDOWS\system32\118290.54
2008-05-02 16:08 . 2008-05-02 16:08 3,120 --a------ C:\WINDOWS\118294.78
2008-05-02 16:08 . 2003-08-13 00:27 2,304 --a------ C:\WINDOWS\system32\Machnm32.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-26 22:45 --------- d-----w C:\Program Files\eMule
2008-05-26 10:01 --------- d-----w C:\Program Files\Google
2008-05-25 19:38 --------- d-----w C:\Program Files\Alwil Software
2008-05-14 22:30 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2008-05-14 22:04 360,832 ----a-w C:\WINDOWS\system32\drivers\TCPIP.SYS
2008-05-13 13:01 --------- d-----w C:\Documents and Settings\faustine raybois\Application Data\Sony
2008-05-13 12:54 --------- d-----w C:\Program Files\Sony Setup
2008-05-09 14:17 --------- d-----w C:\Program Files\Orange
2008-05-06 22:47 --------- d-----w C:\Program Files\a-squared Anti-Malware
2008-05-06 15:08 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-30 14:50 --------- d-----w C:\Documents and Settings\faustine raybois\Application Data\Winamp
2008-04-28 12:46 1,790 ----a-w C:\Documents and Settings\faustine raybois\Application Data\wklnhst.dat
2008-04-28 12:45 --------- d-----w C:\Documents and Settings\faustine raybois\Application Data\OpenOffice.org2
2008-04-25 17:25 --------- d-----w C:\Program Files\Messenger Plus! Live
2008-04-24 13:39 --------- d-----w C:\Documents and Settings\faustine raybois\Application Data\LimeWire
2008-04-24 13:38 --------- d-----w C:\Program Files\LimeWire
2008-04-24 13:06 --------- d-----w C:\Program Files\Java
2008-04-24 13:04 --------- d-----w C:\Program Files\Fichiers communs\Java
2008-04-19 16:07 --------- d-----w C:\Documents and Settings\faustine raybois\Application Data\BitTorrent
2008-04-08 00:28 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files
2008-04-02 17:33 --------- d-----w C:\Program Files\SLD Codec Pack
2008-04-02 14:45 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-04-02 13:27 --------- d-----w C:\Program Files\Winamp Toolbar
2008-04-02 13:27 --------- d-----w C:\Program Files\Winamp
2008-03-31 16:19 --------- d-----w C:\Documents and Settings\All Users\Application Data\WinZip
2008-03-30 19:17 --------- d-----w C:\Documents and Settings\All Users\Application Data\Messenger Plus!
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 194,144 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-01 12:58 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
.

------- Sigcheck -------

2004-08-05 14:00 359040 9f4b36614a0fc234525ba224957de55c C:\WINDOWS\$NtUninstallKB889527$\tcpip.sys
2005-05-25 21:07 359936 63fdfea54eb53de2d863ee454937ce1e C:\WINDOWS\$NtUninstallKB913446$\tcpip.sys
2006-01-13 19:07 360448 5562cc0a47b2aef06d3417b733f3c195 C:\WINDOWS\$NtUninstallKB917953$\tcpip.sys
2006-04-20 14:18 360576 b2220c618b42a2212a59d91ebd6fc4b4 C:\WINDOWS\$NtUninstallKB941644$\tcpip.sys
2008-05-15 00:04 360832 ddd3d4ae703c7ceee45041b58ae243ff C:\WINDOWS\system32\dllcache\TCPIP.SYS
2008-05-15 00:04 360832 ddd3d4ae703c7ceee45041b58ae243ff C:\WINDOWS\system32\drivers\TCPIP.SYS
.
((((((((((((((((((((((((((((( snapshot@2008-05-26_16.05.26.00 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-26 14:01:44 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-26 23:06:12 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-26 20:25:47 10,134 ----a-r C:\WINDOWS\Installer\{CA40DD4F-D30E-4622-8783-1ED1E81340C2}\ARPPRODUCTICON.exe
+ 2007-03-29 12:58:56 409,600 ------w C:\WINDOWS\system32\bits\qmgr.dll
- 2004-08-05 12:00:00 8,192 ----a-w C:\WINDOWS\system32\bitsprx2.dll
+ 2007-03-29 12:58:56 8,192 ----a-w C:\WINDOWS\system32\bitsprx2.dll
- 2004-08-05 12:00:00 7,168 ----a-w C:\WINDOWS\system32\bitsprx3.dll
+ 2007-03-29 12:58:56 7,168 ----a-w C:\WINDOWS\system32\bitsprx3.dll
- 2004-08-05 12:00:00 8,192 -c--a-w C:\WINDOWS\system32\dllcache\bitsprx2.dll
+ 2007-03-29 12:58:56 8,192 -c--a-w C:\WINDOWS\system32\dllcache\bitsprx2.dll
- 2004-08-05 12:00:00 7,168 -c--a-w C:\WINDOWS\system32\dllcache\bitsprx3.dll
+ 2007-03-29 12:58:56 7,168 -c--a-w C:\WINDOWS\system32\dllcache\bitsprx3.dll
- 2004-08-05 12:00:00 382,464 -c--a-w C:\WINDOWS\system32\dllcache\qmgr.dll
+ 2007-03-29 12:58:56 409,600 -c--a-w C:\WINDOWS\system32\dllcache\qmgr.dll
- 2004-08-05 12:00:00 18,944 -c--a-w C:\WINDOWS\system32\dllcache\qmgrprxy.dll
+ 2007-03-29 12:58:56 18,944 -c--a-w C:\WINDOWS\system32\dllcache\qmgrprxy.dll
+ 2008-01-21 16:12:56 41,792 ----a-w C:\WINDOWS\system32\drivers\avgntdd.sys
+ 2008-01-21 16:11:28 22,336 ----a-w C:\WINDOWS\system32\drivers\avgntmgr.sys
+ 2008-03-04 11:28:53 79,424 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys
- 2007-03-07 23:51:00 9,336 ------w C:\WINDOWS\system32\drivers\cdr4_xp.sys
+ 2007-10-17 00:00:00 9,072 ----a-w C:\WINDOWS\system32\drivers\cdr4_xp.sys
- 2007-03-07 23:51:00 9,464 ------w C:\WINDOWS\system32\drivers\cdralw2k.sys
+ 2007-10-17 00:00:00 9,200 ----a-w C:\WINDOWS\system32\drivers\cdralw2k.sys
- 2007-03-07 23:51:00 43,528 ------w C:\WINDOWS\system32\drivers\PxHelp20.sys
+ 2007-11-14 01:00:00 43,840 ----a-w C:\WINDOWS\system32\drivers\pxhelp20.sys
+ 2007-03-01 08:34:22 28,352 ----a-w C:\WINDOWS\system32\drivers\ssmdrv.sys
+ 2007-11-14 12:08:54 68,080 ----a-w C:\WINDOWS\system32\drvins64.exe
+ 2007-07-06 13:09:12 70,928 -c--a-w C:\WINDOWS\system32\DRVSTORE\mpfilter_0936DF291BECD94BBDF58C04F3A4987284FC74FB\mpfilter.sys
+ 2007-11-27 20:56:28 91,328 -c--a-w C:\WINDOWS\system32\DRVSTORE\msfwdrv_8B7A77566FDBAD6964DFFFCFFDA27E97D55990D5\msfwdrv.sys
+ 2007-11-27 20:56:30 116,416 -c--a-w C:\WINDOWS\system32\DRVSTORE\msfwhlpr_0D06EB3A0072EC31805FD097692DFF987F98BDA6\msfwhlpr.sys
- 2007-03-07 23:51:00 547,576 ------w C:\WINDOWS\system32\px.dll
+ 2007-07-05 15:55:04 567,792 ----a-w C:\WINDOWS\system32\Px.dll
- 2007-03-07 23:51:00 64,760 ------w C:\WINDOWS\system32\pxcpya64.exe
+ 2007-11-14 12:08:58 66,544 ----a-w C:\WINDOWS\system32\pxcpya64.exe
- 2006-04-06 18:15:29 108,544 ------w C:\WINDOWS\system32\pxcpyi64.exe
+ 2007-11-14 12:08:58 120,304 ----a-w C:\WINDOWS\system32\pxcpyi64.exe
- 2007-03-07 23:51:00 510,712 ------w C:\WINDOWS\system32\pxdrv.dll
+ 2007-06-06 23:02:00 535,288 ----a-w C:\WINDOWS\system32\pxdrv.dll
- 2007-03-07 23:51:00 64,760 ------w C:\WINDOWS\system32\pxinsa64.exe
+ 2007-11-14 12:08:54 65,008 ----a-w C:\WINDOWS\system32\pxinsa64.exe
- 2006-04-06 18:15:29 109,568 ------w C:\WINDOWS\system32\pxinsi64.exe
+ 2007-11-14 12:08:56 118,256 ----a-w C:\WINDOWS\system32\pxinsi64.exe
- 2007-03-07 23:51:00 187,128 ------w C:\WINDOWS\system32\pxmas.dll
+ 2007-07-05 15:55:06 186,864 ----a-w C:\WINDOWS\system32\PxMas.dll
- 2007-03-07 23:51:00 1,628,920 ------w C:\WINDOWS\system32\pxsfs.dll
+ 2007-07-05 15:55:08 1,649,136 ----a-w C:\WINDOWS\system32\PxSFS.DLL
- 2007-03-07 23:51:00 379,640 ------w C:\WINDOWS\system32\pxwave.dll
+ 2007-07-05 15:55:08 379,376 ----a-w C:\WINDOWS\system32\PxWave.dll
+ 2007-07-05 15:55:10 158,192 ----a-w C:\WINDOWS\system32\pxwma.dll
- 2004-08-05 12:00:00 382,464 ----a-w C:\WINDOWS\system32\qmgr.dll
+ 2007-03-29 12:58:56 409,600 ----a-w C:\WINDOWS\system32\qmgr.dll
- 2004-08-05 12:00:00 18,944 ----a-w C:\WINDOWS\system32\qmgrprxy.dll
+ 2007-03-29 12:58:56 18,944 ----a-w C:\WINDOWS\system32\qmgrprxy.dll
- 2007-03-06 01:34:33 15,072 ------w C:\WINDOWS\system32\spmsg.dll
+ 2005-10-12 23:15:23 15,072 ------w C:\WINDOWS\system32\spmsg.dll
- 2007-03-07 23:51:00 39,672 ------w C:\WINDOWS\system32\vxblock.dll
+ 2007-03-25 23:00:00 88,824 ----a-w C:\WINDOWS\system32\vxblock.dll
+ 2008-05-26 23:07:58 16,384 ----atw C:\WINDOWS\TEMP\Perflib_Perfdata_6dc.dat
+ 2005-09-22 21:49:12 95,744 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.VC80.ATL_1fc8b3b9a1e18e3b_8.0.50727.42_x-ww_6e805841\ATL80.dll
.
-- Snapshot reset to current date --
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}]
2008-03-20 00:36 1267040 --a------ C:\Program Files\Winamp Toolbar\winamptb.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= "C:\Program Files\Winamp Toolbar\winamptb.dll" [2008-03-20 00:36 1267040]

[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= C:\Program Files\Winamp Toolbar\winamptb.dll [2008-03-20 00:36 1267040]

[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]
"fsc-reminder.exe"="C:\WINDOWS\reminder\fsc-reminder.exe" [ ]
"WOOKIT"="C:\PROGRA~1\Wanadoo\GestMaj.exe" [ ]
"BitTorrent"="C:\Program Files\BitTorrent\bittorrent.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"vregfwlx"= {23BE381C-4F09-4DCD-81F8-A49B2B6B7700} - C:\WINDOWS\vregfwlx.dll [ ]
"vltdfabw"= {DC885009-3405-4A87-9981-B702405C248F} - C:\WINDOWS\vltdfabw.dll [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= l3codecp.acm

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\jqX64.sys]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\lsA18.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\OneCareMP]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Xgn86.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\Orange\\Connectivity\\ConnectivityManager.exe"=
"C:\\Program Files\\eMule\\emule.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"18775:TCP"= 18775:TCP:Emule TCP
"39488:UDP"= 39488:UDP:Emule UDP

R0 O2MDRDR;O2MDRDR;C:\WINDOWS\system32\DRIVERS\o2media.sys [2006-02-27 16:00]
R0 O2SDRDR;O2SDRDR;C:\WINDOWS\system32\DRIVERS\o2sd.sys [2006-02-20 17:01]
S0 lsA18;lsA18;C:\WINDOWS\system32\Drivers\lsA18.sys []
S3 BrScnUsb;Brother USB Still Image driver;C:\WINDOWS\system32\DRIVERS\BrScnUsb.sys [2004-10-15 13:50]
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08]

*Newly Created Service* - ANTIVIRSCHEDULER
*Newly Created Service* - ANTIVIRSERVICE
*Newly Created Service* - AVIPBB
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-05-27 20:23:01 C:\WINDOWS\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job"
- C:\Program Files\Windows Live Toolbar\MSNTBUP.EXE
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-27 22:56:40
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-05-27 22:57:48
ComboFix-quarantined-files.txt 2008-05-27 20:57:34
ComboFix2.txt 2008-05-26 17:43:30

Pre-Run: 15,979,732,992 octets libres
Post-Run: 16,038,322,176 octets libres

273 --- E O F --- 2008-05-16 03:01:29

et le rapport highjackthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:05:45, on 27/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Microsoft Windows OneCare Live\Antivirus\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\a-squared Anti-Malware\a2service.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\o2flash.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Microsoft Windows OneCare Live\Firewall\msfwsvc.exe
C:\Program Files\Microsoft Windows OneCare Live\winss.exe
C:\Program Files\Microsoft Windows OneCare Live\winssnotify.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\Orange\systray\systrayapp.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Microsoft Windows OneCare Live\WinSSUI.exe
C:\Program Files\Orange\Launcher\Launcher.exe
C:\Program Files\Orange\connectivity\connectivitymanager.exe
C:\Program Files\Orange\Deskboard\deskboard.exe
C:\Program Files\Orange\connectivity\CoreCom\CoreCom.exe
C:\Program Files\Orange\connectivity\CoreCom\OraConfigRecover.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
O3 - Toolbar: (no name) - {9E6CD9DF-5EF9-40F4-84FA-C4842EB1F283} - (no file)
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [fsc-reminder.exe] C:\WINDOWS\reminder\fsc-reminder.exe 2454007 14
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: @c:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: @c:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Program Files\Messenger\msmsgs.exe (file missing)
O15 - Trusted Zone: https://www.orange.fr/portail
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://sdlc-esd.sun.com/ESD40/JSCDL/jre/6u5-b19/jinstall-6u5-windows-i586-jc.cab?AuthParam=1209042383_9546408007631e2b353b0eeb11bb397b&GroupName=JSC&BHost=javadl.sun.com&FilePath=/ESD40/JSCDL/jre/6u5-b19/jinstall-6u5-windows-i586-jc.cab&File=jinstall-6u5-windows-i586-jc.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AA576FCA-EBE3-43B6-83A8-49E9C6EE1D3D}: NameServer = 192.168.1.1
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
O21 - SSODL: vregfwlx - {23BE381C-4F09-4DCD-81F8-A49B2B6B7700} - C:\WINDOWS\vregfwlx.dll (file missing)
O21 - SSODL: vltdfabw - {DC885009-3405-4A87-9981-B702405C248F} - C:\WINDOWS\vltdfabw.dll (file missing)
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Program Files\a-squared Anti-Malware\a2service.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe

g!rly · Answer

Frederick62,

la suite :

Copie le texte ci-dessous :

File::
C:\WINDOWS\system32\dllcache\bitsprx4.dll
C:\WINDOWS\WinCtrl32
C:\WINDOWS\reminder\fsc-reminder.exe

Folder::
C:\Program Files\EoRezo
C:\WINDOWS\system32\bits

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"fsc-reminder.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://sd-1.archive-host.com/membres/up/1366464061/CFScript.gif

Cela va relancer Combofix, 

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

S'il n'y a pas de rédémarrage, poste quand même les rapports.

@+

g!rly · Answer

fais ceci :

Télécharge OAD http://sosvirus.changelog.fr/OAD.exe
- Enregistre le sur ton bureau

Double clique sur le OAD pour le lancer

- nom de fichier à rechercher tape ou fais un copier coller de :

WinCtrl32

- Type de recherche : sélectionne l'option 6 puis valide

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ait terminé.
Le rapport de recherche s'affichera automatiquement à l’écran dès qu'il aura terminé.

- Fais un copier / coller de ce rapport dans ton prochain post.

Note importante : Suivant la taille des disques durs cette recherche peut prendre plusieurs minutes. Sois patient

@+

FREDERICK62 · Answer

voila donc le rapport de OAD je pense que virtumonde a ete mis KO par g!rly c est ca non!!!!!

FREDERICK62 · Answer

oooooops j oublie le rapport!!!!!!!!!!!!!!
 27/05/2008 ---- 23:48:09,28  

----------------------------------
§§§§§§ [WinCtrl32 ] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************

Aucune entrée détectée

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------

g!rly · Answer

oui il ne le trouve pas...

;-)

Fais un scan avec cet antispyware :

Telecharge malwarebytes + tutoriel :

-> https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

Tu l´instale; le programme va se mettre automatiquement a jour.

Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".

Click maintenant sur l´onglet recherche et coche la case : "executer un examun complet".

Puis click sur "rechercher".

Laisse le scanner le pc... 

Si des elements on ete trouvés > click sur supprimer la selection.

si il t´es demandé de redemarrer > click sur "yes".

A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.

Copie et colle le rapport stp.

je repasserais que demain soir maintenant...

bonne fin de soirée

@+

FREDERICK62 · Answer

oui en plus ce scan va prendre du temps. en tout cas enorme merci pour ta disponibilite et la clarte des  tes explications et chapeau pour la connaissance informatique sur les troyens.... je poste le rapport apres scan. Bonne nuit @ demain pour le diagnostic final et encore merci docteur!!!

g!rly · Answer

merci merci ;-)
sweet dreams`

Utilisateur anonyme · Answer

méchante va loool          merdouilleg pu d'antivirus etop alerte  mais jen veu pas d'avast etc!!!!!!!!!!!!!!!snif méchante looool   rooooooooooooo merde ca arrive pas a midi ca! nannnnnnnnnnnnnnnnnnnnnnnnn ca féfuna 1h grrrrrrrrrrrrrrrrrrrrrrrrr.




kisses

Utilisateur anonyme · Answer

toujours là ^^

désistalle spybot  (sachant tu remet kan tu ve!) désinstalle le déjà!!! beaucoup de gens se prenne la tete avec a ske jvoi! inutilement ! desolée d fautes  etc ^^

Utilisateur anonyme · Answer

lance ceci kan meme !!on trouve onvire:

Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
Au menu principal, choisis 2 et valide.

Le fix va t'informer qu'il va alors redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle.

Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Le blocnote va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver
Referme le blocnote. Ton bureau va réapparaitre

PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Tape explorer et valide. Celà te fera apparaitre ton bureau.


poste le rapport stp

kiss

FREDERICK62 · Answer

voici le rapport



Clean Navipromo version 3.5.7 commencé le 28/05/2008 à  2:40:23,48

Outil exécuté depuis C:\Program Files
avilog1
Session actuelle : "faustine raybois" 

Mise à jour le 11.05.2008 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13
Système de fichiers : NTFS

Mode suppression automatique 
avec prise en charge résultats Catchme et GNS


Nettoyage exécuté au redémarrage de l'ordinateur


 
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)
 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\WINDOWS\System32" *


* Suppression dans "C:\Documents and Settings\faustine raybois\locals~1\applic~1" * 


* Suppression dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" * 



*** Suppression dossiers dans "C:\WINDOWS" ***


*** Suppression dossiers dans "C:\Program Files" ***


*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Suppression dossiers dans "c:\docume~1\alluse~1\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\faustine raybois\applic~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" *** 


*** Suppression dossiers dans "C:\Documents and Settings\faustine raybois\locals~1\applic~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *** 


*** Suppression dossiers dans "C:\Documents and Settings\faustine raybois\menudm~1\progra~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" *** 



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\faustine raybois\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans "C:\WINDOWS\system32" *


* Dans "C:\Documents and Settings\faustine raybois\locals~1\applic~1" * 


* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" * 


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup absent !
Certificat Electronic-Group supprimé !
Certificat OOO-Favorit supprimé !
Certificat Sunny-Day-Design-Ltdt absent !

*** Nettoyage terminé le 28/05/2008 à  2:44:10,28 ***

Utilisateur anonyme · Answer

on vire doucement mais surement!!!!



jevais te laisser car g faim et chui hs !!! jte suhaite bonne fin de nuit 

a taleur vous2

bizzz

Utilisateur anonyme · Answer

merci!!!!!!!!!!!!! oui entre  the g!rly et moi les virus se tue pas à  pas^^ lol vla le slogan oula wai , v zialer lol

doux reves a toi     et bon gr0000000000000 d0d0  a toi aussi!au poste pour le pointage !!! kissss

g!rly · Answer

Salut frederick62,

post un nouveau rapport hijack this stp

@+

g!rly · Answer

Salut,

oui pas mal la journée ;-)

Fix.reg

Ouvre le bloc-notes (click droit sur le bureau > dans l´arborescence choisie nouveau et nouveau fichier texte) et fais un copier coller de ce qui est en citation ci-dessous (copie tout d'un trait-sans les barres(x)) :

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WinCtrl32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Note : Regedit4 est sur la premiere ligne dans le bloc note et il y a une ligne blanche a la fin. 
Puis click sur "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : fix.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"

ca doit ressembler a ca une fois enrregistré :

http://img520.imageshack.us/img520/4251/screenshot005ps2.png

double clique sur fix.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"

A l´aide de hijack this coche et fix :

O3 - Toolbar: (no name) - {9E6CD9DF-5EF9-40F4-84FA-C4842EB1F283} - (no file)
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: @c:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: @c:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Program Files\Messenger\msmsgs.exe (file missing)
O21 - SSODL: vregfwlx - {23BE381C-4F09-4DCD-81F8-A49B2B6B7700} - C:\WINDOWS\vregfwlx.dll (file missing)
O21 - SSODL: vltdfabw - {DC885009-3405-4A87-9981-B702405C248F} - C:\WINDOWS\vltdfabw.dll (file missing)

puis

fais un scan complet de ta machine avec antivir avec les reglages ci dessous, en mode sans echec.

une fois antivir ouvert click surconfiguration et coche la case "expert mode" puis sur l´onglet scanner dans la fenetre du dessous tu va voir : rootkit search click sur le petit + pour deployer et coche la case a coté de ton disk dur
puis click sur configuration en haut a droite; dans la nouvelle fenetre a gauche >scanner > coche "scan all files" et en dessous >scanner priority = High
coche : allow stopping the scanner, comme cela tu peux faire une pause pendant le scan si tu le desir.
puis sur la droite coche les case suivantes : 
scan boot sectors of selected drives
scan master boot sectors
scan memory
search foe rootkit before scan
decoche :
ignore off line files
toujours a gauche > scan > deploie > heuristique > macrovirus heuristic = coché et en dessous > win32 heuristic la case coché et high detection level

Post le rapport généré et un nouveau rapport hijack this

@+

g!rly · Answer

Salut frederick62,

ca a l´air bien en effet ;-)

pour ta securité :

mises a jour importantes :

regarde ce tutorial pour mettre ta console java a jour :
 
https://www.malekal.com/maintenir-java-adobe-reader-et-le-player-flash-a-jour/

ta version de acrobat reader n´est pas a jour, tu veux la version 8.1 derniere en date alors desinstale ta version par le panneau de configuration / ajoue et suppression de programme

et instale la derniere :

https://get2.adobe.com/reader/otherversions/

ou oublie completement acrobat reader et instales foxit plus léger a la place:

https://www.clubic.com/telecharger-fiche13808-foxit-reader.html

pourquoi ne pas surfer avec firefox? = plus sur,  tout en gardant ie 7.0 pour les mises a jour windows car impossible a effectuer sous firefox

http://www.mozilla-europe.org/fr/

plugins :ad block plus, no script, ect...

https://www.hugedomains.com/domain_profile.cfm?d=geckozone&e=org

zone alarm n´est pas terrible...

Comodo 3 pro est mieux ;)

http://www.commentcamarche.net/telecharger/telecharger 34055041 comodo firewall pro

tuto : https://www.malekal.com/tutorial-comodo-firewall/

antispyware resident :

spywareblaster :

http://www.brightfort.com/spywareblaster.html

et

spyware gard :

https://www.zebulon.fr/dossiers/securite/47-spywareguard.html

spybot ne va pas etre compatible car il contient un hips comme comodo...

tu as du boulot ,)

@+

g!rly · Answer

Ok frederick62,

Merci`

Bonne continuation`

Bye`

g!rly`

PS : POUR SUPPRIMER LES OUTILS ET FIX UTILISÉS :

Télécharge ToolsCleaner sur ton bureau.
--> http://www.commentcamarche.net/telecharger/telechargement 34055291 toolsclean(...)
# Clique sur Recherche et laisse le scan agir ...
# Clique sur Suppression pour finaliser.
# Tu peux, si tu le souhaites, te servir des Options facultatives.
# Clique sur Quitter pour obtenir le rapport.
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). 

...

g!rly · Answer

mince...

essaie celui ci :

Online armor :

http://www.commentcamarche.net/telecharger/telecharger 34055356 online armor personal firewall

tuto : https://www.malekal.com/tutorial-online-armor-free/

@+

FREDERICK62 · Answer

j ai don tout intaller comme tu me l as dit et voici le rappot de tools cleaner
- Recherche: 

C:\Vundofix backups: trouvé !
C:\Qoobox: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: trouvé !
C:\Documents and Settings\faustine raybois\Bureau\HJTInstall.exe: trouvé !
C:\Documents and Settings\faustine raybois\Recent\HijackThis.lnk: trouvé !
C:\Program Files\Navilog1: trouvé !
C:\Program Files\Navilog1\Navilog1.bat: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: supprimé !
C:\Documents and Settings\faustine raybois\Bureau\HJTInstall.exe: supprimé !
C:\Documents and Settings\faustine raybois\Recent\HijackThis.lnk: supprimé !
C:\Program Files\Navilog1\Navilog1.bat: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Vundofix backups: supprimé !
C:\Qoobox: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: supprimé !
C:\Program Files\Navilog1: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !


Ca veut dire en terme non technique!!! merci g!rly!!!!

g!rly · Answer

Oui c´est terminé; étonnant non ?!
;-)
Bonne continuation a toi Fred`
Bye`
g!rly`

g!rly · Answer

lol
bon je vais te donner une idée :
g!rly de son vrai prenom julie, oeuvre comme coiffeuse sur helsinki en finlande, elle aime bien la photo et le graphisme...
et toi?

g!rly · Answer

coiffeuse...
tient ! moi aussi je suis djette > genre de l´illibiente a la tekno spyraliphique ;-)
tu mix dans un club ? > quel style ?
oui le resto > miam`

FREDERICK62 · Answer

Moi je te verrai plutot en developpeur informatique en quelque chose comme ca et blonde a lunettes!!!!!!!
moi je suis dj en bar donc jusque 2h et passe un peu de tout avec un dominante legere : la house!!!! et je commence a 21h donc je vais te laisser.... et oui je travaille le jeudi vendredi er samedi soir et c est tout. bonne soirée bizzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzz

g!rly · Answer

Cool ;)
Bon mix`
Meme pas de lunettes lol
Kisses`

FREDERICK62 · Answer

Salut funnygirl et g!rly je ne sais pas si vous vous souvenez de moi, j ai ete infecté par virtumonde recemment, et voici mon nouveau soucis. J ai effectué recemment un scan via scanner A-squared et ce dernier me trouve un troyen nommé trojan Win32 add user!!!! Ca vous dit quelquechose!!! Ne me dites pas que je suis de nouveau victime d un troyen!!!

g!rly · Answer

Salut Frederick62,

ca va bon week end ;-) ?!

il t´a trouvé quoi a2squared et ou ca ?

correction de l email relatif au message precedent ::::

???

@+

g!rly · Answer

Bonsoir frederick62,

ok je voie, une saleté encore !?

Pour le moment tu n´as pas d´alerte d´antivir ou quoi que ce soit ?!

Si tu le veux bien on reste comme ca, tu me redis dans 2-3 jours...

Si il le faut je mettrais mes lunettes pour y voir plus claire LOL

Bonne soirée

@+

g!rly · Answer

ok

on a installé l´autre jour des antyspywares residents deja ;-) tu t´souviens plus ?!

il commence a faire beau par ici ;-)

non mais tu ne veux pas me parler par msn !

je suis pas comme les autres femme si tu voies ce que je veux dire; enfin pas encore...

@+

FREDERICK62 · Answer

oui biensur je m en souviens il y a spyware guard et antivir... et je vois ce que tu veux dire franck!!!!!! MDR

g!rly · Answer

franck ??
tu peux quand meme m´appeler julie`

Virtumonde encore

36 réponses

Votre réponse

Newsletters