Win32:DNSChanger-VT [Trj]

Aergal -  
 Aergal -
Bonjour,

depuis quelques temps avast me trouve ces virus : Win32:DNSChanger-VT [Trj] dont je n'arrive pas a me debarasser. N'etant pas tres doué en informatique j'apprécierais que quelqu'un de plus éclairé m'explique comment faire pour me debarasser de cette saletée. je vous joint une copie du rapport hijack this :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:43:26, on 11/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\Program Files\Brother\ControlCenter2\brctrcen.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Program Files\Brother\Brmfcmon\BrMfcmon.exe
C:\WINDOWS\system32\afinding.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\Nobicyt.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\perfs.exe
C:\WINDOWS\system32\routing.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wserving.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Freeplayer\vlc\vlc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Contrôleur d’état.lnk = C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - https://www.eset.com/
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: AFinding Service (AFinding) - Unknown owner - C:\WINDOWS\system32\afinding.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: NOBICYT Service (NOBICYT) - Unknown owner - C:\WINDOWS\system32\Nobicyt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: perfmons Service (perfmons) - Unknown owner - C:\WINDOWS\system32\perfs.exe
O23 - Service: Routing Service (Routing) - Unknown owner - C:\WINDOWS\system32\routing.exe
O23 - Service: WServing Service (WServing) - Unknown owner - C:\WINDOWS\system32\wserving.exe

--
End of file - 6088 bytes

merci :)
Configuration: Windows XP
Internet Explorer 7.0

46 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Le problème décrit concerne Avast qui détecte le malware Win32:DNSChanger-VT [Trj], et la demande d’instructions claires pour s’en débarrasser efficacement sur un système Windows XP. Des réponses privilégient le démarrage en mode sans échec, puis la suppression des éléments nuisibles via OTMoveIt et CCleaner, avant un balayage avec Deckard's System Scanner. La meilleure réponse détaille aussi d’annuler des redémarrages via la mise en quarantaine des composants Avast et de vérifier les entrées de démarrage et les services suspects. D'autres échanges recommandent ensuite un second balayage après redémarrage et une vérification des paramètres du navigateur pour prévenir une réinfection et corriger d'éventuels redirections malveillantes.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    Salut,
    Télécharges SDFix sur ton bureau :
    http://downloads.andymanchesta.com/RemovalTools/SDFix.exe.

    --->Double clique sur SDFix.exe et choisis "Install" .

    Puis une fois l'instale faite ,redémarre en mode sans échec .
    Comment aller en Mode sans échec :
    1) Redémarre ton ordi
    2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
    3) Tu verras un écran avec options de démarrage apparaître
    4) Choisis la première option : Sans Échec, et valide avec "Entrée"
    5) Choisis ton compte habituel, et non Administrateur (si besoin ... )

    Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
    --->Tape Y pour lancer le script.
    Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire , donc :
    presses une touche pour redémarrer quand il te le sera demandé .

    Le PC va mettre du temps avant de démarrer ( c'est normale ), après le chargement du Bureau presses une touche lorsque "Finished" s'affiche .

    Le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier C:\SDFix sous le nom "Report.txt".
    Postes ce dernier dans ta prochaine réponse accompagné d'un nouveau rapport Hijakcthis pour analyse ...
    0
  2. ep44 Messages postés 7415 Date d'inscription   Statut Contributeur Dernière intervention   3
     
    Bonsoir

    Tu as plusieurs fichiers infectés

    Télécharge Combofix http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    et sauvegarde le sur ton bureau et pas ailleurs!

    => /!\déconnecte toi d'internet et ferme toutes tes applications./!\

    =>/!\ désactive tes protections (antivirus, parefeu,antispyware) provisoirement et seulement le temps de l'utilisation de ComboFix,/!\

    => Double-clic sur combofix,

    => /!\Ne touche à rien tant que le scan n'est pas terminé.Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi./!\

    => Attends que combofix ait terminé, un rapport sera créé.

    => réactive ton parefeu, ton antivirus, la garde de ton antispyware

    => copie/colle le rapport C:\ComboFix.txt

    => Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    @+
    0
    1. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
       
      Salut,
      c'était effectivement prévu au programme mais après SDFix ... ^^
      0
      1. Aergal > sKe69 Messages postés 21955 Statut Contributeur sécurité
         
        merci pour la rapidité et la clareté de vos conseils :) comme d'hab j'ai un peu merdé, en mode sans echec, comme je voyais rien j'ai cliqué sur combo fix au lieu de sdfix... du coup j'ai repassé un coup de sdfix et un second coup de combofix apres, cela dit pour le moment pas de signe de l'iimportun virus (je croise le doigts et vais faire un ptit scan d'avast). Je vous joint les differents rapports :

        premier rapport de combo fix :

        ComboFix 08-07-11.1 - Nico 2 2008-07-12 13:40:01.1 - NTFSx86 MINIMAL
        Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1807 [GMT 2:00]
        Endroit: C:\Documents and Settings\Nico 2\Bureau\ComboFix.exe

        [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
        .

        (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
        .

        C:\WINDOWS\system32\afinding.exe
        C:\WINDOWS\system32\andt.sys
        C:\WINDOWS\system32\comsa32.sys
        C:\WINDOWS\system32\drmgs.sys
        C:\WINDOWS\system32\Indt2.sys
        C:\WINDOWS\system32\routing.exe
        C:\WINDOWS\system32\tmp0_549835618164.bk
        C:\WINDOWS\system32\tmp0_621287139065.bk
        C:\WINDOWS\system32\tmp1_78640586871.bk
        C:\WINDOWS\system32\WServing.exe

        .
        ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
        .

        -------\Legacy_AFINDING
        -------\Legacy_PERFMONS
        -------\Legacy_ROUTING
        -------\Legacy_WSERVING
        -------\Service_AFinding
        -------\Service_perfmons
        -------\Service_Routing
        -------\Service_WServing


        ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-06-12 to 2008-07-12 ))))))))))))))))))))))))))))))))))))
        .

        2008-07-11 21:27 . 2008-07-11 21:29 <REP> d-------- C:\Documents and Settings\Nico 2\Application Data\vlc
        2008-07-11 21:21 . 2008-07-11 21:22 <REP> d-------- C:\Documents and Settings\All Users\utilitaires
        2008-07-11 21:20 . 2008-07-11 21:20 <REP> d-------- C:\Documents and Settings\All Users\film
        2008-07-11 21:17 . 2008-07-11 21:17 <REP> d-------- C:\Program Files\Freeplayer
        2008-07-11 18:10 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
        2008-07-11 18:10 . 2004-08-03 23:01 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
        2008-07-11 18:10 . 2008-07-11 18:10 434 --a------ C:\WINDOWS\BRWMARK.INI
        2008-07-11 18:10 . 2008-07-11 18:10 184 --a------ C:\WINDOWS\system32\brsvc01a.bsi
        2008-07-11 18:10 . 2008-07-11 18:10 30 --a------ C:\WINDOWS\system32\brss01a.ini
        2008-07-11 18:10 . 2008-07-11 18:10 27 --a------ C:\WINDOWS\BRPP2KA.INI
        2008-07-11 18:09 . 2001-02-05 11:16 258,048 --a------ C:\WINDOWS\system32\bsplmf01.dll
        2008-07-11 18:09 . 2003-12-24 00:00 131,072 --a------ C:\WINDOWS\system32\bsplmf01.exe
        2008-07-11 18:09 . 2005-03-02 11:35 121,856 --a------ C:\WINDOWS\system32\BrWia05a.dll
        2008-07-11 18:09 . 2002-04-12 00:00 57,344 --a------ C:\WINDOWS\system32\brsvc01a.exe
        2008-07-11 18:09 . 2005-05-09 10:34 55,296 --------- C:\WINDOWS\system32\brinsstr.dll
        2008-07-11 18:09 . 2001-12-13 00:01 45,056 --a------ C:\WINDOWS\system32\brss01a.exe
        2008-07-11 18:09 . 2005-03-02 13:14 37,888 --a------ C:\WINDOWS\system32\BrUSi05a.dll
        2008-07-11 18:09 . 2004-10-15 12:50 15,295 --a------ C:\WINDOWS\system32\drivers\BrScnUsb.sys
        2008-07-11 18:09 . 2008-07-11 18:09 50 --a------ C:\WINDOWS\system32\bridf05a.dat
        2008-07-11 18:08 . 2008-07-11 18:08 <REP> d-------- C:\Program Files\Common Files
        2008-07-11 18:08 . 2008-07-11 18:09 <REP> d-------- C:\Program Files\Brother
        2008-07-11 18:08 . 2008-07-11 18:08 <REP> d-------- C:\Brother
        2008-07-11 18:08 . 2004-12-03 01:26 188,416 --------- C:\WINDOWS\system32\PDRVINST.DLL
        2008-07-11 18:08 . 2004-12-10 16:35 147,456 --------- C:\WINDOWS\brunin03.dll
        2008-07-11 18:08 . 2002-10-31 01:09 81,920 --------- C:\WINDOWS\system32\BrWebIns.dll
        2008-07-11 18:08 . 2003-07-03 01:08 65,536 --------- C:\WINDOWS\system32\BRWEBUP.EXE
        2008-07-11 18:08 . 2001-11-15 01:00 6,224 --------- C:\WINDOWS\CVRPAGE.bmp
        2008-07-11 18:07 . 2008-07-11 18:07 <REP> d-------- C:\Program Files\ScanSoft
        2008-07-11 18:07 . 2008-07-11 18:07 <REP> d-------- C:\Program Files\Fichiers communs\ScanSoft Shared
        2008-07-11 18:07 . 2008-07-11 18:07 <REP> d-------- C:\Documents and Settings\All Users\Application Data\ScanSoft
        2008-07-11 18:07 . 2008-07-11 18:07 <REP> d-------- C:\Documents and Settings\All Users\Application Data\InstallShield
        2008-07-11 18:07 . 2003-09-24 11:37 27,279 --a------ C:\WINDOWS\maxlink.ini
        2008-07-11 18:06 . 2008-07-11 18:06 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Brother
        2008-07-05 17:28 . 2008-07-05 17:30 1,355 --a------ C:\WINDOWS\imsins.BAK
        2008-07-05 17:24 . 2008-06-14 19:59 272,768 --------- C:\WINDOWS\system32\drivers\bthport.sys
        2008-07-05 17:24 . 2008-06-14 19:59 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
        2008-07-05 17:19 . 2008-07-05 17:19 <REP> d-------- C:\Program Files\Creative
        2008-07-05 17:19 . 2005-08-16 12:23 38,422 --a------ C:\WINDOWS\system32\drivers\StMp3Rec.sys

        .
        (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
        .
        2008-07-11 16:08 --------- d--h--w C:\Program Files\InstallShield Installation Information
        2008-07-11 16:08 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
        2008-05-23 18:47 --------- d-----w C:\Documents and Settings\Nico 2\Application Data\LG Electronics
        2008-05-23 18:45 --------- d-----w C:\Program Files\LG PC Suite
        2008-05-23 18:45 --------- d-----w C:\Program Files\LG Electronics
        2008-05-07 05:15 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
        2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
        .

        ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
        .
        .
        REGEDIT4
        *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

        [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
        "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 17:09 15360]
        "IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" [2007-12-13 19:10 1688872]

        [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
        "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
        "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
        "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-16 01:19 79224]
        "NeroFilterCheck"="C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe" [2007-03-01 14:57 153136]
        "NBKeyScan"="C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-12-03 14:21 2213160]
        "SSBkgdUpdate"="C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 10:22 155648]
        "PaperPort PTD"="C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 19:17 57393]
        "IndexSearch"="C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 19:30 40960]
        "SetDefPrt"="C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe" [2005-01-26 18:02 49152]
        "ControlCenter2.0"="C:\Program Files\Brother\ControlCenter2\brctrcen.exe" [2005-05-17 17:42 933888]
        "nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
        "SoundMan"="SOUNDMAN.EXE" [2004-11-15 18:20 77824 C:\WINDOWS\SOUNDMAN.EXE]

        [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
        "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 17:09 15360]

        [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
        "%windir%\\system32\\sessmgr.exe"=
        "C:\\Program Files\\Freeplayer\\vlc\\vlc.exe"=

        R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]
        R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]
        R2 NOBICYT;NOBICYT Service;C:\WINDOWS\system32\Nobicyt.exe [2001-08-28 14:00]

        [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3dca4d42-1071-11dd-9b35-806d6172696f}]
        \Shell\AutoRun\command - D:\SETUP.EXE /AUTORUN
        \Shell\configure\command - D:\SETUP.EXE
        \Shell\install\command - D:\SETUP.EXE

        [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9195d1c6-1073-11dd-bda8-0011d89573df}]
        \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe WillPolo.vbs

        .
        Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
        "2008-05-05 17:48:45 C:\WINDOWS\Tasks\ErrorSmart Scheduled Scan.job"
        - C:\Program Files\ErrorSmart\ErrorSmart.ex
        - C:\Program Files\ErrorSmart.Nico 2+Runs ErrorSmart to optimize your registry.
        .
        **************************************************************************

        catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
        Rootkit scan 2008-07-12 13:42:28
        Windows 5.1.2600 Service Pack 2 NTFS

        Balayage processus cach‚s ...

        Balayage cach‚ autostart entries ...

        Balayage des fichiers cach‚s ...

        Scan termin‚ avec succŠs
        Les fichiers cach‚s: 0

        **************************************************************************
        .
        --------------------- DLLs a charg‚ sous des processus courants ---------------------

        PROCESS: C:\WINDOWS\explorer.exe
        -> ?:\WINDOWS\System32\CSCDLL.dll
        .
        ------------------------ Other Running Processes ------------------------
        .
        C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
        C:\Program Files\Alwil Software\Avast4\ashServ.exe
        C:\WINDOWS\system32\brss01a.exe
        C:\WINDOWS\system32\cmd.exe
        C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
        C:\WINDOWS\system32\rundll32.exe
        C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
        C:\WINDOWS\system32\nvsvc32.exe
        C:\WINDOWS\system32\wdfmgr.exe
        C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
        C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
        C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
        C:\WINDOWS\system32\verclsid.exe
        .
        **************************************************************************
        .
        Temps d'accomplissement: 2008-07-12 13:45:12 - machine was rebooted [Nico 2]
        ComboFix-quarantined-files.txt 2008-07-12 11:45:07

        Pre-Run: 70,273,351,680 octets libres
        Post-Run: 70,261,354,496 octets libres

        157 --- E O F --- 2008-07-05 15:30:10

        ensuite rapport de sdfix :



        [b]SDFix: Version 1.204 [/b]
        Run by Administrateur on 12/07/2008 at 13:56

        Microsoft Windows XP [version 5.1.2600]
        Running From: C:\SDFix

        [b]Checking Services [/b]:


        Restoring Default Security Values
        Restoring Default Hosts File

        Rebooting


        [b]Checking Files [/b]:

        Trojan Files Found:

        C:\WINDOWS\system32\comsa32.sys - Deleted





        Removing Temp Files

        [b]ADS Check [/b]:



        [b]Final Check [/b]:

        catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
        Rootkit scan 2008-07-12 14:00:44
        Windows 5.1.2600 Service Pack 2 NTFS

        scanning hidden processes ...

        scanning hidden services & system hive ...

        scanning hidden registry entries ...

        scanning hidden files ...

        scan completed successfully
        hidden processes: 0
        hidden services: 0
        hidden files: 0


        [b]Remaining Services [/b]:




        Authorized Application Key Export:

        [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
        "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
        "C:\\Program Files\\Freeplayer\\vlc\\vlc.exe"="C:\\Program Files\\Freeplayer\\vlc\\vlc.exe:*:Enabled:VLC media player"

        [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
        "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

        [b]Remaining Files [/b]:


        File Backups: - C:\SDFix\backups\backups.zip

        [b]Files with Hidden Attributes [/b]:

        Thu 3 Jul 2008 251,597 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\f5d704509135a88d58a6d4154bc19d41\BIT2.tmp"

        [b]Finished![/b]

        ensuite second rapport de combo fix :

        ComboFix 08-07-11.1 - Nico 2 2008-07-12 14:07:06.2 - NTFSx86
        Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1666 [GMT 2:00]
        Endroit: C:\Documents and Settings\Nico 2\Bureau\ComboFix.exe

        [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
        .

        ((((((((((((((((((((((((((((( Fichiers créés 2008-06-12 to 2008-07-12 ))))))))))))))))))))))))))))))))))))
        .

        2008-07-12 13:54 . 2008-07-12 13:54 <REP> d-------- C:\WINDOWS\ERUNT
        2008-07-12 13:53 . 2008-07-12 13:53 <REP> d-------- C:\Documents and Settings\Administrateur
        2008-07-11 21:27 . 2008-07-11 21:29 <REP> d-------- C:\Documents and Settings\Nico 2\Application Data\vlc
        2008-07-11 21:21 . 2008-07-11 21:22 <REP> d-------- C:\Documents and Settings\All Users\utilitaires
        2008-07-11 21:20 . 2008-07-11 21:20 <REP> d-------- C:\Documents and Settings\All Users\film
        2008-07-11 21:17 . 2008-07-11 21:17 <REP> d-------- C:\Program Files\Freeplayer
        2008-07-11 18:10 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
        2008-07-11 18:10 . 2004-08-03 23:01 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
        2008-07-11 18:10 . 2008-07-11 18:10 434 --a------ C:\WINDOWS\BRWMARK.INI
        2008-07-11 18:10 . 2008-07-11 18:10 184 --a------ C:\WINDOWS\system32\brsvc01a.bsi
        2008-07-11 18:10 . 2008-07-11 18:10 30 --a------ C:\WINDOWS\system32\brss01a.ini
        2008-07-11 18:10 . 2008-07-11 18:10 27 --a------ C:\WINDOWS\BRPP2KA.INI
        2008-07-11 18:09 . 2001-02-05 11:16 258,048 --a------ C:\WINDOWS\system32\bsplmf01.dll
        2008-07-11 18:09 . 2003-12-24 00:00 131,072 --a------ C:\WINDOWS\system32\bsplmf01.exe
        2008-07-11 18:09 . 2005-03-02 11:35 121,856 --a------ C:\WINDOWS\system32\BrWia05a.dll
        2008-07-11 18:09 . 2002-04-12 00:00 57,344 --a------ C:\WINDOWS\system32\brsvc01a.exe
        2008-07-11 18:09 . 2005-05-09 10:34 55,296 --------- C:\WINDOWS\system32\brinsstr.dll
        2008-07-11 18:09 . 2001-12-13 00:01 45,056 --a------ C:\WINDOWS\system32\brss01a.exe
        2008-07-11 18:09 . 2005-03-02 13:14 37,888 --a------ C:\WINDOWS\system32\BrUSi05a.dll
        2008-07-11 18:09 . 2004-10-15 12:50 15,295 --a------ C:\WINDOWS\system32\drivers\BrScnUsb.sys
        2008-07-11 18:09 . 2008-07-11 18:09 50 --a------ C:\WINDOWS\system32\bridf05a.dat
        2008-07-11 18:08 . 2008-07-11 18:08 <REP> d-------- C:\Program Files\Common Files
        2008-07-11 18:08 . 2008-07-11 18:09 <REP> d-------- C:\Program Files\Brother
        2008-07-11 18:08 . 2008-07-11 18:08 <REP> d-------- C:\Brother
        2008-07-11 18:08 . 2004-12-03 01:26 188,416 --------- C:\WINDOWS\system32\PDRVINST.DLL
        2008-07-11 18:08 . 2004-12-10 16:35 147,456 --------- C:\WINDOWS\brunin03.dll
        2008-07-11 18:08 . 2002-10-31 01:09 81,920 --------- C:\WINDOWS\system32\BrWebIns.dll
        2008-07-11 18:08 . 2003-07-03 01:08 65,536 --------- C:\WINDOWS\system32\BRWEBUP.EXE
        2008-07-11 18:08 . 2001-11-15 01:00 6,224 --------- C:\WINDOWS\CVRPAGE.bmp
        2008-07-11 18:07 . 2008-07-11 18:07 <REP> d-------- C:\Program Files\ScanSoft
        2008-07-11 18:07 . 2008-07-11 18:07 <REP> d-------- C:\Program Files\Fichiers communs\ScanSoft Shared
        2008-07-11 18:07 . 2008-07-11 18:07 <REP> d-------- C:\Documents and Settings\All Users\Application Data\ScanSoft
        2008-07-11 18:07 . 2008-07-11 18:07 <REP> d-------- C:\Documents and Settings\All Users\Application Data\InstallShield
        2008-07-11 18:07 . 2003-09-24 11:37 27,279 --a------ C:\WINDOWS\maxlink.ini
        2008-07-11 18:06 . 2008-07-11 18:06 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Brother
        2008-07-05 17:28 . 2008-07-05 17:30 1,355 --a------ C:\WINDOWS\imsins.BAK
        2008-07-05 17:24 . 2008-06-14 19:59 272,768 --------- C:\WINDOWS\system32\drivers\bthport.sys
        2008-07-05 17:24 . 2008-06-14 19:59 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
        2008-07-05 17:19 . 2008-07-05 17:19 <REP> d-------- C:\Program Files\Creative
        2008-07-05 17:19 . 2005-08-16 12:23 38,422 --a------ C:\WINDOWS\system32\drivers\StMp3Rec.sys

        .
        (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
        .
        2008-07-11 16:08 --------- d--h--w C:\Program Files\InstallShield Installation Information
        2008-07-11 16:08 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
        2008-05-23 18:47 --------- d-----w C:\Documents and Settings\Nico 2\Application Data\LG Electronics
        2008-05-23 18:45 --------- d-----w C:\Program Files\LG PC Suite
        2008-05-23 18:45 --------- d-----w C:\Program Files\LG Electronics
        2008-05-07 05:15 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
        2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
        .

        ((((((((((((((((((((((((((((( snapshot@2008-07-12_13.44.56.34 )))))))))))))))))))))))))))))))))))))))))
        .
        - 2008-07-12 11:42:03 2,048 --s-a-w C:\WINDOWS\bootstat.dat
        + 2008-07-12 11:59:48 2,048 --s-a-w C:\WINDOWS\bootstat.dat
        + 2008-07-09 09:52:07 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE
        + 2008-07-12 11:54:58 372,736 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000001\NTUSER.DAT
        + 2008-07-12 11:54:58 8,192 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat
        + 2008-07-09 09:52:07 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE
        + 2008-07-12 11:54:57 372,736 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000001\NTUSER.DAT
        + 2008-07-12 11:54:57 8,192 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000002\UsrClass.dat
        + 2008-04-23 04:16:40 1,159,680 ----a-w C:\WINDOWS\TEMP\mta56201.dll
        - 2008-07-12 11:42:08 16,384 ----atw C:\WINDOWS\TEMP\Perflib_Perfdata_658.dat
        + 2008-07-12 11:59:54 16,384 ----atw C:\WINDOWS\TEMP\Perflib_Perfdata_658.dat
        .
        ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
        .
        .
        REGEDIT4
        *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

        [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
        "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 17:09 15360]
        "IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" [2007-12-13 19:10 1688872]

        [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
        "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
        "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
        "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-16 01:19 79224]
        "NeroFilterCheck"="C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe" [2007-03-01 14:57 153136]
        "NBKeyScan"="C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-12-03 14:21 2213160]
        "SSBkgdUpdate"="C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 10:22 155648]
        "PaperPort PTD"="C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 19:17 57393]
        "IndexSearch"="C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 19:30 40960]
        "SetDefPrt"="C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe" [2005-01-26 18:02 49152]
        "ControlCenter2.0"="C:\Program Files\Brother\ControlCenter2\brctrcen.exe" [2005-05-17 17:42 933888]
        "nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
        "SoundMan"="SOUNDMAN.EXE" [2004-11-15 18:20 77824 C:\WINDOWS\SOUNDMAN.EXE]

        [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
        "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 17:09 15360]

        C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
        Contr“leur d'‚tat.lnk - C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe [2008-07-11 18:09:11 802816]

        [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
        "EnableFirewall"= 0 (0x0)

        [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
        "%windir%\\system32\\sessmgr.exe"=
        "C:\\Program Files\\Freeplayer\\vlc\\vlc.exe"=

        R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]
        R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]
        R2 NOBICYT;NOBICYT Service;C:\WINDOWS\system32\Nobicyt.exe [2001-08-28 14:00]

        [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3dca4d42-1071-11dd-9b35-806d6172696f}]
        \Shell\AutoRun\command - D:\SETUP.EXE /AUTORUN
        \Shell\configure\command - D:\SETUP.EXE
        \Shell\install\command - D:\SETUP.EXE

        [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9195d1c6-1073-11dd-bda8-0011d89573df}]
        \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe WillPolo.vbs

        .
        Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
        "2008-05-05 17:48:45 C:\WINDOWS\Tasks\ErrorSmart Scheduled Scan.job"
        - C:\Program Files\ErrorSmart\ErrorSmart.ex
        - C:\Program Files\ErrorSmart.Nico 2+Runs ErrorSmart to optimize your registry.
        .
        **************************************************************************

        catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
        Rootkit scan 2008-07-12 14:07:46
        Windows 5.1.2600 Service Pack 2 NTFS

        Balayage processus cachés ...

        Balayage caché autostart entries ...

        Balayage des fichiers cachés ...

        Scan terminé avec succès
        Les fichiers cachés: 0

        **************************************************************************
        .
        Temps d'accomplissement: 2008-07-12 14:09:21
        ComboFix-quarantined-files.txt 2008-07-12 12:08:58

        Pre-Run: 70,213,283,840 octets libres
        Post-Run: 70,205,054,976 octets libres

        132 --- E O F --- 2008-07-05 15:30:10


        et pour finir un petit coup d'hijack this :

        Logfile of Trend Micro HijackThis v2.0.2
        Scan saved at 14:20:44, on 12/07/2008
        Platform: Windows XP SP2 (WinNT 5.01.2600)
        MSIE: Internet Explorer v7.00 (7.00.6000.16674)
        Boot mode: Normal

        Running processes:
        C:\WINDOWS\System32\smss.exe
        C:\WINDOWS\system32\winlogon.exe
        C:\WINDOWS\system32\services.exe
        C:\WINDOWS\system32\lsass.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\System32\svchost.exe
        C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
        C:\Program Files\Alwil Software\Avast4\ashServ.exe
        C:\WINDOWS\system32\brss01a.exe
        C:\WINDOWS\system32\spoolsv.exe
        C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
        C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
        C:\WINDOWS\system32\Nobicyt.exe
        C:\WINDOWS\system32\nvsvc32.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\system32\RUNDLL32.EXE
        C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
        C:\WINDOWS\SOUNDMAN.EXE
        C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
        C:\WINDOWS\system32\ctfmon.exe
        C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
        C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
        C:\WINDOWS\explorer.exe
        C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
        C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
        C:\Program Files\Internet Explorer\IEXPLORE.EXE
        C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
        R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
        O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
        O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
        O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
        O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
        O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
        O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
        O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
        O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
        O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
        O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
        O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe
        O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
        O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
        O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
        O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
        O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
        O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
        O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
        O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
        O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
        O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
        O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
        O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - https://www.eset.com/
        O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
        O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
        O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
        O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
        O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
        O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
        O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
        O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
        O23 - Service: NOBICYT Service (NOBICYT) - Unknown owner - C:\WINDOWS\system32\Nobicyt.exe
        O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
        0
  3. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    bien ...

    Télécharges DSS (Deckard's System Scanner de Deckard) sur ton Bureau :

    http://www.techsupportforum.com/sectools/Deckard/dss.exe

    !! Fermes toutes les applications en cours (très important, sinon l'ordi peut planter) !!

    Double-clique sur DSS.exe pour lancer l'outil.
    (S'il ne trouve pas HijackThis, clique sur Oui )

    Clique sur OK à chaque fois que cela sera demandé.

    L'analyse finie, un fichier texte s'affichera --->Postes ce rapport dans ta prochaine
    réponse pour analyse ...

    (Le rapport se trouve en outre ici : C:\Deckard\System Scanner\main.txt.)

    Important : Si tu obtiens deux rapports ("main.txt" + "extra.txt") alors poste les deux stp.
    Attention --> les rapports peuvent être long donc envoie chacun d'eux dans un poste différent (sinon il risque de manquer la fin).
    0
    1. Aergal
       
      bon alors, premiere mauvaise nouvelle, le scan d'avast a retrouvé le virus, et la seconde, DSS plante a chaque fois que je le lance... j'ai pourtant viré toute les applications, j'ai meme arreté avast et viré le firewall, mais ca plante a chaque fois...
      0
  4. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    laisse tomber DSS pour le moment ainsi que Avast ...

    1- Télécharges : - CCleaner
    https://www.pcastuces.com/logitheque/ccleaner.htm
    Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corrigé ton registre .Lors de l'installation, avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 première.
    Une fois le prg instalé et lancé, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures"( Par la suite, laisse-le avec ses réglages par défaut. C'est tout ).

    Un tuto ( aide ):
    http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

    ---> Utilisation:
    vas dans "nettoyeur" : fait analyse puis nettoyage
    et vas dans "registre" : fait chercher les erreurs et réparer ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

    ( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )

    2- Télécharge DiagHelp.zip sur ton bureau :

    http://www.malekal.com/download/DiagHelp.zip

    !! déconnectes toi et fermes toutes tes applications en cours !!

    Fais un clic droit sur le fichier et extraire tout .

    --> Un nouveau dossier va être créé : "DiagHelp"
    Ouvres le et double-clic sur go.cmd et pas sur autre chose ! (le .cmd peut ne pas apparaître )

    --> Une fenêtre va s'ouvrir, choisis l'option 1
    L'analyse va commencer, ce-ci peut durer quelques minutes, laisses faire et appuies sur une touche quand on te le demandera :
    une page IE va s'ouvrir , fermes la .
    Re-appuis sur une touche, le bloc-note s'ouvre :
    Sauvegardes ce rapport de façon à le retrouver et postes tout son contenu dans ta prochaine réponse ...
    0
    1. Aergal
       
      ok c'est fait, je te post le rapport :


      DiagHelp version v1.4 - http://www.malekal.com
      excute le 12/07/2008 à 16:44:44,45


      Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
      C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->12/07/2008 16:44:42
      C:\WINDOWS\prefetch\WINRAR.EXE-39C6DAD9.pf -->12/07/2008 16:43:39
      C:\WINDOWS\prefetch\WSCNTFY.EXE-1B24F5EB.pf -->12/07/2008 16:43:14
      C:\WINDOWS\prefetch\IEXPLORE.EXE-27122324.pf -->12/07/2008 16:41:46
      C:\WINDOWS\prefetch\VERCLSID.EXE-3667BD89.pf -->12/07/2008 16:41:23
      C:\WINDOWS\prefetch\CCLEANER.EXE-0BCE437C.pf -->12/07/2008 16:40:53
      C:\WINDOWS\prefetch\RUNDLL32.EXE-2BF3472E.pf -->12/07/2008 16:39:49
      C:\WINDOWS\prefetch\CCSETUP209.EXE-12CC1DA2.pf -->12/07/2008 16:38:08
      C:\WINDOWS\prefetch\WUAUCLT.EXE-399A8E72.pf -->12/07/2008 16:31:55
      C:\WINDOWS\prefetch\NTOSBOOT-B00DFAAD.pf -->12/07/2008 16:31:55

      C:\WINDOWS\System32\drivers\bthport.sys -->14/06/2008 19:59:52
      C:\WINDOWS\System32\drivers\aswSP.sys -->16/05/2008 01:20:32
      C:\WINDOWS\System32\drivers\aswmon2.sys -->16/05/2008 01:18:33
      C:\WINDOWS\System32\drivers\aswFsBlk.sys -->16/05/2008 01:16:06
      C:\WINDOWS\System32\drivers\aswRdr.sys -->16/05/2008 01:15:29
      C:\WINDOWS\System32\drivers\aswTdi.sys -->16/05/2008 01:14:11
      C:\WINDOWS\System32\drivers\aavmker4.sys -->16/05/2008 01:13:26

      C:\WINDOWS\System32\wpa.dbl -->12/07/2008 16:31:02
      C:\WINDOWS\System32\CONFIG.NT -->11/07/2008 21:46:20
      C:\WINDOWS\System32\brss01a.ini -->11/07/2008 18:10:49
      C:\WINDOWS\System32\brsvc01a.bsi -->11/07/2008 18:10:48
      C:\WINDOWS\System32\bridf05a.dat -->11/07/2008 18:09:24
      C:\WINDOWS\System32\MRT.exe -->29/05/2008 16:35:12
      C:\WINDOWS\System32\PerfStringBackup.INI -->23/05/2008 20:47:28
      C:\WINDOWS\System32\perfh00C.dat -->23/05/2008 20:47:28
      C:\WINDOWS\System32\perfh009.dat -->23/05/2008 20:47:28
      C:\WINDOWS\System32\perfc00C.dat -->23/05/2008 20:47:28
      C:\WINDOWS\System32\perfc009.dat -->23/05/2008 20:47:28
      C:\WINDOWS\System32\aswBoot.exe -->16/05/2008 01:24:43
      C:\WINDOWS\System32\AvastSS.scr -->16/05/2008 01:12:36
      C:\WINDOWS\System32\quartz.dll -->07/05/2008 07:15:36
      C:\WINDOWS\System32\mshtml.dll -->23/04/2008 22:16:42
      C:\WINDOWS\System32\wininet.dll -->23/04/2008 06:16:40
      C:\WINDOWS\System32\webcheck.dll -->23/04/2008 06:16:40
      C:\WINDOWS\System32\urlmon.dll -->23/04/2008 06:16:40
      C:\WINDOWS\System32\url.dll -->23/04/2008 06:16:40
      C:\WINDOWS\System32\pngfilt.dll -->23/04/2008 06:16:40
      C:\WINDOWS\System32\occache.dll -->23/04/2008 06:16:40
      C:\WINDOWS\System32\mstime.dll -->23/04/2008 06:16:40
      C:\WINDOWS\System32\msrating.dll -->23/04/2008 06:16:40
      C:\WINDOWS\System32\mshtmled.dll -->23/04/2008 06:16:40
      C:\WINDOWS\System32\msfeedsbs.dll -->23/04/2008 06:16:40

      C:\WINDOWS\setupapi.log -->12/07/2008 16:42:42
      C:\WINDOWS\WindowsUpdate.log -->12/07/2008 16:31:48
      C:\WINDOWS\wiadebug.log -->12/07/2008 16:30:46
      C:\WINDOWS\wiaservc.log -->12/07/2008 16:30:45
      C:\WINDOWS\bootstat.dat -->12/07/2008 16:30:30
      C:\WINDOWS\SchedLgU.Txt -->12/07/2008 15:42:25
      C:\WINDOWS\system.ini -->12/07/2008 14:07:45
      C:\WINDOWS\NeroDigital.ini -->11/07/2008 21:23:03
      C:\WINDOWS\BRWMARK.INI -->11/07/2008 18:10:50
      C:\WINDOWS\BRPP2KA.INI -->11/07/2008 18:10:50
      C:\WINDOWS\Sti_Trace.log -->11/07/2008 18:07:40
      C:\WINDOWS\ODBC.INI -->22/04/2008 16:04:26
      C:\WINDOWS\win.ini -->22/04/2008 16:04:09
      C:\WINDOWS\WMSysPr9.prx -->22/04/2008 14:57:14
      C:\WINDOWS\REGLOCS.OLD -->22/04/2008 13:53:34

      winlogon.exe
      Verified: Signed
      svchost.exe
      Verified: Signed
      ws2_32.dll
      Verified: Signed
      user32.dll
      Verified: Signed
      tcpip.sys
      Verified: Signed
      ndis.sys
      Verified: Signed
      null.sys
      Verified: Signed


      ListDLLs v2.25 - DLL lister for Win9x/NT
      Copyright (C) 1997-2004 Mark Russinovich
      Sysinternals - www.sysinternals.com

      ------------------------------------------------------------------------------
      explorer.exe pid: 1492
      Command line: C:\WINDOWS\Explorer.EXE

      Base Size Version Path
      0x44080000 0xd0000 7.00.6000.16674 C:\WINDOWS\system32\WININET.dll
      0x00400000 0x9000 6.00.5441.0000 C:\WINDOWS\system32\Normaliz.dll
      0x43e00000 0x45000 7.00.6000.16674 C:\WINDOWS\system32\iertutil.dll
      0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll
      0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
      0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
      0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
      0x7d200000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll
      0x44360000 0x5cd000 7.00.6000.16674 C:\WINDOWS\system32\ieframe.dll
      0x44160000 0x127000 7.00.6000.16674 C:\WINDOWS\system32\urlmon.dll
      0x442b0000 0x3c000 7.00.6000.16674 C:\WINDOWS\system32\webcheck.dll
      0x76010000 0x65000 6.02.3104.0000 C:\WINDOWS\system32\MSVCP60.dll
      0x10000000 0x3e000 3.02.0003.0000 C:\Program Files\Nero\Nero8\Nero BackItUp\NBShell.dll
      0x782e0000 0x10f000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_3bf8fa05\MFC80U.DLL
      0x78130000 0x9b000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCR80.dll
      0x7c420000 0x87000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCP80.dll
      0x5d360000 0xf000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_91481303\MFC80FRA.DLL
      0x02780000 0x2c000 C:\Program Files\WinRAR\rarext.dll
      0x03e30000 0x202000 3.02.0003.0000 C:\Program Files\Nero\Nero8\Nero CoverDesigner\CoverEdExtension.dll
      0x781d0000 0x10f000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_3bf8fa05\MFC80.DLL
      0x74da0000 0x6c000 5.30.0023.1228 C:\WINDOWS\system32\RICHED20.dll
      0x64f00000 0x12000 4.08.1201.0000 C:\Program Files\Alwil Software\Avast4\ashShell.dll
      0x03650000 0x1c0000 3.02.0005.0000 C:\Program Files\Fichiers communs\Nero\Lib\MediaLibraryNSE.dll
      0x02210000 0xd000 1.00.0000.0001 C:\PROGRA~1\LGPCSU~1\LGPHON~1\Phone.dll
      0x73d10000 0xfe000 6.02.4131.0000 C:\PROGRA~1\LGPCSU~1\LGPHON~1\MFC42.DLL
      0x61d70000 0xe000 6.00.8665.0000 C:\WINDOWS\system32\MFC42LOC.DLL
      0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
      0x02220000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
      0x04040000 0x1b8000 3.01.0000.0008 C:\Program Files\Fichiers communs\Nero\Lib\NeroDigitalExt.dll
      0x325c0000 0x12000 11.00.5510.0000 C:\Program Files\Microsoft Office\OFFICE11\msohev.dll
      0x60980000 0x7000 3.01.4000.1823 C:\WINDOWS\system32\MSISIP.DLL
      0x74e10000 0x10000 5.06.0000.8820 C:\WINDOWS\system32\wshext.dll
      0x59000000 0xe000 5.06.0000.6626 C:\WINDOWS\system32\wshFR.DLL
      0x36d30000 0x19000 11.00.5510.0000 C:\PROGRA~1\MICROS~2\OFFICE11\MCPS.DLL

      ListDLLs v2.25 - DLL lister for Win9x/NT
      Copyright (C) 1997-2004 Mark Russinovich
      Sysinternals - www.sysinternals.com

      ------------------------------------------------------------------------------
      winlogon.exe pid: 692
      Command line: winlogon.exe

      Base Size Version Path
      0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe
      0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\COMCTL32.dll
      0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
      0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
      0x01230000 0x3b000 1.07.0018.0007 C:\WINDOWS\system32\WgaLogon.dll
      0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
      0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll


      Le volume dans le lecteur C s'appelle System
      Le numéro de série du volume est 502A-6592

      Répertoire de C:\WINDOWS\system32

      19/08/2004 17:09 6 144 csrss.exe
      1 fichier(s) 6 144 octets
      0 Rép(s) 70 165 012 480 octets libres

      Contenu de Downloaded Program Files
      Le volume dans le lecteur C s'appelle System
      Le numéro de série du volume est 502A-6592

      Répertoire de C:\WINDOWS\Downloaded Program Files

      12/07/2008 16:31 <REP> .
      12/07/2008 16:31 <REP> ..
      22/04/2008 13:49 65 desktop.ini
      25/07/2002 17:13 24 576 dwusplay.dll
      25/07/2002 17:13 196 608 dwusplay.exe
      24/03/2008 19:33 1 527 056 FP_AX_CAB_INSTALLER.exe
      16/10/2003 13:55 299 008 isusweb.dll
      11/02/2008 09:39 1 864 OnlineScanner.inf
      24/03/2008 19:18 247 swflash.inf
      7 fichier(s) 2 049 424 octets

      Total des fichiers listés :
      7 fichier(s) 2 049 424 octets
      2 Rép(s) 70 165 008 384 octets libres

      Recherche de rootkit! (Merci S!Ri)

      Recherche d'infections connues

      Export des clefs sensibles..


      Liste des fichiers en exception sur le pare-feu XP SP2

      "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
      "C:\\Program Files\\Freeplayer\\vlc\\vlc.exe"="C:\\Program Files\\Freeplayer\\vlc\\vlc.exe:*:Enabled:VLC media player"

      "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

      Export de la clef SharedTaskScheduler

      [SharedTaskScheduler]
      "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
      "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"



      exports des policies
      REGEDIT4

      [system]
      "dontdisplaylastusername"=dword:00000000
      "legalnoticecaption"=""
      "legalnoticetext"=""
      "shutdownwithoutlogon"=dword:00000001
      "undockwithoutlogon"=dword:00000001
      "HideLegacyLogonScripts"=dword:00000000
      "HideLogoffScripts"=dword:00000000
      "RunLogonScriptSync"=dword:00000001
      "RunStartupScriptSync"=dword:00000000
      "HideStartupScripts"=dword:00000000
      "DisableRegistryTools"=dword:00000000



      Export des clefs sensibles..
      Rechercher adresses sensibles dans le fichier HOSTS...
      catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2008-07-12 16:44:57
      Windows 5.1.2600 Service Pack 2 NTFS

      scanning hidden services & system hive ...

      scanning hidden registry entries ...

      scanning hidden files ...

      scan completed successfully
      hidden services: 0
      hidden files: 0


      KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

      Process list by traversal of KiWaitListHead

      4 - System
      196 - NMIndexingServi
      336 - ashDisp.exe
      524 - ctfmon.exe
      536 - NMIndexStoreSvr
      668 - csrss.exe
      692 - winlogon.exe
      740 - services.exe
      752 - lsass.exe
      904 - svchost.exe
      968 - svchost.exe
      1064 - svchost.exe
      1108 - MDM.EXE
      1248 - svchost.exe
      1328 - Nobicyt.exe
      1364 - nvsvc32.exe
      1424 - svchost.exe
      1492 - explorer.exe
      1644 - ashServ.exe
      1972 - brss01a.exe
      2172 - cmd.exe
      2360 - alg.exe

      Total number of processes = 22
      NOTE: Under WinXP, this will not show all processes.

      KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

      Driver/Module list by traversal of PsLoadedModuleList

      804D7000 - \WINDOWS\system32\ntkrnlpa.exe
      806CE000 - \WINDOWS\system32\hal.dll
      BADA8000 - \WINDOWS\system32\KDCOM.DLL
      BACB8000 - \WINDOWS\system32\BOOTVID.dll
      BA778000 - ACPI.sys
      BADAA000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS
      BA767000 - pci.sys
      BA8A8000 - isapnp.sys
      BA8B8000 - ohci1394.sys
      BA8C8000 - \WINDOWS\system32\DRIVERS\1394BUS.SYS
      BAE70000 - pciide.sys
      BAB28000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
      BA8D8000 - MountMgr.sys
      BA748000 - ftdisk.sys
      BADAC000 - dmload.sys
      BA722000 - dmio.sys
      BAB30000 - PartMgr.sys
      BA8E8000 - VolSnap.sys
      BA70A000 - atapi.sys
      BA6F3000 - nvata.sys
      BA8F8000 - disk.sys
      BA908000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
      BA6D3000 - fltMgr.sys
      BA6C1000 - sr.sys
      BA6AA000 - KSecDD.sys
      BA61D000 - Ntfs.sys
      BA5F0000 - NDIS.sys
      BA5D5000 - Mup.sys
      BAA78000 - \SystemRoot\system32\DRIVERS\nic1394.sys
      BAA08000 - \SystemRoot\system32\DRIVERS\processr.sys
      BAB80000 - \SystemRoot\system32\DRIVERS\usbohci.sys
      B97A6000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS
      BAB88000 - \SystemRoot\system32\DRIVERS\usbehci.sys
      B9575000 - \SystemRoot\system32\drivers\ALCXWDM.SYS
      B9551000 - \SystemRoot\system32\drivers\portcls.sys
      BAA18000 - \SystemRoot\system32\drivers\drmk.sys
      B952E000 - \SystemRoot\system32\drivers\ks.sys
      BAA28000 - \SystemRoot\system32\DRIVERS\cdrom.sys
      BAA38000 - \SystemRoot\system32\DRIVERS\redbook.sys
      BAA48000 - \SystemRoot\system32\DRIVERS\imapi.sys
      BAD80000 - \SystemRoot\system32\DRIVERS\nvnetbus.sys
      B94EE000 - \SystemRoot\system32\DRIVERS\NVNRM.SYS
      B94BB000 - \SystemRoot\system32\DRIVERS\NVSNPU.SYS
      B87AA000 - \SystemRoot\system32\DRIVERS\nv4_mini.sys
      B8796000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
      BABD0000 - \SystemRoot\system32\DRIVERS\fdc.sys
      B8785000 - \SystemRoot\system32\DRIVERS\serial.sys
      BAD98000 - \SystemRoot\system32\DRIVERS\serenum.sys
      B8771000 - \SystemRoot\system32\DRIVERS\parport.sys
      BAEE4000 - \SystemRoot\system32\drivers\msmpu401.sys
      BAD9C000 - \SystemRoot\system32\DRIVERS\gameenum.sys
      BAEE5000 - \SystemRoot\system32\DRIVERS\audstub.sys
      B9A35000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys
      BADA0000 - \SystemRoot\system32\DRIVERS\ndistapi.sys
      B875A000 - \SystemRoot\system32\DRIVERS\ndiswan.sys
      B9859000 - \SystemRoot\system32\DRIVERS\raspppoe.sys
      B9849000 - \SystemRoot\system32\DRIVERS\raspptp.sys
      BABD8000 - \SystemRoot\system32\DRIVERS\TDI.SYS
      B8749000 - \SystemRoot\system32\DRIVERS\psched.sys
      B9839000 - \SystemRoot\system32\DRIVERS\msgpc.sys
      BABE0000 - \SystemRoot\system32\DRIVERS\ptilink.sys
      BABE8000 - \SystemRoot\system32\DRIVERS\raspti.sys
      B8718000 - \SystemRoot\system32\DRIVERS\rdpdr.sys
      B9829000 - \SystemRoot\system32\DRIVERS\termdd.sys
      BABF0000 - \SystemRoot\system32\DRIVERS\kbdclass.sys
      BABF8000 - \SystemRoot\system32\DRIVERS\mouclass.sys
      BADCE000 - \SystemRoot\system32\DRIVERS\swenum.sys
      B86E4000 - \SystemRoot\system32\DRIVERS\update.sys
      BA59D000 - \SystemRoot\system32\DRIVERS\mssmbios.sys
      B9819000 - \SystemRoot\system32\DRIVERS\usbhub.sys
      BADD0000 - \SystemRoot\system32\DRIVERS\USBD.SYS
      BA958000 - \SystemRoot\System32\Drivers\NDProxy.SYS
      B0E0A000 - \SystemRoot\system32\DRIVERS\flpydisk.sys
      BAE5A000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
      B123B000 - \SystemRoot\System32\Drivers\Null.SYS
      BAE5C000 - \SystemRoot\System32\Drivers\Beep.SYS
      B0DFA000 - \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
      B0DF2000 - \SystemRoot\System32\drivers\vga.sys
      BAE5E000 - \SystemRoot\System32\Drivers\mnmdd.SYS
      BAE60000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
      AFA80000 - \SystemRoot\System32\Drivers\Msfs.SYS
      AFA78000 - \SystemRoot\System32\Drivers\Npfs.SYS
      B2A9F000 - \SystemRoot\system32\DRIVERS\rasacd.sys
      ADF9A000 - \SystemRoot\system32\DRIVERS\ipsec.sys
      ADF42000 - \SystemRoot\system32\DRIVERS\tcpip.sys
      AFACA000 - \SystemRoot\System32\Drivers\aswTdi.SYS
      ADF1A000 - \SystemRoot\system32\DRIVERS\netbt.sys
      ADEF8000 - \SystemRoot\System32\drivers\afd.sys
      AECEE000 - \SystemRoot\system32\DRIVERS\netbios.sys
      ADECD000 - \SystemRoot\system32\DRIVERS\rdbss.sys
      ADE5E000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys
      AECDE000 - \SystemRoot\System32\Drivers\Fips.SYS
      ADE3D000 - \SystemRoot\system32\DRIVERS\ipnat.sys
      AECCE000 - \SystemRoot\system32\DRIVERS\wanarp.sys
      AECBE000 - \SystemRoot\system32\DRIVERS\arp1394.sys
      AFA70000 - \SystemRoot\system32\DRIVERS\usbccgp.sys
      AFA68000 - \SystemRoot\system32\DRIVERS\USBSTOR.SYS
      AFA60000 - \SystemRoot\system32\DRIVERS\usbprint.sys
      B0F4B000 - \SystemRoot\System32\Drivers\BrScnUsb.sys
      B0F47000 - \SystemRoot\system32\DRIVERS\hidusb.sys
      AECAE000 - \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
      B0F3F000 - \SystemRoot\system32\DRIVERS\kbdhid.sys
      B0F3B000 - \SystemRoot\system32\DRIVERS\mouhid.sys
      A91F3000 - \SystemRoot\System32\Drivers\aswSP.SYS
      AA3CE000 - \SystemRoot\System32\Drivers\Aavmker4.SYS
      AA060000 - \SystemRoot\System32\Drivers\Cdfs.SYS
      A91DC000 - \SystemRoot\System32\Drivers\dump_nvata.sys
      BAE1C000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS
      BF800000 - \SystemRoot\System32\win32k.sys
      AAAC5000 - \SystemRoot\System32\drivers\Dxapi.sys
      AA3BE000 - \SystemRoot\System32\watchdog.sys
      BF9C3000 - \SystemRoot\System32\drivers\dxg.sys
      AF80D000 - \SystemRoot\System32\drivers\dxgthk.sys
      BF9D5000 - \SystemRoot\System32\nv4_disp.dll
      A965E000 - \SystemRoot\system32\DRIVERS\aswFsBlk.sys
      B7386000 - \SystemRoot\system32\DRIVERS\ndisuio.sys
      A89B6000 - \SystemRoot\System32\Drivers\aswMon2.SYS
      A896B000 - \SystemRoot\System32\Drivers\Fastfat.SYS
      A8866000 - \SystemRoot\system32\drivers\wdmaud.sys
      A9B88000 - \SystemRoot\system32\drivers\sysaudio.sys
      A86AA000 - \SystemRoot\system32\DRIVERS\mrxdav.sys
      BADC2000 - \SystemRoot\System32\Drivers\ParVdm.SYS
      A8608000 - \SystemRoot\system32\DRIVERS\srv.sys
      A82CF000 - \SystemRoot\System32\Drivers\HTTP.sys
      A83E8000 - \SystemRoot\System32\Drivers\aswRdr.SYS
      A776B000 - \SystemRoot\system32\drivers\kmixer.sys
      A9E36000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

      Total number of drivers = 127

      Liste des programmes installes

      Adobe Flash Player ActiveX
      Archiveur WinRAR
      avast! Antivirus
      Brother MFL-Pro Suite
      CCleaner (remove only)
      Correctif pour Windows Internet Explorer 7 (KB947864)
      Correctif Windows XP - KB873339
      Correctif Windows XP - KB885835
      Correctif Windows XP - KB885836
      Correctif Windows XP - KB886185
      Correctif Windows XP - KB887472
      Correctif Windows XP - KB888302
      Correctif Windows XP - KB890859
      Correctif Windows XP - KB891781
      ESET Online Scanner
      Freeplayer
      HijackThis 2.0.2
      Hotfix for Windows XP (KB915865)
      LG Internetkit
      LG PhoneManager
      LG SyncManager
      LG USB Modem driver
      Microsoft Internationalized Domain Names Mitigation APIs
      Microsoft National Language Support Downlevel APIs
      Microsoft Office Professional Edition 2003
      Microsoft XML Parser
      Mise à jour de sécurité pour Lecteur Windows Media (KB911564)
      Mise à jour de sécurité pour Lecteur Windows Media 6.4 (KB925398)
      Mise à jour de sécurité pour Lecteur Windows Media 9 (KB936782)
      Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127)
      Mise à jour de sécurité pour Windows Internet Explorer 7 (KB950759)
      Mise à jour de sécurité pour Windows XP (KB890046)
      Mise à jour de sécurité pour Windows XP (KB893756)
      Mise à jour de sécurité pour Windows XP (KB896358)
      Mise à jour de sécurité pour Windows XP (KB896423)
      Mise à jour de sécurité pour Windows XP (KB896428)
      Mise à jour de sécurité pour Windows XP (KB899587)
      Mise à jour de sécurité pour Windows XP (KB899591)
      Mise à jour de sécurité pour Windows XP (KB900725)
      Mise à jour de sécurité pour Windows XP (KB901017)
      Mise à jour de sécurité pour Windows XP (KB901214)
      Mise à jour de sécurité pour Windows XP (KB902400)
      Mise à jour de sécurité pour Windows XP (KB905414)
      Mise à jour de sécurité pour Windows XP (KB905749)
      Mise à jour de sécurité pour Windows XP (KB908519)
      Mise à jour de sécurité pour Windows XP (KB911562)
      Mise à jour de sécurité pour Windows XP (KB911927)
      Mise à jour de sécurité pour Windows XP (KB913580)
      Mise à jour de sécurité pour Windows XP (KB914388)
      Mise à jour de sécurité pour Windows XP (KB914389)
      Mise à jour de sécurité pour Windows XP (KB918118)
      Mise à jour de sécurité pour Windows XP (KB918439)
      Mise à jour de sécurité pour Windows XP (KB919007)
      Mise à jour de sécurité pour Windows XP (KB920213)
      Mise à jour de sécurité pour Windows XP (KB920670)
      Mise à jour de sécurité pour Windows XP (KB920683)
      Mise à jour de sécurité pour Windows XP (KB920685)
      Mise à jour de sécurité pour Windows XP (KB922819)
      Mise à jour de sécurité pour Windows XP (KB923191)
      Mise à jour de sécurité pour Windows XP (KB923414)
      Mise à jour de sécurité pour Windows XP (KB923689)
      Mise à jour de sécurité pour Windows XP (KB923789)
      Mise à jour de sécurité pour Windows XP (KB923980)
      Mise à jour de sécurité pour Windows XP (KB924270)
      Mise à jour de sécurité pour Windows XP (KB924496)
      Mise à jour de sécurité pour Windows XP (KB924667)
      Mise à jour de sécurité pour Windows XP (KB925902)
      Mise à jour de sécurité pour Windows XP (KB926255)
      Mise à jour de sécurité pour Windows XP (KB926436)
      Mise à jour de sécurité pour Windows XP (KB927779)
      Mise à jour de sécurité pour Windows XP (KB927802)
      Mise à jour de sécurité pour Windows XP (KB928255)
      Mise à jour de sécurité pour Windows XP (KB928843)
      Mise à jour de sécurité pour Windows XP (KB929123)
      Mise à jour de sécurité pour Windows XP (KB930178)
      Mise à jour de sécurité pour Windows XP (KB931261)
      Mise à jour de sécurité pour Windows XP (KB931784)
      Mise à jour de sécurité pour Windows XP (KB932168)
      Mise à jour de sécurité pour Windows XP (KB933729)
      Mise à jour de sécurité pour Windows XP (KB935839)
      Mise à jour de sécurité pour Windows XP (KB935840)
      Mise à jour de sécurité pour Windows XP (KB936021)
      Mise à jour de sécurité pour Windows XP (KB937894)
      Mise à jour de sécurité pour Windows XP (KB941202)
      Mise à jour de sécurité pour Windows XP (KB941568)
      Mise à jour de sécurité pour Windows XP (KB941569)
      Mise à jour de sécurité pour Windows XP (KB941644)
      Mise à jour de sécurité pour Windows XP (KB941693)
      Mise à jour de sécurité pour Windows XP (KB943055)
      Mise à jour de sécurité pour Windows XP (KB943460)
      Mise à jour de sécurité pour Windows XP (KB943485)
      Mise à jour de sécurité pour Windows XP (KB944653)
      Mise à jour de sécurité pour Windows XP (KB945553)
      Mise à jour de sécurité pour Windows XP (KB946026)
      Mise à jour de sécurité pour Windows XP (KB947864)
      Mise à jour de sécurité pour Windows XP (KB948590)
      Mise à jour de sécurité pour Windows XP (KB948881)
      Mise à jour de sécurité pour Windows XP (KB950749)
      Mise à jour de sécurité pour Windows XP (KB950760)
      Mise à jour de sécurité pour Windows XP (KB950762)
      Mise à jour de sécurité pour Windows XP (KB951376-v2)
      Mise à jour de sécurité pour Windows XP (KB951698)
      Mise à jour pour Windows XP (KB898461)
      Mise à jour pour Windows XP (KB900485)
      Mise à jour pour Windows XP (KB908531)
      Mise à jour pour Windows XP (KB910437)
      Mise à jour pour Windows XP (KB911280)
      Mise à jour pour Windows XP (KB916595)
      Mise à jour pour Windows XP (KB920872)
      Mise à jour pour Windows XP (KB922582)
      Mise à jour pour Windows XP (KB927891)
      Mise à jour pour Windows XP (KB930916)
      Mise à jour pour Windows XP (KB932823-v3)
      Mise à jour pour Windows XP (KB938828)
      Mise à jour pour Windows XP (KB942763)
      MP3 Player Recovery Tool
      MSXML 4.0 SP2 (KB936181)
      Nero 8
      neroxml
      NVIDIA Drivers
      PaperPort
      Realtek AC'97 Audio
      VCRedistSetup
      WebFldrs XP
      Windows Genuine Advantage Notifications (KB905474)
      Windows Installer 3.1 (KB893803)
      Windows Internet Explorer 7
      Windows Media Format Runtime



      Le volume dans le lecteur C s'appelle System
      Le numéro de série du volume est 502A-6592

      Répertoire de C:\Program Files

      11/07/2008 21:17 <REP> .
      11/07/2008 21:17 <REP> ..
      22/04/2008 14:44 <REP> Alwil Software
      22/04/2008 17:45 <REP> AvRack
      11/07/2008 18:09 <REP> Brother
      05/05/2008 20:00 <REP> CCleaner
      11/07/2008 18:08 <REP> Common Files
      22/04/2008 13:45 <REP> ComPlus Applications
      05/07/2008 17:19 <REP> Creative
      05/05/2008 19:55 <REP> EsetOnlineScanner
      11/07/2008 18:07 <REP> Fichiers communs
      25/04/2008 22:04 <REP> Free
      11/07/2008 21:17 <REP> Freeplayer
      05/07/2008 17:30 <REP> Internet Explorer
      23/05/2008 20:45 <REP> LG Electronics
      23/05/2008 20:45 <REP> LG PC Suite
      22/04/2008 15:45 <REP> Messenger
      22/04/2008 13:50 <REP> microsoft frontpage
      22/04/2008 16:03 <REP> Microsoft Office
      22/04/2008 16:03 <REP> Microsoft Visual Studio
      22/04/2008 13:46 <REP> Movie Maker
      22/04/2008 13:44 <REP> MSN
      22/04/2008 13:45 <REP> MSN Gaming Zone
      24/04/2008 18:21 <REP> MSXML 4.0
      22/04/2008 14:58 <REP> Nero
      22/04/2008 13:47 <REP> NetMeeting
      22/04/2008 13:45 <REP> Online Services
      22/04/2008 15:45 <REP> Outlook Express
      22/04/2008 17:45 <REP> Realtek Sound Manager
      11/07/2008 18:07 <REP> ScanSoft
      22/04/2008 13:49 <REP> Services en ligne
      05/05/2008 20:35 <REP> Trend Micro
      22/04/2008 15:45 <REP> Windows Media Player
      22/04/2008 13:45 <REP> Windows NT
      28/04/2008 20:36 <REP> WinRAR
      22/04/2008 13:50 <REP> xerox
      0 fichier(s) 0 octets
      36 Rép(s) 70 148 984 832 octets libres
      Le volume dans le lecteur C s'appelle System
      Le numéro de série du volume est 502A-6592

      Répertoire de C:\Program Files\fichiers communs

      11/07/2008 18:07 <REP> .
      11/07/2008 18:07 <REP> ..
      22/04/2008 16:03 <REP> DESIGNER
      11/07/2008 18:08 <REP> InstallShield
      22/04/2008 16:03 <REP> Microsoft Shared
      22/04/2008 13:47 <REP> MSSoap
      22/04/2008 14:59 <REP> Nero
      22/04/2008 15:38 <REP> ODBC
      11/07/2008 18:07 <REP> ScanSoft Shared
      22/04/2008 13:47 <REP> Services
      22/04/2008 15:38 <REP> SpeechEngines
      22/04/2008 16:03 <REP> System
      0 fichier(s) 0 octets
      12 Rép(s) 70 148 984 832 octets libres
      Le volume dans le lecteur C s'appelle System
      Le numéro de série du volume est 502A-6592

      Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

      22/04/2008 16:03 <REP> .
      22/04/2008 16:03 <REP> ..
      22/04/2008 16:03 <REP> 1033
      22/04/2008 16:03 <REP> 1036
      11/07/2003 10:15 1 292 872 MSONSEXT.DLL
      15/07/2003 06:52 35 896 MSOSV.DLL
      03/06/1999 12:09 122 937 MSOWS409.DLL
      07/03/2001 07:00 127 033 MSOWS40c.DLL
      11/07/2003 02:25 80 448 PKMWS.DLL
      5 fichier(s) 1 659 186 octets
      4 Rép(s) 70 148 984 832 octets libres
      Le volume dans le lecteur C s'appelle System
      Le numéro de série du volume est 502A-6592

      Répertoire de C:\Program Files\common files

      11/07/2008 18:08 <REP> .
      11/07/2008 18:08 <REP> ..
      11/07/2008 18:08 <REP> InstallShield
      0 fichier(s) 0 octets
      3 Rép(s) 70 148 984 832 octets libres




      c:\Documents and Settings\All Users\utilitaires\SDFix.exe
      c:\Documents and Settings\Nico 2\Bureau\ccsetup209.exe
      c:\Documents and Settings\Nico 2\Bureau\dss.exe
      c:\Documents and Settings\Nico 2\Bureau\DiagHelp\DiagHelp\catchme.exe
      c:\Documents and Settings\Nico 2\Bureau\DiagHelp\DiagHelp\diff.exe
      c:\Documents and Settings\Nico 2\Bureau\DiagHelp\DiagHelp\dumphive.exe
      c:\Documents and Settings\Nico 2\Bureau\DiagHelp\DiagHelp\FilesInfoCmd.exe
      c:\Documents and Settings\Nico 2\Bureau\DiagHelp\DiagHelp\find2.exe
      c:\Documents and Settings\Nico 2\Bureau\DiagHelp\DiagHelp\Fport.exe
      c:\Documents and Settings\Nico 2\Bureau\DiagHelp\DiagHelp\grep.exe
      c:\Documents and Settings\Nico 2\Bureau\DiagHelp\DiagHelp\gzip.exe
      c:\Documents and Settings\Nico 2\Bureau\DiagHelp\DiagHelp\KProcCheck.exe
      c:\Documents and Settings\Nico 2\Bureau\DiagHelp\DiagHelp\LFiles.exe
      c:\Documents and Settings\Nico 2\Bureau\DiagHelp\DiagHelp\LISTDLLS.exe
      c:\Documents and Settings\Nico 2\Bureau\DiagHelp\DiagHelp\md5sums.exe
      c:\Documents and Settings\Nico 2\Bureau\DiagHelp\DiagHelp\pslist.exe
      c:\Documents and Settings\Nico 2\Bureau\DiagHelp\DiagHelp\sigcheck.exe
      c:\Documents and Settings\Nico 2\Bureau\DiagHelp\DiagHelp\streams.exe
      c:\Documents and Settings\Nico 2\Bureau\DiagHelp\DiagHelp\swreg.exe
      c:\Documents and Settings\Nico 2\Bureau\DiagHelp\DiagHelp\tar.exe
      c:\Documents and Settings\Nico 2\Mes documents\HJTInstall.exe
      c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\ALCCHKID.EXE
      c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\ALCRMV.EXE
      c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\ALCRMV9X.EXE
      c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\ALCUPD.EXE
      c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\ALCXDEV.EXE
      c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\ChCfg.exe
      c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\GETDXVER.EXE
      c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\SetCDfmt.exe
      c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\Setup.exe
      c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\Ap\AvRack2.exe
      c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\Ap\MPIE4STD.EXE
      c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\Ap\Mpstd.exe
      c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\Ap\RtlRack.exe
      c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\WDM\RTLCPL.EXE
      c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\WDM\SoundMan.exe
      c:\Documents and Settings\Nico 2\Mes documents\Drivers\ALC850_5750\ALC850\WinNT4\SoundMan.exe
      c:\Documents and Settings\Nico 2\Mes documents\Drivers\Chipset_WINXP32_V665\WINXP\A8N-SLI.exe
      c:\Documents and Settings\Nico 2\Mes documents\Drivers\Chipset_WINXP32_V665\WINXP\setup.exe
      c:\Documents and Settings\Nico 2\Mes documents\Drivers\Chipset_WINXP32_V665\WINXP\Ethernet\nvunrm.exe
      c:\Documents and Settings\Nico 2\Mes documents\Drivers\Chipset_WINXP32_V665\WINXP\Ethernet\NAM\NAMSetup.exe
      c:\Documents and Settings\Nico 2\Mes documents\Drivers\Chipset_WINXP32_V665\WINXP\IDE\WinXP\pataraid\nvuide.exe
      c:\Documents and Settings\Nico 2\Mes documents\Drivers\Chipset_WINXP32_V665\WINXP\IDE\WinXP\raidtool\NvRaidMan.exe
      c:\Documents and Settings\Nico 2\Mes documents\Drivers\Chipset_WINXP32_V665\WINXP\IDE\WinXP\raidtool\nvraidservice.exe
      c:\Documents and Settings\Nico 2\Mes documents\Drivers\Chipset_WINXP32_V665\WINXP\IDE\WinXP\raidtool\NvSataConnection.exe
      c:\Documents and Settings\Nico 2\Mes documents\Drivers\Chipset_WINXP32_V665\WINXP\IDE\WinXP\sataraid\nvuide.exe
      c:\Documents and Settings\Nico 2\Mes documents\Drivers\Chipset_WINXP32_V665\WINXP\IDE\WinXP\sata_ide\nvuide.exe
      c:\Documents and Settings\Nico 2\Mes documents\Drivers\Chipset_WINXP32_V665\WINXP\SATA\SATA.exe
      c:\Documents and Settings\Nico 2\Mes documents\Drivers\Chipset_WINXP32_V665\WINXP\SMBus\nvusmb.exe
      c:\Documents and Settings\All Users\Application Data\Nero\DrWeb\Drweb32.dll

      ****** Fin du rapport DiagHelp
      Veuillez svp envoyer le fichier C:\upload_moi_PC-CHAMBRE.tar.gz a l'adresse http://upload.malekal.com

      y avais ça aussi avec je sais pas si c'est important je te le met aussi au cas ou :

      catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2008-07-12 16:44:57
      Windows 5.1.2600 Service Pack 2 NTFS

      scanning hidden services & system hive ...

      scanning hidden registry entries ...

      scanning hidden files ...

      scan completed successfully
      hidden services: 0
      hidden files: 0

      merci :)
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    Ok ...
    Si tu possèdes des unité externes ( clé usb , lect. mp3, disk dur externe ... ) , débranches les proprements mais gardes les à porté de main ...

    1- Télécharges Flash_Disinfector de sUBs ici :

    https://download.bleepingcomputer.com/sUBs/Flash_Disinfector.exe

    Enregistres le sur ton bureau.

    Double cliques sur Flash_Disinfector.exe pour le lancer ...

    Quand le message : "Plug in yours flash drive & clic Ok to begin disinfection" apparaitra :
    ->connectes toutes tes clés USB et périphériques USB externes susceptibles d'avoir été infectés .

    Puis clique sur Ok .

    Les icônes sur le bureau vont disparaitre jusqu'à l'apparition du message: " Done!! "

    Appuye sur "Ok", pour faire réapparaitre le bureau ...

    2- supprimes DSS.exe ainsi que le dossier C:\Deckard ... Puis reprends la manipe :
    Télécharges DSS (Deckard's System Scanner de Deckard) sur ton Bureau :

    http://www.techsupportforum.com/sectools/Deckard/dss.exe

    !! Fermes toutes les applications en cours (très important, sinon l'ordi peut planter) !!

    Double-clique sur DSS.exe pour lancer l'outil.
    (S'il ne trouve pas HijackThis, clique sur Oui )

    Clique sur OK à chaque fois que cela sera demandé.

    L'analyse finie, un fichier texte s'affichera --->Postes ce rapport dans ta prochaine
    réponse pour analyse ...

    (Le rapport se trouve en outre ici : C:\Deckard\System Scanner\main.txt.)

    Important : Si tu obtiens deux rapports ("main.txt" + "extra.txt") alors poste les deux stp.
    Attention --> les rapports peuvent être long donc envoie chacun d'eux dans un poste différent (sinon il risque de manquer la fin).
    0
    1. Aergal
       
      je n'ai aucun peripherique de stockage externe, j'au juste un graveur externe. pour DSS j'ai bien suivit la procedure mais ca ne change rien, il plante encore comme tout a l'heure... il demarre bien, et a chaque fois on entend un acces au dd et boum il plante pendant l'operation "examining event log"
      0
  7. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    Bon ...

    1-Rends toi sur ce site :

    https://www.virustotal.com/gui/

    Copies ce qui suit et colles le dans l'espace pour la recherche :
    C:\WINDOWS\System32\brss01a.ini

    Cliques sur Send File.

    Un rapport va s'élaborer ligne à ligne.

    Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

    Sauvegarde le rapport avec le bloc-note.

    Copies le dans ta prochaine réponse ...

    ( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

    Fais de même pour :
    C:\WINDOWS\System32\brsvc01a.bsi
    C:\WINDOWS\System32\bridf05a.dat


    ---> postes moi donc ces 3 rapports ( en précisant bien au début de chacuns à quel fichier ils correspondent ) .

    Une fois tout cela posté , fais ce qui suit :

    2 - Télécharges MalwareByte's :
    ici ftp://ftp.commentcamarche.com/download/mbam-setup.exe
    ou ici : http://www.malwarebytes.org/mbam.php

    Installes le ( choisis bien "francais" ; ne modifies pas les paramètres d'installe ) et mets le à jour .

    Potasses le tuto pour te familiariser avec le prg : https://forum.pcastuces.com/sujet.asp?f=31&s=3
    ( cela dis, il est très simple d'utilisation ).

    Impératif : redémarres en mode sans échec :
    Comment aller en Mode sans échec
    1) Redémarres ton ordi
    2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
    3) Tu verras un écran avec options de démarrage apparaître
    4) Choisis la première option : Sans Échec, et valide avec "Entrée"
    5) Choisis ton compte habituel, et non Administrateur (si besoin ... )
    (attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...)

    Lances Malwarebyte's .

    Fais un scan dit "complet" ( sélectionnes bien tout tes disks avant le scan ) et supprimes tout ce qu'il peut trouver :
    --->une fois le scan terminé , click sur "résultat" : puis vérifies que tous les objets infectés soient validés, puis click sur " suppression " .

    Redémarres ton PC ( mode normal ).

    Postes le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes) accompagné d'un nouvel hijackthis ( fait en mode normal ) ...
    0
    1. Aergal
       
      alors :

      C:\WINDOWS\System32\brss01a.ini

      Fichier brss01a.ini reçu le 2008.07.12 17:48:29 (CET)
      Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


      Résultat: 0/33 (0%)
      en train de charger les informations du serveur...
      Votre fichier est dans la file d'attente, en position: 1.
      L'heure estimée de démarrage est entre 37 et 53 secondes.
      Ne fermez pas la fenêtre avant la fin de l'analyse.
      L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
      Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
      Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
      les résultats seront affichés au fur et à mesure de leur génération.
      Formaté Impression des résultats
      Votre fichier a expiré ou n'existe pas.
      Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

      Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
      Email:


      Antivirus Version Dernière mise à jour Résultat
      AhnLab-V3 2008.7.11.0 2008.07.11 -
      AntiVir 7.8.0.64 2008.07.11 -
      Authentium 5.1.0.4 2008.07.11 -
      Avast 4.8.1195.0 2008.07.12 -
      AVG 7.5.0.516 2008.07.12 -
      BitDefender 7.2 2008.07.12 -
      CAT-QuickHeal 9.50 2008.07.11 -
      ClamAV 0.93.1 2008.07.11 -
      DrWeb 4.44.0.09170 2008.07.12 -
      eSafe 7.0.17.0 2008.07.10 -
      eTrust-Vet 31.6.5949 2008.07.12 -
      Ewido 4.0 2008.07.12 -
      F-Prot 4.4.4.56 2008.07.11 -
      F-Secure 7.60.13501.0 2008.07.12 -
      Fortinet 3.14.0.0 2008.07.12 -
      GData 2.0.7306.1023 2008.07.12 -
      Ikarus T3.1.1.26.0 2008.07.12 -
      Kaspersky 7.0.0.125 2008.07.12 -
      McAfee 5337 2008.07.11 -
      Microsoft 1.3704 2008.07.12 -
      NOD32v2 3263 2008.07.11 -
      Norman 5.80.02 2008.07.11 -
      Panda 9.0.0.4 2008.07.12 -
      Prevx1 V2 2008.07.12 -
      Rising 20.52.52.00 2008.07.12 -
      Sophos 4.31.0 2008.07.12 -
      Sunbelt 3.1.1536.1 2008.07.12 -
      Symantec 10 2008.07.12 -
      TheHacker 6.2.96.376 2008.07.10 -
      TrendMicro 8.700.0.1004 2008.07.11 -
      VBA32 3.12.6.9 2008.07.12 -
      VirusBuster 4.5.11.0 2008.07.12 -
      Webwasher-Gateway 6.6.2 2008.07.11 -
      Information additionnelle
      File size: 30 bytes
      MD5...: 3951dda5353e83d52dfeb09823201b3d
      SHA1..: 590ca1213e156d4363be1779c4146a49ab073647
      SHA256: b1f582b844e3f8e9589622ca62ceb4292ce89b4e04526123fc74f8e6ad1fa8c5
      SHA512: da19a7e159bac2af693a5b163e8e59e5a6e426df69dafa05b4a3199d195f785c
      9b3d009589560c1db08147bbb546932af000adee3ec5c2215ef36b7f70d6273e
      PEiD..: -
      PEInfo: -

      C:\WINDOWS\System32\brsvc01a.bsi

      Fichier brsvc01a.bsi_ reçu le 2008.07.12 17:52:28 (CET)
      Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


      Résultat: 0/33 (0%)
      en train de charger les informations du serveur...
      Votre fichier est dans la file d'attente, en position: ___.
      L'heure estimée de démarrage est entre ___ et ___ .
      Ne fermez pas la fenêtre avant la fin de l'analyse.
      L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
      Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
      Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
      les résultats seront affichés au fur et à mesure de leur génération.
      Formaté Impression des résultats
      Votre fichier a expiré ou n'existe pas.
      Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

      Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
      Email:


      Antivirus Version Dernière mise à jour Résultat
      AhnLab-V3 2008.7.11.0 2008.07.11 -
      AntiVir 7.8.0.64 2008.07.11 -
      Authentium 5.1.0.4 2008.07.11 -
      Avast 4.8.1195.0 2008.07.12 -
      AVG 7.5.0.516 2008.07.12 -
      BitDefender 7.2 2008.07.12 -
      CAT-QuickHeal 9.50 2008.07.11 -
      ClamAV 0.93.1 2008.07.11 -
      DrWeb 4.44.0.09170 2008.07.12 -
      eSafe 7.0.17.0 2008.07.10 -
      eTrust-Vet 31.6.5949 2008.07.12 -
      Ewido 4.0 2008.07.12 -
      F-Prot 4.4.4.56 2008.07.11 -
      F-Secure 7.60.13501.0 2008.07.12 -
      Fortinet 3.14.0.0 2008.07.12 -
      GData 2.0.7306.1023 2008.07.12 -
      Ikarus T3.1.1.26.0 2008.07.12 -
      Kaspersky 7.0.0.125 2008.07.12 -
      McAfee 5337 2008.07.11 -
      Microsoft 1.3704 2008.07.12 -
      NOD32v2 3263 2008.07.11 -
      Norman 5.80.02 2008.07.11 -
      Panda 9.0.0.4 2008.07.12 -
      Prevx1 V2 2008.07.12 -
      Rising 20.52.52.00 2008.07.12 -
      Sophos 4.31.0 2008.07.12 -
      Sunbelt 3.1.1536.1 2008.07.12 -
      Symantec 10 2008.07.12 -
      TheHacker 6.2.96.376 2008.07.10 -
      TrendMicro 8.700.0.1004 2008.07.11 -
      VBA32 3.12.6.9 2008.07.12 -
      VirusBuster 4.5.11.0 2008.07.12 -
      Webwasher-Gateway 6.6.2 2008.07.11 -
      Information additionnelle
      File size: 184 bytes
      MD5...: 2f5854447e0baa5e00bd5251afb18dd0
      SHA1..: abd2998a87a43ffa6dbc03ea9dad019fbe90edb6
      SHA256: e5e6d2e721603eead79cc8f371175d91ef7a413f9f1ddd52bf864dd788073232
      SHA512: e0a4feb47c62cc614758b8e388c3a1256fe4c0bb65512e94c33e5196e8e57b7c
      35baa427c420b53161f2fb58553601cf865934d7b759bd2583dee04598db0ea4
      PEiD..: -
      PEInfo:

      C:\WINDOWS\System32\bridf05a.dat

      Fichier bridf05a.dat reçu le 2008.07.12 17:54:22 (CET)
      Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


      Résultat: 0/33 (0%)
      en train de charger les informations du serveur...
      Votre fichier est dans la file d'attente, en position: ___.
      L'heure estimée de démarrage est entre ___ et ___ .
      Ne fermez pas la fenêtre avant la fin de l'analyse.
      L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
      Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
      Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
      les résultats seront affichés au fur et à mesure de leur génération.
      Formaté Impression des résultats
      Votre fichier a expiré ou n'existe pas.
      Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

      Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
      Email:


      Antivirus Version Dernière mise à jour Résultat
      AhnLab-V3 2008.7.11.0 2008.07.11 -
      AntiVir 7.8.0.64 2008.07.11 -
      Authentium 5.1.0.4 2008.07.11 -
      Avast 4.8.1195.0 2008.07.12 -
      AVG 7.5.0.516 2008.07.12 -
      BitDefender 7.2 2008.07.12 -
      CAT-QuickHeal 9.50 2008.07.11 -
      ClamAV 0.93.1 2008.07.11 -
      DrWeb 4.44.0.09170 2008.07.12 -
      eSafe 7.0.17.0 2008.07.10 -
      eTrust-Vet 31.6.5949 2008.07.12 -
      Ewido 4.0 2008.07.12 -
      F-Prot 4.4.4.56 2008.07.11 -
      F-Secure 7.60.13501.0 2008.07.12 -
      Fortinet 3.14.0.0 2008.07.12 -
      GData 2.0.7306.1023 2008.07.12 -
      Ikarus T3.1.1.26.0 2008.07.12 -
      Kaspersky 7.0.0.125 2008.07.12 -
      McAfee 5337 2008.07.11 -
      Microsoft 1.3704 2008.07.12 -
      NOD32v2 3263 2008.07.11 -
      Norman 5.80.02 2008.07.11 -
      Panda 9.0.0.4 2008.07.12 -
      Prevx1 V2 2008.07.12 -
      Rising 20.52.52.00 2008.07.12 -
      Sophos 4.31.0 2008.07.12 -
      Sunbelt 3.1.1536.1 2008.07.12 -
      Symantec 10 2008.07.12 -
      TheHacker 6.2.96.376 2008.07.10 -
      TrendMicro 8.700.0.1004 2008.07.11 -
      VBA32 3.12.6.9 2008.07.12 -
      VirusBuster 4.5.11.0 2008.07.12 -
      Webwasher-Gateway 6.6.2 2008.07.11 -
      Information additionnelle
      File size: 50 bytes
      MD5...: f8afa67525ee7ac43f108da79eb99625
      SHA1..: 3616a6ece5cac10ca4ddbcd5694afc4d0e70ca6e
      SHA256: 2e8d8fce2c6cd1a7e546583b9d3622d154c438f674af4340ecc8effd6def4dc6
      SHA512: 3b6865eff65b8ef4083fa20241d7043a4c15ed320aac2e140f021c4af2947edc
      7a9ffcad9c813961a6969e4ff50966b213eb17873540c26fb908c9d76f10f6b5
      PEiD..: -
      PEInfo: -


      je lance le scan de malawarebyte, merci :)
      0
      1. Aergal > Aergal
         
        alors le rapport de malawarebyte :

        Malwarebytes' Anti-Malware 1.20
        Version de la base de données: 941
        Windows 5.1.2600 Service Pack 2

        18:33:09 12/07/2008
        mbam-log-7-12-2008 (18-33-09).txt

        Type de recherche: Examen complet (C:\|)
        Eléments examinés: 58868
        Temps écoulé: 7 minute(s), 39 second(s)

        Processus mémoire infecté(s): 0
        Module(s) mémoire infecté(s): 0
        Clé(s) du Registre infectée(s): 0
        Valeur(s) du Registre infectée(s): 0
        Elément(s) de données du Registre infecté(s): 0
        Dossier(s) infecté(s): 0
        Fichier(s) infecté(s): 2

        Processus mémoire infecté(s):
        (Aucun élément nuisible détecté)

        Module(s) mémoire infecté(s):
        (Aucun élément nuisible détecté)

        Clé(s) du Registre infectée(s):
        (Aucun élément nuisible détecté)

        Valeur(s) du Registre infectée(s):
        (Aucun élément nuisible détecté)

        Elément(s) de données du Registre infecté(s):
        (Aucun élément nuisible détecté)

        Dossier(s) infecté(s):
        (Aucun élément nuisible détecté)

        Fichier(s) infecté(s):
        C:\WINDOWS\system32\comsa32.sys (Trojan.Agent) -> Quarantined and deleted successfully.
        C:\WINDOWS\system32\perfs.exe (Trojan.Downloader) -> Quarantined and deleted successfully.


        et le hijackthis :

        Logfile of Trend Micro HijackThis v2.0.2
        Scan saved at 18:35:52, on 12/07/2008
        Platform: Windows XP SP2 (WinNT 5.01.2600)
        MSIE: Internet Explorer v7.00 (7.00.6000.16674)
        Boot mode: Normal

        Running processes:
        C:\WINDOWS\System32\smss.exe
        C:\WINDOWS\system32\winlogon.exe
        C:\WINDOWS\system32\services.exe
        C:\WINDOWS\system32\lsass.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\Explorer.EXE
        C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
        C:\Program Files\Alwil Software\Avast4\ashServ.exe
        C:\WINDOWS\system32\brsvc01a.exe
        C:\WINDOWS\system32\spoolsv.exe
        C:\WINDOWS\system32\brss01a.exe
        C:\WINDOWS\system32\RUNDLL32.EXE
        C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
        C:\WINDOWS\SOUNDMAN.EXE
        C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
        C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe
        C:\Program Files\Brother\ControlCenter2\brctrcen.exe
        C:\WINDOWS\system32\ctfmon.exe
        C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
        C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
        C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
        C:\WINDOWS\system32\Nobicyt.exe
        C:\WINDOWS\system32\nvsvc32.exe
        C:\WINDOWS\system32\svchost.exe
        C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
        C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
        C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
        C:\Program Files\Internet Explorer\IEXPLORE.EXE
        C:\Program Files\Alwil Software\Avast4\setup\avast.setup
        C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
        R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
        O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
        O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
        O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
        O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
        O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
        O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
        O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
        O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
        O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
        O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
        O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe
        O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
        O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
        O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
        O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
        O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
        O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
        O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
        O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
        O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
        O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
        O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
        O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - https://www.eset.com/
        O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
        O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
        O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
        O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
        O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
        O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
        O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
        O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
        O23 - Service: NOBICYT Service (NOBICYT) - Unknown owner - C:\WINDOWS\system32\Nobicyt.exe
        O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
        0
  8. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    L'as tu fait en mode sans échec ?

    Sinon refais malwarebytes en mode sans échec svp et postes moi le nouveau rapport obtenu ...
    0
    1. Aergal
       
      oui je l'ai fais en mode sans echec, mais je peut le repasser un coup ça fera pas de mal
      0
      1. Aergal > Aergal
         
        par acquis de conscience j'en ai refais un, et il a trouvé un fichier infecté, je l'ai supprimé, rebooté et refais un troisieme scan, et boum il me retrouve encore le meme fichier...coriace ce virus :)

        Malwarebytes' Anti-Malware 1.20
        Version de la base de données: 941
        Windows 5.1.2600 Service Pack 2

        20:12:27 12/07/2008
        mbam-log-7-12-2008 (20-12-27).txt

        Type de recherche: Examen complet (C:\|)
        Eléments examinés: 59058
        Temps écoulé: 7 minute(s), 6 second(s)

        Processus mémoire infecté(s): 0
        Module(s) mémoire infecté(s): 0
        Clé(s) du Registre infectée(s): 0
        Valeur(s) du Registre infectée(s): 0
        Elément(s) de données du Registre infecté(s): 0
        Dossier(s) infecté(s): 0
        Fichier(s) infecté(s): 1

        Processus mémoire infecté(s):
        (Aucun élément nuisible détecté)

        Module(s) mémoire infecté(s):
        (Aucun élément nuisible détecté)

        Clé(s) du Registre infectée(s):
        (Aucun élément nuisible détecté)

        Valeur(s) du Registre infectée(s):
        (Aucun élément nuisible détecté)

        Elément(s) de données du Registre infecté(s):
        (Aucun élément nuisible détecté)

        Dossier(s) infecté(s):
        (Aucun élément nuisible détecté)

        Fichier(s) infecté(s):
        C:\WINDOWS\system32\comsa32.sys (Trojan.Agent) -> Quarantined and deleted successfully.
        0
  9. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    de retour pour un bref instant ^^

    ( merci à lyonnais92 et à ep44 pour la manipe suivante )

    1-Crées un doc texte sur ton bureau :
    pointes ta souris sur ton bureau , cliques droit : vas dans "nouveau" et choisis "document texte" .

    Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :

    Driver::
    NOBICYT

    File::
    C:\WINDOWS\system32\Nobicyt.exe
    C:\WINDOWS\system32\comsa32.sys


    Puis vas dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
    CFScript puis valides ...

    2-Nettoyage :

    !! Déconnectes toi, fermes toutes tes applications et désactives TOUTES TES DEFENCES ( tu les réactiveras après ) !!

    --->Sur ton bureau, fais un glissé avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

    (Regarde ici : http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif )

    Cette manipulation va relancer combofix .
    --> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tapes 1 puis valide.

    Puis patientes le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

    !! Ne touches à rien tant que le scan n'est pas terminé !!

    Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisses-le faire.

    Une fois le scan achevé, un rapport va s'afficher : Postes le accompagné d' un nouveau rapport HijackThis pour analyse ...

    ( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
    0
    1. Aergal
       
      bon j'ai encore merdé, j'ai voulus aller trop vite, du coup j'ai oublié de couper les protections et la connexion, du coup je vais le relancer. en attendant je met le log :

      ComboFix 08-07-12.1 - Nico 2 2008-07-12 21:32:10.3 - NTFSx86
      Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1675 [GMT 2:00]
      Endroit: C:\Documents and Settings\Nico 2\Bureau\ComboFix.exe
      Command switches used :: C:\Documents and Settings\Nico 2\Bureau\CFScript.txt
      * Création d'un nouveau point de restauration

      [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

      FILE ::
      C:\WINDOWS\system32\comsa32.sys
      C:\WINDOWS\system32\Nobicyt.exe
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      C:\WINDOWS\system32\comsa32.sys
      C:\WINDOWS\system32\Nobicyt.exe

      .
      ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
      .

      -------\Legacy_NOBICYT
      -------\Service_NOBICYT


      ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-06-12 to 2008-07-12 ))))))))))))))))))))))))))))))))))))
      .

      2008-07-12 17:56 . 2008-07-12 17:56 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
      2008-07-12 17:56 . 2008-07-12 17:56 <REP> d-------- C:\Documents and Settings\Nico 2\Application Data\Malwarebytes
      2008-07-12 17:56 . 2008-07-12 17:56 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
      2008-07-12 17:56 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
      2008-07-12 17:56 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
      2008-07-12 17:20 . 2008-07-12 17:20 <REP> d-------- C:\Deckard
      2008-07-12 16:45 . 2008-07-12 16:45 15,815,160 --a------ C:\upload_moi_PC-CHAMBRE.tar.gz
      2008-07-12 13:54 . 2008-07-12 13:54 <REP> d-------- C:\WINDOWS\ERUNT
      2008-07-12 13:53 . 2008-04-22 15:38 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau
      2008-07-12 13:53 . 2008-04-22 15:38 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
      2008-07-12 13:53 . 2008-04-22 13:45 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles
      2008-07-12 13:53 . 2008-04-22 15:38 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
      2008-07-12 13:53 . 2008-04-22 15:38 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer
      2008-07-12 13:53 . 2008-04-22 15:38 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
      2008-07-12 13:53 . 2008-07-12 21:34 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
      2008-07-12 13:53 . 2008-07-12 13:53 <REP> d-------- C:\Documents and Settings\Administrateur
      2008-07-11 21:27 . 2008-07-11 21:29 <REP> d-------- C:\Documents and Settings\Nico 2\Application Data\vlc
      2008-07-11 21:21 . 2008-07-12 20:00 <REP> d-------- C:\Documents and Settings\All Users\utilitaires
      2008-07-11 21:20 . 2008-07-11 21:20 <REP> d-------- C:\Documents and Settings\All Users\film
      2008-07-11 21:17 . 2008-07-11 21:17 <REP> d-------- C:\Program Files\Freeplayer
      2008-07-11 18:10 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
      2008-07-11 18:10 . 2004-08-03 23:01 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
      2008-07-11 18:10 . 2008-07-11 18:10 434 --a------ C:\WINDOWS\BRWMARK.INI
      2008-07-11 18:10 . 2008-07-11 18:10 184 --a------ C:\WINDOWS\system32\brsvc01a.bsi
      2008-07-11 18:10 . 2008-07-11 18:10 30 --a------ C:\WINDOWS\system32\brss01a.ini
      2008-07-11 18:10 . 2008-07-11 18:10 27 --a------ C:\WINDOWS\BRPP2KA.INI
      2008-07-11 18:09 . 2001-02-05 11:16 258,048 --a------ C:\WINDOWS\system32\bsplmf01.dll
      2008-07-11 18:09 . 2003-12-24 00:00 131,072 --a------ C:\WINDOWS\system32\bsplmf01.exe
      2008-07-11 18:09 . 2005-03-02 11:35 121,856 --a------ C:\WINDOWS\system32\BrWia05a.dll
      2008-07-11 18:09 . 2002-04-12 00:00 57,344 --a------ C:\WINDOWS\system32\brsvc01a.exe
      2008-07-11 18:09 . 2005-05-09 10:34 55,296 --------- C:\WINDOWS\system32\brinsstr.dll
      2008-07-11 18:09 . 2001-12-13 00:01 45,056 --a------ C:\WINDOWS\system32\brss01a.exe
      2008-07-11 18:09 . 2005-03-02 13:14 37,888 --a------ C:\WINDOWS\system32\BrUSi05a.dll
      2008-07-11 18:09 . 2004-10-15 12:50 15,295 --a------ C:\WINDOWS\system32\drivers\BrScnUsb.sys
      2008-07-11 18:09 . 2008-07-11 18:09 50 --a------ C:\WINDOWS\system32\bridf05a.dat
      2008-07-11 18:08 . 2008-07-11 18:08 <REP> d-------- C:\Program Files\Common Files
      2008-07-11 18:08 . 2008-07-11 18:09 <REP> d-------- C:\Program Files\Brother
      2008-07-11 18:08 . 2008-07-11 18:08 <REP> d-------- C:\Brother
      2008-07-11 18:08 . 2004-12-03 01:26 188,416 --------- C:\WINDOWS\system32\PDRVINST.DLL
      2008-07-11 18:08 . 2004-12-10 16:35 147,456 --------- C:\WINDOWS\brunin03.dll
      2008-07-11 18:08 . 2002-10-31 01:09 81,920 --------- C:\WINDOWS\system32\BrWebIns.dll
      2008-07-11 18:08 . 2003-07-03 01:08 65,536 --------- C:\WINDOWS\system32\BRWEBUP.EXE
      2008-07-11 18:08 . 2001-11-15 01:00 6,224 --------- C:\WINDOWS\CVRPAGE.bmp
      2008-07-11 18:07 . 2008-07-11 18:07 <REP> d-------- C:\Program Files\ScanSoft
      2008-07-11 18:07 . 2008-07-11 18:07 <REP> d-------- C:\Program Files\Fichiers communs\ScanSoft Shared
      2008-07-11 18:07 . 2008-07-11 18:07 <REP> d-------- C:\Documents and Settings\All Users\Application Data\ScanSoft
      2008-07-11 18:07 . 2008-07-11 18:07 <REP> d-------- C:\Documents and Settings\All Users\Application Data\InstallShield
      2008-07-11 18:07 . 2003-09-24 11:37 27,279 --a------ C:\WINDOWS\maxlink.ini
      2008-07-11 18:06 . 2008-07-11 18:06 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Brother
      2008-07-05 17:24 . 2008-06-14 19:59 272,768 --------- C:\WINDOWS\system32\drivers\bthport.sys
      2008-07-05 17:24 . 2008-06-14 19:59 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
      2008-07-05 17:19 . 2008-07-05 17:19 <REP> d-------- C:\Program Files\Creative
      2008-07-05 17:19 . 2005-08-16 12:23 38,422 --a------ C:\WINDOWS\system32\drivers\StMp3Rec.sys

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2008-07-11 16:08 --------- d--h--w C:\Program Files\InstallShield Installation Information
      2008-07-11 16:08 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
      2008-05-23 18:47 --------- d-----w C:\Documents and Settings\Nico 2\Application Data\LG Electronics
      2008-05-23 18:45 --------- d-----w C:\Program Files\LG PC Suite
      2008-05-23 18:45 --------- d-----w C:\Program Files\LG Electronics
      2008-05-07 05:15 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
      2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
      .

      ((((((((((((((((((((((((((((( snapshot@2008-07-12_13.44.56.34 )))))))))))))))))))))))))))))))))))))))))
      .
      - 2008-07-12 11:42:03 2,048 --s-a-w C:\WINDOWS\bootstat.dat
      + 2008-07-12 19:34:30 2,048 --s-a-w C:\WINDOWS\bootstat.dat
      + 2008-07-09 09:52:07 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE
      + 2008-07-12 16:03:38 2,273,280 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000001\NTUSER.DAT
      + 2008-07-12 16:03:38 8,192 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat
      + 2008-07-09 09:52:07 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE
      + 2008-07-12 11:54:57 372,736 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000001\NTUSER.DAT
      + 2008-07-12 11:54:57 8,192 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000002\UsrClass.dat
      - 2008-04-22 14:49:53 74,649 ----a-w C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
      + 2008-07-12 15:24:50 74,649 ----a-w C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
      + 2008-07-12 19:34:34 16,384 ----atw C:\WINDOWS\TEMP\Perflib_Perfdata_644.dat
      .
      ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      REGEDIT4
      *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 17:09 15360]
      "IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" [2007-12-13 19:10 1688872]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
      "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
      "NeroFilterCheck"="C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe" [2007-03-01 14:57 153136]
      "NBKeyScan"="C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-12-03 14:21 2213160]
      "SSBkgdUpdate"="C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 10:22 155648]
      "PaperPort PTD"="C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 19:17 57393]
      "IndexSearch"="C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 19:30 40960]
      "SetDefPrt"="C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe" [2005-01-26 18:02 49152]
      "ControlCenter2.0"="C:\Program Files\Brother\ControlCenter2\brctrcen.exe" [2005-05-17 17:42 933888]
      "nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
      "SoundMan"="SOUNDMAN.EXE" [2004-11-15 18:20 77824 C:\WINDOWS\SOUNDMAN.EXE]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 17:09 15360]

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
      "EnableFirewall"= 0 (0x0)

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "C:\\Program Files\\Freeplayer\\vlc\\vlc.exe"=

      R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]
      R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3dca4d42-1071-11dd-9b35-806d6172696f}]
      \Shell\AutoRun\command - D:\SETUP.EXE /AUTORUN
      \Shell\configure\command - D:\SETUP.EXE
      \Shell\install\command - D:\SETUP.EXE

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9195d1c6-1073-11dd-bda8-0011d89573df}]
      \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe WillPolo.vbs

      .
      Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
      "2008-05-05 17:48:45 C:\WINDOWS\Tasks\ErrorSmart Scheduled Scan.job"
      - C:\Program Files\ErrorSmart\ErrorSmart.ex
      - C:\Program Files\ErrorSmart.Nico 2+Runs ErrorSmart to optimize your registry.
      .
      **************************************************************************

      catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2008-07-12 21:34:48
      Windows 5.1.2600 Service Pack 2 NTFS

      Balayage processus cach‚s ...

      Balayage cach‚ autostart entries ...

      Balayage des fichiers cach‚s ...

      Scan termin‚ avec succŠs
      Les fichiers cach‚s: 0

      **************************************************************************
      .
      ------------------------ Other Running Processes ------------------------
      .
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\system32\brss01a.exe
      C:\WINDOWS\system32\cmd.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
      C:\WINDOWS\system32\rundll32.exe
      C:\WINDOWS\system32\nvsvc32.exe
      C:\WINDOWS\system32\wdfmgr.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
      C:\WINDOWS\system32\wscntfy.exe
      .
      **************************************************************************
      .
      Temps d'accomplissement: 2008-07-12 21:37:36 - machine was rebooted [Nico 2]
      ComboFix-quarantined-files.txt 2008-07-12 19:37:32

      Pre-Run: 70,114,889,728 octets libres
      Post-Run: 70,114,439,168 octets libres

      173 --- E O F --- 2008-07-05 15:30:10
      0
      1. Aergal > Aergal
         
        second scan :)

        ComboFix 08-07-12.1 - Nico 2 2008-07-12 22:08:03.5 - NTFSx86
        Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1666 [GMT 2:00]
        Endroit: C:\Documents and Settings\Nico 2\Bureau\ComboFix.exe
        Command switches used :: C:\Documents and Settings\Nico 2\Bureau\CFScript.txt
        * Création d'un nouveau point de restauration

        [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

        FILE ::
        C:\WINDOWS\system32\comsa32.sys
        C:\WINDOWS\system32\Nobicyt.exe
        .

        ((((((((((((((((((((((((((((( Fichiers créés 2008-06-12 to 2008-07-12 ))))))))))))))))))))))))))))))))))))
        .

        2008-07-12 17:56 . 2008-07-12 17:56 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
        2008-07-12 17:56 . 2008-07-12 17:56 <REP> d-------- C:\Documents and Settings\Nico 2\Application Data\Malwarebytes
        2008-07-12 17:56 . 2008-07-12 17:56 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
        2008-07-12 17:56 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
        2008-07-12 17:56 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
        2008-07-12 17:20 . 2008-07-12 17:20 <REP> d-------- C:\Deckard
        2008-07-12 16:45 . 2008-07-12 16:45 15,815,160 --a------ C:\upload_moi_PC-CHAMBRE.tar.gz
        2008-07-12 13:54 . 2008-07-12 13:54 <REP> d-------- C:\WINDOWS\ERUNT
        2008-07-12 13:53 . 2008-04-22 15:38 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
        2008-07-12 13:53 . 2008-04-22 15:38 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
        2008-07-12 13:53 . 2008-04-22 13:45 <REP> d--h----- C:\Documents and Settings\Administrateur\Modèles
        2008-07-12 13:53 . 2008-04-22 15:38 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
        2008-07-12 13:53 . 2008-04-22 15:38 <REP> dr------- C:\Documents and Settings\Administrateur\Menu Démarrer
        2008-07-12 13:53 . 2008-04-22 15:38 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
        2008-07-12 13:53 . 2008-07-12 21:34 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
        2008-07-12 13:53 . 2008-07-12 13:53 <REP> d-------- C:\Documents and Settings\Administrateur
        2008-07-11 21:27 . 2008-07-11 21:29 <REP> d-------- C:\Documents and Settings\Nico 2\Application Data\vlc
        2008-07-11 21:21 . 2008-07-12 20:00 <REP> d-------- C:\Documents and Settings\All Users\utilitaires
        2008-07-11 21:20 . 2008-07-11 21:20 <REP> d-------- C:\Documents and Settings\All Users\film
        2008-07-11 21:17 . 2008-07-11 21:17 <REP> d-------- C:\Program Files\Freeplayer
        2008-07-11 18:10 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
        2008-07-11 18:10 . 2004-08-03 23:01 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
        2008-07-11 18:10 . 2008-07-11 18:10 434 --a------ C:\WINDOWS\BRWMARK.INI
        2008-07-11 18:10 . 2008-07-11 18:10 184 --a------ C:\WINDOWS\system32\brsvc01a.bsi
        2008-07-11 18:10 . 2008-07-11 18:10 30 --a------ C:\WINDOWS\system32\brss01a.ini
        2008-07-11 18:10 . 2008-07-11 18:10 27 --a------ C:\WINDOWS\BRPP2KA.INI
        2008-07-11 18:09 . 2001-02-05 11:16 258,048 --a------ C:\WINDOWS\system32\bsplmf01.dll
        2008-07-11 18:09 . 2003-12-24 00:00 131,072 --a------ C:\WINDOWS\system32\bsplmf01.exe
        2008-07-11 18:09 . 2005-03-02 11:35 121,856 --a------ C:\WINDOWS\system32\BrWia05a.dll
        2008-07-11 18:09 . 2002-04-12 00:00 57,344 --a------ C:\WINDOWS\system32\brsvc01a.exe
        2008-07-11 18:09 . 2005-05-09 10:34 55,296 --------- C:\WINDOWS\system32\brinsstr.dll
        2008-07-11 18:09 . 2001-12-13 00:01 45,056 --a------ C:\WINDOWS\system32\brss01a.exe
        2008-07-11 18:09 . 2005-03-02 13:14 37,888 --a------ C:\WINDOWS\system32\BrUSi05a.dll
        2008-07-11 18:09 . 2004-10-15 12:50 15,295 --a------ C:\WINDOWS\system32\drivers\BrScnUsb.sys
        2008-07-11 18:09 . 2008-07-11 18:09 50 --a------ C:\WINDOWS\system32\bridf05a.dat
        2008-07-11 18:08 . 2008-07-11 18:08 <REP> d-------- C:\Program Files\Common Files
        2008-07-11 18:08 . 2008-07-11 18:09 <REP> d-------- C:\Program Files\Brother
        2008-07-11 18:08 . 2008-07-11 18:08 <REP> d-------- C:\Brother
        2008-07-11 18:08 . 2004-12-03 01:26 188,416 --------- C:\WINDOWS\system32\PDRVINST.DLL
        2008-07-11 18:08 . 2004-12-10 16:35 147,456 --------- C:\WINDOWS\brunin03.dll
        2008-07-11 18:08 . 2002-10-31 01:09 81,920 --------- C:\WINDOWS\system32\BrWebIns.dll
        2008-07-11 18:08 . 2003-07-03 01:08 65,536 --------- C:\WINDOWS\system32\BRWEBUP.EXE
        2008-07-11 18:08 . 2001-11-15 01:00 6,224 --------- C:\WINDOWS\CVRPAGE.bmp
        2008-07-11 18:07 . 2008-07-11 18:07 <REP> d-------- C:\Program Files\ScanSoft
        2008-07-11 18:07 . 2008-07-11 18:07 <REP> d-------- C:\Program Files\Fichiers communs\ScanSoft Shared
        2008-07-11 18:07 . 2008-07-11 18:07 <REP> d-------- C:\Documents and Settings\All Users\Application Data\ScanSoft
        2008-07-11 18:07 . 2008-07-11 18:07 <REP> d-------- C:\Documents and Settings\All Users\Application Data\InstallShield
        2008-07-11 18:07 . 2003-09-24 11:37 27,279 --a------ C:\WINDOWS\maxlink.ini
        2008-07-11 18:06 . 2008-07-11 18:06 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Brother
        2008-07-05 17:24 . 2008-06-14 19:59 272,768 --------- C:\WINDOWS\system32\drivers\bthport.sys
        2008-07-05 17:24 . 2008-06-14 19:59 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
        2008-07-05 17:19 . 2008-07-05 17:19 <REP> d-------- C:\Program Files\Creative
        2008-07-05 17:19 . 2005-08-16 12:23 38,422 --a------ C:\WINDOWS\system32\drivers\StMp3Rec.sys

        .
        (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
        .
        2008-07-11 16:08 --------- d--h--w C:\Program Files\InstallShield Installation Information
        2008-07-11 16:08 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
        2008-05-23 18:47 --------- d-----w C:\Documents and Settings\Nico 2\Application Data\LG Electronics
        2008-05-23 18:45 --------- d-----w C:\Program Files\LG PC Suite
        2008-05-23 18:45 --------- d-----w C:\Program Files\LG Electronics
        2008-05-07 05:15 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
        2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
        .

        ((((((((((((((((((((((((((((( snapshot@2008-07-12_13.44.56.34 )))))))))))))))))))))))))))))))))))))))))
        .
        - 2008-07-12 11:42:03 2,048 --s-a-w C:\WINDOWS\bootstat.dat
        + 2008-07-12 20:01:21 2,048 --s-a-w C:\WINDOWS\bootstat.dat
        + 2008-07-09 09:52:07 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE
        + 2008-07-12 16:03:38 2,273,280 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000001\NTUSER.DAT
        + 2008-07-12 16:03:38 8,192 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat
        + 2008-07-09 09:52:07 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE
        + 2008-07-12 11:54:57 372,736 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000001\NTUSER.DAT
        + 2008-07-12 11:54:57 8,192 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000002\UsrClass.dat
        - 2008-04-22 14:49:53 74,649 ----a-w C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
        + 2008-07-12 15:24:50 74,649 ----a-w C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
        + 2008-07-12 20:01:29 16,384 ----atw C:\WINDOWS\TEMP\Perflib_Perfdata_67c.dat
        .
        ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
        .
        .
        REGEDIT4
        *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

        [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
        "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 17:09 15360]
        "IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" [2007-12-13 19:10 1688872]

        [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
        "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
        "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
        "NeroFilterCheck"="C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe" [2007-03-01 14:57 153136]
        "NBKeyScan"="C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-12-03 14:21 2213160]
        "SSBkgdUpdate"="C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 10:22 155648]
        "PaperPort PTD"="C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 19:17 57393]
        "IndexSearch"="C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 19:30 40960]
        "SetDefPrt"="C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe" [2005-01-26 18:02 49152]
        "ControlCenter2.0"="C:\Program Files\Brother\ControlCenter2\brctrcen.exe" [2005-05-17 17:42 933888]
        "nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
        "SoundMan"="SOUNDMAN.EXE" [2004-11-15 18:20 77824 C:\WINDOWS\SOUNDMAN.EXE]

        [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
        "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 17:09 15360]

        [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
        "EnableFirewall"= 0 (0x0)

        [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
        "%windir%\\system32\\sessmgr.exe"=
        "C:\\Program Files\\Freeplayer\\vlc\\vlc.exe"=

        R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]
        R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]

        [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3dca4d42-1071-11dd-9b35-806d6172696f}]
        \Shell\AutoRun\command - D:\SETUP.EXE /AUTORUN
        \Shell\configure\command - D:\SETUP.EXE
        \Shell\install\command - D:\SETUP.EXE

        [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9195d1c6-1073-11dd-bda8-0011d89573df}]
        \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe WillPolo.vbs

        .
        Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
        "2008-05-05 17:48:45 C:\WINDOWS\Tasks\ErrorSmart Scheduled Scan.job"
        - C:\Program Files\ErrorSmart\ErrorSmart.ex
        - C:\Program Files\ErrorSmart.Nico 2+Runs ErrorSmart to optimize your registry.
        .
        **************************************************************************

        catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
        Rootkit scan 2008-07-12 22:08:45
        Windows 5.1.2600 Service Pack 2 NTFS

        Balayage processus cachés ...

        Balayage caché autostart entries ...

        Balayage des fichiers cachés ...

        Scan terminé avec succès
        Les fichiers cachés: 0

        **************************************************************************
        .
        Temps d'accomplissement: 2008-07-12 22:09:19
        ComboFix-quarantined-files.txt 2008-07-12 20:09:16
        ComboFix2.txt 2008-07-12 19:57:10
        ComboFix3.txt 2008-07-12 19:37:37

        Pre-Run: 70,082,678,784 octets libres
        Post-Run: 70,074,945,536 octets libres

        148 --- E O F --- 2008-07-05 15:30:10

        merci pour tout, je crois que je vais laisser tomber pour ce soir, bonne nuit.
        0
  10. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    Bon ...

    Pour demain :

    refais un scan hijackthis et postes moi le nouveau rapport obtenu pour analyse ...

    PS : conseil -->ne touches pas au PC à part pour venir ici finir la désinfection ...

    bonne nuit et à demain ( je serais moins dispo parcontre ;) ) ...
    0
    1. Aergal
       
      bonjour,

      En effet, balot que je suis, j'ai oublié le hijack this hier, donc voila :

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 12:43:47, on 13/07/2008
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.6000.16674)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\system32\brsvc01a.exe
      C:\WINDOWS\system32\brss01a.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\system32\RUNDLL32.EXE
      C:\WINDOWS\SOUNDMAN.EXE
      C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
      C:\Program Files\Brother\ControlCenter2\brctrcen.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
      C:\WINDOWS\system32\nvsvc32.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
      C:\Program Files\Internet Explorer\IEXPLORE.EXE
      C:\WINDOWS\system32\wuauclt.exe
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
      C:\Program Files\Alwil Software\Avast4\setup\avast.setup

      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
      O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
      O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
      O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
      O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
      O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
      O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe
      O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - https://www.eset.com/
      O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
      O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
      O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
      0
  11. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    Salut,

    1- Télécharges : - CCleaner
    https://www.pcastuces.com/logitheque/ccleaner.htm
    Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corrigé ton registre .Lors de l'installation, avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 première.
    Une fois le prg instalé et lancé, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures"( Par la suite, laisse-le avec ses réglages par défaut. C'est tout ).

    Un tuto ( aide ):
    http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

    ---> Utilisation:
    vas dans "nettoyeur" : fait analyse puis nettoyage
    et vas dans "registre" : fait chercher les erreurs et réparer ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

    ( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )

    2- -Fais un scan antivirus en ligne, avec Internet Explorer et accepter l'ActiveX :
    https://www.bitdefender.fr/
    (pour le rapport ,qui est un doc IE , clik sur l'onglet "plus de détailles" : et à la fin du scan tu demandes à le sauvegarder sur ton bureau)

    --->fais un copier/coller et postes le rapport dans ta prochaine réponse ...

    Aide : En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
    Dans la nouvelle fenêtre, clique sur j’accepte .
    La fenêtre change encore, clique sur scanner .
    Les signatures se chargent, etc.
    (aide en image : http://www.commentcamarche.net/faq/sujet 8872 scanner en ligne avec bitdefender)
    0
    1. Aergal
       
      salut,

      je te post le rapport :

      BitDefender Online Scanner



      Rapport d'analyse généré à: Mon, Jul 14, 2008 - 14:04:55





      Voie d'analyse: A:\;C:\;D:\;E:\;F:\;G:\;







      Statistiques

      Temps
      00:09:44

      Fichiers
      46768

      Directoires
      2279

      Secteurs de boot
      2

      Archives
      737

      Paquets programmes
      4903




      Résultats

      Virus identifiés
      3

      Fichiers infectés
      6

      Fichiers suspects
      0

      Avertissements
      0

      Désinfectés
      0

      Fichiers effacés
      6




      Info sur les moteurs

      Définition virus
      1378698

      Version des moteurs
      AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

      Analyse des plugins
      16

      Archive des plugins
      42

      Unpack des plugins
      7

      E-mail plugins
      6

      Système plugins
      5




      Paramètres d'analyse

      Première action
      Désinfecté

      Seconde Action
      Supprimé

      Heuristique
      Oui

      Acceptez les avertissements
      Oui

      Extensions analysées
      exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;

      Excludez les extensions


      Analyse d'emails
      Oui

      Analyse des Archives
      Oui

      Analyser paquets programmes
      Oui

      Analyse des fichiers
      Oui

      Analyse de boot
      Oui




      Fichier analysé
      Statut

      C:\System Volume Information\_restore{E2D603F1-C1FD-46CF-BAC0-0BC71240F631}\RP11\A0002193.exe
      Infecté par: Backdoor.Delf.HPP

      C:\System Volume Information\_restore{E2D603F1-C1FD-46CF-BAC0-0BC71240F631}\RP11\A0002193.exe
      Supprimé

      C:\System Volume Information\_restore{E2D603F1-C1FD-46CF-BAC0-0BC71240F631}\RP11\A0002197.exe
      Infecté par: Backdoor.Delf.HPP

      C:\System Volume Information\_restore{E2D603F1-C1FD-46CF-BAC0-0BC71240F631}\RP11\A0002197.exe
      Supprimé

      C:\System Volume Information\_restore{E2D603F1-C1FD-46CF-BAC0-0BC71240F631}\RP11\A0002198.exe
      Infecté par: Trojan.Agent.Delf.KV

      C:\System Volume Information\_restore{E2D603F1-C1FD-46CF-BAC0-0BC71240F631}\RP11\A0002198.exe
      Echec de la désinfection

      C:\System Volume Information\_restore{E2D603F1-C1FD-46CF-BAC0-0BC71240F631}\RP11\A0002198.exe
      Supprimé

      C:\System Volume Information\_restore{E2D603F1-C1FD-46CF-BAC0-0BC71240F631}\RP11\A0002200.exe
      Infecté par: Trojan.Agent.Delf.KV

      C:\System Volume Information\_restore{E2D603F1-C1FD-46CF-BAC0-0BC71240F631}\RP11\A0002200.exe
      Echec de la désinfection

      C:\System Volume Information\_restore{E2D603F1-C1FD-46CF-BAC0-0BC71240F631}\RP11\A0002200.exe
      Supprimé

      C:\System Volume Information\_restore{E2D603F1-C1FD-46CF-BAC0-0BC71240F631}\RP12\A0003443.exe
      Infecté par: Trojan.Agent.Delf.LG

      C:\System Volume Information\_restore{E2D603F1-C1FD-46CF-BAC0-0BC71240F631}\RP12\A0003443.exe
      Echec de la désinfection

      C:\System Volume Information\_restore{E2D603F1-C1FD-46CF-BAC0-0BC71240F631}\RP12\A0003443.exe
      Supprimé

      C:\System Volume Information\_restore{E2D603F1-C1FD-46CF-BAC0-0BC71240F631}\RP13\A0004712.exe
      Infecté par: Trojan.Agent.Delf.LG

      C:\System Volume Information\_restore{E2D603F1-C1FD-46CF-BAC0-0BC71240F631}\RP13\A0004712.exe
      Echec de la désinfection

      C:\System Volume Information\_restore{E2D603F1-C1FD-46CF-BAC0-0BC71240F631}\RP13\A0004712.exe
      Supprimé


      voila, est ce que tu pourrais me dire aussi à quel point ce virus est dangereux et à quoi il s'attaque, merci :)
      0
  12. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    Impeccable ^^

    A- Télécharges ToolsCleaner (de A.Rothstein) sur ton Bureau.
    http://pc-system.fr/

    Déconnectes toi et fermes bien toutes tes applications en cours .

    Lances le .
    *Cliques sur Recherche et laisses le scan se terminer (cela peut être long).
    *Cliques sur Suppression pour finaliser.
    *Tu peux, si tu le souhaites, te servir des Options facultatives
    *Click sur "quitter" pour générer un rapport :
    ---> Postes le (TCleaner.txt), il se trouve à la racine de ton disque dur (C:\).

    Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection ( tu n'en as plus besion ! ) .
    Supprimes tout les outils , dossiers ou rapports consernant la désinfection que Toolsclaener2 n'a pas supprimé .

    Puis enfin supprimes Toolscleaner2 ... ( Gardes CCleaner et Malwarebytes : très utiles )

    B - Refais un coup de CCleaner ( registre compris ) .

    C- Un checkup s'impose maitenant :

    ( étape 1 à faire de suite ! et le reste dès que tu peux mais ne tardes pas trop ;) )

    1-Restauration système
    *Désactives ta restauration :
    Cliques droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK
    --->Redémarres ton PC
    *Réactives ta restauration :
    Cliques droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK
    --->Redémarres ton PC

    2-Nettoyage et Défragmentation de tes Disques
    *Nettoyage :
    Clic droit sur "poste de travail" ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général"
    Cliques sur le bouton "nettoyage de disque", OK
    tu le fais pour chacun de tes disques

    *Vérifications des erreurs :
    Clic droit sur "poste de travail" ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil"
    "Vérifier maintenant", une boîte s'ouvre, cocher les cases :
    -réparer automatiquement les erreurs...
    -rechercher et tenter une récupération...
    --->Démarrer, ok
    Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal
    tu le fais pour chacun de tes disques

    ensuite toujours dans le même onglet tu choisis :
    *Défragmentation :
    "défragmenter maintenant", OK
    une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" . OK
    tu le fais pour chacun de tes disques

    Une fois tout cela fais , dis moi coment cela c'est passé et dis moi coment va le PC ...
    0
    1. Aergal
       
      ok merci pour les tuyaux, je ferais ça demain matin et je te tient au courant... merci pour tout et bonne soirée :)
      0
      1. Aergal > Aergal
         
        bonjour :)

        alors j'ai tout bien fait dans l'ordre ce coup ci, et tout s'est bien passé.... Je me dit chouette, enfin tiré d'affaire, et puis par acquis de conscience je me suis dit, aller hop un ptit coup de scan sur avast et voila :

        Nom du fichier : C:\WINDOWS\system32\cerwxfst.sys
        nom du logiciel malveillant : Win32:Trojan-gen {Other}

        pfff sont plus résistant que les cafards ces virus...
        0
      2. Aergal > Aergal
         
        aller hop, c'est repartit pour un tour, un ptit coup de hijackthis :

        Logfile of Trend Micro HijackThis v2.0.2
        Scan saved at 21:49:36, on 15/07/2008
        Platform: Windows XP SP2 (WinNT 5.01.2600)
        MSIE: Internet Explorer v7.00 (7.00.6000.16674)
        Boot mode: Normal

        Running processes:
        C:\WINDOWS\System32\smss.exe
        C:\WINDOWS\system32\winlogon.exe
        C:\WINDOWS\system32\services.exe
        C:\WINDOWS\system32\lsass.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\System32\svchost.exe
        C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
        C:\Program Files\Alwil Software\Avast4\ashServ.exe
        C:\WINDOWS\Explorer.EXE
        C:\WINDOWS\system32\brsvc01a.exe
        C:\WINDOWS\system32\RUNDLL32.EXE
        C:\WINDOWS\system32\spoolsv.exe
        C:\WINDOWS\system32\brss01a.exe
        C:\WINDOWS\SOUNDMAN.EXE
        C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
        C:\Program Files\Brother\ControlCenter2\brctrcen.exe
        C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
        C:\WINDOWS\system32\ctfmon.exe
        C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
        C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
        C:\WINDOWS\system32\nvsvc32.exe
        C:\WINDOWS\system32\svchost.exe
        C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
        C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
        C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
        C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
        R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
        O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
        O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
        O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
        O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
        O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
        O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
        O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
        O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
        O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
        O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe
        O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
        O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
        O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
        O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
        O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
        O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
        O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
        O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
        O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
        O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
        O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
        O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
        O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
        O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - https://www.eset.com/
        O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
        O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
        O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
        O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
        O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
        O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
        O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
        O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
        O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
        O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
        0
  13. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    Fais ce-ci alors :

    1- Avoir accès aux fichiers cachés :

    Vas dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
    * "Afficher les fichiers et dossiers cachés" ---> coché
    * "Masquer les extensions des fichiers dont le type est connu" ---> décoché
    * "masquer les fichiers du système" ---> décoché
    ( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )

    2- on va tacher de savoir quelle est cette bestiole :

    Rends toi sur ce site :

    https://www.virustotal.com/gui/

    Copies ce qui suit et colles le dans l'espace pour la recherche :
    C:\WINDOWS\system32\cerwxfst.sys

    Cliques sur Send File.

    Un rapport va s'élaborer ligne à ligne.

    Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

    Sauvegarde le rapport avec le bloc-note.

    Copies le dans ta prochaine réponse ...

    ( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant ) .
    0
    1. Aergal
       
      Ok merci...

      le pc infecté est dans la chambre, et ma femme en train de roupiller aussi, et j'ai pas envie de me prendre un coup de fusil.... alors la manip va devoir attendre demain :)

      bonsoir et a demain.
      0
      1. Aergal > Aergal
         
        salut, je te joint la copie du rapport :

        Fichier cerwxfst.sys reçu le 2008.07.16 22:54:09 (CET)
        Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


        Résultat: 13/33 (39.4%)
        en train de charger les informations du serveur...
        Votre fichier est dans la file d'attente, en position: ___.
        L'heure estimée de démarrage est entre ___ et ___ .
        Ne fermez pas la fenêtre avant la fin de l'analyse.
        L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
        Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
        Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
        les résultats seront affichés au fur et à mesure de leur génération.
        Formaté Impression des résultats
        Votre fichier a expiré ou n'existe pas.
        Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

        Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
        Email:


        Antivirus Version Dernière mise à jour Résultat
        AhnLab-V3 2008.7.17.0 2008.07.16 -
        AntiVir 7.8.0.68 2008.07.16 TR/Click.VB.bek
        Authentium 5.1.0.4 2008.07.15 W32/AdClicker.C.gen!Eldorado
        Avast 4.8.1195.0 2008.07.16 Win32:Trojan-gen {Other}
        AVG 7.5.0.516 2008.07.16 -
        BitDefender 7.2 2008.07.16 -
        CAT-QuickHeal 9.50 2008.07.16 -
        ClamAV 0.93.1 2008.07.16 -
        DrWeb 4.44.0.09170 2008.07.16 -
        eSafe 7.0.17.0 2008.07.16 -
        eTrust-Vet 31.6.5959 2008.07.16 -
        Ewido 4.0 2008.07.16 -
        F-Prot 4.4.4.56 2008.07.15 W32/AdClicker.C.gen!Eldorado
        F-Secure 7.60.13501.0 2008.07.16 Trojan-Clicker.Win32.VB.bek
        Fortinet 3.14.0.0 2008.07.16 Adware/VB
        GData 2.0.7306.1023 2008.07.16 Trojan-Clicker.Win32.VB.bek
        Ikarus T3.1.1.26.0 2008.07.16 Trojan-Clicker.Win32.VB.bek
        Kaspersky 7.0.0.125 2008.07.16 Trojan-Clicker.Win32.VB.bek
        McAfee 5340 2008.07.16 -
        Microsoft 1.3704 2008.07.16 -
        NOD32v2 3274 2008.07.16 -
        Norman 5.80.02 2008.07.16 -
        Panda 9.0.0.4 2008.07.16 Suspicious file
        Prevx1 V2 2008.07.16 Rootkit
        Rising 20.53.22.00 2008.07.16 -
        Sophos 4.31.0 2008.07.16 -
        Sunbelt 3.1.1536.1 2008.07.15 -
        Symantec 10 2008.07.16 Trojan.Adclicker
        TheHacker 6.2.96.381 2008.07.16 -
        TrendMicro 8.700.0.1004 2008.07.16 -
        VBA32 3.12.8.0 2008.07.16 -
        VirusBuster 4.5.11.0 2008.07.16 -
        Webwasher-Gateway 6.6.2 2008.07.16 Trojan.Click.VB.bek
        Information additionnelle
        File size: 40960 bytes
        MD5...: d82f4a66bdd9598637ddde9136299741
        SHA1..: df5b061029b6d2f3e31533cff15c93b50fc5316e
        SHA256: c82c7fa65bfb3d689b13438f93744555e7eeb9b8ec48be902f53a47f24288981
        SHA512: 9bb450281c064e271bd9ff171a3821d2709fae2fedb00607553f8dbcf1df3585
        a6013f7b8343fe351a025a41b0ae3469dbc6939e59d240af257bbefa4147ddd3
        PEiD..: -
        PEInfo: PE Structure information

        ( base data )
        entrypointaddress.: 0x4010ec
        timedatestamp.....: 0x487717a5 (Fri Jul 11 08:19:49 2008)
        machinetype.......: 0x14c (I386)

        ( 3 sections )
        name viradd virsiz rawdsiz ntrpy md5
        .text 0x1000 0x734c 0x8000 4.71 f5a1d0e603426a0fdae4680b2fdb6934
        .data 0x9000 0xd00 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
        .rsrc 0xa000 0x9c8 0x1000 3.13 aa274b888145c8f0ae010ea6368a8e2c

        ( 1 imports )
        > MSVBVM60.DLL: MethCallEngine, -, -, -, -, -, EVENT_SINK_AddRef, -, DllFunctionCall, -, EVENT_SINK_Release, EVENT_SINK_QueryInterface, __vbaExceptHandler, -, -, ProcCallEngine, -, -, -, -, -, -, -

        ( 0 exports )

        Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=850AAC83002E9ECBA04D00F093D54700EBFED2E7
        0
  14. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    bien ... Si tu peux me dire ce que tu à fait avec ton PC entre le moment ou on a passer le scan en ligne Bitdefender et le jour ou Avast t'a redetecté cette bestiole , ce serait pas mal ;)

    Ensuite on vas reprendre avec ce-ci :

    Télécharges ComboFix (par sUBs) sur ton Bureau (et pas ailleur !):
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe <--- clik droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape C-Fix et valide .

    --------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
    !! déconnectes toi,fermes tes applications en cours et DESACTIVES TOUTES TES DEFENCES (anti-virus, guardes anti spy-ware, pare-feu) le temps de la manipe :
    en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
    --->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
    Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
    ---------------------------------------------------------------------------------------------------------------------------------

    Ensuite :
    double-cliques C-Fix.exe ( = combofix.exe ) .

    Appuyes sur la touche Y (Yes) pour démarrer le scan .

    Attention : n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.
    ---> si un message d'erreur windows apparait à un momment : clik sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

    Le rapport sera crée dans: C:\Combofix.txt

    Postes le rapport Combofix pour analyse ...
    0
    1. Aergal
       
      SAlut,

      Alors, a vrai dire je ne vois vraiment pas ce qui a pu se passer entre les 2 manips, je n'ai utilisé cet ordi que pour suivre tes directives... pour le reste j'utilise l'autre ordi qui est en reseau avec celui la. Cela dit il devais y avoir plusieures virus, car a chaque fois j'ai arreté le scan d'avast quand il reperais le virus, pour bien faire il faudrais que je le laisse scanner jusqu'au bout.

      voila le rapport de combo fix :

      ComboFix 08-07-15.4 - Nico 2 2008-07-17 23:11:38.6 - NTFSx86
      Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1655 [GMT 2:00]
      Endroit: C:\Documents and Settings\Nico 2\Bureau\ComboFix.exe
      * Création d'un nouveau point de restauration

      [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
      .

      ((((((((((((((((((((((((((((( Fichiers créés 2008-06-17 to 2008-07-17 ))))))))))))))))))))))))))))))))))))
      .

      2008-07-15 16:29 . 2008-07-15 16:29 52,401,304 --a------ C:\Sauv.reg
      2008-07-14 16:22 . 2008-07-14 16:28 <REP> d-------- C:\Documents and Settings\Nico 2\Application Data\dvdcss
      2008-07-14 13:52 . 2008-07-14 14:04 <REP> d-------- C:\WINDOWS\BDOSCAN8
      2008-07-12 18:03 . 2008-07-12 18:09 <REP> d-------- C:\Backups
      2008-07-12 17:56 . 2008-07-12 17:56 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
      2008-07-12 17:56 . 2008-07-12 17:56 <REP> d-------- C:\Documents and Settings\Nico 2\Application Data\Malwarebytes
      2008-07-12 17:56 . 2008-07-12 17:56 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
      2008-07-12 17:56 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
      2008-07-12 17:56 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
      2008-07-12 16:45 . 2008-07-12 16:45 15,815,160 --a------ C:\upload_moi_PC-CHAMBRE.tar.gz
      2008-07-12 13:54 . 2008-07-15 16:29 <REP> d-------- C:\WINDOWS\ERUNT
      2008-07-12 13:53 . 2008-04-22 15:38 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
      2008-07-12 13:53 . 2008-04-22 15:38 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
      2008-07-12 13:53 . 2008-04-22 13:45 <REP> d--h----- C:\Documents and Settings\Administrateur\Modèles
      2008-07-12 13:53 . 2008-04-22 15:38 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
      2008-07-12 13:53 . 2008-04-22 15:38 <REP> dr------- C:\Documents and Settings\Administrateur\Menu Démarrer
      2008-07-12 13:53 . 2008-04-22 15:38 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
      2008-07-12 13:53 . 2008-07-12 21:34 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
      2008-07-12 13:53 . 2008-07-12 13:53 <REP> d-------- C:\Documents and Settings\Administrateur
      2008-07-11 21:27 . 2008-07-11 21:29 <REP> d-------- C:\Documents and Settings\Nico 2\Application Data\vlc
      2008-07-11 21:21 . 2008-07-15 21:49 <REP> d-------- C:\Documents and Settings\All Users\utilitaires
      2008-07-11 21:20 . 2008-07-14 16:37 <REP> d-------- C:\Documents and Settings\All Users\film
      2008-07-11 21:17 . 2008-07-11 21:17 <REP> d-------- C:\Program Files\Freeplayer
      2008-07-11 18:10 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
      2008-07-11 18:10 . 2004-08-03 23:01 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
      2008-07-11 18:10 . 2008-07-11 18:10 434 --a------ C:\WINDOWS\BRWMARK.INI
      2008-07-11 18:10 . 2008-07-11 18:10 184 --a------ C:\WINDOWS\system32\brsvc01a.bsi
      2008-07-11 18:10 . 2008-07-11 18:10 30 --a------ C:\WINDOWS\system32\brss01a.ini
      2008-07-11 18:10 . 2008-07-11 18:10 27 --a------ C:\WINDOWS\BRPP2KA.INI
      2008-07-11 18:09 . 2001-02-05 11:16 258,048 --a------ C:\WINDOWS\system32\bsplmf01.dll
      2008-07-11 18:09 . 2003-12-24 00:00 131,072 --a------ C:\WINDOWS\system32\bsplmf01.exe
      2008-07-11 18:09 . 2005-03-02 11:35 121,856 --a------ C:\WINDOWS\system32\BrWia05a.dll
      2008-07-11 18:09 . 2002-04-12 00:00 57,344 --a------ C:\WINDOWS\system32\brsvc01a.exe
      2008-07-11 18:09 . 2005-05-09 10:34 55,296 --------- C:\WINDOWS\system32\brinsstr.dll
      2008-07-11 18:09 . 2001-12-13 00:01 45,056 --a------ C:\WINDOWS\system32\brss01a.exe
      2008-07-11 18:09 . 2005-03-02 13:14 37,888 --a------ C:\WINDOWS\system32\BrUSi05a.dll
      2008-07-11 18:09 . 2004-10-15 12:50 15,295 --a------ C:\WINDOWS\system32\drivers\BrScnUsb.sys
      2008-07-11 18:09 . 2008-07-11 18:09 50 --a------ C:\WINDOWS\system32\bridf05a.dat
      2008-07-11 18:08 . 2008-07-11 18:08 <REP> d-------- C:\Program Files\Common Files
      2008-07-11 18:08 . 2008-07-11 18:09 <REP> d-------- C:\Program Files\Brother
      2008-07-11 18:08 . 2008-07-11 18:08 <REP> d-------- C:\Brother
      2008-07-11 18:08 . 2004-12-03 01:26 188,416 --------- C:\WINDOWS\system32\PDRVINST.DLL
      2008-07-11 18:08 . 2004-12-10 16:35 147,456 --------- C:\WINDOWS\brunin03.dll
      2008-07-11 18:08 . 2002-10-31 01:09 81,920 --------- C:\WINDOWS\system32\BrWebIns.dll
      2008-07-11 18:08 . 2003-07-03 01:08 65,536 --------- C:\WINDOWS\system32\BRWEBUP.EXE
      2008-07-11 18:08 . 2001-11-15 01:00 6,224 --------- C:\WINDOWS\CVRPAGE.bmp
      2008-07-11 18:07 . 2008-07-11 18:07 <REP> d-------- C:\Program Files\ScanSoft
      2008-07-11 18:07 . 2008-07-11 18:07 <REP> d-------- C:\Program Files\Fichiers communs\ScanSoft Shared
      2008-07-11 18:07 . 2008-07-11 18:07 <REP> d-------- C:\Documents and Settings\All Users\Application Data\ScanSoft
      2008-07-11 18:07 . 2008-07-11 18:07 <REP> d-------- C:\Documents and Settings\All Users\Application Data\InstallShield
      2008-07-11 18:07 . 2003-09-24 11:37 27,279 --a------ C:\WINDOWS\maxlink.ini
      2008-07-11 18:06 . 2008-07-11 18:06 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Brother
      2008-07-05 17:24 . 2008-06-14 19:59 272,768 --------- C:\WINDOWS\system32\drivers\bthport.sys
      2008-07-05 17:24 . 2008-06-14 19:59 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
      2008-07-05 17:19 . 2008-07-05 17:19 <REP> d-------- C:\Program Files\Creative
      2008-07-05 17:19 . 2005-08-16 12:23 38,422 --a------ C:\WINDOWS\system32\drivers\StMp3Rec.sys

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2008-07-15 19:49 --------- d-----w C:\Program Files\Trend Micro
      2008-07-11 16:08 --------- d--h--w C:\Program Files\InstallShield Installation Information
      2008-07-11 16:08 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
      2008-05-23 18:47 --------- d-----w C:\Documents and Settings\Nico 2\Application Data\LG Electronics
      2008-05-23 18:45 --------- d-----w C:\Program Files\LG PC Suite
      2008-05-23 18:45 --------- d-----w C:\Program Files\LG Electronics
      2008-05-07 05:15 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
      2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
      .

      ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      REGEDIT4
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 17:09 15360]
      "IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" [2007-12-13 19:10 1688872]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
      "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
      "NeroFilterCheck"="C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe" [2007-03-01 14:57 153136]
      "NBKeyScan"="C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-12-03 14:21 2213160]
      "SSBkgdUpdate"="C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 10:22 155648]
      "PaperPort PTD"="C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 19:17 57393]
      "IndexSearch"="C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 19:30 40960]
      "SetDefPrt"="C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe" [2005-01-26 18:02 49152]
      "ControlCenter2.0"="C:\Program Files\Brother\ControlCenter2\brctrcen.exe" [2005-05-17 17:42 933888]
      "nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
      "SoundMan"="SOUNDMAN.EXE" [2004-11-15 18:20 77824 C:\WINDOWS\SOUNDMAN.EXE]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 17:09 15360]

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
      "EnableFirewall"= 0 (0x0)

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "C:\\Program Files\\Freeplayer\\vlc\\vlc.exe"=

      R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]
      R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3dca4d42-1071-11dd-9b35-806d6172696f}]
      \Shell\AutoRun\command - D:\SETUP.EXE /AUTORUN
      \Shell\configure\command - D:\SETUP.EXE
      \Shell\install\command - D:\SETUP.EXE

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9195d1c6-1073-11dd-bda8-0011d89573df}]
      \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe WillPolo.vbs
      .
      Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
      "2008-05-05 17:48:45 C:\WINDOWS\Tasks\ErrorSmart Scheduled Scan.job"
      - C:\Program Files\ErrorSmart\ErrorSmart.ex
      - C:\Program Files\ErrorSmart.Nico 2+Runs ErrorSmart to optimize your registry.
      .
      **************************************************************************

      catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2008-07-17 23:12:23
      Windows 5.1.2600 Service Pack 2 NTFS

      Balayage processus cachés ...

      Balayage caché autostart entries ...

      Balayage des fichiers cachés ...

      Scan terminé avec succès
      Les fichiers cachés: 0

      **************************************************************************
      .
      Temps d'accomplissement: 2008-07-17 23:12:57
      ComboFix-quarantined-files.txt 2008-07-17 21:12:54

      Pre-Run: 68,609,720,320 octets libres
      Post-Run: 68,614,692,864 octets libres

      132 --- E O F --- 2008-07-05 15:30:10

      merci pour tout, demain matin je me tire pour le week end, donc je ne pourrais pas continuer avant dimanche aprés-midi, et je decolle lundi pour 3 semaines au Quebec... bref ça va faire short :)
      0
  15. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    Fais ce qui suit :

    Télécharges OTMoveIt (de Old_Timer) sur ton Bureau.
    http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
    ou http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

    * Impératif : Redémarrer l'ordinateur en mode sans échec .
    Comment aller en Mode sans échec
    1) Redémarre ton ordi
    2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
    3) Tu verras un écran avec options de démarrage apparaître
    4) Choisis la première option : Sans Échec, et valide avec "Entrée"
    5) Choisis ton compte habituel, et non Administrateur (si besoin ... )
    ( ps : n'oublies pas , en mode sans échec , pas de connexion ! Donc copies ou imprimes bien les info ci-dessous ...)

    clic double sur OTMoveIt.exe pour le lancer.
    copie ce qui se trouve en citation ci-dessous :

    C:\WINDOWS\system32\cerwxfst.sys

    et colles-la dans le cadre de gauche de OTMoveIt2 :
    Paste standard List of Files/Folders to be moved.

    cliques sur MoveIt! pour lancer la suppression.
    le résultat apparaîtra dans le cadre Results.

    cliques sur Exit pour fermer.
    Puis refai un coup de CCleaner ( registres compris )
    --->postes le rapport situé dans " C:\OTMoveIt\MovedFiles."

    il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
    si c'est le cas acceptes par "Yes". Sinon fais le manuelllement pour retourner en mode normale ...
    0
    1. Aergal
       
      SAlut,

      ok j'ai tout bien fait pour une fois, je te joins le rapport :

      C:\WINDOWS\system32\cerwxfst.sys moved successfully.

      OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 07182008_074320

      Ca c'est du rapport concis :) sur ce merci et à dimanche.
      0
      1. sKe69 Messages postés 21955 Statut Contributeur sécurité 463 > Aergal
         
        Ok ... voilà pour dimanche :

        1- refait un coup de CCleaner ( registre compris )

        2- Fait un scan "MINUTIEUX" avec Avast ( coche aussi : "scanner les archives" ) et mode sans échec ( impératif !) :
        Poste moi le rapport obtenue si il y a eu infection ...

        Tuto avast :
        http://forum.telecharger.01net.com/forum/

        A+ =)
        0
  16. Aergal
     
    Salut,

    Bon alors ccleaner effectué et avast en mode sans echec aussi, jusqu'au bout cette fois ci... et la c'est consternant, c'est plus une infection c'est une invasion... j'ai noté tout les virus détectés :

    1
    nom du fichier :C:\upload_moi_PC-CHAMBRE.tar.gz\upload_moi.tar\qoobox\Quarantine\C\WINDOWS\system32\afinding.exe.vir

    nom du logiciel malveillant : Win32:Trojan-gen {Other}

    2
    nom du fichier :C:\upload_moi_PC-CHAMBRE.tar.gz\upload_moi.tar\qoobox\Quarantine\C\WINDOWS\system32\andt.sys.vir

    nom du logiciel malveillant : Win32:DNSChanger-VT [Trj]

    3
    nom du fichier : C:\upload_moi_PC-CHAMBRE.tar.gz\upload_moi.tar\qoobox\Quarantine\C\WINDOWS\system32\Indt2.sys.vir

    nom du logiciel malveillant : Win32:Trojan-gen {Other}

    4
    nom du fichier : C:\upload_moi_PC-CHAMBRE.tar.gz\upload_moi.tar\qoobox\Quarantine\C\WINDOWS\system32\routing.exe.vir

    nom du logiciel malveillant : Win32:Trojan-gen {Other}

    5
    nom du fichier : C:\upload_moi_PC-CHAMBRE.tar.gz\upload_moi.tar\qoobox\Quarantine\C\WINDOWS\system32\tmp0_549835618164.bk.vir

    nom du logiciel malveillant : Win32:DNSChanger-VT [Trj]

    6
    nom du fichier : C:\upload_moi_PC-CHAMBRE.tar.gz\upload_moi.tar\qoobox\Quarantine\C\WINDOWS\system32\tmp0_621287139065.bk.vir

    nom du logiciel malveillant : Win32:DNSChanger-VT [Trj]

    7
    nom du fichier : C:\upload_moi_PC-CHAMBRE.tar.gz\upload_moi.tar\qoobox\Quarantine\C\WINDOWS\system32\tmp1_78640586871.bk.vir

    nom du logiciel malveillant : Win32:DNSChanger-VT [Trj]

    8
    nom du fichier : C:\upload_moi_PC-CHAMBRE.tar.gz\upload_moi.tar\qoobox\Quarantine\C\WINDOWS\system32\wserving.exe.vir

    nom du logiciel malveillant : Win32:Trojan-gen {Other}

    9
    nom du fichier : C:\upload_moi_PC-CHAMBRE.tar.gz\upload_moi.tar

    nom du logiciel malveillant : Win32:DNSChanger-VT [Trj]

    10
    nom du fichier : C:\WINDOWS\system32\yaxcnxd.sys

    nom du logiciel malveillant : Win32:DNSChanger-VT [Trj]

    11
    nom du fichier : C:\_OTMoveIt\MovedFiles\07182008_074320\WINDOWS\system32\cerwxfst.sys

    nom du logiciel malveillant : Win32:Trojan-gen {Other}

    voila... heureusement demain je decolle pour 3 semaines au Quebec, ça va me faire du bien de plus voir cet ordi un moment :)
    0
  17. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    bien voilà ce que tu vas faire :

    Supprimes tout ce qu'il peutavoir dans la quarantaine d'Avast ( via celle-ci bien évidement )

    A ) * Impératif : Redémarrer l'ordinateur en mode sans échec .
    Comment aller en Mode sans échec
    1) Redémarre ton ordi
    2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
    3) Tu verras un écran avec options de démarrage apparaître
    4) Choisis la première option : Sans Échec, et valide avec "Entrée"
    5) Choisis ton compte habituel, et non Administrateur (si besoin ... )
    ( ps : n'oublies pas , en mode sans échec , pas de connexion ! Donc copies ou imprimes bien les info ci-dessous ...)

    clic double sur OTMoveIt.exe pour le lancer.
    copie ce qui se trouve en citation ci-dessous :

    C:\WINDOWS\system32\yaxcnxd.sys
    C:\upload_moi_PC-CHAMBRE.tar.gz


    et colles-la dans le cadre de gauche de OTMoveIt2 :
    "Paste standard List of Files/Folders to be moved".

    cliques sur MoveIt! pour lancer la suppression.
    le résultat apparaîtra dans le cadre Results.

    cliques sur Exit pour fermer.
    Puis refai un coup de CCleaner ( registres compris )
    --->postes le rapport situé dans " C:\OTMoveIt\MovedFiles. "

    il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
    si c'est le cas acceptes par "Yes". Sinon fais le manuelllement pour retourner en mode normale ...

    B ) Télécharges DSS (Deckard's System Scanner de Deckard) sur ton Bureau :

    http://www.techsupportforum.com/sectools/Deckard/dss.exe

    !! Fermes toutes les applications en cours (très important, sinon l'ordi peut planter) !!

    Double-clique sur DSS.exe pour lancer l'outil.
    (S'il ne trouve pas HijackThis, clique sur Oui )

    Clique sur OK à chaque fois que cela sera demandé.

    L'analyse finie, un fichier texte s'affichera --->Postes ce rapport dans ta prochaine
    réponse pour analyse ...

    (Le rapport se trouve en outre ici : C:\Deckard\System Scanner\main.txt.)

    Important : Si tu obtiens deux rapports ("main.txt" + "extra.txt") alors poste les deux stp.
    Attention --> les rapports peuvent être long donc envoie chacun d'eux dans un poste différent (sinon il risque de manquer la fin).
    0
  18. Aergal
     
    alors, le rapport de OTmoveit :

    File/Folder C:\WINDOWS\system32\yaxcnxd.sys not found.
    File/Folder C:\upload_moi_PC-CHAMBRE.tar.gz not found.

    OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 07202008_230516

    sans etre calé en informatique ça me semble pas de bon augure...

    ensuite pour dss, ca plante toujours... c'est pas gagné :)
    0
  19. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    File/Folder C:\WINDOWS\system32\yaxcnxd.sys not found.
    File/Folder C:\upload_moi_PC-CHAMBRE.tar.gz not found.


    Ce n'est pas si mauvais que cela ... Avast à peu-être bien fait son boulot ^^

    ( pour les autre qu'Avast a débusqué , ils étaient en fait bien au chaud dans la quarantaine de Combofix ... )

    1- Avoir accès aux fichiers cachés :

    Vas dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
    * "Afficher les fichiers et dossiers cachés" ---> coché
    * "Masquer les extensions des fichiers dont le type est connu" ---> décoché
    * "masquer les fichiers du système" ---> décoché
    ( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )

    2- Refais un coup de Combofix et poste moi le nouveau rapport obtenu stp ...
    0
  20. Aergal
     
    ComboFix 08-07-15.4 - Nico 2 2008-07-21 0:15:41.7 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1651 [GMT 2:00]
    Endroit: C:\Documents and Settings\Nico 2\Bureau\ComboFix.exe

    [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
    .

    ((((((((((((((((((((((((((((( Fichiers créés 2008-06-20 to 2008-07-20 ))))))))))))))))))))))))))))))))))))
    .

    2008-07-21 00:12 . 2008-07-21 00:12 <REP> d-------- C:\WINDOWS\LastGood
    2008-07-20 23:10 . 2008-07-20 23:10 <REP> d-------- C:\Deckard
    2008-07-18 07:43 . 2008-07-18 07:43 <REP> d-------- C:\_OTMoveIt
    2008-07-15 16:29 . 2008-07-15 16:29 52,401,304 --a------ C:\Sauv.reg
    2008-07-14 16:22 . 2008-07-14 16:28 <REP> d-------- C:\Documents and Settings\Nico 2\Application Data\dvdcss
    2008-07-14 13:52 . 2008-07-14 14:04 <REP> d-------- C:\WINDOWS\BDOSCAN8
    2008-07-12 18:03 . 2008-07-12 18:09 <REP> d-------- C:\Backups
    2008-07-12 17:56 . 2008-07-12 17:56 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
    2008-07-12 17:56 . 2008-07-12 17:56 <REP> d-------- C:\Documents and Settings\Nico 2\Application Data\Malwarebytes
    2008-07-12 17:56 . 2008-07-12 17:56 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
    2008-07-12 17:56 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
    2008-07-12 17:56 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
    2008-07-12 13:54 . 2008-07-15 16:29 <REP> d-------- C:\WINDOWS\ERUNT
    2008-07-12 13:53 . 2008-04-22 15:38 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
    2008-07-12 13:53 . 2008-04-22 15:38 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
    2008-07-12 13:53 . 2008-04-22 13:45 <REP> d--h----- C:\Documents and Settings\Administrateur\Modèles
    2008-07-12 13:53 . 2008-04-22 15:38 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
    2008-07-12 13:53 . 2008-04-22 15:38 <REP> dr------- C:\Documents and Settings\Administrateur\Menu Démarrer
    2008-07-12 13:53 . 2008-04-22 15:38 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
    2008-07-12 13:53 . 2008-07-12 21:34 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
    2008-07-12 13:53 . 2008-07-12 13:53 <REP> d-------- C:\Documents and Settings\Administrateur
    2008-07-11 21:27 . 2008-07-11 21:29 <REP> d-------- C:\Documents and Settings\Nico 2\Application Data\vlc
    2008-07-11 21:21 . 2008-07-15 21:49 <REP> d-------- C:\Documents and Settings\All Users\utilitaires
    2008-07-11 21:20 . 2008-07-20 23:24 <REP> d-------- C:\Documents and Settings\All Users\film
    2008-07-11 21:17 . 2008-07-11 21:17 <REP> d-------- C:\Program Files\Freeplayer
    2008-07-11 18:10 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
    2008-07-11 18:10 . 2004-08-03 23:01 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
    2008-07-11 18:10 . 2008-07-11 18:10 434 --a------ C:\WINDOWS\BRWMARK.INI
    2008-07-11 18:10 . 2008-07-11 18:10 184 --a------ C:\WINDOWS\system32\brsvc01a.bsi
    2008-07-11 18:10 . 2008-07-11 18:10 30 --a------ C:\WINDOWS\system32\brss01a.ini
    2008-07-11 18:10 . 2008-07-11 18:10 27 --a------ C:\WINDOWS\BRPP2KA.INI
    2008-07-11 18:09 . 2001-02-05 11:16 258,048 --a------ C:\WINDOWS\system32\bsplmf01.dll
    2008-07-11 18:09 . 2003-12-24 00:00 131,072 --a------ C:\WINDOWS\system32\bsplmf01.exe
    2008-07-11 18:09 . 2005-03-02 11:35 121,856 --a------ C:\WINDOWS\system32\BrWia05a.dll
    2008-07-11 18:09 . 2002-04-12 00:00 57,344 --a------ C:\WINDOWS\system32\brsvc01a.exe
    2008-07-11 18:09 . 2005-05-09 10:34 55,296 --------- C:\WINDOWS\system32\brinsstr.dll
    2008-07-11 18:09 . 2001-12-13 00:01 45,056 --a------ C:\WINDOWS\system32\brss01a.exe
    2008-07-11 18:09 . 2005-03-02 13:14 37,888 --a------ C:\WINDOWS\system32\BrUSi05a.dll
    2008-07-11 18:09 . 2004-10-15 12:50 15,295 --a------ C:\WINDOWS\system32\drivers\BrScnUsb.sys
    2008-07-11 18:09 . 2008-07-11 18:09 50 --a------ C:\WINDOWS\system32\bridf05a.dat
    2008-07-11 18:08 . 2008-07-11 18:08 <REP> d-------- C:\Program Files\Common Files
    2008-07-11 18:08 . 2008-07-11 18:09 <REP> d-------- C:\Program Files\Brother
    2008-07-11 18:08 . 2008-07-11 18:08 <REP> d-------- C:\Brother
    2008-07-11 18:08 . 2004-12-03 01:26 188,416 --------- C:\WINDOWS\system32\PDRVINST.DLL
    2008-07-11 18:08 . 2004-12-10 16:35 147,456 --------- C:\WINDOWS\brunin03.dll
    2008-07-11 18:08 . 2002-10-31 01:09 81,920 --------- C:\WINDOWS\system32\BrWebIns.dll
    2008-07-11 18:08 . 2003-07-03 01:08 65,536 --------- C:\WINDOWS\system32\BRWEBUP.EXE
    2008-07-11 18:08 . 2001-11-15 01:00 6,224 --------- C:\WINDOWS\CVRPAGE.bmp
    2008-07-11 18:07 . 2008-07-11 18:07 <REP> d-------- C:\Program Files\ScanSoft
    2008-07-11 18:07 . 2008-07-11 18:07 <REP> d-------- C:\Program Files\Fichiers communs\ScanSoft Shared
    2008-07-11 18:07 . 2008-07-11 18:07 <REP> d-------- C:\Documents and Settings\All Users\Application Data\ScanSoft
    2008-07-11 18:07 . 2008-07-11 18:07 <REP> d-------- C:\Documents and Settings\All Users\Application Data\InstallShield
    2008-07-11 18:07 . 2003-09-24 11:37 27,279 --a------ C:\WINDOWS\maxlink.ini
    2008-07-11 18:06 . 2008-07-11 18:06 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Brother
    2008-07-05 17:24 . 2008-06-14 19:59 272,768 --------- C:\WINDOWS\system32\drivers\bthport.sys
    2008-07-05 17:24 . 2008-06-14 19:59 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
    2008-07-05 17:19 . 2008-07-05 17:19 <REP> d-------- C:\Program Files\Creative
    2008-07-05 17:19 . 2005-08-16 12:23 38,422 --a------ C:\WINDOWS\system32\drivers\StMp3Rec.sys

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-07-15 19:49 --------- d-----w C:\Program Files\Trend Micro
    2008-07-11 16:08 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-07-11 16:08 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
    2008-05-23 18:47 --------- d-----w C:\Documents and Settings\Nico 2\Application Data\LG Electronics
    2008-05-23 18:45 --------- d-----w C:\Program Files\LG PC Suite
    2008-05-23 18:45 --------- d-----w C:\Program Files\LG Electronics
    2008-05-07 05:15 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
    2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
    .

    ((((((((((((((((((((((((((((( snapshot@2008-07-17_23.12.47.43 )))))))))))))))))))))))))))))))))))))))))
    .
    + 2004-08-03 21:10:12 48,128 -c--a-w C:\WINDOWS\system32\dllcache\61883.sys
    + 2004-08-03 21:10:12 38,912 -c--a-w C:\WINDOWS\system32\dllcache\avc.sys
    + 2004-08-03 21:10:18 17,024 -c--a-w C:\WINDOWS\system32\dllcache\ccdecode.sys
    + 2004-08-03 21:10:00 51,328 -c--a-w C:\WINDOWS\system32\dllcache\msdv.sys
    + 2004-08-03 20:58:40 5,504 -c--a-w C:\WINDOWS\system32\dllcache\mstee.sys
    + 2004-08-03 21:10:30 85,376 -c--a-w C:\WINDOWS\system32\dllcache\nabtsfec.sys
    + 2004-08-03 21:10:14 10,880 -c--a-w C:\WINDOWS\system32\dllcache\ndisip.sys
    + 2004-08-03 21:10:18 11,136 -c--a-w C:\WINDOWS\system32\dllcache\slip.sys
    + 2004-08-03 21:10:14 15,360 -c--a-w C:\WINDOWS\system32\dllcache\streamip.sys
    + 2004-08-19 14:09:48 54,784 -c--a-w C:\WINDOWS\system32\dllcache\vfwwdm32.dll
    + 2004-08-03 21:10:22 19,328 -c--a-w C:\WINDOWS\system32\dllcache\wstcodec.sys
    + 2004-08-03 21:10:12 48,128 ----a-w C:\WINDOWS\system32\drivers\61883.sys
    + 2004-08-03 21:10:12 38,912 ----a-w C:\WINDOWS\system32\drivers\avc.sys
    + 2004-08-03 21:10:18 17,024 ----a-w C:\WINDOWS\system32\drivers\CCDECODE.sys
    + 2004-08-03 21:10:00 51,328 ----a-w C:\WINDOWS\system32\drivers\msdv.sys
    + 2004-08-03 20:58:40 5,504 ----a-w C:\WINDOWS\system32\drivers\MSTEE.sys
    + 2004-08-03 21:10:30 85,376 ----a-w C:\WINDOWS\system32\drivers\NABTSFEC.sys
    + 2004-08-03 21:10:14 10,880 ----a-w C:\WINDOWS\system32\drivers\NdisIP.sys
    + 2004-08-03 21:10:18 11,136 ----a-w C:\WINDOWS\system32\drivers\SLIP.sys
    + 2004-08-03 21:10:14 15,360 ----a-w C:\WINDOWS\system32\drivers\StreamIP.sys
    + 2004-08-03 21:10:22 19,328 ----a-w C:\WINDOWS\system32\drivers\WSTCODEC.SYS
    - 2008-07-12 15:24:50 74,649 ----a-w C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
    + 2008-07-20 22:12:55 74,649 ----a-w C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
    + 2004-08-19 14:09:48 54,784 ----a-w C:\WINDOWS\system32\vfwwdm32.dll
    + 2008-07-20 21:07:57 16,384 ----atw C:\WINDOWS\TEMP\Perflib_Perfdata_650.dat
    .
    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 17:09 15360]
    "IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" [2007-12-13 19:10 1688872]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
    "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
    "NeroFilterCheck"="C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe" [2007-03-01 14:57 153136]
    "NBKeyScan"="C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-12-03 14:21 2213160]
    "SSBkgdUpdate"="C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 10:22 155648]
    "PaperPort PTD"="C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 19:17 57393]
    "IndexSearch"="C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 19:30 40960]
    "SetDefPrt"="C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe" [2005-01-26 18:02 49152]
    "ControlCenter2.0"="C:\Program Files\Brother\ControlCenter2\brctrcen.exe" [2005-05-17 17:42 933888]
    "nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
    "SoundMan"="SOUNDMAN.EXE" [2004-11-15 18:20 77824 C:\WINDOWS\SOUNDMAN.EXE]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 17:09 15360]

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\Program Files\\Freeplayer\\vlc\\vlc.exe"=

    R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]
    R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3dca4d42-1071-11dd-9b35-806d6172696f}]
    \Shell\AutoRun\command - D:\SETUP.EXE /AUTORUN
    \Shell\configure\command - D:\SETUP.EXE
    \Shell\install\command - D:\SETUP.EXE

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9195d1c6-1073-11dd-bda8-0011d89573df}]
    \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe WillPolo.vbs
    .
    Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
    "2008-05-05 17:48:45 C:\WINDOWS\Tasks\ErrorSmart Scheduled Scan.job"
    - C:\Program Files\ErrorSmart\ErrorSmart.ex
    - C:\Program Files\ErrorSmart.Nico 2+Runs ErrorSmart to optimize your registry.
    .
    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-07-21 00:16:31
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cachés ...

    Balayage caché autostart entries ...

    Balayage des fichiers cachés ...

    Scan terminé avec succès
    Les fichiers cachés: 0

    **************************************************************************
    .
    Temps d'accomplissement: 2008-07-21 0:17:21
    ComboFix-quarantined-files.txt 2008-07-20 22:17:14
    ComboFix2.txt 2008-07-17 21:12:58

    Pre-Run: 66,752,495,616 octets libres
    Post-Run: 66,747,781,120 octets libres

    160 --- E O F --- 2008-07-05 15:30:10
    0
  21. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    Bien ...

    A ) Impératif : Redémarrer l'ordinateur en mode sans échec .
    Comment aller en Mode sans échec
    1) Redémarre ton ordi
    2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
    3) Tu verras un écran avec options de démarrage apparaître
    4) Choisis la première option : Sans Échec, et valide avec "Entrée"
    5) Choisis ton compte habituel, et non Administrateur (si besoin ... )
    ( ps : n'oublies pas , en mode sans échec , pas de connexion ! Donc copies ou imprimes bien les info ci-dessous ...)

    clic double sur OTMoveIt.exe pour le lancer.
    Copies ce qui trouve en citation ci-dessous :

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion­\explorer\mountpoints2\{9195d1c6-1073-11dd-bda8-0011d89573df­}]

    C:\WINDOWS\Tasks\ErrorSmart Scheduled Scan.job
    C:\Program Files\ErrorSmart
    C:\Program Files\ErrorSmart.Nico 2+Runs ErrorSmart to optimize your registry


    et colles-la dans le cadre de gauche de OTMoveIt2 :
    Paste standard List of Files/Folders to be moved.

    cliques sur MoveIt! pour lancer la suppression.
    le résultat apparaîtra dans le cadre Results.

    cliques sur Exit pour fermer.

    il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
    si c'est le cas acceptes par "Yes". Sinon , redémarres manuellement pour retourner
    en mode normal ...

    --->postes le rapport situé dans " C:\OTMoveIt\MovedFiles."

    B ) Rends toi sur ce site :

    https://www.virustotal.com/gui/

    Copies ce qui suit et colles le dans l'espace pour la recherche :
    D:\SETUP.EXE

    Cliques sur Send File.

    Un rapport va s'élaborer ligne à ligne.

    Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

    Sauvegarde le rapport avec le bloc-note.

    Copies le dans ta prochaine réponse ...

    ( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

    Fais de même pour :
    D:\SETUP.EXE /AUTORUN
    C:\WINDOWS\TEMP\Perflib_Perfdata_650­.dat


    ---> postes moi donc ces 3 rapports ( en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...
    0
  • 1
  • 2
  • 3