Aide sur PC infecté

Résolu
richard III Messages postés 59 Statut Membre -  
Le sioux Messages postés 4907 Statut Contributeur sécurité -
Bonjour,
j'ai adepuis une semaine des trojan qui se baladent sur mon PC et je sollicite votre aide bienveillante afin d'eradiquer ces vilaines bestioles

config: Windows XP sp2, iE6, antivir Free, AVG anti spyware 7.5 (delai de protection residente dépassé) et connection bas débit (campagne profonde!)
J'ai fait un rapport Hijackthis juste après ouverture du PC, ensuite je me suis connecté et ouvert IE afin de rejoindre votre site, s'en suit 2 alertes Antivir consécutives sur le même trojan : TR/Crypt.Xpack.GEN (mis en quarantaine)... alors que jusqu'à présent je nai été alerté régulièrement que sur 2 autre trojans TR/Dropper.GEN et TR/Rootkit.GEN

(je ne sais jamais vraiment quoi faire dans les propositions d'antiviir deny, quarantaine ou eliminer? peut être quelques explications sur deny?)

Merci d'avance pour votre aide.

le rapport:

========================================================================

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:43:03, on 05/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\sm56hlpr.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE
C:\Program Files\Logitech\SetPoint\KEM.exe
C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
C:\WINDOWS\system32\devldr32.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HTJ.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo R200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE /P30 "EPSON Stylus Photo R200 Series" /O6 "USB001" /M "Stylus Photo R200"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [EPSON Stylus Photo R200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE /P30 "EPSON Stylus Photo R200 Series" /M "Stylus Photo R200" /EF "HKCU"
O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Télécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

--
End of file - 4823 bytes
Configuration: Windows XP
Internet Explorer 6.0

28 réponses

  • 1
  • 2
Résumé de la discussion

Plusieurs trojans ont été détectés sur un PC Windows XP SP2, dont TR/Crypt.Xpack.GEN, TR/Dropper.GEN et TR/Rootkit.GEN, avec HijackThis montrant des éléments malveillants dans le démarrage et des modules associés. Des outils tels que ComboFix et Find3M sont mentionnés comme suites de nettoyage, avec des rapports détaillant des services et des DLL malveillants à cibler. Le fil aborde aussi des aspects pratiques comme la restauration du système, le démarrage en mode sans échec et les enjeux liés à une ancienne version de Windows et à des antivirus obsolètes. Enfin, une nuance opérationnelle est apportée par l’indication que la console de récupération n’était pas installée, ce qui influe sur les étapes de réparation et la planification d’un balayage ultérieur.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Bonsoir Richard

    On va s'occuper de cela ;)

    Afin de suivre la procédure correctement, je te conseille d'enregistrer la page en sélectionnant toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procédure correctement.
    (Note: tu n'auras pas accès à Internet à partir du moment ou te redémarreras en mode sans échec)
    Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
    Si un élément te paraît obscur, demande des explications avant de commencer la désinfection


    1) Télécharge SDFix d' AndyManchesta

    http://downloads.andymanchesta.com/RemovalTools/SDFix.exe sur ton Bureau.

    Double clique sur SDFix.exe et choisis Install. L'outil sera extrait à la racine du lecteur système (généralement le C:\)
    N y touche pas pour l instant.

    2) Redémarre en mode sans échec


    Regarde ici si besoin avant ici : http://pageperso.aol.fr/loraline60/mode_sans_echec.htm
    Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuie sur la touche [F8] (ou [F5] sur certains pc) jusqu'à l'affichage du menu des options avancées de Windows.
    Sélectionner "Mode sans échec" et appuie sur [Entrée]
    Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre.

    Ouvre le fichier texte sauvegardé sur le Bureau afin de suivre les instructions comme il faut.

    3) SDFix

    * Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmd pour lancer le script.
    * Appuie sur Y pour commencer le processus de nettoyage.
    * Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
    * Appuie sur une touche pour redémarrer le PC.
    * Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
    * Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
    * Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
    · Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

    4) Rapports :

    Poste un nouveau rapport HijackThis et le rapport de SDFix en réponse.

    @ suivre

    PS
    pour Antivir, utilises essentiellement Delete ou Quarantine, en pensant à la vider par la suite
    0
    1. richard III Messages postés 59 Statut Membre
       
      bonjour Le Sioux,

      merci pour ta réponse rapide! j'ai donc tout bien téléchargé le SDFix, installé comme il faut... mais impossible de redémarrer en mode sans echec, est ce que j'essaye 'derniere bonne cofig connue? j'ose plus toucher à rien!!! :((

      ça commence à m'inquieter fortement d'autant que suite aux alertes habituelles, CAD: à chaque fois que je lance IE, la quarantaine m'indique maintenant :

      Contain detection pattern of the WORM/Agent.CG
      Contain detection pattern of the Dropper DR/Tool.RebootF.94

      qu'en pensez vous docteur?

      @+
      0
  2. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Re

    J'en pense que l on va tenter de réparer le mode sans échec tout d'abord ;)

    Télécharge ce fichier (clic droit et Enregistrer sous) : Safeboot.reg de Malekal_Morte

    http://www.zshare.net/

    Sur ton Bureau et déconnecte toi d'Internet

    Puis double clique dessus et accepte l'inscription des données.

    Normalement tu devrais pouvoir accéder au mode sans échec.

    Dis moi ce qu'il en est

    @+
    0
    1. richard III Messages postés 59 Statut Membre
       
      hello Le Sioux,

      j'ai fait comme tu as dis et ça marche toujours pas... ecran noir avec curseur blanc clignotant en haut à gauche... flash bleu foncé (on dirait que c'est une page!!?) et retour à la page de départ...

      @+
      0
      1. richard III Messages postés 59 Statut Membre > richard III Messages postés 59 Statut Membre
         
        petit rajout pour préciser que la restauration du système est désactivée (pas par moi!) et la fonction mettre en veille lors de l'arrêt de l'ordi est grisée donc inaccessible... je ne sais pas si ça peut aider ou pas?

        ça mange pas de pain :)

        @+
        0
  3. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Rebonsoir Richard

    Merci pour ces infos, on va voir ce que l'on peut faire.

    Pour la restauration, on va la réparer, mais ne t'en sert pas.

    Télécharge Zebrestore http://telechargement.zebulon.fr/233-zeb-restore.html

    Met le dans un dossier sur ton Bureau par exemple.

    * Lance Zebrestore et coche les cases suivante :

    Restauration du systeme

    et clique sur le bouton "Restaurer".

    Quitte le programme et dis moi si cette fonctions est réactivée, mais ne t'en sert pas, je me répète ;)

    @ suivre
    0
    1. richard III Messages postés 59 Statut Membre
       
      Re-Hello Le Sioux

      je me suis peut êrte mal exprimé, je précise donc pour être sûr, quand je disais que la restauration etait désactivée c'est en cliquant droit sur poste de travail--->propriétés--->onglet restauration du système : la case "désactivez la restauration du système" est cochée... mais pas par moi.
      A priori, décocher et appliquer doit marcher, mais je n'ai touché à rien!
      Sinon j'ai chargé le petit exe et restauré et ça n'a rien modifié...

      @+
      0
  4. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    re

    Ok, deccoche , attends que cela soit noté "surveillance" et clique sur appliquer, qu elle soit fonctionnelle en cas de soucis

    @ +
    0
    1. richard III Messages postés 59 Statut Membre
       
      Re

      Ok j'ai décoché mais la surveillance n'est apparue qu'après avoir appliqué... mais bon y'a enfin quelque chose qui bouge! :))

      @+
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Re

    Je vais voir ce que l'on peut faire pour ton soucis avec le mode sans échec.

    Je te tiens au courant des que possible.

    @ bientôt.
    0
    1. richard III Messages postés 59 Statut Membre
       
      Ok Le Sioux

      Merci pour ton aide, je pars en WE demain et je ne rentre que dimanche soir.

      Bon WE.

      @+
      0
  7. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    re

    OK, bon week end alors

    @ dimanche soir, j'espère avoir trouver une parade d'ici la ;)
    0
  8. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Re

    Télécharge SREng de Smallfrogs :

    http://www.kztechs.com/eng/download.html

    Extraits tout son contenu sur ton Bureau.

    Du dossier sreng2 qui se trouve maintenant sur ton Bureau, double-clique sur SREngPS.exe afin de lancer l'outil

    Clique sur"System Repair" à gauche, puis sur l'onglet le plus à droite "Advanced repair"

    Ensuite, clique sur le boutonRepair SafeMode puis valide par OK.

    Puis ferme Sreng et dis moi ce que cela donne ;)

    @ suivre
    Merci à FillPCA
    0
    1. richard III Messages postés 59 Statut Membre
       
      Hello Le Sioux,

      Rentré de WE.!

      J'ai donc appliqué comme tu l'indiques, avec succès... mais tjrs pas de mode sans echec, flask bleu et retour à la case départ

      @+
      richard
      0
      1. richard III Messages postés 59 Statut Membre > richard III Messages postés 59 Statut Membre
         
        ...j'ai oublié de te signalé :

        alerte d'antivir sur un petit nouveau dans mon elevage persoà moi que j'ai!

        TR/Dldr.Mutant.adh.4

        ...si ça continu je vais ouvrir un Hara! :))

        @+
        0
  9. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Bonsoir Richard

    OK, on va faire autrement.

    Je repasse plus tard ;)
    0
  10. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Re

    1) Télécharge Combofix.exe de sUBs sur ton Bureau,

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    N'y touche pas pour le moment.

    2) Sélectionne le texte suivant (en gras) dans son intégralité :

    Registry::
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WinNt32]

    File::
    C:\WINDOWS\SYSTEM32\WinNt32.dll

    * Copie le texte sélectionné (CTRL+C).
    * Ouvre le bloc-notes (Démarrer / Tous les Programmes>Accessoires >bloc-notes).
    * Colle le texte copié dans ce bloc-notes (CTRL+V).
    * Sauvegarde sur ton Bureau ce fichier sous le nom de CFScript

    /!\ Déconnecte toi du net et désactive ton antivirus pour que Combofix puisse s'exécuter normalement. /!\

    3) Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe ( sur ton Bureau)

    Comme ici http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif

    * Une fenêtre bleue va apparaître: au message qui apparaît Type 1 to continue, or 2 to abort , tape 1 puis valide.

    * Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal!

    /!\ Ne touche à rien tant que le scan n'est pas terminé. /!\

    En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    Une fois le scan achevé, un rapport va s'afficher : Poste son contenu et un nouveau rapport HijackThis

    /!\Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet. /!\.

    (Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt )

    @ suivre
    0
    1. richard III Messages postés 59 Statut Membre
       
      Re

      merci
      executé comme indiqué :

      **************************************************************************************
      ComboFix.Log

      ComboFix 08-06-08.7 - maison2 2008-06-09 12:06:16.1 - NTFSx86
      Microsoft Windows XP Professionnel  5.1.2600.2.1252.1.1036.18.311 [GMT 2:00]
      Endroit: C:\Documents and Settings\maison2\Bureau\ComboFix.exe
      Command switches used :: C:\Documents and Settings\maison2\Bureau\CFScript.txt
       * Création d'un nouveau point de restauration
      
      [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
      
      FILE ::
      C:\WINDOWS\SYSTEM32\WinNt32.dll
      .
      
      ((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      
      C:\Temp\isgTi19
      C:\WINDOWS\system32\MSINET.oca
      C:\WINDOWS\system32\nGpxx01
      C:\WINDOWS\system32\pac.txt
      C:\WINDOWS\SYSTEM32\WinNt32.dll
      
      .
      (((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
      .
      
      -------\Service_tcpsr
      
      
      (((((((((((((((((((((((((((((   Fichiers cr‚‚s 2008-05-09 to 2008-06-09  ))))))))))))))))))))))))))))))))))))
      .
      
      2008-06-05 10:30 . 2008-06-01 19:13	<REP>	d--------	C:\SDFix
      2008-06-05 01:27 . 2008-06-05 01:27	<REP>	d--------	C:\Program Files\Hijackthis Version Fran‡aise
      2008-06-05 01:26 . 2008-06-05 01:26	<REP>	d--------	C:\Program Files\Trend Micro
      2008-06-03 18:32 . 2008-06-03 18:32	<REP>	d--------	C:\Documents and Settings\NetworkService\Mes documents
      
      .
      ((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2008-06-08 23:45	---------	d-----w	C:\Program Files\Paint Shop Pro 5
      2008-06-08 16:23	---------	d-----w	C:\Documents and Settings\maison2\Application Data\U3
      2008-06-04 23:27	---------	d-----w	C:\Program Files\Hijackthis Version Française
      2008-05-14 19:07	---------	d-----w	C:\Documents and Settings\maison2\Application Data\utorrent
      2008-04-14 07:17	---------	d-----w	C:\Documents and Settings\maison2\Application Data\Grisoft
      2008-04-14 07:17	---------	d-----w	C:\Documents and Settings\All Users\Application Data\Grisoft
      2008-04-13 20:51	---------	d-----w	C:\Program Files\Avira
      2008-04-13 20:51	---------	d-----w	C:\Documents and Settings\All Users\Application Data\Avira
      2008-04-13 15:51	---------	d-----w	C:\Documents and Settings\All Users\Application Data\Avg7
      2008-03-04 00:02	15,397	----a-w	C:\Program Files\settings.dat
      .
      [code]<pre>
      ----a-w       183,872,984 2007-06-22 11:42:18  C:\Documents and Settings\maison2\Mes documents\Dossier Musique & Web\Zick-Pack 72\Dossier VSTi\Cakewalk.Studio.Instruments.VSTi.v1.0-BEAT\StudioInstrumentsSetup .exe
      </pre>[/code]
      
      
      ------- Sigcheck -------
      
      2004-08-19 17:09  578048  61c8c283ad063bb697ae61a155c64a5a	C:\WINDOWS\ServicePackFiles\i386\user32.dll
      2005-07-26 15:01  578048  0df75fb73f705b011630159a43d7c354	C:\WINDOWS\system32\user32.dll
      
      2004-08-19 17:09  660480  4e958b97efc3d801f49283d1820f48b7	C:\WINDOWS\ServicePackFiles\i386\wininet.dll
      2005-12-14 13:12  662528  e41e8fdf62cf20f2e2b16d800d96eb51	C:\WINDOWS\system32\wininet.dll
      
      2004-08-04 00:14  359040  9f4b36614a0fc234525ba224957de55c	C:\WINDOWS\ServicePackFiles\i386\tcpip.sys
      2006-02-14 21:56  359808  667192a11db19f36624119c0dd4de4f2	C:\WINDOWS\system32\drivers\tcpip.sys
      
      2004-08-19 17:04  2058880  f252fae094c54572ece38a039f2103c4	C:\WINDOWS\ServicePackFiles\i386\ntkrnlpa.exe
      2006-01-09 13:34  2058880  73fa9c95d235844a36968c7852c7dbdd	C:\WINDOWS\system32\ntkrnlpa.exe
      
      2004-08-19 17:04  2183040  7d38ce4398e6aa6339b4644feadcc0d8	C:\WINDOWS\ServicePackFiles\i386\ntoskrnl.exe
      2005-07-26 15:01  2181376  63729dd0f2aae36cc52b89c05505146c	C:\WINDOWS\system32\ntoskrnl.exe
      
      2005-07-26 15:01  1036288  0bee3b07ace3303ee57698808e1d2de3	C:\WINDOWS\explorer.exe
      2004-08-19 17:09  1036288  2a7bd330924252a2fd80344fc949bb72	C:\WINDOWS\ServicePackFiles\i386\explorer.exe
      .
      (((((((((((((((((((((((((((((((((   Point de chargement Reg   )))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      REGEDIT4
      *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
      
      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "EPSON Stylus Photo R200 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.exe" [2003-09-11 05:00 99840]
      
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "SMSERIAL"="sm56hlpr.exe" [2004-06-29 18:42 569344 C:\WINDOWS\sm56hlpr.exe]
      "EPSON Stylus Photo R200 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.exe" [2003-09-11 05:00 99840]
      "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
      "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
      "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-17 01:13 262401]
      "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312]
      
      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
      "Config"="C:\WINDOWS\system32\run.cmd" [2006-02-14 12:24 248]
      "nlsf"="cmd.exe" [2004-08-19 16:09 400896 C:\WINDOWS\system32\cmd.exe]
      "tscuninstall"="C:\WINDOWS\system32\tscupgrd.exe" [2004-08-19 15:52 44544]
      
      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
      "NoSMHelp"= 1 (0x1)
      "MemCheckBoxInRunDlg"= 1 (0x1)
      "NoSMBalloonTip"= 1 (0x1)
      "NoDesktopCleanupWizard"= 1 (0x1)
      "NoWelcomeScreen"= 1 (0x1)
      "NoAutoUpdate"= 1 (0x1)
      
      [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
      "NoSMHelp"= 1 (0x1)
      "MemCheckBoxInRunDlg"= 1 (0x1)
      "NoSMBalloonTip"= 1 (0x1)
      "NoDesktopCleanupWizard"= 1 (0x1)
      "NoWelcomeScreen"= 1 (0x1)
      "NoAutoUpdate"= 1 (0x1)
      
      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WinNt32]
      
      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
      "aux"= ctwdm32.dll
      
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Oua51.sys]
      @="Driver"
      
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Rxd51.sys]
      @="Driver"
      
      [HKEY_LOCAL_MACHINE\software\microsoft\security center]
      "AntiVirusOverride"=dword:00000001
      "FirewallOverride"=dword:00000001
      "AntiVirusDisableNotify"=dword:00000001
      "UpdatesDisableNotify"=dword:00000001
      
      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
      "EnableFirewall"= 0 (0x0)
      "DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
      
      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "C:\\Program Files\\utorrent\\utorrent.exe"=
      
      R0 aec6710D;aec6710D;C:\WINDOWS\system32\DRIVERS\A6710D.sys [2001-03-06 20:00]
      R1 Asapi;Asapi;C:\WINDOWS\system32\drivers\Asapi.sys [2002-04-17 21:27]
      R1 EPPSCSIx;EPPSCSIx;C:\WINDOWS\system32\drivers\EPPSCSI.SYS [1999-11-11 18:39]
      S0 Bin73;Bin73;C:\WINDOWS\system32\Drivers\Bin73.sys []
      S0 Ekp38;Ekp38;C:\WINDOWS\system32\Drivers\Ekp38.sys []
      S0 Ekp73;Ekp73;C:\WINDOWS\system32\Drivers\Ekp73.sys []
      S0 Elq73;Elq73;C:\WINDOWS\system32\Drivers\Elq73.sys []
      S0 Flq16;Flq16;C:\WINDOWS\system32\Drivers\Flq16.sys []
      S0 Gns84;Gns84;C:\WINDOWS\system32\Drivers\Gns84.sys []
      S0 Hns28;Hns28;C:\WINDOWS\system32\Drivers\Hns28.sys []
      S0 Ipu16;Ipu16;C:\WINDOWS\system32\Drivers\Ipu16.sys []
      S0 Lrw40;Lrw40;C:\WINDOWS\system32\Drivers\Lrw40.sys []
      S0 Msx16;Msx16;C:\WINDOWS\system32\Drivers\Msx16.sys []
      S0 Oua51;Oua51;C:\WINDOWS\system32\Drivers\Oua51.sys []
      S0 Oua62;Oua62;C:\WINDOWS\system32\Drivers\Oua62.sys []
      S0 Qwc17;Qwc17;C:\WINDOWS\system32\Drivers\Qwc17.sys []
      S0 Qwc27;Qwc27;C:\WINDOWS\system32\Drivers\Qwc27.sys []
      S0 Rbi16;Rbi16;C:\WINDOWS\system32\Drivers\Rbi16.sys []
      S0 Rxd51;Rxd51;C:\WINDOWS\system32\Drivers\Rxd51.sys []
      S0 Sbh16;Sbh16;C:\WINDOWS\system32\Drivers\Sbh16.sys []
      S0 Vch27;Vch27;C:\WINDOWS\system32\Drivers\Vch27.sys []
      S0 Wdi27;Wdi27;C:\WINDOWS\system32\Drivers\Wdi27.sys []
      S0 Wej16;Wej16;C:\WINDOWS\system32\Drivers\Wej16.sys []
      S0 Windj84;Windj84;C:\WINDOWS\system32\Drivers\Windj84.sys []
      S0 Yfl84;Yfl84;C:\WINDOWS\system32\Drivers\Yfl84.sys []
      S0 Ygl38;Ygl38;C:\WINDOWS\system32\Drivers\Ygl38.sys []
      S2 Scsiscan;SCSI scanner driver;C:\WINDOWS\system32\DRIVERS\scsiscan.sys [2005-07-26 14:43]
      
      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ad17c594-c8f7-11dc-90dd-dee5b991092b}]
      \Shell\AutoRun\command - F:\LaunchU3.exe -a
      
      .
      **************************************************************************
      
      catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2008-06-09 12:11:19
      Windows 5.1.2600 Service Pack 2 NTFS
      
      Balayage processus cach‚s ...
      
      Balayage cach‚ autostart entries ...
      
      Balayage des fichiers cach‚s ...
      
      Scan termin‚ avec succŠs
      Les fichiers cach‚s: 0
      
      **************************************************************************
      .
      --------------------- DLLs a charg‚ sous des processus courants ---------------------
      
      PROCESS: C:\WINDOWS\explorer.exe
      -> C:\Program Files\Logitech\SetPoint\lgscroll.dll
      .
      ------------------------ Other Running Processes ------------------------
      .
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      C:\WINDOWS\system32\devldr32.exe
      C:\Program Files\Logitech\SetPoint\KEM.exe
      C:\Program Files\Logitech\SetPoint\KHALMNPR.exe
      .
      **************************************************************************
      .
      Temps d'accomplissement: 2008-06-09 12:14:01 - machine was rebooted
      ComboFix-quarantined-files.txt  2008-06-09 10:13:54
      
      Pre-Run: 173,675,589,632 octets libres
      Post-Run: 174,078,337,024 octets libres
      
      167
      


      hijackthis.log

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 12:24:17, on 09/06/2008
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
      Boot mode: Normal
      
      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\sm56hlpr.exe
      C:\WINDOWS\system32\devldr32.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
      C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE
      C:\Program Files\Logitech\SetPoint\KEM.exe
      C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
      C:\WINDOWS\explorer.exe
      C:\WINDOWS\system32\notepad.exe
      C:\WINDOWS\explorer.exe
      C:\Program Files\Xi\NetTransport 2\NetTransport.exe
      C:\Program Files\Trend Micro\HijackThis\HTJ.exe
      
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
      O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
      O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
      O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
      O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
      O4 - HKLM\..\Run: [EPSON Stylus Photo R200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE /P30 "EPSON Stylus Photo R200 Series" /O6 "USB001" /M "Stylus Photo R200"
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
      O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
      O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
      O4 - HKCU\..\Run: [EPSON Stylus Photo R200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE /P30 "EPSON Stylus Photo R200 Series" /M "Stylus Photo R200" /EF "HKCU"
      O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')
      O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
      O8 - Extra context menu item: &Télécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
      O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddList.html
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\
      O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
      O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
      O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      
      --
      End of file - 4962 bytes
      


      @+
      richard
      0
  11. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Re

    Je regarde ton rapport et te dis quoi faire sous peu ;)

    @ toute.
    0
  12. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Re

    Comme promis, au boulot ;)

    ComboFix avec CFScript :

    * Sélectionne le texte suivant (en gras) dans son intégralité :

    RENV::
    C:\Documents and Settings\maison2\Mes documents\Dossier Musique & Web\Zick-Pack 72\Dossier VSTi\Cakewalk.Studio.Instruments.VSTi.v1.0-BEAT\StudioInstrumentsSetup .exe

    Driver::
    Bin73
    Ekp38
    Elq73
    Flq16
    Gns84
    Hns28
    Ipu16
    Lrw40
    Msx16
    Oua51
    Oua62
    Qwc17
    Qwc27
    Rbi16
    Rxd51
    Sbh16
    Vch27
    Wdi27
    Wej16
    Windj84
    Yfl84
    Ygl38

    File::
    C:\WINDOWS\system32\Drivers\Bin73.sys
    C:\WINDOWS\system32\Drivers\Ekp38.sys
    C:\WINDOWS\system32\Drivers\Elq73.sys
    C:\WINDOWS\system32\Drivers\Flq16.sys
    C:\WINDOWS\system32\Drivers\Gns84.sys
    C:\WINDOWS\system32\Drivers\Hns28.sys
    C:\WINDOWS\system32\Drivers\Ipu16.sys
    C:\WINDOWS\system32\Drivers\Lrw40.sys
    C:\WINDOWS\system32\Drivers\Msx16.sys
    C:\WINDOWS\system32\Drivers\Oua51.sys
    C:\WINDOWS\system32\Drivers\Oua62.sys
    C:\WINDOWS\system32\Drivers\Qwc17.sys
    C:\WINDOWS\system32\Drivers\Qwc27.sys
    C:\WINDOWS\system32\Drivers\Rbi16.sys
    C:\WINDOWS\system32\Drivers\Rxd51.sys
    C:\WINDOWS\system32\Drivers\Sbh16.sys
    C:\WINDOWS\system32\Drivers\Vch27.sys
    C:\WINDOWS\system32\Drivers\Wdi27.sys
    C:\WINDOWS\system32\Drivers\Wej16.sys
    C:\WINDOWS\system32\Drivers\Windj84.sys
    C:\WINDOWS\system32\Drivers\Yfl84.sys
    C:\WINDOWS\system32\Drivers\Ygl38.sys
    C:\Documents and Settings\maison2\Mes documents\Dossier Musique & Web\Zick-Pack 72\Dossier VSTi\Cakewalk.Studio.Instruments.VSTi.v1.0-BEAT\StudioInstrumentsSetup .exe

    * Copie le texte sélectionné (CTRL+C).
    * Ouvre le bloc-notes (Démarrer / Tous les Programmes>Accessoires >bloc-notes).
    * Colle le texte copié dans ce bloc-notes (CTRL+V).
    * Sauvegarde sur ton Bureau ce fichier sous le nom de CFScript

    /!\ Déconnecte toi du net et désactive ton antivirus pour que Combofix puisse s'exécuter normalement. /!\

    Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe ( sur ton Bureau)

    Comme ici http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif

    * Une fenêtre bleue va apparaître: au message qui apparaît Type 1 to continue, or 2 to abort , tape 1 puis valide.

    * Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal!

    /!\ Ne touche à rien tant que le scan n'est pas terminé. /!\

    En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    Une fois le scan achevé, un rapport va s'afficher : Poste son contenu et un nouveau rapport HijackThis

    /!\Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet. /!\.

    (Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt )

    @ suivre

    Remarque importante : tes mises à jours de Windows sont désactivées, on reparlera de cela par la suite.
    0
    1. richard III Messages postés 59 Statut Membre
       
      Re

      deuxieme couche!

      ComboFix.log

      ComboFix 08-06-08.7 - maison2 2008-06-09 15:08:09.2 - NTFSx86
      Microsoft Windows XP Professionnel  5.1.2600.2.1252.1.1036.18.306 [GMT 2:00]
      Endroit: C:\Documents and Settings\maison2\Bureau\ComboFix.exe
      Command switches used :: C:\Documents and Settings\maison2\Bureau\CFScript.txt
       * Création d'un nouveau point de restauration
      
      [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
      
      FILE ::
      C:\Documents and Settings\maison2\Mes documents\Dossier Musique & Web\Zick-Pack 72\Dossier VSTi\Cakewalk.Studio.Instruments.VSTi.v1.0-BEAT\StudioInstrumentsSetup .exe
      C:\WINDOWS\system32\Drivers\Bin73.sys
      C:\WINDOWS\system32\Drivers\Ekp38.sys
      C:\WINDOWS\system32\Drivers\Elq73.sys
      C:\WINDOWS\system32\Drivers\Flq16.sys
      C:\WINDOWS\system32\Drivers\Gns84.sys
      C:\WINDOWS\system32\Drivers\Hns28.sys
      C:\WINDOWS\system32\Drivers\Ipu16.sys
      C:\WINDOWS\system32\Drivers\Lrw40.sys
      C:\WINDOWS\system32\Drivers\Msx16.sys
      C:\WINDOWS\system32\Drivers\Oua51.sys
      C:\WINDOWS\system32\Drivers\Oua62.sys
      C:\WINDOWS\system32\Drivers\Qwc17.sys
      C:\WINDOWS\system32\Drivers\Qwc27.sys
      C:\WINDOWS\system32\Drivers\Rbi16.sys
      C:\WINDOWS\system32\Drivers\Rxd51.sys
      C:\WINDOWS\system32\Drivers\Sbh16.sys
      C:\WINDOWS\system32\Drivers\Vch27.sys
      C:\WINDOWS\system32\Drivers\Wdi27.sys
      C:\WINDOWS\system32\Drivers\Wej16.sys
      C:\WINDOWS\system32\Drivers\Windj84.sys
      C:\WINDOWS\system32\Drivers\Yfl84.sys
      C:\WINDOWS\system32\Drivers\Ygl38.sys
      .
      
      ((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      
      .
      (((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
      .
      
      -------\Service_Bin73
      -------\Service_Ekp38
      -------\Service_Elq73
      -------\Service_Flq16
      -------\Service_Gns84
      -------\Service_Hns28
      -------\Service_Ipu16
      -------\Service_Lrw40
      -------\Service_Msx16
      -------\Service_Oua51
      -------\Service_Oua62
      -------\Service_Qwc17
      -------\Service_Qwc27
      -------\Service_Rbi16
      -------\Service_Rxd51
      -------\Service_Sbh16
      -------\Service_Vch27
      -------\Service_Wdi27
      -------\Service_Wej16
      -------\Service_Windj84
      -------\Service_Yfl84
      -------\Service_Ygl38
      
      
      (((((((((((((((((((((((((((((   Fichiers cr‚‚s 2008-05-09 to 2008-06-09  ))))))))))))))))))))))))))))))))))))
      .
      
      2008-06-05 10:30 . 2008-06-01 19:13	<REP>	d--------	C:\SDFix
      2008-06-05 01:27 . 2008-06-05 01:27	<REP>	d--------	C:\Program Files\Hijackthis Version Fran‡aise
      2008-06-05 01:26 . 2008-06-05 01:26	<REP>	d--------	C:\Program Files\Trend Micro
      2008-06-03 18:32 . 2008-06-03 18:32	<REP>	d--------	C:\Documents and Settings\NetworkService\Mes documents
      
      .
      ((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2008-06-08 23:45	---------	d-----w	C:\Program Files\Paint Shop Pro 5
      2008-06-08 16:23	---------	d-----w	C:\Documents and Settings\maison2\Application Data\U3
      2008-06-04 23:27	---------	d-----w	C:\Program Files\Hijackthis Version Française
      2008-05-14 19:07	---------	d-----w	C:\Documents and Settings\maison2\Application Data\utorrent
      2008-04-14 07:17	---------	d-----w	C:\Documents and Settings\maison2\Application Data\Grisoft
      2008-04-14 07:17	---------	d-----w	C:\Documents and Settings\All Users\Application Data\Grisoft
      2008-04-13 20:51	---------	d-----w	C:\Program Files\Avira
      2008-04-13 20:51	---------	d-----w	C:\Documents and Settings\All Users\Application Data\Avira
      2008-04-13 15:51	---------	d-----w	C:\Documents and Settings\All Users\Application Data\Avg7
      2008-03-04 00:02	15,397	----a-w	C:\Program Files\settings.dat
      .
      
      ------- Sigcheck -------
      
      2004-08-19 17:09  578048  61c8c283ad063bb697ae61a155c64a5a	C:\WINDOWS\ServicePackFiles\i386\user32.dll
      2005-07-26 15:01  578048  0df75fb73f705b011630159a43d7c354	C:\WINDOWS\system32\user32.dll
      
      2004-08-19 17:09  660480  4e958b97efc3d801f49283d1820f48b7	C:\WINDOWS\ServicePackFiles\i386\wininet.dll
      2005-12-14 13:12  662528  e41e8fdf62cf20f2e2b16d800d96eb51	C:\WINDOWS\system32\wininet.dll
      
      2004-08-04 00:14  359040  9f4b36614a0fc234525ba224957de55c	C:\WINDOWS\ServicePackFiles\i386\tcpip.sys
      2006-02-14 21:56  359808  667192a11db19f36624119c0dd4de4f2	C:\WINDOWS\system32\drivers\tcpip.sys
      
      2004-08-19 17:04  2058880  f252fae094c54572ece38a039f2103c4	C:\WINDOWS\ServicePackFiles\i386\ntkrnlpa.exe
      2006-01-09 13:34  2058880  73fa9c95d235844a36968c7852c7dbdd	C:\WINDOWS\system32\ntkrnlpa.exe
      
      2004-08-19 17:04  2183040  7d38ce4398e6aa6339b4644feadcc0d8	C:\WINDOWS\ServicePackFiles\i386\ntoskrnl.exe
      2005-07-26 15:01  2181376  63729dd0f2aae36cc52b89c05505146c	C:\WINDOWS\system32\ntoskrnl.exe
      
      2005-07-26 15:01  1036288  0bee3b07ace3303ee57698808e1d2de3	C:\WINDOWS\explorer.exe
      2004-08-19 17:09  1036288  2a7bd330924252a2fd80344fc949bb72	C:\WINDOWS\ServicePackFiles\i386\explorer.exe
      .
      (((((((((((((((((((((((((((((   snapshot@2008-06-09_12.13.27.55   )))))))))))))))))))))))))))))))))))))))))
      .
      - 2008-06-09 10:10:14	2,048	--s-a-w	C:\WINDOWS\bootstat.dat
      + 2008-06-09 13:11:28	2,048	--s-a-w	C:\WINDOWS\bootstat.dat
      .
      (((((((((((((((((((((((((((((((((   Point de chargement Reg   )))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      REGEDIT4
      *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
      
      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "EPSON Stylus Photo R200 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.exe" [2003-09-11 05:00 99840]
      
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "SMSERIAL"="sm56hlpr.exe" [2004-06-29 18:42 569344 C:\WINDOWS\sm56hlpr.exe]
      "EPSON Stylus Photo R200 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.exe" [2003-09-11 05:00 99840]
      "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
      "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
      "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-17 01:13 262401]
      "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312]
      
      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
      "Config"="C:\WINDOWS\system32\run.cmd" [2006-02-14 12:24 248]
      "nlsf"="cmd.exe" [2004-08-19 16:09 400896 C:\WINDOWS\system32\cmd.exe]
      "tscuninstall"="C:\WINDOWS\system32\tscupgrd.exe" [2004-08-19 15:52 44544]
      
      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
      "NoSMHelp"= 1 (0x1)
      "MemCheckBoxInRunDlg"= 1 (0x1)
      "NoSMBalloonTip"= 1 (0x1)
      "NoDesktopCleanupWizard"= 1 (0x1)
      "NoWelcomeScreen"= 1 (0x1)
      "NoAutoUpdate"= 1 (0x1)
      
      [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
      "NoSMHelp"= 1 (0x1)
      "MemCheckBoxInRunDlg"= 1 (0x1)
      "NoSMBalloonTip"= 1 (0x1)
      "NoDesktopCleanupWizard"= 1 (0x1)
      "NoWelcomeScreen"= 1 (0x1)
      "NoAutoUpdate"= 1 (0x1)
      
      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
      "aux"= ctwdm32.dll
      
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Oua51.sys]
      @="Driver"
      
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Rxd51.sys]
      @="Driver"
      
      [HKEY_LOCAL_MACHINE\software\microsoft\security center]
      "AntiVirusOverride"=dword:00000001
      "FirewallOverride"=dword:00000001
      "AntiVirusDisableNotify"=dword:00000001
      "UpdatesDisableNotify"=dword:00000001
      
      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
      "EnableFirewall"= 0 (0x0)
      "DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
      
      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "C:\\Program Files\\utorrent\\utorrent.exe"=
      
      R0 aec6710D;aec6710D;C:\WINDOWS\system32\DRIVERS\A6710D.sys [2001-03-06 20:00]
      R1 Asapi;Asapi;C:\WINDOWS\system32\drivers\Asapi.sys [2002-04-17 21:27]
      R1 EPPSCSIx;EPPSCSIx;C:\WINDOWS\system32\drivers\EPPSCSI.SYS [1999-11-11 18:39]
      S0 Ekp73;Ekp73;C:\WINDOWS\system32\Drivers\Ekp73.sys []
      S2 Scsiscan;SCSI scanner driver;C:\WINDOWS\system32\DRIVERS\scsiscan.sys [2005-07-26 14:43]
      
      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ad17c594-c8f7-11dc-90dd-dee5b991092b}]
      \Shell\AutoRun\command - F:\LaunchU3.exe -a
      
      .
      **************************************************************************
      
      catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2008-06-09 15:12:15
      Windows 5.1.2600 Service Pack 2 NTFS
      
      Balayage processus cach‚s ...
      
      Balayage cach‚ autostart entries ...
      
      Balayage des fichiers cach‚s ...
      
      Scan termin‚ avec succŠs
      Les fichiers cach‚s: 0
      
      **************************************************************************
      .
      --------------------- DLLs a charg‚ sous des processus courants ---------------------
      
      PROCESS: C:\WINDOWS\explorer.exe
      -> C:\Program Files\Logitech\SetPoint\lgscroll.dll
      .
      ------------------------ Other Running Processes ------------------------
      .
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      C:\Program Files\Logitech\SetPoint\KEM.exe
      C:\WINDOWS\system32\devldr32.exe
      C:\Program Files\Logitech\SetPoint\KHALMNPR.exe
      .
      **************************************************************************
      .
      Temps d'accomplissement: 2008-06-09 15:14:47 - machine was rebooted
      ComboFix-quarantined-files.txt  2008-06-09 13:14:40
      ComboFix2.txt  2008-06-09 10:14:02
      
      Pre-Run: 174,066,601,984 octets libres
      Post-Run: 174,059,995,136 octets libres
      
      185
      


      ______________________________________________________________

      Hijackthis.log

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 15:18:14, on 09/06/2008
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
      Boot mode: Normal
      
      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\sm56hlpr.exe
      C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE
      C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
      C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE
      C:\Program Files\Logitech\SetPoint\KEM.exe
      C:\WINDOWS\system32\devldr32.exe
      C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
      C:\WINDOWS\explorer.exe
      C:\WINDOWS\explorer.exe
      C:\Program Files\Trend Micro\HijackThis\HTJ.exe
      
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
      O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
      O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
      O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
      O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
      O4 - HKLM\..\Run: [EPSON Stylus Photo R200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE /P30 "EPSON Stylus Photo R200 Series" /O6 "USB001" /M "Stylus Photo R200"
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
      O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
      O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
      O4 - HKCU\..\Run: [EPSON Stylus Photo R200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE /P30 "EPSON Stylus Photo R200 Series" /M "Stylus Photo R200" /EF "HKCU"
      O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')
      O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
      O8 - Extra context menu item: &Télécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
      O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddList.html
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
      O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
      O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      
      --
      End of file - 4943 bytes
      


      @+
      0
  13. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Bonsoir Richard

    Bien joué.

    * Puis peux tu te rendre à C:\Qoobox et faire un clic droit et zipper et envoyer par mails a cette adresse stp :

    https://www.bleepingcomputer.com/submit-malware.php?channel=4

    Puis :

    Afin de suivre la procédure correctement, je te conseille d'enregistrer la page en sélectionnant toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procédure correctement.
    Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
    Si un élément te paraît obscure, demande des explications avant de commencer la désinfection.


    1) Télécharge et installe

    -- CCleaner
    https://www.ccleaner.com/ccleaner/download
    Choisis de préférence la version SLIM-No Toolbar.
    Installe-le en prenant soin de décocher les diverses options dont la barre Yahoo et la mise à jour.
    Lance CCleaner puis Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".
    Pour les autres paramètres, laisse-le avec ses réglages par défaut.
    Ferme le programme pour l’instant.

    -- Malwarebyte's Anti-Malware
    http://www.malwarebytes.org/mbam/program/mbam-setup.exe
    A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée. >>> clique sur OK
    Lance Malwarebyte's Anti-Malware en double-cliquant sur l'icône sur ton Bureau.
    Au premier lancement, une fenêtre t'annonce que la version est Free >>> clique sur OK
    Laisse les Mises à jour se télécharger

    Tuto Malwarebyte's Anti-Malware: https://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm

    2) Scan avec Malwarebyte's Anti-Malware

    Onglet "Recherche" >>> coche Executer un exame complet >>> Rechercher sélectionne tes disques durs puis clique sur Lancer l’examen
    A la fin du scan >>> clique sur Afficher les résultats
    Suppression des éléments détectés >>>> clique sur Supprimer la sélection ou supprimer tout
    S'il t'es demandé de redémarrer >>> clique sur "Yes"
    --> Un rapport de scan s'ouvre, enregistre sur ton Bureau.
    Puis ferme Malwarebyte's Anti-Malware

    3) Suppression de fichiers inutiles avec CCleaner

    Lance CCleaner en double-cliquant sur son raccourci sur le bureau.
    Puis dans le menu Nettoyeur
    Clique sur Analyse (laisse travailler cela peut durer longtemps la 1ere fois)
    Clique sur le bouton Lancer le nettoyage.
    Clique une seconde fois sur le bouton Lancer le nettoyage puis ferme CCleaner.

    4) Rapports

    Poste en réponse :
    * Un nouveau rapport HijackThis
    * Le rapport de Malwarebyte's Anti-Malware que tu as sauvegardé sur ton Bureau.

    Bon courage

    @+
    0
  14. richard III Messages postés 59 Statut Membre
     
    re

    quand tu dis :
    * Puis peux tu te rendre à C:\Qoobox et faire un clic droit et zipper et envoyer par mails a cette adresse stp : 
    
    https://www.bleepingcomputer.com/submit-malware.php?channel=4 
    


    je zippe tout le dossier Qoobox (environ 1,50 Mo) ?

    Je suis rentré trop tard ce soir et je suis en déplacement pour 2 jours donc je m'atèlerai à la tâche dès jeudi...

    @+ ;)
    0
  15. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Re

    Yes, fais cela si c'est possible, merci.

    @ +
    0
    1. richard III Messages postés 59 Statut Membre
       
      Hello!

      le ficier Qoobox.zip est parti et tout à été appliqué comme ci-dessus!
      les rapports :

      Rapport Malwarebyte's (mbam-log-6-11-2008 (18-19-43).txt) :

      Malwarebytes' Anti-Malware 1.17
      Version de la base de données: 846
      
      18:19:43 11/06/2008
      mbam-log-6-11-2008 (18-19-43).txt
      
      Type de recherche: Examen complet (C:\|)
      Eléments examinés: 67201
      Temps écoulé: 25 minute(s), 4 second(s)
      
      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 1
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 0
      
      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)
      
      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)
      
      Clé(s) du Registre infectée(s):
      HKEY_LOCAL_MACHINE\SOFTWARE\xpre (Trojan.Downloader) -> Quarantined and deleted successfully.
      
      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)
      
      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)
      
      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)
      
      Fichier(s) infecté(s):
      (Aucun élément nuisible détecté)
      


      **************************************************************************************

      Rapport Hijackthis (Hijackthis.log) :

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 18:30:00, on 11/06/2008
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
      Boot mode: Normal
      
      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
      C:\WINDOWS\sm56hlpr.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
      C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE
      C:\Program Files\Logitech\SetPoint\KEM.exe
      C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
      C:\WINDOWS\system32\devldr32.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\explorer.exe
      C:\Program Files\Internet Explorer\IEXPLORE.EXE
      C:\Program Files\Trend Micro\HijackThis\HTJ.exe
      
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
      O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
      O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
      O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
      O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
      O4 - HKLM\..\Run: [EPSON Stylus Photo R200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE /P30 "EPSON Stylus Photo R200 Series" /O6 "USB001" /M "Stylus Photo R200"
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
      O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
      O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
      O4 - HKCU\..\Run: [EPSON Stylus Photo R200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE /P30 "EPSON Stylus Photo R200 Series" /M "Stylus Photo R200" /EF "HKCU"
      O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil9e.exe
      O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')
      O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
      O8 - Extra context menu item: &Télécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
      O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddList.html
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
      O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
      O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      
      --
      End of file - 4973 bytes
      


      ***********************************************************************************

      Voilou...

      @+
      richard
      0
  16. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Bonsoir Richard

    Je regarde cela des que possible et te dis quoi faire .
    @ plus
    0
    1. richard III Messages postés 59 Statut Membre
       
      Hello Le Sioux,

      pas de nouvelles alertes... serait ce rentré dans l'ordre?

      @+
      Richard
      0
  17. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Hello Richard

    Excuse, j'ai du t'oublier un peu ;)

    -Pour Malwarebytes' Anti-Malware
    C'est un bon scan passif que tu peux garder avec lequel tu pourras effectuer un nettoyage hebdomadaire, sans oublier de faire une mise à jour manuelle avant d'exécuter l’analyse .
    Tuto Malwarebyte's Anti-Malware: https://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm

    Vide sa quarantaine :
    Clique sur le raccourci de Malwarebytes' Anti-Malware , puis sur Quarantaine, clique sur "Tout supprimer"

    Puis, derniers efforts :

    1) ToolsCleaner de A.Rothstein

    On va supprimer toutes les traces des logiciels que nous avons utilisés qui traitent des infections spécifiques et ceci grâce a ToolsCleaner de A.Rothstein

    Télécharge le http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe sur ton Bureau.
    * Double-clique sur ToolsCleaner2.bat et laisse le travailler
    * Clique sur Recherche et laisse le scan se terminer.
    * Clique sur Suppression pour finaliser.
    * Tu peux, si tu le souhaites, te servir des Options facultatives.
    * Clique sur Quitter, pour que le rapport puisse se créer.

    --> Poste moi Le rapport de ToolsCleaner ( qui se trouve à la racine de ton disque dur (C:\TCleaner.txt)

    2) Scan en ligne chez Bitdefender

    Aide toi de ce Tuto (merci Morgane) http://pageperso.aol.fr/loraline60/bitdefender_scan.htm

    * Fais un scan antivirus en ligne https://www.bitdefender.fr/ avec IE et copie colle le résultat ici
    * En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
    * Dans la nouvelle fenêtre, clique sur I agree
    * La fenêtre change encore, clique sur Click here to scan
    * Les signatures se chargent, etc.

    Poste en réponse le rapport de scan qui se trouve ici C:\windows\bdoscan8\scanres.txt ou scanres.html

    @ suivre car il restera des conseils de sécurité à appliquer.
    0
    1. richard III Messages postés 59 Statut Membre
       
      Re:

      Voila le rapport de ToolsCleaner :

      -->- Recherche: 
      
      C:\SDFIX: trouvé !
      C:\Qoobox: trouvé !
      C:\Documents and Settings\maison2\Bureau\ComboFix.exe: trouvé !
      C:\Documents and Settings\maison2\Mes documents\Mes Documents\Telechargements NetTransport\SdFix.exe: trouvé !
      C:\Mes Telechargements FXP\Combofix: trouvé !
      C:\Program Files\Trend Micro\HijackThis: trouvé !
      
      ---------------------------------
      -->- Suppression: 
      
      C:\Documents and Settings\maison2\Bureau\ComboFix.exe: supprimé !
      C:\Documents and Settings\maison2\Mes documents\Mes Documents\Telechargements NetTransport\SdFix.exe: supprimé !
      C:\SDFIX: supprimé !
      C:\Qoobox: supprimé !
      C:\Mes Telechargements FXP\Combofix: supprimé !
      C:\Program Files\Trend Micro\HijackThis: supprimé !


      par contre je n'est qu'une connexion bas débit est ce que le scan en ligne ne risque pas de prendre des heures voir des jours? :))

      @+
      richard
      0
  18. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Bonsoir richard

    par contre je n'est qu'une connexion bas débit est ce que le scan en ligne ne risque pas de prendre des heures voir des jours? :))

    Le scan BitDefeneder est asse rapide normalement, essaye voir ce que cela donne avec ta connexion bas débit, lance le seul pendant que tu as d'autres choses à faire ailleurs que sur ton PC et sois patient.

    Si vraiment c'est interminable , alors on s'en abstiendra ;)

    @ suivre car il reste des conseils de sécurité.
    0
  19. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Re

    Le scan BitDefeneder = Scan en ligne BitDefender ... lol faute de frappe ...
    0
    1. richard III Messages postés 59 Statut Membre
       
      re:

      Impossible de charger le scanner en ligne. Cliquez ici pour d'autres solutions possibles. 


      d'autres solutions proposées par Bitdefender... mais j'ai essayé et ça fini par être incomprehensible...

      je crois qu'il vaut meiux s'en passer si ce n'est pas indispensable, ça parait trop compliqué.

      @+
      Richard
      0
  20. richard III Messages postés 59 Statut Membre
     
    par contre je n'est qu'une connexion bas débit....

    =par contre je n'ai qu'une connexion... fôte d'ortograffe! :))

    Ok j'essaye le scan et je te rencarde!

    @+
    Richard
    0
    1. richard III Messages postés 59 Statut Membre
       
      re-essai... mais pas mieux!

      @+
      Richard
      0
  21. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Re

    OK Richard, tiens au courant ;)

    @ +
    0
  • 1
  • 2