Virus fun.xls.exe [Résolu]

Réponse 21 / 56

nico262 Messages postés 40 Date d'inscription Statut Membre Dernière intervention

voilà,

ComboFix 08-09-12.09 - nicolas 2008-09-15 19:49:27.3 - [color=red][b]FAT32[/b][/color]x86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.627 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\nicolas\Bureau\ComboFix.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

((((((((((((((((((((((((((((( Fichiers créés du 2008-08-15 au 2008-09-15 ))))))))))))))))))))))))))))))))))))
.

2008-09-15 01:09 . 2008-09-15 01:09 <REP> d-------- C:\Documents and Settings\nicolas\Application Data\DivX
2008-09-15 01:08 . 2008-09-15 01:08 <REP> d-------- C:\Program Files\DivX
2008-09-15 01:08 . 2008-07-23 18:50 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2008-09-15 01:08 . 2008-07-23 18:50 120,056 --------- C:\WINDOWS\system32\pxcpyi64.exe
2008-09-15 01:08 . 2008-07-23 18:50 118,520 --------- C:\WINDOWS\system32\pxinsi64.exe
2008-09-13 17:48 . 2008-09-13 17:48 <REP> d-------- C:\_OTMoveIt
2008-09-13 14:25 . 2008-09-13 14:25 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2008-09-13 14:25 . 2008-09-13 14:25 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-09-13 14:22 . 2008-09-13 14:22 <REP> d-------- C:\Program Files\SpywareBlaster
2008-09-12 16:21 . 2008-09-12 16:21 <REP> d-------- C:\Lop SD
2008-09-12 14:14 . 2008-09-12 14:14 <REP> d-------- C:\Program Files\iTunes
2008-09-12 14:14 . 2008-09-12 14:14 <REP> d-------- C:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-09-12 14:13 . 2008-09-12 14:13 <REP> d-------- C:\Program Files\Bonjour
2008-09-12 14:12 . 2008-09-12 14:12 <REP> d-------- C:\Program Files\QuickTime
2008-09-06 15:09 . 2008-09-06 15:09 90,112 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx
2008-09-06 15:09 . 2008-09-06 15:09 57,344 --a------ C:\WINDOWS\system32\QuickTime.qts
2008-09-06 00:59 . 2008-09-06 00:59 <REP> d--hs---- C:\FOUND.005
2008-08-29 10:18 . 2008-08-29 10:18 87,336 --a------ C:\WINDOWS\system32\dns-sd.exe
2008-08-29 09:53 . 2008-08-29 09:53 61,440 --a------ C:\WINDOWS\system32\dnssd.dll
2008-08-27 16:23 . 2008-08-27 16:23 <REP> d-------- C:\Program Files\DAEMON Tools Lite
2008-08-27 16:15 . 2008-08-27 16:15 <REP> d-------- C:\Documents and Settings\nicolas\Application Data\DAEMON Tools

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-27 14:15 717,296 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2008-07-26 16:58 --------- d-----w C:\Program Files\GPLGS
2008-07-26 16:53 --------- d-----w C:\Program Files\Acro Software
2008-07-25 08:36 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-07-23 16:50 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-07-23 16:48 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-07-23 16:48 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-07-23 16:46 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2007-04-16 19:14 55,112 ----a-w C:\Documents and Settings\nicolas\Application Data\GDIPFONTCACHEV1.DAT
2006-01-16 15:25 0 ----a-w C:\Documents and Settings\nicolas\Application Data\wklnhst.dat
.

((((((((((((((((((((((((((((( snapshot_2008-09-15_15.30.12.18 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-09-15 13:18:38 15,266 ----a-w C:\WINDOWS\system32\wacom.dat
+ 2008-09-15 17:06:12 15,266 ----a-w C:\WINDOWS\system32\wacom.dat
+ 2008-09-15 17:35:38 16,384 ----a-w C:\WINDOWS\temp\Perflib_Perfdata_594.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="C:\Program Files\DAEMON Tools Lite\daemon.exe" [2008-07-24 490952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2005-02-07 155648]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2005-02-07 126976]
"SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [2004-10-07 98394]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2004-10-07 688218]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-05 59392]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-02-08 339968]
"EPM-DM"="c:\acer\epm\epm-dm.exe" [2005-03-28 188416]
"ePowerManagement"="C:\Acer\ePM\ePM.exe" [2005-03-24 2880512]
"LManager"="C:\Program Files\Launch Manager\QtZgAcer.EXE" [2005-03-28 319488]
"eRecoveryService"="C:\Windows\System32\Check.exe" [2005-03-23 245760]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 83608]
"IntelliPoint"="C:\Program Files\Microsoft IntelliPoint\point32.exe" [2005-03-24 217088]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" [2005-08-12 45056]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe" [2002-03-18 188416]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-09-06 413696]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-09-10 289576]
"ISTray"="C:\Program Files\Spyware Doctor\pctsTray.exe" [2008-02-01 1103240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"WIAWizardMenu"="C:\WINDOWS\system32\sti_ci.dll" [2004-08-05 138240]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 15360]

C:\Documents and Settings\nicolas\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2006-01-17 110592]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma Loader.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2006-01-17 110592]
Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.ACDV"= ACDV.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\VectorWorks 11\\VectorWorks.exe"=
"C:\\Program Files\\art-lantis 4.5\\Art-lantis.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\Google\\Google SketchUp 6\\SketchUp.exe"=
"C:\\Program Files\\Messenger\\MSMSGS.EXE"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\Google\\Google SketchUp 6\\LayOut\\LayOut.exe"=
"C:\\Program Files\\Media Player Classic\\mplayerc.exe"=
"C:\\Program Files\\Azureus\\Azureus.exe"=
"C:\\Program Files\\Microsoft Games\\Age of Empires III\\AGE3.EXE"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"13578:TCP"= 13578:TCP:NortonAV
"12064:TCP"= 12064:TCP:NortonAV
"16768:TCP"= 16768:TCP:NortonAV
"15348:TCP"= 15348:TCP:NortonAV
"17550:TCP"= 17550:TCP:NortonAV
"18364:TCP"= 18364:TCP:NortonAV
"18405:TCP"= 18405:TCP:NortonAV
"12950:TCP"= 12950:TCP:NortonAV
"15752:TCP"= 15752:TCP:NortonAV
"13325:TCP"= 13325:TCP:NortonAV
"13591:TCP"= 13591:TCP:NortonAV
"13474:TCP"= 13474:TCP:NortonAV
"15283:TCP"= 15283:TCP:NortonAV
"12362:TCP"= 12362:TCP:NortonAV
"12627:TCP"= 12627:TCP:NortonAV
"14173:TCP"= 14173:TCP:NortonAV
"13028:TCP"= 13028:TCP:NortonAV
"12899:TCP"= 12899:TCP:NortonAV
"17070:TCP"= 17070:TCP:NortonAV
"14794:TCP"= 14794:TCP:NortonAV
"14533:TCP"= 14533:TCP:NortonAV
"17921:TCP"= 17921:TCP:NortonAV
"12190:TCP"= 12190:TCP:NortonAV
"16224:TCP"= 16224:TCP:NortonAV
"12297:TCP"= 12297:TCP:NortonAV
"17062:TCP"= 17062:TCP:NortonAV
"15027:TCP"= 15027:TCP:NortonAV
"12981:TCP"= 12981:TCP:NortonAV
"12074:TCP"= 12074:TCP:NortonAV
"18685:TCP"= 18685:TCP:NortonAV
"13490:TCP"= 13490:TCP:NortonAV
"16025:TCP"= 16025:TCP:NortonAV
"12240:TCP"= 12240:TCP:NortonAV
"18493:TCP"= 18493:TCP:NortonAV
"16361:TCP"= 16361:TCP:NortonAV
"18518:TCP"= 18518:TCP:NortonAV
"14835:TCP"= 14835:TCP:NortonAV
"13746:TCP"= 13746:TCP:NortonAV
"18968:TCP"= 18968:TCP:NortonAV
"17602:TCP"= 17602:TCP:NortonAV
"13364:TCP"= 13364:TCP:NortonAV
"13398:TCP"= 13398:TCP:NortonAV
"13428:TCP"= 13428:TCP:NortonAV
"16663:TCP"= 16663:TCP:NortonAV
"18806:TCP"= 18806:TCP:NortonAV
"16393:TCP"= 16393:TCP:NortonAV
"18330:TCP"= 18330:TCP:NortonAV
"13736:TCP"= 13736:TCP:NortonAV
"15193:TCP"= 15193:TCP:NortonAV
"15056:TCP"= 15056:TCP:NortonAV
"13074:TCP"= 13074:TCP:NortonAV
"13839:TCP"= 13839:TCP:NortonAV
"16644:TCP"= 16644:TCP:NortonAV
"14475:TCP"= 14475:TCP:NortonAV
"15722:TCP"= 15722:TCP:NortonAV
"18360:TCP"= 18360:TCP:NortonAV
"14828:TCP"= 14828:TCP:NortonAV
"16461:TCP"= 16461:TCP:NortonAV
"18502:TCP"= 18502:TCP:NortonAV
"14730:TCP"= 14730:TCP:NortonAV
"17410:TCP"= 17410:TCP:NortonAV
"16153:TCP"= 16153:TCP:NortonAV
"14414:TCP"= 14414:TCP:NortonAV
"15680:TCP"= 15680:TCP:NortonAV
"17448:TCP"= 17448:TCP:NortonAV
"12326:TCP"= 12326:TCP:NortonAV
"18175:TCP"= 18175:TCP:NortonAV
"17514:TCP"= 17514:TCP:NortonAV
"13719:TCP"= 13719:TCP:NortonAV
"14938:TCP"= 14938:TCP:NortonAV
"17451:TCP"= 17451:TCP:NortonAV
"13966:TCP"= 13966:TCP:NortonAV
"12706:TCP"= 12706:TCP:NortonAV
"12476:TCP"= 12476:TCP:NortonAV
"17756:TCP"= 17756:TCP:NortonAV
"12280:TCP"= 12280:TCP:NortonAV
"16670:TCP"= 16670:TCP:NortonAV
"13982:TCP"= 13982:TCP:NortonAV
"16665:TCP"= 16665:TCP:NortonAV
"14824:TCP"= 14824:TCP:NortonAV
"15531:TCP"= 15531:TCP:NortonAV
"16580:TCP"= 16580:TCP:NortonAV
"13267:TCP"= 13267:TCP:NortonAV
"16072:TCP"= 16072:TCP:NortonAV
"18938:TCP"= 18938:TCP:NortonAV
"13549:TCP"= 13549:TCP:NortonAV
"17052:TCP"= 17052:TCP:NortonAV
"14801:TCP"= 14801:TCP:NortonAV
"12772:TCP"= 12772:TCP:NortonAV
"18327:TCP"= 18327:TCP:NortonAV
"16735:TCP"= 16735:TCP:NortonAV
"17229:TCP"= 17229:TCP:NortonAV
"13214:TCP"= 13214:TCP:NortonAV
"15001:TCP"= 15001:TCP:NortonAV
"12708:TCP"= 12708:TCP:NortonAV
"14222:TCP"= 14222:TCP:NortonAV
"16104:TCP"= 16104:TCP:NortonAV
"18677:TCP"= 18677:TCP:NortonAV
"16820:TCP"= 16820:TCP:NortonAV
"16107:TCP"= 16107:TCP:NortonAV
"15510:TCP"= 15510:TCP:NortonAV
"16003:TCP"= 16003:TCP:NortonAV
"14113:TCP"= 14113:TCP:NortonAV
"18920:TCP"= 18920:TCP:NortonAV
"14153:TCP"= 14153:TCP:NortonAV
"14874:TCP"= 14874:TCP:NortonAV
"18717:TCP"= 18717:TCP:NortonAV
"18885:TCP"= 18885:TCP:NortonAV
"18119:TCP"= 18119:TCP:NortonAV
"14993:TCP"= 14993:TCP:NortonAV
"18902:TCP"= 18902:TCP:NortonAV
"15772:TCP"= 15772:TCP:NortonAV
"13827:TCP"= 13827:TCP:NortonAV
"18655:TCP"= 18655:TCP:NortonAV
"16872:TCP"= 16872:TCP:NortonAV
"15344:TCP"= 15344:TCP:NortonAV
"14375:TCP"= 14375:TCP:NortonAV
"14445:TCP"= 14445:TCP:NortonAV
"14219:TCP"= 14219:TCP:NortonAV
"13393:TCP"= 13393:TCP:NortonAV
"14481:TCP"= 14481:TCP:NortonAV
"18939:TCP"= 18939:TCP:NortonAV
"15018:TCP"= 15018:TCP:NortonAV
"14263:TCP"= 14263:TCP:NortonAV
"18597:TCP"= 18597:TCP:NortonAV
"14176:TCP"= 14176:TCP:NortonAV
"16378:TCP"= 16378:TCP:NortonAV
"14311:TCP"= 14311:TCP:NortonAV
"18192:TCP"= 18192:TCP:BitComet 18192 TCP
"18192:UDP"= 18192:UDP:BitComet 18192 UDP

R2 EpmPsd;Acer EPM Power Scheme Driver;C:\WINDOWS\system32\drivers\epm-psd.sys [2004-07-19 4096]
R2 EpmShd;Acer EPM System Hardware Driver;C:\WINDOWS\system32\drivers\epm-shd.sys [2005-03-24 78208]
R2 MicroGuard;MicroGuard Copy Protection;C:\WINDOWS\system32\drivers\mgnt.sys [1997-10-09 40288]
R2 osaio;osaio;C:\WINDOWS\system32\drivers\osaio.sys [2005-03-04 8704]
R2 osanbm;osanbm;C:\WINDOWS\system32\drivers\osanbm.sys [2005-01-14 4010]
R3 int15.sys;int15.sys;C:\Program Files\acer\eRecovery\int15.sys [2005-01-13 69632]
S3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;C:\WINDOWS\system32\DRIVERS\WlanBZXP.sys [2005-12-22 402432]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{052a73d0-f4d2-11dc-95f7-0013ce1f8a82}]
\Shell\AutoRun\command - semo2x.exe
\Shell\explore\Command - semo2x.exe
\Shell\open\Command - semo2x.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0abffdef-e620-11dc-95e2-0013ce1f8a82}]
\Shell\Auto\command - H:\fun.xls.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL fun.xls.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{125cc45f-21b9-11dd-963c-0013ce1f8a82}]
\Shell\Auto\command - F:\fun.xls.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL fun.xls.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2621a26e-d71f-11dc-95d7-0013ce1f8a82}]
\Shell\Auto\command - fun.xls.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL fun.xls.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{28c5a676-1691-11dd-9629-00c09fdd146c}]
\Shell\AutoRun\command - ino6.com
\Shell\explore\Command - ino6.com
\Shell\open\Command - ino6.com

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{35c62c16-be0d-11db-bc59-0013ce1f8a82}]
\Shell\Auto\command - F:\fun.xls.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL fun.xls.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4c346424-ea8d-11dc-95e8-0013ce1f8a82}]
\Shell\Auto\command - F:\fun.xls.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL fun.xls.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4c346426-ea8d-11dc-95e8-0013ce1f8a82}]
\Shell\Auto\command - F:\fun.xls.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL fun.xls.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5a26d972-cf80-11dc-95d3-0013ce1f8a82}]
\Shell\Auto\command - F:\fun.xls.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL fun.xls.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6afecf2e-da26-11dc-95d9-0013ce1f8a82}]
\Shell\Auto\command - F:\fun.xls.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL fun.xls.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7ddb50ba-9ca4-11db-85e5-00c09fdd146c}]
\Shell\Auto\command - F:\fun.xls.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL fun.xls.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{83f9665d-d7b0-11db-b86a-0013ce1f8a82}]
\Shell\Auto\command - F:\fun.xls.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL fun.xls.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9c57af10-b14a-11db-8605-0013ce1f8a82}]
\Shell\Auto\command - H:\fun.xls.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL fun.xls.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9deb0090-1b5f-11dd-9632-0013ce1f8a82}]
\Shell\Auto\command - F:\fun.xls.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL fun.xls.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b9beae96-cd14-11dc-95ce-0013ce1f8a82}]
\Shell\Auto\command - H:\fun.xls.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL fun.xls.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b9beae97-cd14-11dc-95ce-0013ce1f8a82}]
\Shell\Auto\command - H:\fun.xls.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL fun.xls.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c94b1968-c8c2-11dc-95cd-0013ce1f8a82}]
\Shell\Auto\command - F:\fun.xls.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL fun.xls.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c94b1969-c8c2-11dc-95cd-0013ce1f8a82}]
\Shell\Auto\command - fun.xls.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d7b9072a-8de2-11dc-957e-0013ce1f8a82}]
\Shell\Auto\command - H:\fun.xls.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL fun.xls.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dc389c00-3e31-11dd-9662-0013ce1f8a82}]
\Shell\Auto\command - H:\fun.xls.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL fun.xls.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ed106ee8-86ac-11da-83b8-0013ce1f8a82}]
\Shell\Auto\command - H:\fun.xls.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL fun.xls.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f3a7b49e-5f66-11db-857a-0013ce1f8a82}]
\Shell\Auto\command - F:\fun.xls.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL fun.xls.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fc2ad8f7-94f6-11db-85e3-0060b3f59b98}]
\Shell\Auto\command - G:\fun.xls.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL fun.xls.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ff54f6d0-f9d9-11dc-95fc-0013ce1f8a82}]
\Shell\AutoRun\command - H:\ino6.com
\Shell\explore\Command - H:\ino6.com
\Shell\open\Command - H:\ino6.com
.
Contenu du dossier 'Tâches planifiées'
.
.
------- Examen supplémentaire -------
.
FireFox -: Profile - C:\Documents and Settings\nicolas\Application Data\Mozilla\Firefox\Profiles\o7zk4r8f.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF -: plugin - C:\Program Files\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Program Files\Google\Google Updater\2.2.940.34809\npCIDetect11.dll
FF -: plugin - C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - C:\Program Files\Mozilla Firefox\plugins\npqtplugin8.dll
FF -: plugin - C:\Program Files\QuickTime\Plugins\npqtplugin8.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-15 19:51:43
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2008-09-15 19:52:14
ComboFix-quarantined-files.txt 2008-09-15 17:52:14
ComboFix3.txt 2008-09-13 16:03:06
ComboFix2.txt 2008-09-15 13:30:32

Avant-CF: 10,091,233,280 octets libres
Après-CF: 10,086,776,832 octets libres

350

Réponse 22 / 56

afideg Messages postés 10517 Date d'inscription Statut Contributeur sécurité Dernière intervention 602

Merci
Effectivement.

1°- Télécharger _OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
(Mais je pense que tu l'as encore sur le bureau)

2°- Double-cliquer sur OTMoveIt.exe pour le lancer.
3°- Dans le cadre de OTMoveIt2 : "Paste List of Files/Folders to be moved"
http://nsa01.casimages.com/img/2008/04/04/0804041233502840681.jpg
... faire un copier/coller d'une seule traite, de cette liste en gras, telle quelle:

C:\FOUND.005
C:\v.cmd
C:\t.com
C:\3o.exe
F:\fun.xls.exe
F:\semo2x.exe
G:\fun.xls.exe
G:\semo2x.exe
H:\ino6.com
H:\fun.xls.exe
H:\semo2x.exe
H:\System Volume Information\_restore{188E40F0-ED0E-4229-A9C6-C6CA03F40F1B}\RP465
C:\Documents and Settings\nicolas\Application Data\Sun\Java\Deployment\cache\6.0\39\17db47e7-3e95bb0c
C:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
C:\Program Files\Bonjour
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{052a73d0-f4d2-11dc-95f7-0013ce1f8a82}
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0abffdef-e620-11dc-95e2-0013ce1f8a82}
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{125cc45f-21b9-11dd-963c-0013ce1f8a82}
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2621a26e-d71f-11dc-95d7-0013ce1f8a82}
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{28c5a676-1691-11dd-9629-00c09fdd146c}
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{35c62c16-be0d-11db-bc59-0013ce1f8a82}
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4c346424-ea8d-11dc-95e8-0013ce1f8a82}
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4c346426-ea8d-11dc-95e8-0013ce1f8a82}
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5a26d972-cf80-11dc-95d3-0013ce1f8a82}
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6afecf2e-da26-11dc-95d9-0013ce1f8a82}
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7ddb50ba-9ca4-11db-85e5-00c09fdd146c}
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{83f9665d-d7b0-11db-b86a-0013ce1f8a82}
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9c57af10-b14a-11db-8605-0013ce1f8a82}
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9deb0090-1b5f-11dd-9632-0013ce1f8a82}
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b9beae96-cd14-11dc-95ce-0013ce1f8a82}
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b9beae97-cd14-11dc-95ce-0013ce1f8a82}
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c94b1968-c8c2-11dc-95cd-0013ce1f8a82}
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c94b1969-c8c2-11dc-95cd-0013ce1f8a82}
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d7b9072a-8de2-11dc-957e-0013ce1f8a82}
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dc389c00-3e31-11dd-9662-0013ce1f8a82}
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ed106ee8-86ac-11da-83b8-0013ce1f8a82}
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f3a7b49e-5f66-11db-857a-0013ce1f8a82}
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fc2ad8f7-94f6-11db-85e3-0060b3f59b98}
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ff54f6d0-f9d9-11dc-95fc-0013ce1f8a82}

4°- Clique sur le bouton rouge MoveIt! pour lancer la suppression.
-Le résultat apparaîtra dans le cadre "Results".

Note : Copier tout ce qui se trouve dans la zone “Results” (sous la barre verte) dans le Presse-papiers en sélectionnant TOUTES LES LIGNES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic-droit puis en choisissant Copier), et coller ces résultats en réponse sur le forum (clic-droit > coller).
* Clique sur "Exit" pour fermer Fermer OTMoveIt2

5°- Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire afin de terminer le processus de déplacement.
Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

6°- Le rapport se trouve en C:\_OTMoveIt\MovedFiles; tu ouvres le dossier et tu trouveras le rapport à poster. (fichier de ce type ********_******.log (mm/jj/aaaa_hh/mm/ss = date et horaire de la suppression)

Merci
Al.

Réponse 23 / 56

nico262 Messages postés 40 Date d'inscription Statut Membre Dernière intervention

C:\FOUND.005 moved successfully.
C:\v.cmd moved successfully.
C:\t.com moved successfully.
File/Folder C:\3o.exe not found.
File/Folder F:\fun.xls.exe not found.
File/Folder F:\semo2x.exe not found.
File/Folder G:\fun.xls.exe not found.
File/Folder G:\semo2x.exe not found.
File/Folder H:\ino6.com not found.
File/Folder H:\fun.xls.exe not found.
File/Folder H:\semo2x.exe not found.
File/Folder H:\System Volume Information\_restore{188E40F0-ED0E-4229-A9C6-C6CA03F40F1B}\RP465 not found.
C:\Documents and Settings\nicolas\Application Data\Sun\Java\Deployment\cache\6.0\39\17db47e7-3e95bb0c moved successfully.
C:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}\x86\x86 moved successfully.
C:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}\x86 moved successfully.
C:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6} moved successfully.
C:\Program Files\Bonjour moved successfully.
< HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{052a73d0-f4d2-11dc-95f7-0013ce1f8a82} >
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{052a73d0-f4d2-11dc-95f7-0013ce1f8a82}\\ deleted successfully.
< HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0abffdef-e620-11dc-95e2-0013ce1f8a82} >
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0abffdef-e620-11dc-95e2-0013ce1f8a82}\\ deleted successfully.
< HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{125cc45f-21b9-11dd-963c-0013ce1f8a82} >
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{125cc45f-21b9-11dd-963c-0013ce1f8a82}\\ deleted successfully.
< HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2621a26e-d71f-11dc-95d7-0013ce1f8a82} >
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2621a26e-d71f-11dc-95d7-0013ce1f8a82}\\ deleted successfully.
< HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{28c5a676-1691-11dd-9629-00c09fdd146c} >
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{28c5a676-1691-11dd-9629-00c09fdd146c}\\ deleted successfully.
< HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{35c62c16-be0d-11db-bc59-0013ce1f8a82} >
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{35c62c16-be0d-11db-bc59-0013ce1f8a82}\\ deleted successfully.
< HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4c346424-ea8d-11dc-95e8-0013ce1f8a82} >
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4c346424-ea8d-11dc-95e8-0013ce1f8a82}\\ deleted successfully.
< HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4c346426-ea8d-11dc-95e8-0013ce1f8a82} >
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4c346426-ea8d-11dc-95e8-0013ce1f8a82}\\ deleted successfully.
< HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5a26d972-cf80-11dc-95d3-0013ce1f8a82} >
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5a26d972-cf80-11dc-95d3-0013ce1f8a82}\\ deleted successfully.
< HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6afecf2e-da26-11dc-95d9-0013ce1f8a82} >
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6afecf2e-da26-11dc-95d9-0013ce1f8a82}\\ deleted successfully.
< HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7ddb50ba-9ca4-11db-85e5-00c09fdd146c} >
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7ddb50ba-9ca4-11db-85e5-00c09fdd146c}\\ deleted successfully.
< HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{83f9665d-d7b0-11db-b86a-0013ce1f8a82} >
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{83f9665d-d7b0-11db-b86a-0013ce1f8a82}\\ deleted successfully.
< HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9c57af10-b14a-11db-8605-0013ce1f8a82} >
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9c57af10-b14a-11db-8605-0013ce1f8a82}\\ deleted successfully.
< HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9deb0090-1b5f-11dd-9632-0013ce1f8a82} >
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9deb0090-1b5f-11dd-9632-0013ce1f8a82}\\ deleted successfully.
< HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b9beae96-cd14-11dc-95ce-0013ce1f8a82} >
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b9beae96-cd14-11dc-95ce-0013ce1f8a82}\\ deleted successfully.
< HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b9beae97-cd14-11dc-95ce-0013ce1f8a82} >
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b9beae97-cd14-11dc-95ce-0013ce1f8a82}\\ deleted successfully.
< HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c94b1968-c8c2-11dc-95cd-0013ce1f8a82} >
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c94b1968-c8c2-11dc-95cd-0013ce1f8a82}\\ deleted successfully.
< HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c94b1969-c8c2-11dc-95cd-0013ce1f8a82} >
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c94b1969-c8c2-11dc-95cd-0013ce1f8a82}\\ deleted successfully.
< HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d7b9072a-8de2-11dc-957e-0013ce1f8a82} >
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d7b9072a-8de2-11dc-957e-0013ce1f8a82}\\ deleted successfully.
< HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dc389c00-3e31-11dd-9662-0013ce1f8a82} >
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dc389c00-3e31-11dd-9662-0013ce1f8a82}\\ deleted successfully.
< HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ed106ee8-86ac-11da-83b8-0013ce1f8a82} >
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ed106ee8-86ac-11da-83b8-0013ce1f8a82}\\ deleted successfully.
< HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f3a7b49e-5f66-11db-857a-0013ce1f8a82} >
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f3a7b49e-5f66-11db-857a-0013ce1f8a82}\\ deleted successfully.
< HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fc2ad8f7-94f6-11db-85e3-0060b3f59b98} >
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fc2ad8f7-94f6-11db-85e3-0060b3f59b98}\\ deleted successfully.
< HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ff54f6d0-f9d9-11dc-95fc-0013ce1f8a82} >
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ff54f6d0-f9d9-11dc-95fc-0013ce1f8a82} \\ not found.

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 09152008_205226

Réponse 24 / 56

afideg Messages postés 10517 Date d'inscription Statut Contributeur sécurité Dernière intervention 602

OK
Merci

Relance RAV antivirus comme au post # 6 § 2° --> supprime ce qu'il trouve + rapport SVP.
Brancher les disques amovibles (clef USB,stick mémoire,disque externe)
NOTE : NE PAS FAIRE DE DOUBLE-CLIC SUR CES CLÉS .

Poste le rapport de HijackThis comme au post # 4.

Relance ensuite une analyse complète ComboFix.

Termine par Kaspersky Online Scanner comme au post # 6 § 3°

Quels sont tes antivirus/pare-feu/antispywares sur ton PC ?

Que fais-tu avec ça C:\Program Files\Acro Software ?
Dès lors que tu as C:\Program Files\Adobe\Acrobat 7.0\Reader ==> bien qu'il ne soit pas à jour
==> Il faut faire la mise à jour version 9 https://get2.adobe.com/reader/otherversions/
L'installation d' une nouvelle version désinstallera l' ancienne si besoin est.
- Décocher "Téléchargez également :Adobe Photoshop® Album Édition"
- Dans Ajout/Suppression des programmes tu supprimes toutes les autres versions.
NOTE: Tu peux aussi le remplacer par Foxit:
https://www.foxitsoftware.com/pdf-reader/
Plus rapide et plus léger.

Merci
Al.

Réponse 25 / 56

nico262 Messages postés 40 Date d'inscription Statut Membre Dernière intervention

salut,

alors RAV dit que l'ordi est sain

Voici le rapport de Hijack,

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:42:30, on 15/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\acer\epm\epm-dm.exe
C:\Program Files\Launch Manager\QtZgAcer.EXE
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Acer\eManager\anbmServ.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\acer\eRecovery\Monitor.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Documents and Settings\nicolas\Bureau\scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?50ea9411959343cca5de9436665f3a93
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?50ea9411959343cca5de9436665f3a93
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'c:\program files\bonjour\mdnsnsp.dll' missing
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Unknown owner - C:\Program Files\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe

Réponse 26 / 56

afideg Messages postés 10517 Date d'inscription Statut Contributeur sécurité Dernière intervention 602

Re,
Bonsoir
Parfait
Termine ce qui avait été demandé, et confirme-le.

Ensuite
1°- Branche ta clé USB correspondant à H:\
2°- Double-cliquer sur OTMoveIt.exe pour le lancer.
3°- Dans le cadre de OTMoveIt2 : "Paste List of Files/Folders to be moved"
http://nsa01.casimages.com/img/2008/04/04/0804041233502840681.jpg
... faire un copier/coller d'une seule traite, de cette liste en gras, telle quelle:

H:\ino6.com
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ff54f6d0-f9d9-11dc-95fc-0013ce1f8a82}\Shell

4°- Clique sur le bouton rouge MoveIt! pour lancer la suppression.
-Le résultat apparaîtra dans le cadre "Results".

Note : Copier tout ce qui se trouve dans la zone “Results” (sous la barre verte) dans le Presse-papiers en sélectionnant TOUTES LES LIGNES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic-droit puis en choisissant Copier), et coller ces résultats en réponse sur le forum (clic-droit > coller).
* Clique sur "Exit" pour fermer Fermer OTMoveIt2

Merci
Al.

Réponse 27 / 56

nico262 Messages postés 40 Date d'inscription Statut Membre Dernière intervention

Re,

- AcroSofware c'est CutePDF, une imprimante virtuelle dont je me sert pour exporter (en PDF) depuis VectorWorks ou AutoCad ( je suis étudiant en archi )

- J'ai fait la mise à jour d'Acrobat et j'essayerai Foxit

- comme antivirus j'ai depuis très peu de temps AVG (je m'en suis jamais servi)
comme antispyware j'ai spybot, spywaredoctor, spywareblaster

voila le rapport MoveIt

File/Folder H:\ino6.com not found.
< HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ff54f6d0-f9d9-11dc-95fc-0013ce1f8a82}\Shell >
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ff54f6d0-f9d9-11dc-95fc-0013ce1f8a82}\Shell \\ not found.

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 09162008_190710

Réponse 28 / 56

afideg Messages postés 10517 Date d'inscription Statut Contributeur sécurité Dernière intervention 602

Re,

Ça ne va pas.

A)- Télécharger OAD (Outil d'Aide au Diagnostic)< http://sosvirus.changelog.fr/OAD.exe > enregistre-le sur ton bureau
Branche tes clés USB sans les ouvrir.
•- Lancer « OAD.exe » en faisant un double-clic sur le fichier < http://sosvirus.changelog.fr/OAD/1.bmp > , puis « Exécuter »
--> une page bleue s’affiche.
•- Saisir la valeur recherchée ( = nom de fichier à rechercher )==> faire un copier/coller de) : valeur à rechercher avec l’extension du fichier , soit ino6.com puis [Enter]
--> une nouvelle page bleue s’affiche.
- Type de recherche : taper 6 (sélectionner l'option 6) puis valide [entrée]< http://sosvirus.changelog.fr/OAD/4.bmp >
•- OAD va maintenant rechercher le fichier.
Laisse-le travailler jusqu'à ce qu'il en ait terminé.
Suivant la taille des disques durs, cette recherche peut prendre plusieurs minutes.
Patienter.
•- Le rapport de recherche s'affichera automatiquement dès qu'il en aura terminé.
•- Faire un copier/coller de ce rapport dans ton prochain post.
•-Note: Certains Antivirus (comme Panda) peuvent émettre une alerte lors de "téléchargement / utilisation".
Manuel d’aide ici https://forum.pcastuces.com/default.asp

B)- Télécharge RegSearch.exe (Registry Search de Bobbi Flekman)
-> https://www.bleepingcomputer.com/download/linux/
- dézippe dans un répertoire dédié tel que C:\Program Files
- double clique sur RegSearch.exe
- copie/colle ino6.com dans la première ligne de la zone de recherche
- clique sur OK
- après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées
- le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch
- copie-colle le contenu de la fenêtre et poste-le
- ferme le bloc-notes
- ferme RegSearch par [Cancel]

Merci
Al.

Réponse 29 / 56

nico262 Messages postés 40 Date d'inscription Statut Membre Dernière intervention

voilà déjà le rapport de OAD

16/09/2008 ---- 21:12:22,25

----------------------------------
§§§§§§ [ino6.com] §§§§§§
----------------------------------
[X] Registre

-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete

********************
[Registre]
********************

[HKEY_USERS\S-1-5-21-4093154328-2005880896-1772429506-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ff54f6d0-f9d9-11dc-95fc-0013ce1f8a82}\Shell\AutoRun\command]
@="H:\\ino6.com"

[HKEY_USERS\S-1-5-21-4093154328-2005880896-1772429506-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ff54f6d0-f9d9-11dc-95fc-0013ce1f8a82}\Shell\explore\Command]
@="H:\\ino6.com"

[HKEY_USERS\S-1-5-21-4093154328-2005880896-1772429506-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ff54f6d0-f9d9-11dc-95fc-0013ce1f8a82}\Shell\open\Command]
@="H:\\ino6.com"

*******************
[Fichier]
*******************

c:\_OTMoveIt\MovedFiles\09132008_174822\ino6.com

*********************
[Même date]
*********************

Aucun fichier créé à la même date détecté

Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------

Réponse 30 / 56

nico262 Messages postés 40 Date d'inscription Statut Membre Dernière intervention

Et voilà pour regsearch

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 16/09/2008 21:15:22 for strings:
; 'ino6.com'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ff54f6d0-f9d9-11dc-95fc-0013ce1f8a82}\Shell\AutoRun\command]
@="H:\\ino6.com"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ff54f6d0-f9d9-11dc-95fc-0013ce1f8a82}\Shell\explore\Command]
@="H:\\ino6.com"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ff54f6d0-f9d9-11dc-95fc-0013ce1f8a82}\Shell\open\Command]
@="H:\\ino6.com"

; End Of The Log...

Réponse 31 / 56

afideg Messages postés 10517 Date d'inscription Statut Contributeur sécurité Dernière intervention 602

Bug sur CCM
Je ne retrouve plus les derniers messages.

Relance ceci:

2°- Double-cliquer sur OTMoveIt.exe pour le lancer.
3°- Dans le cadre de OTMoveIt2 : "Paste List of Files/Folders to be moved"
http://nsa01.casimages.com/img/2008/04/04/0804041233502840681.jpg
... faire un copier/coller d'une seule traite, de cette liste en gras, telle quelle:

c:\_OTMoveIt\MovedFiles
[HKEY_USERS\S-1-5-21-4093154328-2005880896-1772429506-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ff54f6d0-f9d9-11dc-95fc-0013ce1f8a82}
H:\ino6.com
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ff54f6d0-f9d9-11dc-95fc-0013ce1f8a82}

4°- Clique sur le bouton rouge MoveIt! pour lancer la suppression.
-Le résultat apparaîtra dans le cadre "Results".

Note : Copier tout ce qui se trouve dans la zone “Results” (sous la barre verte) dans le Presse-papiers en sélectionnant TOUTES LES LIGNES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic-droit puis en choisissant Copier), et coller ces résultats en réponse sur le forum (clic-droit > coller).
* Clique sur "Exit" pour fermer Fermer OTMoveIt2

Merci

Réponse 32 / 56

nico262 Messages postés 40 Date d'inscription Statut Membre Dernière intervention

Re,

j'ai des bugs aussi sur CCM, je ne vois pas les messages après le #25, mais c'est pas tout le temps
Bref
Voilà pour OTMoveIt :

c:\_OTMoveIt\MovedFiles\09152008_205226\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}\x86 moved successfully.
c:\_OTMoveIt\MovedFiles\09152008_205226\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6} moved successfully.
c:\_OTMoveIt\MovedFiles\09152008_205226\Documents and Settings\All Users\Application Data moved successfully.
c:\_OTMoveIt\MovedFiles\09152008_205226\Documents and Settings\All Users moved successfully.
c:\_OTMoveIt\MovedFiles\09152008_205226\Documents and Settings\nicolas\Application Data\Sun\Java\Deployment\cache\6.0\39 moved successfully.
c:\_OTMoveIt\MovedFiles\09152008_205226\Documents and Settings\nicolas\Application Data\Sun\Java\Deployment\cache\6.0 moved successfully.
c:\_OTMoveIt\MovedFiles\09152008_205226\Documents and Settings\nicolas\Application Data\Sun\Java\Deployment\cache moved successfully.
c:\_OTMoveIt\MovedFiles\09152008_205226\Documents and Settings\nicolas\Application Data\Sun\Java\Deployment moved successfully.
c:\_OTMoveIt\MovedFiles\09152008_205226\Documents and Settings\nicolas\Application Data\Sun\Java moved successfully.
c:\_OTMoveIt\MovedFiles\09152008_205226\Documents and Settings\nicolas\Application Data\Sun moved successfully.
c:\_OTMoveIt\MovedFiles\09152008_205226\Documents and Settings\nicolas\Application Data moved successfully.
c:\_OTMoveIt\MovedFiles\09152008_205226\Documents and Settings\nicolas moved successfully.
c:\_OTMoveIt\MovedFiles\09152008_205226\Documents and Settings moved successfully.
c:\_OTMoveIt\MovedFiles\09152008_205226\FOUND.005 moved successfully.
c:\_OTMoveIt\MovedFiles\09152008_205226 moved successfully.
c:\_OTMoveIt\MovedFiles\09132008_174822 moved successfully.
c:\_OTMoveIt\MovedFiles moved successfully.
< [HKEY_USERS\S-1-5-21-4093154328-2005880896-1772429506-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ff54f6d0-f9d9-11dc-95fc-0013ce1f8a82} >
File/Folder [HKEY_USERS\S-1-5-21-4093154328-2005880896-1772429506-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ff54f6d0-f9d9-11dc-95fc-0013ce1f8a82} not found.
File/Folder H:\ino6.com not found.
< HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ff54f6d0-f9d9-11dc-95fc-0013ce1f8a82} >
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ff54f6d0-f9d9-11dc-95fc-0013ce1f8a82} \\ not found.

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 09162008_222945

Réponse 33 / 56

afideg Messages postés 10517 Date d'inscription Statut Contributeur sécurité Dernière intervention 602

(suite)

As-tu déjà navigué dans la base de registres via "REGEDIT" ?

Clic sur "Démarrer" > "Exécuter" > taper REGEDIT > OK
Tu as la page de l'Editeur du Registre qui s'affiche.

Mais très important avant de se lancer, il faut que tu fasses une sauvegarde de cette base de registre.
- Comme ceci: • Cliquez sur Démarrer / Exécuter
• Dans le champ « Ouvrir » tapez : « regedit » et cliquez sur « OK ».
• Ne sélectionnez ( = mettre en surbrillance ) rien d'autre que le « Poste de travail » de la page qui s'affiche.
( Explication: Ici, dans la suite logique, le "Poste de travail" , est celui en tête de la liste des clés du registre ; puisqu’à cette étape, on est dans l’éditeur de registres )
• Dans le menu « Fichier » cliquez sur « Exporter.... »
• Dans le menu de gauche, choisissez de sauvegarder dans le BUREAU.
• Dans le champ "Nom de fichier" : tapez le nom de votre fichier de sauvegarde. (ex : registre1)
• Dans le champ déroulant "Type" , choisissez "Fichiers d’enregistrement (*.reg)".
< http://img252.imageshack.us/img252/8522/screenshot258es5.gif >
• Cochez la case (= le bouton ratio ) « Tout ».
• Cliquez sur [Enregistrer]. Puis Quitter le registre.
L'icône du fichier de sauvegarde du Registre est maintenant sur le bureau

Si tu n’as pas compris suis le tuto en image : < https://www.generation-nt.com/sauvegardez-restaurez-la-base-de-registre-astuce-24586-1.html >

Ensuite, il faut naviguer dans la colonne de gauche en cliquant sur les plus (+) devant les clés; comme ceci:

A)- HKEY_USERS --> +
Descends jusque S-1-5-21-4093154328-2005880896-1772429506-1005 --> +
Software --> +
Microsoft --> +
Windows --> +
CurrentVersion --> +
Explorer --> +
MountPoints2 ---> +
Trouve alors cette sous-clé {ff54f6d0-f9d9-11dc-95fc-0013ce1f8a82} ==> clic-droit > [Supprimer]

B)- Reviens au début dans la colonne de gauche et clique sur le moins (-) devant HKEY_USERS.
Puis, clique sur le plus (+) devant HKEY_CURRENT_USER

HKEY_CURRENT_USER --> +
Descends jusque software ---> +
microsoft --> +
windows ---> +
currentversion --> +
explorer --> +
mountpoints2 ---> +
Trouve alors cette sous-clé {ff54f6d0-f9d9-11dc-95fc-0013ce1f8a82} ==> clic-droit > [Supprimer]

Quitte la base de registres.

Relance ComboFix

Bonne nuit
Al

Réponse 34 / 56

nico262 Messages postés 40 Date d'inscription Statut Membre Dernière intervention

salut

HKEY-CURRENT-USER --> la sous-clé {ff54f6d0-f9d9-11dc-95fc-0013ce1f8a82} n'existe pas (en tout cas je la voie pas!)

celle qui se rapproche le plus est : {ff1c9524-aa3d-11dc-959f-0013ce1f8a82}

Je ne l'ai évidement pas supprimé.

Voilà.

Merci.

Réponse 35 / 56

afideg Messages postés 10517 Date d'inscription Statut Contributeur sécurité Dernière intervention 602

Re,
Merci

Pour cette clé [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ff54f6d0-f9d9-11dc-95fc-0013ce1f8a82}\Shell\explore\Command]
@="H:\\ino6.com"

Tu as donc naviguer dans la plage de gauche comme ceci:
HKEY_CURRENT_USER --> +
Descends jusque software ---> +
microsoft --> +
windows ---> +
currentversion --> +
explorer --> +
mountpoints2 ---> +
Poursuis la navigation comme ceci:
{ff1c9524-aa3d-11dc-959f-0013ce1f8a82} --> +
Shell ---> +
explore ---> +
Ouvrir la sous-clé Command et lire dans la plage de droite afin de vérifier la présence de @="H:\\ino6.com"
Si tu vois ces valeurs @="H:\\ino6.com" , alors seulement tu peux supprimer {ff1c9524-aa3d-11dc-959f-0013ce1f8a82}
Dans le cas contraire, rien n'indique qu'il faut la supprimer.

Relance ComboFix

Bonne chance
Je quitte le PC
à+..
Al.

Réponse 36 / 56

afideg Messages postés 10517 Date d'inscription Statut Contributeur sécurité Dernière intervention 602

Voilà.
Je suis enfin de retour.
Et que lis-je ?
Rien ! Nothing !
Al.

Réponse 37 / 56

nico262 Messages postés 40 Date d'inscription Statut Membre Dernière intervention

désolé!!

il n'y a pas "shell", il n'y a que deux sous-dossiers : "autorun" et "name"

il y a çà :

{ff1c9524-aa3d-11dc-959f-0013ce1f8a82} --> + autorun (colonne de droite : valeur non-définie) --> + defaultIcon (colonne de droite : données : autorun.exe)

{ff1c9524-aa3d-11dc-959f-0013ce1f8a82} --> + name ( colonne de droite : données : AOE III Disk 1 )

Il n'y a pas de signe de ino6.com

PS : A tout hasard j'ai essayé de le rechercher dans le registre et il ne trouve rien (corespondant à ino6 )

PS-2 : AOE III disk 1 est un jeu que je lis à l'aide d'un lecteur virtuel : daemon tools lite (4.30.1)

Voilà, à demain (enfin aujourd'hui)

Ciao!!

Réponse 38 / 56

afideg Messages postés 10517 Date d'inscription Statut Contributeur sécurité Dernière intervention 602

Bonjour
Merci

A)- Parfait
Donc, NE PAS SUPPRIMER {ff1c9524-aa3d-11dc-959f-0013ce1f8a82} ; parce que rien à voir avec avec l'infection fun.xls.exe

B)- Relance HJT « Do a system Scan only », sur la page/rapport qui s'affiche ( laisse lui le temps de tout scanner ) coche la case devant ces lignes:

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O10 - Broken Internet access because of LSP provider 'c:\program files\bonjour\mdnsnsp.dll' missing

•-Arrête tous les programmes en cours et ferme toutes les fenêtres.
( seul HijackThis doit être ouvert ) ,
•- et ensuite Clic [Fix checked]
Aide en images pour fixer ligne avec HJT
http://dcangeldark.blogspot.com/2008/02/hijackthis-202-corriger-des-lignes.html

C)- c:\program files\bonjour
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
Pour bonjour service qu'il faut enlever; comme ceci:
1°- Clic sur "Démarrer" > "Exécuter" > Copier/Coller cette commande dans la zone de saisie
“%PROGRAMFILES%\Bonjour\mDNSResponder.exe” -remove ----> valider par [OK]
2°- Clic sur "Démarrer" > "Exécuter" > Copier/Coller cette commande dans la zone de saisie
regsvr32 /u “%PROGRAMFILES%\Bonjour\mdnsNSP.dll” ---> valider par [OK]
3°- Supprime, via "Poste de travail", le dossier en gras ici: c:\program files\bonjour
4°- Désactive le service " Service Bonjour (Bonjour Service) " via: "démarrer" > "panneau de configuration" > "outil administration" > "services" > selectionner le service "Bonjour Service", clic-droit “Arrêter”, puis clic-droit “Désactiver”.
5°- Note: Si tu ne trouves pas "bonjour", voire "bonjour service", alors recherche avec cette ligne : ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) (suite de lettres et de chiffre dans tous les sens). Une fois trouvée, tu l'arrêtes, puis tu passes de "automatique" à "désactiver".

D)- C:\Program Files\Java\jre1.6.0_01
Grosse faille de sécurité ==> La dernière version Java Runtime Environment 1.6.0.7 est disponible ici : https://filehippo.com/download_jre_32/?ex=CORE-116.0
Ensuite, vas dans "Panneau de configuration" > "Ajout/suppr.de programmes", et supprime tes anciennes versions

E)- C:\Program Files\Adobe\Acrobat 7.0
Grosse faille de sécurité ==> Il faut faire la mise à jour version 9 , ici : https://get2.adobe.com/reader/otherversions/
L'installation d' une nouvelle version désinstallera l' ancienne si besoin est.
- Décocher "Téléchargez également :Adobe Photoshop® Album Édition"
- Dans Ajout/Suppression des programmes tu supprimes toutes les autres versions.

F)- Supprimer les outils utilisés devenus inutiles, ainsi que les quarantaines éventuelles</gras>; comme ceci:
•- Clique sur "Démarrer" - Clic droit sur le "Poste de Travail" > dans "Propriétés" > onglet "Restauration du système" - Cocher la case "Désactiver la restauration du système" et cliquer sur "Appliquer".
•- Lance OTMoveIt.exe par double-clic
[*]Clique sur CleanUp! (le programme va télécharger un fichier texte qui servira à nettoyer les programmes que l'on a téléchargés).
NOTE : Normalement, ton Firewall (parefeu) devrait te demander si _OTMoveIt peut accéder à Internet. Autorise-le.
[*]Une liste apparaît dans la partie gauche d' _OTMoveIt.
[*]Un message apparaît pour confirmer le nettoyage. Confirme
(Begin cleanup process ? ==> accepte par Yes)
Ce programme supprime les outils utilisés (y compris lui-même) ainsi que les quarantaines éventuelles.
La manoeuvre nécessitera un reboot (=redémarrage) initié par le programme.
•- Clique sur "Démarrer" - Clic droit sur le "Poste de Travail" > dans "Propriétés" > onglet "Restauration du système" - Décocher la case "Désactiver la restauration du système" et cliquer sur "Appliquer".

G)- Télécharge System Repair Engineer - SREng (par Smallfrogs) sur ton Bureau :
http://www.kztechs.com/eng/download.html (Edit: MàJ du canned 20/12/2007)
Et clic comme indiqué ici https://www.hiboox.com
Extrais tout son contenu sur ton Bureau
(clic-droit sur le fichier .zip >> "Extraire tout...")
Du dossier sreng2 qui se trouve maintenant sur ton Bureau, double-clique sur SREngPS.exe afin de lancer l'outil
Clique sur Smart Scan
Ensuite, clique sur le bouton [Scan]. L'analyse durera quelques instants.
Lorsque complété, clique sur le bouton [Save Reports]
Sauvegarde le rapport sur ton Bureau
Copie/colle le contenu du fichier SREnglLOG.log dans ta prochaine réponse, s'il te plait

H)- Termine par un rapport Combofix, comme indiqué au post # 8 § D.

Merci
Al.

Réponse 39 / 56

afideg Messages postés 10517 Date d'inscription Statut Contributeur sécurité Dernière intervention 602

(suite)

Télécharger MsnFix < http://sosvirus.changelog.fr/MSNFix.exe > ([Enregistrer] > choisir sur le "Bureau")
Accepter les alertes éventuelles de l'antivirus installé.
Double-clique sur l’icône placé sur le bureau, puis [Exécuter] > choisir « Français » > [Suivant] dans l’assistant d’installation > cocher la case devant « Créer une icône sur le bureau » > [Suivant] > [Installer] > [Terminer] ==> le programme se lance automatiquement. Patiente un peu.
- Exécute l'option R. Patiente à nouveau le temps du Scan (clignotant)
- Si l'infection est détectée, tu vois le message « Infection présente » ; presse une touche pour lancer le nettoyage. (N)
Si tu dois redémarrer l’ordinateur, fais-le manuellement.
Poste le rapport situé dans le dossier MSNFix.
Le nom du rapport correspond au moment de sa création : date_heure.log
À l’installation, l’exécutable se place en "C:\Program Files\MSNFix\MSNFix.bat"

Un tuto de l’auteur ici http://sosvirus.changelog.fr/

Al.

Réponse 40 / 56

nico262 Messages postés 40 Date d'inscription Statut Membre Dernière intervention

salut,

O10 - Broken Internet access because of LSP provider 'c:\program files\bonjour\mdnsnsp.dll' missing

--> Je n'ai pas trouvé la ligne correspondante. Il n'y a aucune ligne commençant par O10

Je n'ai pour l'instant pas supprimé les autres...

Virus fun.xls.exe

56 réponses

Votre réponse

Discussions similaires