Ron ads by cpmskyFermé

Question

Bonjour, comme d'autres personnes sur ce forum, je suis au prise avec RON ads by Cpmsky ... la sécurité sur mon ordinateur ne semblant pas le détecté j'en ai installé un autre windows live onecare qui ne me règle pas mon problème non plus. J'aimerais savoir comment règler mon problème. J'ai téléchargé Hijackthis et créé le rapport que voici, 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:16:48, on 2008-10-06
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Microsoft Windows OneCare Live\Antivirus\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Microsoft Windows OneCare Live\OcHealthMon.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Program Files\Microsoft Windows OneCare Live\Firewall\msfwsvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\Program Files\Microsoft Windows OneCare Live\winss.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\WINDOWS\System32egsvr32.exe
C:\Program Files\Microsoft Windows OneCare Live\winssnotify.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Documents and Settings\mathieu l blais\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\mathieu l blais\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\mathieu l blais\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\mathieu l blais\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\mathieu l blais\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\mathieu l blais\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\mathieu l blais\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://ici.radio-canada.ca/regions/saguenay-lac/index.shtml
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www8.hp.com/fr/fr/home.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: myBabylon Toolbar - {34ea1c70-42cc-42c5-aa29-ec58b95a343e} - C:\Program Files\myBabylon	bmyBa.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: cpmsky browser enhancer - {1a8a0d1f-e823-b1e4-42ae-024aa3c2333e} - C:\WINDOWS\system32\zusnedttqkfbq.dll
O2 - BHO: myBabylon Toolbar - {34ea1c70-42cc-42c5-aa29-ec58b95a343e} - C:\Program Files\myBabylon	bmyBa.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Documents and Settings\mathieu l blais\Mes documents\mateo\gramant\BitComet	ools\BitCometBHO_1.1.9.24.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: mysidesearch search enhancer - {9a3fe4e7-5a29-255e-f320-0cb991482b1a} - C:\WINDOWS\system32\gigbpgfibeglg.dll
O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\PROGRA~1\IDM\QUICKF~1\PlugIns\IEHelp.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: myBabylon Toolbar - {34ea1c70-42cc-42c5-aa29-ec58b95a343e} - C:\Program Files\myBabylon	bmyBa.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe
O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [ovdpkbwmbekwlqius] C:\WINDOWS\System32egsvr32.exe /s "C:\WINDOWS\system32\zusnedttqkfbq.dll"
O4 - HKLM\..\Run: [OneCareUI] "C:\Program Files\Microsoft Windows OneCare Live\winssnotify.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Documents and Settings\mathieu l blais\Mes documents\mateo\gramant\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Documents and Settings\mathieu l blais\Mes documents\mateo\gramant\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Documents and Settings\mathieu l blais\Mes documents\mateo\gramant\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Documents and Settings\mathieu l blais\Mes documents\mateo\gramant\BitComet	ools\BitCometBHO_1.1.9.24.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: CabBuilder - http://ak.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0} (Facebook Photo Uploader 4 Control) - http://upload.facebook.com/controls/FacebookPhotoUploader3.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F5D98C43-DB16-11CF-8ECA-0000C0FD59C7} - http://infolot.mrnf.gouv.qc.ca/ACGM/acgm.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

Lyonnais92 · Answer

Bonjour, ======================================== ->Affiche tous les fichiers et dossiers : clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage [Coche] « afficher les dossiers et fichiers cachés » [Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) » [Décoche] « masquer les extensions dont le type est connu » Puis fais [appliquer] pour valider les changements. Et [Ok] . ======================================= Rends toi sur ce site : https://www.virustotal.com/gui/ Clique sur parcourir et cherche ce fichier : C:\WINDOWS\system32\zusnedttqkfbq.dl Clique sur Send File. Un rapport va s'élaborer ligne à ligne. Attends la fin. Il doit comprendre la taille du fichier envoyé. Sauvegarde le rapport avec le bloc-note. Copie le dans ta réponse. Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant ================ Imprime ces instructions car tu n'y auras pas accès durant le passage en mode sans échec. Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau. http://downloads.andymanchesta.com/RemovalTools/SDFix.exe Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié dans C:\. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : • Redémarre ton ordinateur • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde). • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître. • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée". • Choisis ton compte. Déroule la liste des instructions ci-dessous : • Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le scrïpt. • Appuie sur Y pour commencer le processus de nettoyage. • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer. • Appuie sur une touche pour redémarrer le PC. • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers. • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. • Appuie sur une touche pour finir l'exécution du scrïpt et charger les icônes de ton Bureau. • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis ! __________________ Si SDfix ne se lance pas (ça arrive!) * Démarrer->Exécuter * Copie/colle ceci dans la fenêtre : %systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe * Clique sur ok, et valide. * Redémarre et essaye de nouveau de lancer SDfix. ================== Télécharge ici : http://images.malwareremoval.com/random/RSIT.exe random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau. Double-clique sur RSIT.exe afin de lancer RSIT. Clique Continue à l'écran Disclaimer. Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<

MALBO · Answer

Voici ce qui a été demandé, (en passant merci beaucoup)


Fichier zusnedttqkfbq.dll reçu le 2008.10.07 15:01:06 (CET)
Situation actuelle: terminé 
Résultat: 2/36 (5.56%)
  Formaté
Impression des résultats  
Antivirus	Version	Dernière mise à jour	Résultat
AhnLab-V3	2008.10.3.2	2008.10.07	-
AntiVir	7.8.1.34	2008.10.07	-
Authentium	5.1.0.4	2008.10.07	-
Avast	4.8.1248.0	2008.10.06	-
AVG	8.0.0.161	2008.10.07	-
BitDefender	7.2	2008.10.07	-
CAT-QuickHeal	9.50	2008.10.07	-
ClamAV	0.93.1	2008.10.07	-
DrWeb	4.44.0.09170	2008.10.07	-
eSafe	7.0.17.0	2008.10.07	-
eTrust-Vet	31.6.6133	2008.10.07	-
Ewido	4.0	2008.10.07	-
F-Prot	4.4.4.56	2008.10.06	-
F-Secure	8.0.14332.0	2008.10.07	-
Fortinet	3.113.0.0	2008.10.07	Adware/AdClicker
GData	19	2008.10.07	-
Ikarus	T3.1.1.34.0	2008.10.07	-
K7AntiVirus	7.10.487	2008.10.07	-
Kaspersky	7.0.0.125	2008.10.07	-
McAfee	5399	2008.10.07	-
Microsoft	1.4005	2008.10.07	-
NOD32	3500	2008.10.07	-
Norman	5.80.02	2008.10.06	-
Panda	9.0.0.4	2008.10.07	-
PCTools	4.4.2.0	2008.10.07	-
Prevx1	V2	2008.10.07	Cloaked Malware
Rising	20.65.12.00	2008.10.07	-
SecureWeb-Gateway	6.7.6	2008.10.07	-
Sophos	4.34.0	2008.10.07	-
Sunbelt	3.1.1707.1	2008.10.07	-
Symantec	10	2008.10.07	-
TheHacker	6.3.1.0.102	2008.10.07	-
TrendMicro	8.700.0.1004	2008.10.07	-
VBA32	3.12.8.6	2008.10.07	-
ViRobot	2008.10.7.1410	2008.10.07	-
VirusBuster	4.5.11.0	2008.10.06	-
Information additionnelle
File size: 156672 bytes
MD5...: 59ad6fbd20a64a524ae30b5ef06ba5d3
SHA1..: cd2fb76873fc7bb6286d2ccd77b9e4a16cbf41c7
SHA256: a4fe6ae0e647fcf443d54b58d73d21948cd45be83a50809c17c62fe2186ad963
SHA512: cdbef652264e6eee1fe04d05979b26b37133f0774c2c4bc110db15ce2053c151
b5e6da400d1a2bd7f9c4643b5984e177b83cbead96c992d6456d26d26acf42ec
PEiD..: -
TrID..: File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000f0e8
timedatestamp.....: 0x48e6241d (Fri Oct 03 13:54:37 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1bcea 0x1be00 6.65 2bbce8444b0b6ebba192ee63d188287f
.rdata 0x1d000 0x603d 0x6200 5.31 d16f979ac81e2b88c2aa04678c7005d5
.data 0x24000 0x30a0 0x1600 3.54 9aa61e9952e696e8fe3d721ab6f4f317
.rsrc 0x28000 0x34c 0x400 4.67 1afbb70b1b531cd55e3755296862026b
.reloc 0x29000 0x24ce 0x2600 4.79 69c88df7a682ad310890c575f45ef262

( 8 imports ) 
> RPCRT4.dll: UuidToStringW, RpcStringFreeW
> VERSION.dll: GetFileVersionInfoW, GetFileVersionInfoSizeW, VerQueryValueW
> SHLWAPI.dll: StrStrIW, PathStripPathW, StrCmpIW, SHDeleteKeyW, SHSetValueW, UrlEscapeW
> KERNEL32.dll: GetConsoleMode, GetConsoleCP, lstrlenW, InitializeCriticalSection, DeleteCriticalSection, EnterCriticalSection, LeaveCriticalSection, SetEvent, CloseHandle, CreateProcessW, GetProcAddress, LoadLibraryW, ExitThread, WaitForSingleObject, CreateThread, Sleep, GetModuleFileNameW, OpenMutexW, GetSystemTime, CreateEventW, OpenProcess, CreateMutexW, GlobalFree, GlobalAlloc, LocalFree, LocalAlloc, GetLastError, InterlockedIncrement, InterlockedDecrement, lstrcmpW, SystemTimeToFileTime, GetLocalTime, LoadLibraryA, FreeLibrary, InitializeCriticalSectionAndSpinCount, WideCharToMultiByte, MultiByteToWideChar, GetTempFileNameW, GetTickCount, GetEnvironmentVariableW, VirtualQuery, GetVolumeInformationW, GetWindowsDirectoryW, GetSystemInfo, SetFilePointer, HeapReAlloc, VirtualAlloc, GetSystemTimeAsFileTime, GetCurrentProcessId, QueryPerformanceCounter, VirtualFree, HeapDestroy, HeapCreate, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, GetStartupInfoA, GetFileType, SetHandleCount, LCMapStringW, IsValidCodePage, GetOEMCP, GetACP, GetCPInfo, GetModuleFileNameA, GetStdHandle, WriteFile, ExitProcess, HeapSize, GetLocaleInfoA, LCMapStringA, GetStringTypeA, GetStringTypeW, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, CreateFileA, FlushFileBuffers, ExpandEnvironmentStringsW, GetModuleHandleA, SetLastError, TlsFree, TlsSetValue, TlsAlloc, TlsGetValue, GetModuleHandleW, HeapAlloc, HeapFree, GetCommandLineA, GetCurrentThreadId, RtlUnwind, IsDebuggerPresent, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, RaiseException, TerminateProcess
> USER32.dll: GetWindowTextW, EnumChildWindows, RealGetWindowClassW, CallWindowProcW, SetWindowLongW, SetPropW, GetWindowThreadProcessId, SetWindowPos, SetActiveWindow, SetCursorPos, SendMessageW, SendInput, RemovePropW, SetWindowTextW, EnumWindows, GetWindowInfo, GetWindowRect, PeekMessageW, MsgWaitForMultipleObjects, GetPropW, DispatchMessageW, GetSystemMetrics, GetCursorPos, GetClassNameW, PostMessageW, TranslateMessage
> ADVAPI32.dll: CryptGetHashParam, ConvertStringSecurityDescriptorToSecurityDescriptorW, GetSecurityDescriptorSacl, SetSecurityInfo, CryptGenRandom, CryptAcquireContextW, CryptCreateHash, CryptHashData, CryptDestroyHash, CryptReleaseContext, RegQueryValueExW, RegCreateKeyW, RegDeleteValueW, RegOpenKeyExW, RegSetValueExW, RegCloseKey
> ole32.dll: CoInitializeEx, CoCreateInstance, CoUninitialize, CoTaskMemFree
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -

( 4 exports ) 
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=FDBA8A36004B914D64980233ED5A2500B046131D






****************************************************************************************



[b]SDFix: Version 1.232 /b
Run by mathieu l blais on 2008-10-07 at 09:59

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services /b:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files /b: 

Trojan Files Found:

C:\WINDOWS\system32\gigbpgfibeglg.dll - Deleted
C:\WINDOWS\system32\zusnedttqkfbq.dll - Deleted





Removing Temp Files

[b]ADS Check /b:
 


                                 [b]Final Check /b:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-07 10:12:31
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services /b:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\Messenger\msmsgs.exe"="C:\Program Files\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\Documents and Settings\mathieu l blais\Mes documents\mateo\gramant\BitComet\BitComet.exe"="C:\Documents and Settings\mathieu l blais\Mes documents\mateo\gramant\BitComet\BitComet.exe:*:Enabled:BitComet - a BitTorrent Client"
"C:\Program Files\LimeWire\LimeWire.exe"="C:\Program Files\LimeWire\LimeWire.exe:*:Enabled:LimeWire"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[b]Remaining Files /b:


File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes /b:

Sun 13 Apr 2008        60,416 A.SH. --- "C:\Program Files\Outlook Express\msimn.exe"
Wed  1 Oct 2008        73,216 A..H. --- "C:\RECYCLER\S-1-5-21-57989841-790525478-725345543-1004\Dc80.tmp"
Sun  4 Nov 2007         4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Thu 25 Oct 2007             0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Wed  3 Sep 2008        35,328 ...H. --- "C:\Documents and Settings\mathieu l blais\Application Data\Microsoft\Word\~WRL0002.tmp"
Fri 15 Aug 2008       140,288 A..H. --- "C:\Documents and Settings\mathieu l blais\Application Data\Microsoft\Word\~WRL0003.tmp"
Wed  3 Sep 2008        35,328 ...H. --- "C:\Documents and Settings\mathieu l blais\Application Data\Microsoft\Word\~WRL0004.tmp"
Sun  7 Sep 2008           444 ...HR --- "C:\Documents and Settings\mathieu l blais\Application Data\SecuROM\UserData\securom_v7_01.bak"
Mon 12 Feb 2007     3,096,576 A..H. --- "C:\Documents and Settings\mathieu l blais\Application Data\U3	emp\Launchpad Removal.exe"
Sun 14 Sep 2008        19,809 ...H. --- "C:\Documents and Settings\mathieu l blais\Mes documents\mateo\le_monde_des_affaires\~WRL2609.tmp"
Sun  7 Sep 2008        27,108 ...H. --- "C:\Documents and Settings\mathieu l blais\Mes documents\mateo\projfinetude\~WRL0030.tmp"
Mon 29 Sep 2008        16,448 ...H. --- "C:\Documents and Settings\mathieu l blais\Mes documents\mateo\projfinetude\~WRL0265.tmp"
Mon 22 Sep 2008        33,994 ...H. --- "C:\Documents and Settings\mathieu l blais\Mes documents\mateo\projfinetude\~WRL2341.tmp"
Mon  8 Sep 2008        30,251 ...H. --- "C:\Documents and Settings\mathieu l blais\Mes documents\mateo\projfinetude\~WRL4030.tmp"
Sun  5 Oct 2008             8 A..H. --- "C:\Documents and Settings\All Users\Application Data\Microsoft\OC\Channels\ch1\lock.tmp"
Sun  5 Oct 2008             8 A..H. --- "C:\Documents and Settings\All Users\Application Data\Microsoft\OC\Channels\ch2\lock.tmp"
Sun  5 Oct 2008             8 A..H. --- "C:\Documents and Settings\All Users\Application Data\Microsoft\OC\Channels\ch3\lock.tmp"
Sun  5 Oct 2008             8 A..H. --- "C:\Documents and Settings\All Users\Application Data\Microsoft\OC\Channels\ch4\lock.tmp"
Sun  5 Oct 2008             8 A..H. --- "C:\Documents and Settings\All Users\Application Data\Microsoft\OC\Channels\ch5\lock.tmp"

[b]Finished!/b



*******************************************************************************


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:39:27, on 2008-10-07
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Microsoft Windows OneCare Live\Antivirus\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Microsoft Windows OneCare Live\OcHealthMon.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Program Files\Microsoft Windows OneCare Live\Firewall\msfwsvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Microsoft Windows OneCare Live\winss.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Microsoft Windows OneCare Live\winssnotify.exe
C:\Documents and Settings\mathieu l blais\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Documents and Settings\mathieu l blais\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\mathieu l blais\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\mathieu l blais\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\mathieu l blais\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\mathieu l blais\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\mathieu l blais\Bureau\mathieu l blais.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://ici.radio-canada.ca/regions/saguenay-lac/index.shtml
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www8.hp.com/fr/fr/home.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: myBabylon Toolbar - {34ea1c70-42cc-42c5-aa29-ec58b95a343e} - C:\Program Files\myBabylon	bmyBa.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: myBabylon Toolbar - {34ea1c70-42cc-42c5-aa29-ec58b95a343e} - C:\Program Files\myBabylon	bmyBa.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Documents and Settings\mathieu l blais\Mes documents\mateo\gramant\BitComet	ools\BitCometBHO_1.1.9.24.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\PROGRA~1\IDM\QUICKF~1\PlugIns\IEHelp.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: myBabylon Toolbar - {34ea1c70-42cc-42c5-aa29-ec58b95a343e} - C:\Program Files\myBabylon	bmyBa.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe
O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [ovdpkbwmbekwlqius] C:\WINDOWS\System32egsvr32.exe /s "C:\WINDOWS\system32\zusnedttqkfbq.dll"
O4 - HKLM\..\Run: [OneCareUI] "C:\Program Files\Microsoft Windows OneCare Live\winssnotify.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Documents and Settings\mathieu l blais\Mes documents\mateo\gramant\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Documents and Settings\mathieu l blais\Mes documents\mateo\gramant\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Documents and Settings\mathieu l blais\Mes documents\mateo\gramant\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Documents and Settings\mathieu l blais\Mes documents\mateo\gramant\BitComet	ools\BitCometBHO_1.1.9.24.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: CabBuilder - http://ak.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0} (Facebook Photo Uploader 4 Control) - http://upload.facebook.com/controls/FacebookPhotoUploader3.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F5D98C43-DB16-11CF-8ECA-0000C0FD59C7} - http://infolot.mrnf.gouv.qc.ca/ACGM/acgm.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

Lyonnais92 · Answer

Re,

ça revient, alors on va taper plus fort.

Ouvre ce lien :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Suis le pour installer la console de récupération puis pour exécuter Combofix.

En particulier, veille à l'enregistrer le sur le Bureau, à te déconnecter d'internet et fermer toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.



De quand date tes soucis ?

Tu as volontairement installé PC Controller ?

fais ça :

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\WINDOWS\unin040c.exe

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant .



Pendant qu'on y est, on va nettoyer une toolbar :


Télécharge Toolbar-S&D (Team IDN) sur ton Bureau :

https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2

    * Lance l'installation du programme en exécutant le fichier téléchargé.
    * Double-clique maintenant sur le raccourci de Toolbar-S&D.
    * Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
    * Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.
    * Poste le rapport généré. (C:\TB.txt)

MALBO · Answer

Rebonjour, pour les questions que vous m'avez posées, pour ce qui est des fenêtres RON ads by CPMSKY, ça fait environ 5 jours, mais je sens que mon ordi à ralenti depuis un bon bout de temps, je ne saurais vous dire. Pour ce qui est de l'installation de PC Controller, je ne crois pas l'avoir intallé moi-même, en fait, je n'ai aucune idée de ce que ça peut bien être. ******************************* voici les rapports demandés ******************************* ComboFix 08-10-06.08 - mathieu l blais 2008-10-07 12:25:40.1 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.106 [GMT -4:00] Lancé depuis: C:\Documents and Settings\mathieu l blais\Bureau\ComboFix.exe Commutateurs utilisés :: C:\Documents and Settings\mathieu l blais\Bureau\WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe * Un nouveau point de restauration a été créé . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . E:\Autorun.inf F:\Autorun.inf . ((((((((((((((((((((((((((((( Fichiers créés du 2008-09-07 au 2008-10-07 )))))))))))))))))))))))))))))))))))) . 2008-10-07 10:30 . 2008-10-07 10:30 d-------- C: sit 2008-10-07 09:58 . 2008-10-07 09:58 579,584 --a--c--- C:\WINDOWS\system32\dllcache\user32.dll 2008-10-07 09:55 . 2008-10-07 09:55 d-------- C:\WINDOWS\ERUNT 2008-10-07 09:08 . 2008-10-07 10:17 d-------- C:\SDFix 2008-10-05 18:41 . 2008-10-05 18:41 2,544 --a------ C:\WINDOWS\system32\OEMINFO.PNF 2008-10-05 12:21 . 2007-11-27 22:56 116,416 --a------ C:\WINDOWS\system32\drivers\msfwhlpr.sys 2008-10-05 12:21 . 2007-11-27 22:56 91,328 --a------ C:\WINDOWS\system32\drivers\msfwdrv.sys 2008-10-05 12:18 . 2008-05-15 16:15 53,168 --a------ C:\WINDOWS\system32\drivers\MpFilter.sys 2008-10-05 12:13 . 2008-10-06 12:47 d-------- C:\Program Files\Microsoft Windows OneCare Live 2008-10-02 20:28 . 2008-10-02 20:28 d-------- C:\Documents and Settings\mathieu l blais\WINDOWS 2008-10-02 20:28 . 1998-02-06 20:39 304,128 --a------ C:\WINDOWS\unin040c.exe 2008-10-02 16:18 . 2008-10-02 16:18 90,948 --a------ C:\WINDOWS\system32\gigbpgfibeglg.dll-uninst.exe 2008-10-02 16:18 . 2008-10-03 10:07 79,072 --a------ C:\WINDOWS\system32\aedgxobivm.exe 2008-10-02 10:09 . 2008-04-27 10:33 765,952 --a------ C:\WINDOWS\system32\xvidcore.dll 2008-10-02 10:09 . 2008-04-27 10:35 180,224 --a------ C:\WINDOWS\system32\xvidvfw.dll 2008-10-02 10:09 . 2007-06-28 18:55 77,824 --a------ C:\WINDOWS\system32\xvid.ax 2008-09-26 23:38 . 2008-09-29 20:40 58 --a------ C:\WINDOWS\cdplayer.ini 2008-09-26 23:22 . 2008-10-01 08:39 d-------- C:\Program Files\Real 2008-09-26 23:22 . 2008-10-01 08:39 d-------- C:\Program Files\Fichiers communs\Real 2008-09-15 19:42 . 2008-09-15 19:45 d-------- C:\Program Files\QuickTime 2008-09-15 19:21 . 2008-09-15 19:21 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-09-15 19:21 . 2008-09-15 19:21 1,409 --a------ C:\WINDOWS\QTFont.for 2008-09-14 14:21 . 2008-09-14 14:21 d-------- C:\Program Files\Sun 2008-09-14 14:21 . 2008-09-14 14:21 410,976 --a------ C:\WINDOWS\system32\deploytk.dll 2008-09-08 12:01 . 2008-09-08 12:19 d-------- C:\Documents and Settings\mathieu l blais\Application Data\U3 2008-09-07 13:29 . 2008-09-07 13:29 d-------- C:\Documents and Settings\mathieu l blais\Application Data\SecuROM 2008-09-07 13:29 . 2008-09-07 13:30 d-------- C:\Documents and Settings\mathieu l blais\Application Data\ldoce4 2008-09-07 13:29 . 2008-09-07 13:29 126,976 --a------ C:\WINDOWS\system32\UAService7.exe 2008-09-07 13:29 . 2008-09-07 13:29 90,112 --a------ C:\WINDOWS\system32\CmdLineExt.dll 2008-09-07 13:20 . 2008-09-07 13:20 d-------- C:\Program Files\TEXTware 2008-09-07 13:20 . 2008-09-07 13:20 d-------- C:\Program Files\IDM 2008-09-07 13:20 . 1998-10-22 05:01 1,888,744 --a------ C:\WINDOWS\system32\VCL40.BPL 2008-09-07 13:20 . 2003-04-29 19:09 205,312 --a------ C:\WINDOWS\system32\Illprs.dll 2008-09-07 13:20 . 2002-08-01 16:44 160,768 --a------ C:\WINDOWS\system32\ILLKRN.DLL 2008-09-07 13:20 . 2004-06-10 11:29 48,128 --a------ C:\WINDOWS\system32\QFClient.ILX . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-03 00:24 --------- d-----w C:\Documents and Settings\mathieu l blais\Application Data\LimeWire 2008-10-02 20:43 --------- d-----w C:\Program Files\Fichiers communs\Apple 2008-10-01 12:35 --------- d-----w C:\Program Files\Google 2008-09-14 18:21 --------- d-----w C:\Program Files\Java 2008-09-11 01:05 --------- d-----w C:\Program Files\Messenger Plus! Live 2008-09-10 11:50 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help 2008-09-07 17:20 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-09-04 16:53 --------- d-----w C:\Program Files\Microsoft Silverlight 2008-09-04 12:41 278,016 ----a-w C:\WINDOWS\system32\vct3216.dll 2008-09-03 10:54 --------- d-----w C:\Program Files\Apple Software Update 2008-08-27 13:47 --------- d-----w C:\Program Files\HP 2008-08-17 17:58 --------- d-----w C:\Program Files\myBabylon 2008-08-17 17:58 --------- d-----w C:\Program Files\Conduit 2008-07-19 02:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll 2008-07-19 02:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe 2008-07-19 02:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll 2008-07-19 02:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll 2008-07-19 02:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll 2008-07-19 02:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll 2008-07-19 02:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll 2008-07-19 02:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll 2008-07-19 02:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll 2008-07-19 02:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll 2008-07-07 20:28 253,952 ----a-w C:\WINDOWS\system32\es.dll . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{34ea1c70-42cc-42c5-aa29-ec58b95a343e}"= "C:\Program Files\myBabylon bmyBa.dll" [2008-08-05 1610264] [HKEY_CLASSES_ROOT\clsid\{34ea1c70-42cc-42c5-aa29-ec58b95a343e}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{34ea1c70-42cc-42c5-aa29-ec58b95a343e}] 2008-08-05 02:13 1610264 --a------ C:\Program Files\myBabylon bmyBa.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{34ea1c70-42cc-42c5-aa29-ec58b95a343e}"= "C:\Program Files\myBabylon bmyBa.dll" [2008-08-05 1610264] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser] "{34EA1C70-42CC-42C5-AA29-EC58B95A343E}"= "C:\Program Files\myBabylon bmyBa.dll" [2008-08-05 1610264] [HKEY_CLASSES_ROOT\clsid\{34ea1c70-42cc-42c5-aa29-ec58b95a343e}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-13 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952] "PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168] "PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168] "Apoint"="C:\Program Files\Apoint2K\Apoint.exe" [2003-10-07 159744] "OneCareUI"="C:\Program Files\Microsoft Windows OneCare Live\winssnotify.exe" [2008-08-08 67112] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-13 15360] C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2003-09-16 237568] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.divxa32"= divxa32.acm [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\OneCareMP] @="Service" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "C:\Program Files\Messenger\msmsgs.exe"= "C:\Documents and Settings\mathieu l blais\Mes documents\mateo\gramant\BitComet\BitComet.exe"= "C:\Program Files\LimeWire\LimeWire.exe"= "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "C:\Program Files\Windows Live\Messenger\livecall.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "7766:TCP"= 7766:TCP:BitComet 7766 TCP "7766:UDP"= 7766:UDP:BitComet 7766 UDP R0 atiide;atiide;C:\WINDOWS\system32\DRIVERS\atiide.sys [2004-04-14 5632] R2 JavaQuickStarterService;Java Quick Starter;C:\Program Files\Java\jre6\bin\jqs.exe [2008-09-14 147456] R2 OcHealthMon;Windows Live OneCare Health Monitor;C:\Program Files\Microsoft Windows OneCare Live\OcHealthMon.exe [2008-08-08 28200] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d3c23588-7223-11dd-a81c-000fb042299b}] \Shell\Shell00\Command - E:\Start.exe *Newly Created Service* - PROCEXP90 . Contenu du dossier 'Tâches planifiées' 2008-09-11 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34] 2008-10-07 C:\WINDOWS\Tasks\GoogleUpdateTaskUser.job - C:\Documents and Settings\mathieu l blais\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2008-09-02 19:42] 2007-10-26 C:\WINDOWS\Tasks\Symantec NetDetect.job - C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE [2003-09-09 13:39] . - - - - ORPHELINS SUPPRIMES - - - - WebBrowser-{6638A9DE-0745-4292-8A2E-AE530E7B9B3F} - (no file) HKLM-Run-HPHUPD05 - c:\Program Files\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe HKLM-Run-ovdpkbwmbekwlqius - C:\WINDOWS\system32\zusnedttqkfbq.dll HKLM-Run-DXDllRegExe - dxdllreg.exe . ------- Examen supplémentaire ------- . R0 -: HKCU-Main,Start Page = hxxp://www.radio-canada.ca/regions/saguenay-lac/index.shtml R1 -: HKCU-Internet Connection Wizard,ShellNext = hxxp://www.hp.com/ O8 -: &D&ownload &with BitComet - C:\Documents and Settings\mathieu l blais\Mes documents\mateo\gramant\BitComet\BitComet.exe/AddLink.htm O8 -: &D&ownload all video with BitComet - C:\Documents and Settings\mathieu l blais\Mes documents\mateo\gramant\BitComet\BitComet.exe/AddVideo.htm O8 -: &D&ownload all with BitComet - C:\Documents and Settings\mathieu l blais\Mes documents\mateo\gramant\BitComet\BitComet.exe/AddAllLink.htm O8 -: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O16 -: CabBuilder - hxxp://ak.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab C:\WINDOWS\Downloaded Program Files\OSDED4D.OSD C:\WINDOWS\Downloaded Program Files\InstallerControl.dll O16 -: {F5D98C43-DB16-11CF-8ECA-0000C0FD59C7} - hxxp://infolot.mrnf.gouv.qc.ca/ACGM/acgm.cab C:\WINDOWS\Downloaded Program Files\acgm.inf C:\WINDOWS\system32\msvcrt.dll C:\WINDOWS\system32\cgmopenbho.dll C:\WINDOWS\system32\snbdpl1.dll C:\WINDOWS\system32\snbd10dm.dll C:\WINDOWS\system32\igsnrn22.dll C:\WINDOWS\system32\igsnpb22.dll C:\WINDOWS\system32\igsnol22.dll C:\WINDOWS\system32\igsncm22.dll C:\WINDOWS\system32\browser.exa C:\WINDOWS\system32\Acgm.Dll . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-07 12:29:09 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . --------------------- DLLs chargées dans les processus actifs --------------------- PROCESSUS: C:\WINDOWS\system32\winlogon.exe -> C:\WINDOWS\system32\Ati2evxx.dll . Heure de fin: 2008-10-07 12:32:59 ComboFix-quarantined-files.txt 2008-10-07 16:32:29 Avant-CF: 64 933 957 632 octets libres Après-CF: 64,992,800,768 octets libres WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect /NoExecute=OptOut 191 --- E O F --- 2008-10-05 05:49:47 ********************************* ********************************* Fichier unin040c.exe reçu le 2008.10.07 18:38:28 (CET) Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE Résultat: 0/36 (0%) en train de charger les informations du serveur... Votre fichier est dans la file d'attente, en position: ___. L'heure estimée de démarrage est entre ___ et ___ . Ne fermez pas la fenêtre avant la fin de l'analyse. L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats. Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier. Votre fichier est, en ce moment, en cours d'analyse par VirusTotal, les résultats seront affichés au fur et à mesure de leur génération. Formaté Impression des résultats Votre fichier a expiré ou n'existe pas. Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie. Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée. Email: Antivirus Version Dernière mise à jour Résultat AhnLab-V3 2008.10.3.2 2008.10.07 - AntiVir 7.8.1.34 2008.10.07 - Authentium 5.1.0.4 2008.10.07 - Avast 4.8.1248.0 2008.10.07 - AVG 8.0.0.161 2008.10.07 - BitDefender 7.2 2008.10.07 - CAT-QuickHeal 9.50 2008.10.07 - ClamAV 0.93.1 2008.10.07 - DrWeb 4.44.0.09170 2008.10.07 - eSafe 7.0.17.0 2008.10.07 - eTrust-Vet 31.6.6133 2008.10.07 - Ewido 4.0 2008.10.07 - F-Prot 4.4.4.56 2008.10.06 - F-Secure 8.0.14332.0 2008.10.07 - Fortinet 3.113.0.0 2008.10.07 - GData 19 2008.10.07 - Ikarus T3.1.1.34.0 2008.10.07 - K7AntiVirus 7.10.487 2008.10.07 - Kaspersky 7.0.0.125 2008.10.07 - McAfee 5399 2008.10.07 - Microsoft 1.4005 2008.10.07 - NOD32 3501 2008.10.07 - Norman 5.80.02 2008.10.06 - Panda 9.0.0.4 2008.10.07 - PCTools 4.4.2.0 2008.10.07 - Prevx1 V2 2008.10.07 - Rising 20.65.12.00 2008.10.07 - SecureWeb-Gateway 6.7.6 2008.10.07 - Sophos 4.34.0 2008.10.07 - Sunbelt 3.1.1708.1 2008.10.07 - Symantec 10 2008.10.07 - TheHacker 6.3.1.0.102 2008.10.07 - TrendMicro 8.700.0.1004 2008.10.07 - VBA32 3.12.8.6 2008.10.07 - ViRobot 2008.10.7.1410 2008.10.07 - VirusBuster 4.5.11.0 2008.10.07 - Information additionnelle File size: 304128 bytes MD5...: 1ddba8621975d1b964b0d29805a9180f SHA1..: d103f1fc288654c1f85ba10e347501bb9fd011a2 SHA256: b32bead96f8dbce50a52bc6a54af13c16c10cb553e6cb0f449fb32c95a3fe771 SHA512: 6c78ce868f71c2aafb666a41ffdc778f0ac237a263691442ed3fed8235eaac72 ca2c6eb72105f0c74a54cc603057fffd355906bab56133db9b02191b9124ae8b PEiD..: - TrID..: File type identification Win32 Executable MS Visual C++ 4.x (53.7%) InstallShield setup (17.1%) Win32 Executable MS Visual C++ (generic) (15.0%) Windows Screen Saver (5.2%) Win32 Executable Generic (3.4%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x41c890 timedatestamp.....: 0x32d6d1bc (Fri Jan 10 23:33:16 1997) machinetype.......: 0x14c (I386) ( 6 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x1f296 0x1f400 5.89 ec6e9530d49fbafe1b1be2b7aadf6754 .rdata 0x21000 0x383 0x400 4.73 3a78dab53d006b4cb7716badaf7df611 .data 0x22000 0x2d04 0x2200 3.20 8e92538a9d91a9e1b5b11fbd35114694 .idata 0x25000 0x17b8 0x1800 5.38 69ca75c1ee33ee2ab4b78ae395418f3d .rsrc 0x27000 0x25000 0x25000 6.01 426e4b9508d38cc5e63fc6d6d761ea8c .reloc 0x4c000 0x1dd6 0x1e00 6.34 1b75ebf158a6b15832ecee7eb6ed442e ( 7 imports ) > USER32.dll: MessageBeep, SetRect, CharLowerA, OemToCharA, ReleaseDC, GetDC, EndPaint, LoadBitmapA, GetSystemMetrics, SetWindowPos, UpdateWindow, ShowWindow, DestroyWindow, wsprintfA, LoadStringA, GetSysColor, MessageBoxA, LoadIconA, LoadCursorA, RegisterClassA, CreateWindowExA, SetTimer, PeekMessageA, IsWindow, IsDialogMessageA, TranslateMessage, DispatchMessageA, KillTimer, BeginPaint, EndDialog, SetWindowTextA, SetDlgItemTextA, DialogBoxParamA, GetClientRect, CharUpperA, CharToOemA, CharPrevA, PostQuitMessage, DefWindowProcA, SendMessageA, CreateDialogParamA, GetDlgItem, GetWindowTextA, InvalidateRect, IsWindowVisible, SetFocus, EnableWindow, PostMessageA, CharNextA, InflateRect, ScreenToClient, GetWindowRect, SetRectEmpty, ExitWindowsEx, FindWindowA, RegisterWindowMessageA, DdeGetData, DdeFreeDataHandle, DdeConnect, DdeClientTransaction, DdeGetLastError, DdeDisconnect, DdeFreeStringHandle, DdeUninitialize, DdeInitializeA, DdeCreateStringHandleA, GetClassInfoA, GetWindowLongA, GetWindow, GetClassNameA, FillRect > GDI32.dll: SetPixel, DeleteObject, GetTextExtentPointA, GetSystemPaletteEntries, CreatePalette, CreateDIBitmap, CreateBitmap, SetBkColor, CreatePen, MoveToEx, LineTo, CreateCompatibleBitmap, SaveDC, CreateSolidBrush, GetStockObject, Rectangle, RestoreDC, GetDeviceCaps, CreateCompatibleDC, SelectObject, BitBlt, DeleteDC, SelectPalette, RealizePalette, GetObjectA > KERNEL32.dll: lstrcmpiA, GetFileSize, SetEndOfFile, LocalFileTimeToFileTime, DosDateTimeToFileTime, GetStringTypeW, GetStringTypeA, VirtualFree, HeapCreate, HeapDestroy, GetStdHandle, GetFileType, SetHandleCount, GetOEMCP, GetACP, GetCPInfo, WideCharToMultiByte, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, MultiByteToWideChar, FreeEnvironmentStringsA, UnhandledExceptionFilter, RtlUnwind, TerminateProcess, ExitProcess, GetLocalTime, GetSystemTime, GetTimeZoneInformation, GetCommandLineA, GetStartupInfoA, GlobalHandle, GlobalCompact, GlobalReAlloc, GetCurrentDirectoryA, _llseek, _lwrite, GetFileTime, SetFileTime, FindNextFileA, HeapFree, HeapAlloc, VirtualAlloc, CompareStringA, CompareStringW, SetEnvironmentVariableA, GetTickCount, GetModuleFileNameA, lstrcpyA, IsDBCSLeadByte, FreeLibrary, GetProcAddress, LoadLibraryA, GetVersion, GlobalFree, GlobalUnlock, FreeResource, _lclose, _hwrite, OpenFile, lstrcatA, GetWindowsDirectoryA, GlobalLock, GlobalAlloc, LockResource, SizeofResource, LoadResource, FindResourceA, GetModuleHandleA, GetSystemInfo, SetErrorMode, HeapReAlloc, Sleep, FindClose, lstrcmpA, DeleteFileA, SetFileAttributesA, FindFirstFileA, lstrlenA, WinExec, GetPrivateProfileSectionA, WritePrivateProfileStringA, GetProfileSectionA, WriteProfileStringA, WritePrivateProfileSectionA, WriteProfileSectionA, GetSystemDirectoryA, CreateFileA, FileTimeToDosDateTime, FileTimeToLocalFileTime, MoveFileA, ReadFile, _lread, CloseHandle, MoveFileExA, GetPrivateProfileStringA, SetFilePointer, WriteFile, GetCurrentProcess, GetCurrentThread, GetFileAttributesA, RemoveDirectoryA, SetCurrentDirectoryA, GetDriveTypeA, GetDiskFreeSpaceA, CreateDirectoryA, GetLastError > VERSION.dll: GetFileVersionInfoA, GetFileVersionInfoSizeA, VerQueryValueA > ADVAPI32.dll: RegCloseKey, RegDeleteValueA, RegQueryValueExA, LookupPrivilegeValueA, AdjustTokenPrivileges, OpenThreadToken, OpenProcessToken, GetTokenInformation, EqualSid, RegEnumValueA, RegConnectRegistryA, InitializeSecurityDescriptor, RegSetValueExA, RegEnumKeyA, RegDeleteKeyA, RegOpenKeyA, AllocateAndInitializeSid, SetSecurityDescriptorOwner, RegCreateKeyExA, FreeSid > comdlg32.dll: GetSaveFileNameA, GetOpenFileNameA > SHELL32.dll: SHGetSpecialFolderLocation, SHGetPathFromIDListA ( 0 exports ) ***************************** ***************************** -----------\ ToolBar S&D 1.2.2 XP/Vista Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3 X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 3.00GHz ) BIOS : Ver 1.00PARTTBL USER : mathieu l blais ( Administrator ) BOOT : Normal boot Antivirus : Windows Live OneCare 1.0.0 (Activated) Firewall : Pare-feu Windows Live OneCare 1.0.0 (Activated) C:\ (Local Disk) - NTFS - Total : 74 Go Free : 60 Go D:\ (CD or DVD) - UDF - Total : 3 Go Free : 0 Go E:\ (Local Disk) - FAT32 - Total : 29 Go Free : 29 Go F:\ (Local Disk) - NTFS - Total : 668 Go Free : 645 Go "C:\ToolBar SD" ( MAJ : 04-10-2008|21:00 ) Option : [1] ( 2008-10-07|12:46 ) -----------\ Recherche de Fichiers / Dossiers ... -----------\ [..\Internet Explorer\Main] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Local Page"="C:\WINDOWS\system32\blank.htm" "Start Page"="https://ici.radio-canada.ca/regions/saguenay-lac/index.shtml" "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch" [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] "Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp" "Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF" "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF" "Start Page"="https://www.msn.com/fr-fr/?ocid=iehp" --------------------\ Recherche d'autres infections Aucune autre infection trouvée ! 1 - "C:\ToolBar SD\TB_1.txt" - 2008-10-07|12:47 - Option : [1] -----------\ Fin du rapport a 12:47:33,65 voilà, merci pour le support. MLB

Lyonnais92 · Answer

Re,

Copie ou imprime les instructions avant

Déconnecte toi d'internet et ferme toutes tes applications.

Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :



File::
C:\WINDOWS\unin040c.exe 
C:\WINDOWS\system32\gigbpgfibeglg.dll-uninst.exe
C:\WINDOWS\system32\aedgxobivm.exe



Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Réactive ton parefeu, ton antivirus, la garde de ton antispyware

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Remets aussi un rapport Hijackthis


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.


Je te propose aussi de supprimer ta Babylon Toolbar. Mais je ne le ferai qu'avec ton accord.

MALBO · Answer

Bon, une fois que le rapport est apparu plein écran, je l'ai diminué puis, le bureau n'a pas été restauré. L'ordinateur ne semble plus travailler. 

Est-ce que je dois faire un reset ???

Pour ce qui est de Babylon Toolbar, j'aimerais bien m'en débarasser oui, merci.


MLB

Lyonnais92 · Answer

Re,

fais redémarrer l'ordi et cherche C:\Combofix.txt

MALBO · Answer

re, donc, comme je disais tout à l'heure, j'aimerais bien que nous enlevions Babylon Toolbar Voici les deux rapports, ********************** ********************** ComboFix 08-10-06.08 - mathieu l blais 2008-10-07 15:37:10.2 - NTFSx86 Lancé depuis: C:\Documents and Settings\mathieu l blais\Bureau\ComboFix.exe Commutateurs utilisés :: C:\Documents and Settings\mathieu l blais\Bureau\CFscript.txt * Un nouveau point de restauration a été créé FILE :: c:\WINDOWS\system32\aedgxobivm.exe c:\WINDOWS\system32\gigbpgfibeglg.dll-uninst.exe c:\WINDOWS\unin040c.exe . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\WINDOWS\system32\aedgxobivm.exe c:\WINDOWS\system32\gigbpgfibeglg.dll-uninst.exe c:\WINDOWS\unin040c.exe . ((((((((((((((((((((((((((((( Fichiers créés du 2008-09-07 au 2008-10-07 )))))))))))))))))))))))))))))))))))) . 2008-10-07 12:46 . 2008-10-07 12:46 1,910 --a------ C:\Documents and Settings\Orph.egd 2008-10-07 12:44 . 2008-10-07 12:47 d-------- C:\ToolBar SD 2008-10-07 10:30 . 2008-10-07 10:30 d-------- C: sit 2008-10-07 09:58 . 2008-10-07 09:58 579,584 --a--c--- C:\WINDOWS\system32\dllcache\user32.dll 2008-10-07 09:55 . 2008-10-07 09:55 d-------- C:\WINDOWS\ERUNT 2008-10-07 09:08 . 2008-10-07 10:17 d-------- C:\SDFix 2008-10-05 18:41 . 2008-10-05 18:41 2,544 --a------ C:\WINDOWS\system32\OEMINFO.PNF 2008-10-05 12:21 . 2007-11-27 22:56 116,416 --a------ C:\WINDOWS\system32\drivers\msfwhlpr.sys 2008-10-05 12:21 . 2007-11-27 22:56 91,328 --a------ C:\WINDOWS\system32\drivers\msfwdrv.sys 2008-10-05 12:18 . 2008-05-15 16:15 53,168 --a------ C:\WINDOWS\system32\drivers\MpFilter.sys 2008-10-05 12:13 . 2008-10-06 12:47 d-------- C:\Program Files\Microsoft Windows OneCare Live 2008-10-02 20:28 . 2008-10-02 20:28 d-------- C:\Documents and Settings\mathieu l blais\WINDOWS 2008-10-02 10:09 . 2008-04-27 10:33 765,952 --a------ C:\WINDOWS\system32\xvidcore.dll 2008-10-02 10:09 . 2008-04-27 10:35 180,224 --a------ C:\WINDOWS\system32\xvidvfw.dll 2008-10-02 10:09 . 2007-06-28 18:55 77,824 --a------ C:\WINDOWS\system32\xvid.ax 2008-09-26 23:38 . 2008-09-29 20:40 58 --a------ C:\WINDOWS\cdplayer.ini 2008-09-26 23:22 . 2008-10-01 08:39 d-------- C:\Program Files\Real 2008-09-26 23:22 . 2008-10-01 08:39 d-------- C:\Program Files\Fichiers communs\Real 2008-09-15 19:42 . 2008-09-15 19:45 d-------- C:\Program Files\QuickTime 2008-09-15 19:21 . 2008-09-15 19:21 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-09-15 19:21 . 2008-09-15 19:21 1,409 --a------ C:\WINDOWS\QTFont.for 2008-09-14 14:21 . 2008-09-14 14:21 d-------- C:\Program Files\Sun 2008-09-14 14:21 . 2008-09-14 14:21 410,976 --a------ C:\WINDOWS\system32\deploytk.dll 2008-09-08 12:01 . 2008-09-08 12:19 d-------- C:\Documents and Settings\mathieu l blais\Application Data\U3 2008-09-07 13:29 . 2008-09-07 13:29 d-------- C:\Documents and Settings\mathieu l blais\Application Data\SecuROM 2008-09-07 13:29 . 2008-09-07 13:30 d-------- C:\Documents and Settings\mathieu l blais\Application Data\ldoce4 2008-09-07 13:29 . 2008-09-07 13:29 126,976 --a------ C:\WINDOWS\system32\UAService7.exe 2008-09-07 13:29 . 2008-09-07 13:29 90,112 --a------ C:\WINDOWS\system32\CmdLineExt.dll 2008-09-07 13:20 . 2008-09-07 13:20 d-------- C:\Program Files\TEXTware 2008-09-07 13:20 . 2008-09-07 13:20 d-------- C:\Program Files\IDM 2008-09-07 13:20 . 1998-10-22 05:01 1,888,744 --a------ C:\WINDOWS\system32\VCL40.BPL 2008-09-07 13:20 . 2003-04-29 19:09 205,312 --a------ C:\WINDOWS\system32\Illprs.dll 2008-09-07 13:20 . 2002-08-01 16:44 160,768 --a------ C:\WINDOWS\system32\ILLKRN.DLL 2008-09-07 13:20 . 2004-06-10 11:29 48,128 --a------ C:\WINDOWS\system32\QFClient.ILX . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-03 00:24 --------- d-----w C:\Documents and Settings\mathieu l blais\Application Data\LimeWire 2008-10-02 20:43 --------- d-----w C:\Program Files\Fichiers communs\Apple 2008-10-01 12:35 --------- d-----w C:\Program Files\Google 2008-09-14 18:21 --------- d-----w C:\Program Files\Java 2008-09-11 01:05 --------- d-----w C:\Program Files\Messenger Plus! Live 2008-09-10 11:50 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help 2008-09-07 17:20 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-09-04 16:53 --------- d-----w C:\Program Files\Microsoft Silverlight 2008-09-04 12:41 278,016 ----a-w C:\WINDOWS\system32\vct3216.dll 2008-09-03 10:54 --------- d-----w C:\Program Files\Apple Software Update 2008-08-27 13:47 --------- d-----w C:\Program Files\HP 2008-08-17 17:58 --------- d-----w C:\Program Files\myBabylon 2008-08-17 17:58 --------- d-----w C:\Program Files\Conduit 2008-07-19 02:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll 2008-07-19 02:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe 2008-07-19 02:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll 2008-07-19 02:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll 2008-07-19 02:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll 2008-07-19 02:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll 2008-07-19 02:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll 2008-07-19 02:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll 2008-07-19 02:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll 2008-07-19 02:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll 2008-07-07 20:28 253,952 ----a-w C:\WINDOWS\system32\es.dll . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{34ea1c70-42cc-42c5-aa29-ec58b95a343e}"= "C:\Program Files\myBabylon bmyBa.dll" [2008-08-05 1610264] [HKEY_CLASSES_ROOT\clsid\{34ea1c70-42cc-42c5-aa29-ec58b95a343e}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{34ea1c70-42cc-42c5-aa29-ec58b95a343e}] 2008-08-05 02:13 1610264 --a------ C:\Program Files\myBabylon bmyBa.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{34ea1c70-42cc-42c5-aa29-ec58b95a343e}"= "C:\Program Files\myBabylon bmyBa.dll" [2008-08-05 1610264] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser] "{34EA1C70-42CC-42C5-AA29-EC58B95A343E}"= "C:\Program Files\myBabylon bmyBa.dll" [2008-08-05 1610264] [HKEY_CLASSES_ROOT\clsid\{34ea1c70-42cc-42c5-aa29-ec58b95a343e}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-13 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952] "PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168] "PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168] "Apoint"="C:\Program Files\Apoint2K\Apoint.exe" [2003-10-07 159744] "OneCareUI"="C:\Program Files\Microsoft Windows OneCare Live\winssnotify.exe" [2008-08-08 67112] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-13 15360] C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2003-09-16 237568] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.divxa32"= divxa32.acm [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\OneCareMP] @="Service" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "C:\Program Files\Messenger\msmsgs.exe"= "C:\Documents and Settings\mathieu l blais\Mes documents\mateo\gramant\BitComet\BitComet.exe"= "C:\Program Files\LimeWire\LimeWire.exe"= "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "C:\Program Files\Windows Live\Messenger\livecall.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "7766:TCP"= 7766:TCP:BitComet 7766 TCP "7766:UDP"= 7766:UDP:BitComet 7766 UDP R0 atiide;atiide;C:\WINDOWS\system32\DRIVERS\atiide.sys [2004-04-14 5632] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d3c23588-7223-11dd-a81c-000fb042299b}] \Shell\Shell00\Command - E:\Start.exe *Newly Created Service* - PROCEXP90 . Contenu du dossier 'Tâches planifiées' 2008-09-11 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34] 2008-10-07 C:\WINDOWS\Tasks\GoogleUpdateTaskUser.job - C:\Documents and Settings\mathieu l blais\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2008-09-02 19:42] 2007-10-26 C:\WINDOWS\Tasks\Symantec NetDetect.job - C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE [2003-09-09 13:39] . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-07 15:40:10 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . --------------------- DLLs chargées dans les processus actifs --------------------- PROCESSUS: C:\WINDOWS\system32\winlogon.exe -> C:\WINDOWS\system32\Ati2evxx.dll . Heure de fin: 2008-10-07 15:43:06 ComboFix-quarantined-files.txt 2008-10-07 19:43:00 ComboFix2.txt 2008-10-07 16:33:00 Avant-CF: 65 040 228 352 octets libres Après-CF: 65,039,634,432 octets libres 156 --- E O F --- 2008-10-05 05:49:47 ********************************************* ********************************************* Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:59:22, on 2008-10-07 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Microsoft Windows OneCare Live\Antivirus\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svchost.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\Program Files\Microsoft Windows OneCare Live\OcHealthMon.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\UAService7.exe C:\Program Files\Microsoft Windows OneCare Live\Firewall\msfwsvc.exe C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe C:\Program Files\Microsoft Windows OneCare Live\winss.exe C:\Program Files\Apoint2K\Apoint.exe C:\Program Files\Microsoft Windows OneCare Live\winssnotify.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Program Files\Apoint2K\Apntex.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Documents and Settings\mathieu l blais\Bureau\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://ici.radio-canada.ca/regions/saguenay-lac/index.shtml R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www8.hp.com/fr/fr/home.html R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: myBabylon Toolbar - {34ea1c70-42cc-42c5-aa29-ec58b95a343e} - C:\Program Files\myBabylon bmyBa.dll O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: myBabylon Toolbar - {34ea1c70-42cc-42c5-aa29-ec58b95a343e} - C:\Program Files\myBabylon bmyBa.dll O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Documents and Settings\mathieu l blais\Mes documents\mateo\gramant\BitComet ools\BitCometBHO_1.1.9.24.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\PROGRA~1\IDM\QUICKF~1\PlugIns\IEHelp.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: myBabylon Toolbar - {34ea1c70-42cc-42c5-aa29-ec58b95a343e} - C:\Program Files\myBabylon bmyBa.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [OneCareUI] "C:\Program Files\Microsoft Windows OneCare Live\winssnotify.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Documents and Settings\mathieu l blais\Mes documents\mateo\gramant\BitComet\BitComet.exe/AddLink.htm O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Documents and Settings\mathieu l blais\Mes documents\mateo\gramant\BitComet\BitComet.exe/AddVideo.htm O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Documents and Settings\mathieu l blais\Mes documents\mateo\gramant\BitComet\BitComet.exe/AddAllLink.htm O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Documents and Settings\mathieu l blais\Mes documents\mateo\gramant\BitComet ools\BitCometBHO_1.1.9.24.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: CabBuilder - http://ak.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab O16 - DPF: {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0} (Facebook Photo Uploader 4 Control) - http://upload.facebook.com/controls/FacebookPhotoUploader3.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {F5D98C43-DB16-11CF-8ECA-0000C0FD59C7} - http://infolot.mrnf.gouv.qc.ca/ACGM/acgm.cab O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

Lyonnais92 · Answer

Re,

fais comme ça :

Lis bien et exécute cette manip dans l’ordre.

#Télécharge et installe ces logiciels (si tu ne les as pas) pour les 3 premiers
mets les à jour, comme indiqué dans les démos ou tutos.

Ne les utilise pas tout de suite.


Antispywares et autres :
 
Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton bureau à partir de ce lien :

https://www.malwarebytes.com/

A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue.


Nettoyeurs (de fichiers inutiles) et autres :

*Ccleaner (gratuit)
Téléchargement :
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
Tuto :
https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

Lors de l’installation, [décoche] l’option qui t’installerait la barre Yahoo !

========================================
->Affiche tous les fichiers et dossiers :
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

[Coche] « afficher les dossiers et fichiers cachés »

[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

[Décoche] « masquer les extensions dont le type est connu »

Puis fais [appliquer] pour valider les changements.

Et [Ok]
========================================
-> Relance HijackThis cliques sur « scanner seulement » ou (« do a scan only »),
coche les cases devant ces lignes :

R3 - URLSearchHook: myBabylon Toolbar - {34ea1c70-42cc-42c5-aa29-ec58b95a343e} - C:\Program Files\myBabylon	bmyBa.dll  
O2 - BHO: myBabylon Toolbar - {34ea1c70-42cc-42c5-aa29-ec58b95a343e} - C:\Program Files\myBabylon	bmyBa.dll 
O3 - Toolbar: myBabylon Toolbar - {34ea1c70-42cc-42c5-aa29-ec58b95a343e} - C:\Program Files\myBabylon	bmyBa.dll


et ensuite ferme toutes les fenêtres actives autres que HijackThis!, navigateur inclus,
puis clique "Fix checked"( ou « fixer objet »). Ferme HijackThis!
========================================
 

=======================================

->Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec
puis tape « entrée ».
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
========================================
->Recherche et supprime ces fichiers en gras (si présents) :

C:\Program Files\myBabylon	bmyBa.dll  
C:\Program Files\myBabylonl  

========================================
->Lance CCleaner.

Suppression des fichiers temporaires

Va dans la section "Options" situé dans la marge gauche.
Décoche "Avancé"
Retourne ensuite dans la section "Nettoyeur"
Fais bien attention de cocher toutes ces cases dans la marge gauche (Internet Explorer/Windows Explorer/Système)
• Clique sur [Analyse]
• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
• Une fois le scan terminé, clique sur [Lancer le Nettoyage]



========================================
Lance Malwarebytes AntiMalware

Dans l'onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

MBAM analyse ton ordinateur. L'analyse peut prendre un certain teps. Il suffit de vérifier de temps en temps son avancement.

A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Ferme le bloc-note. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

Ferme MBAM en cliquant sur Quitter. 
========================================

->Relance CCleaner.
Suppression des incohérences du registre

• Clique sur l'icône [Registre] situés dans la marge à gauche
• Puis clique sur [Analyser les erreurs]
• Patiente pendant que CCleaner scan ton registre.
• Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
• Tu peux cliquer ensuite sur [Corriger les erreurs].

Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrées cochées pour les restaurer ultérieurement.
========================================
->Vide ta Corbeille.
========================================
->Redémarre en mode normal,


- > Ouvre ce lien pour scanner ton PC avec un BitDefender en ligne (uniquement sous Internet Explorer) :

https://www.bitdefender.com/toolbox/

Utilisation :
Cliquer sur "J'accepte" puis accepter également l'ActiveX bloqué par la barre anti-popup du SP2 qui clignotera en haut et l'installer.
Ensuite, cliquer sur "Cliquez ici pour scanner".
Patienter jusqu'à la fin du scan qui peut durer assez longtemps...

Copier/coller le rapport entier sur le forum.

Tutoriel en images ici : http://pageperso.aol.fr/rginformatique/mapage/defender.htm (merci à Balltrap34 pour cette réalisation)
[Recoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

Relance Hijackthis et copie/colle un nouveau rapport sur le forum.

Et dis moi ou en sont tes problèmes s’il t’en reste.

MALBO · Answer

re,

voici les raports, BitDefender disait qu'il y avait au moins un fichier infecté qu'il ne pouvait pas désinfecter.






Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1240
Windows 5.1.2600 Service Pack 3

2008-10-07 21:43:22
mbam-log-2008-10-07 (21-43-22).txt

Type de recherche: Examen complet (C:\|E:\|F:\|)
Eléments examinés: 92508
Temps écoulé: 1 hour(s), 21 minute(s), 14 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b} (Adware.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)



***************************
***************************


BitDefender Online Scanner - Real Time Virus Report

 

 

Generated at: Wed, Oct 08, 2008 - 16:10:47

 

 

 

Scan Info

 

 

Scanned Files

261133

Infected Files

1

 

 

Virus Detected

 

 

Trojan.Zlob.9156

1

 

 
 

This summary of the scan process will be used by the BitDefender Antivirus Lab to create agregate statistics about virus activity around the world.





*****************************
*****************************



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:19:26, on 2008-10-08
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Microsoft Windows OneCare Live\Antivirus\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Microsoft Windows OneCare Live\OcHealthMon.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Program Files\Microsoft Windows OneCare Live\Firewall\msfwsvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\Program Files\Microsoft Windows OneCare Live\winss.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Microsoft Windows OneCare Live\winssnotify.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Documents and Settings\mathieu l blais\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
C:\Documents and Settings\mathieu l blais\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\mathieu l blais\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\mathieu l blais\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://ici.radio-canada.ca/regions/saguenay-lac/index.shtml
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www8.hp.com/fr/fr/home.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Documents and Settings\mathieu l blais\Mes documents\mateo\gramant\BitComet	ools\BitCometBHO_1.1.9.24.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\PROGRA~1\IDM\QUICKF~1\PlugIns\IEHelp.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [OneCareUI] "C:\Program Files\Microsoft Windows OneCare Live\winssnotify.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Documents and Settings\mathieu l blais\Mes documents\mateo\gramant\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Documents and Settings\mathieu l blais\Mes documents\mateo\gramant\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Documents and Settings\mathieu l blais\Mes documents\mateo\gramant\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Documents and Settings\mathieu l blais\Mes documents\mateo\gramant\BitComet	ools\BitCometBHO_1.1.9.24.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: CabBuilder - http://ak.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0} - http://upload.facebook.com/controls/FacebookPhotoUploader3.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F5D98C43-DB16-11CF-8ECA-0000C0FD59C7} - http://infolot.mrnf.gouv.qc.ca/ACGM/acgm.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

Lyonnais92 · Answer

Re,

Bit Defender n'a pas eu la gentillesse de te dire dans quel fichier était ce zlob ?

MALBO · Answer

dans le rapport il ne le dise pas ... j'ai refais un scan, pendant le scan il me donne le fichier

je te le réécris à la main, je vérifie deux fois, il ne devrait pas avoir d'erreur

c:\DocumentsandSettings\mathieulblais\LocalSettings\ApplicationDatakiweeToolbar1.2.116.msi


voilà,

MLB

Lyonnais92 · Answer

Re,

Copie ou imprime les instructions avant

Déconnecte toi d'internet et ferme toutes tes applications.

Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
 
File::
c:\Documents and Settings\mathieulblais\LocalSettings\Applicat­ionData\kiweeToolbar1.2.116.msi

 


Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Réactive ton parefeu, ton antivirus, la garde de ton antispyware

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Remets aussi un rapport Hijackthis


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.

MALBO · Answer

re, les rapports, ComboFix 08-10-06.08 - mathieu l blais 2008-10-08 19:14:14.3 - NTFSx86 Lancé depuis: C:\Documents and Settings\mathieu l blais\Bureau\ComboFix.exe Commutateurs utilisés :: C:\Documents and Settings\mathieu l blais\Bureau\CFscript.txt * Un nouveau point de restauration a été créé FILE :: c:\Documents and Settings\mathieulblais\LocalSettings\ApplicationData\kiweeToolbar1.2.116.msi . ((((((((((((((((((((((((((((( Fichiers créés du 2008-09-08 au 2008-10-08 )))))))))))))))))))))))))))))))))))) . 2008-10-08 14:23 . 2008-10-08 14:23 d-------- C:\WINDOWS\LastGood 2008-10-08 14:23 . 2008-10-08 17:10 d-------- C:\WINDOWS\BDOSCAN8 2008-10-07 20:00 . 2008-10-07 20:00 d-------- C:\Program Files\CCleaner 2008-10-07 19:53 . 2008-10-07 19:53 d-------- C:\Program Files\Malwarebytes' Anti-Malware 2008-10-07 19:53 . 2008-10-07 19:53 d-------- C:\Documents and Settings\mathieu l blais\Application Data\Malwarebytes 2008-10-07 19:53 . 2008-10-07 19:53 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-10-07 19:53 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-10-07 19:53 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-10-07 12:46 . 2008-10-07 12:46 1,910 --a------ C:\Documents and Settings\Orph.egd 2008-10-07 12:44 . 2008-10-07 12:47 d-------- C:\ToolBar SD 2008-10-07 10:30 . 2008-10-07 10:30 d-------- C: sit 2008-10-07 09:58 . 2008-10-07 09:58 579,584 --a--c--- C:\WINDOWS\system32\dllcache\user32.dll 2008-10-07 09:55 . 2008-10-07 09:55 d-------- C:\WINDOWS\ERUNT 2008-10-07 09:08 . 2008-10-07 10:17 d-------- C:\SDFix 2008-10-05 18:41 . 2008-10-05 18:41 2,544 --a------ C:\WINDOWS\system32\OEMINFO.PNF 2008-10-05 12:21 . 2007-11-27 22:56 116,416 --a------ C:\WINDOWS\system32\drivers\msfwhlpr.sys 2008-10-05 12:21 . 2007-11-27 22:56 91,328 --a------ C:\WINDOWS\system32\drivers\msfwdrv.sys 2008-10-05 12:18 . 2008-05-15 16:15 53,168 --a------ C:\WINDOWS\system32\drivers\MpFilter.sys 2008-10-05 12:13 . 2008-10-07 18:47 d-------- C:\Program Files\Microsoft Windows OneCare Live 2008-10-02 20:28 . 2008-10-02 20:28 d-------- C:\Documents and Settings\mathieu l blais\WINDOWS 2008-10-02 10:09 . 2008-04-27 10:33 765,952 --a------ C:\WINDOWS\system32\xvidcore.dll 2008-10-02 10:09 . 2008-04-27 10:35 180,224 --a------ C:\WINDOWS\system32\xvidvfw.dll 2008-10-02 10:09 . 2007-06-28 18:55 77,824 --a------ C:\WINDOWS\system32\xvid.ax 2008-09-26 23:38 . 2008-09-29 20:40 58 --a------ C:\WINDOWS\cdplayer.ini 2008-09-26 23:22 . 2008-10-01 08:39 d-------- C:\Program Files\Real 2008-09-26 23:22 . 2008-10-01 08:39 d-------- C:\Program Files\Fichiers communs\Real 2008-09-15 19:42 . 2008-09-15 19:45 d-------- C:\Program Files\QuickTime 2008-09-15 19:21 . 2008-09-15 19:21 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-09-15 19:21 . 2008-09-15 19:21 1,409 --a------ C:\WINDOWS\QTFont.for 2008-09-14 14:21 . 2008-09-14 14:21 d-------- C:\Program Files\Sun 2008-09-14 14:21 . 2008-09-14 14:21 410,976 --a------ C:\WINDOWS\system32\deploytk.dll 2008-09-08 12:01 . 2008-09-08 12:19 d-------- C:\Documents and Settings\mathieu l blais\Application Data\U3 . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-08 15:15 --------- d-----w C:\Documents and Settings\mathieu l blais\Application Data\Audacity 2008-10-08 00:05 --------- d-----w C:\Program Files\myBabylon 2008-10-03 00:24 --------- d-----w C:\Documents and Settings\mathieu l blais\Application Data\LimeWire 2008-10-02 20:43 --------- d-----w C:\Program Files\Fichiers communs\Apple 2008-10-01 12:35 --------- d-----w C:\Program Files\Google 2008-09-14 18:21 --------- d-----w C:\Program Files\Java 2008-09-11 01:05 --------- d-----w C:\Program Files\Messenger Plus! Live 2008-09-10 11:50 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help 2008-09-07 17:30 --------- d-----w C:\Documents and Settings\mathieu l blais\Application Data\ldoce4 2008-09-07 17:29 90,112 ----a-w C:\WINDOWS\system32\CmdLineExt.dll 2008-09-07 17:29 126,976 ----a-w C:\WINDOWS\system32\UAService7.exe 2008-09-07 17:29 --------- d-----w C:\Documents and Settings\mathieu l blais\Application Data\SecuROM 2008-09-07 17:20 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-09-07 17:20 --------- d-----w C:\Program Files\TEXTware 2008-09-07 17:20 --------- d-----w C:\Program Files\IDM 2008-09-04 16:53 --------- d-----w C:\Program Files\Microsoft Silverlight 2008-09-04 12:41 278,016 ----a-w C:\WINDOWS\system32\vct3216.dll 2008-09-03 10:54 --------- d-----w C:\Program Files\Apple Software Update 2008-08-27 13:47 --------- d-----w C:\Program Files\HP 2008-08-17 17:58 --------- d-----w C:\Program Files\Conduit 2008-07-19 02:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll 2008-07-19 02:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe 2008-07-19 02:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll 2008-07-19 02:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll 2008-07-19 02:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll 2008-07-19 02:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll 2008-07-19 02:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll 2008-07-19 02:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll 2008-07-19 02:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll 2008-07-19 02:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll . ((((((((((((((((((((((((((((( snapshot@2008-10-07_12.31.43.56 ))))))))))))))))))))))))))))))))))))))))) . + 2008-10-08 18:26:44 45,056 ----a-w C:\WINDOWS\BDOSCAN8\avxdisk.dll + 2008-10-08 18:26:45 10,240 ----a-w C:\WINDOWS\BDOSCAN8\avxs.dll + 2008-10-08 18:26:46 27,136 ----a-w C:\WINDOWS\BDOSCAN8\avxt.dll + 2008-10-08 18:26:48 102,400 ----a-w C:\WINDOWS\BDOSCAN8\bdcore.dll + 2008-01-09 19:01:48 118,784 ----a-w C:\WINDOWS\BDOSCAN8\bdupd.dll + 2008-01-09 19:01:48 53,248 ----a-w C:\WINDOWS\BDOSCAN8\ipsupd.dll + 2008-10-08 18:26:50 142,848 ----a-w C:\WINDOWS\BDOSCAN8\libfn.dll + 2008-10-08 18:26:46 86,016 ----a-w C:\WINDOWS\BDOSCAN8\librtvr.dll + 2008-01-09 19:01:48 53,248 ----a-w C:\WINDOWS\bdoscandel.exe + 2008-01-09 19:01:48 118,784 ----a-w C:\WINDOWS\Downloaded Program Files\bdupd.dll + 2008-01-09 19:01:48 53,248 ----a-w C:\WINDOWS\Downloaded Program Files\ipsupd.dll + 2008-10-08 18:07:51 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_27c.dat + 2008-10-08 18:05:44 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_760.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-13 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952] "PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168] "PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168] "Apoint"="C:\Program Files\Apoint2K\Apoint.exe" [2003-10-07 159744] "OneCareUI"="C:\Program Files\Microsoft Windows OneCare Live\winssnotify.exe" [2008-08-08 67112] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-13 15360] C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2003-09-16 237568] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.divxa32"= divxa32.acm [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\OneCareMP] @="Service" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "C:\Program Files\Messenger\msmsgs.exe"= "C:\Documents and Settings\mathieu l blais\Mes documents\mateo\gramant\BitComet\BitComet.exe"= "C:\Program Files\LimeWire\LimeWire.exe"= "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "C:\Program Files\Windows Live\Messenger\livecall.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "7766:TCP"= 7766:TCP:BitComet 7766 TCP "7766:UDP"= 7766:UDP:BitComet 7766 UDP R0 atiide;atiide;C:\WINDOWS\system32\DRIVERS\atiide.sys [2004-04-14 5632] R2 JavaQuickStarterService;Java Quick Starter;C:\Program Files\Java\jre6\bin\jqs.exe [2008-09-14 147456] R2 OcHealthMon;Windows Live OneCare Health Monitor;C:\Program Files\Microsoft Windows OneCare Live\OcHealthMon.exe [2008-08-08 28200] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d3c23588-7223-11dd-a81c-000fb042299b}] \Shell\Shell00\Command - E:\Start.exe . Contenu du dossier 'Tâches planifiées' 2008-09-11 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34] 2008-10-08 C:\WINDOWS\Tasks\GoogleUpdateTaskUser.job - C:\Documents and Settings\mathieu l blais\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2008-09-02 19:42] 2007-10-26 C:\WINDOWS\Tasks\Symantec NetDetect.job - C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE [2003-09-09 13:39] . - - - - ORPHELINS SUPPRIMES - - - - WebBrowser-{34EA1C70-42CC-42C5-AA29-EC58B95A343E} - (no file) ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-08 19:17:25 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . --------------------- DLLs chargées dans les processus actifs --------------------- PROCESSUS: C:\WINDOWS\system32\winlogon.exe -> C:\WINDOWS\system32\Ati2evxx.dll . Heure de fin: 2008-10-08 19:20:58 ComboFix-quarantined-files.txt 2008-10-08 23:20:33 ComboFix2.txt 2008-10-07 19:43:08 ComboFix3.txt 2008-10-07 16:33:00 Avant-CF: 64 333 561 856 octets libres Après-CF: 64,325,287,936 octets libres 162 --- E O F --- 2008-10-05 05:49:47 ***************************** ***************************** Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:25:14, on 2008-10-08 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Microsoft Windows OneCare Live\Antivirus\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Program Files\Microsoft Windows OneCare Live\OcHealthMon.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\UAService7.exe C:\Program Files\Microsoft Windows OneCare Live\Firewall\msfwsvc.exe C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe C:\Program Files\Microsoft Windows OneCare Live\winss.exe C:\Program Files\Apoint2K\Apoint.exe C:\Program Files\Microsoft Windows OneCare Live\winssnotify.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe C:\Program Files\Apoint2K\Apntex.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Documents and Settings\mathieu l blais\Local Settings\Application Data\Google\Update\GoogleUpdate.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32 otepad.exe C:\Documents and Settings\mathieu l blais\Bureau\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://ici.radio-canada.ca/regions/saguenay-lac/index.shtml R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www8.hp.com/fr/fr/home.html R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Documents and Settings\mathieu l blais\Mes documents\mateo\gramant\BitComet ools\BitCometBHO_1.1.9.24.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\PROGRA~1\IDM\QUICKF~1\PlugIns\IEHelp.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [OneCareUI] "C:\Program Files\Microsoft Windows OneCare Live\winssnotify.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Documents and Settings\mathieu l blais\Mes documents\mateo\gramant\BitComet\BitComet.exe/AddLink.htm O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Documents and Settings\mathieu l blais\Mes documents\mateo\gramant\BitComet\BitComet.exe/AddVideo.htm O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Documents and Settings\mathieu l blais\Mes documents\mateo\gramant\BitComet\BitComet.exe/AddAllLink.htm O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Documents and Settings\mathieu l blais\Mes documents\mateo\gramant\BitComet ools\BitCometBHO_1.1.9.24.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: CabBuilder - http://ak.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab O16 - DPF: {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0} - http://upload.facebook.com/controls/FacebookPhotoUploader3.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {F5D98C43-DB16-11CF-8ECA-0000C0FD59C7} - http://infolot.mrnf.gouv.qc.ca/ACGM/acgm.cab O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

Lyonnais92 · Answer

Re,

le rapport de Bit defender est propre ou il y a encore un problème ?

rospotov · Answer

bonjour,

peux-tu rechercher cette clé de registre, dans ton registre, svp;

{1a8a0d1f-e823-b1e4-42ae-024aa3c2333e}

1- si elle existe, peux-tu cliquer sur toutes les arborescence disponible, faire une capture d'écran, l'héberger sur imageshack.us et nous envoyer le lien ici?

MALBO · Answer

re,


lyonnais92
pour le bit defender l'analyse est en cours


rospotov, je suis désolé mais je ne sais pas qu'est-ce que le registre dont vous parlez ... 


MLB

MALBO · Answer

re,


Bit Defender a encore détecté le même fichier infecté,  j'ai remarqué qu'entre le fichier que vous m'aviez dit de copier dans un fichier text et de glisser sur combofix.exe  il y avait une différence


voici ce que vous m'aviez envoyé,

File::
c:\Documents and Settings\mathieulblais\LocalSettings\Applicat­ionData\kiweeToolbar1.2.116.msi


dans bit defender il n'y a pas de '' \ ''  entre   '' Data '' et  '' kiwee ''.


MLB

Lyonnais92 · Answer

Re,

on va en avoir le coeur net :

Copie ou imprime les instructions avant

Déconnecte toi d'internet et ferme toutes tes applications.

Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

Dirlook::
c:\Documents and Settings\mathieulblais\LocalSettings\Applicat­ionData


Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Réactive ton parefeu, ton antivirus, la garde de ton antispyware

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.



Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.

MALBO · Answer

voilà, ComboFix 08-10-06.08 - mathieu l blais 2008-10-09 8:20:07.4 - NTFSx86 Lancé depuis: C:\Documents and Settings\mathieu l blais\Bureau\ComboFix.exe Commutateurs utilisés :: C:\Documents and Settings\mathieu l blais\Bureau\CFscript.txt * Un nouveau point de restauration a été créé . ((((((((((((((((((((((((((((( Fichiers créés du 2008-09-09 au 2008-10-09 )))))))))))))))))))))))))))))))))))) . 2008-10-08 14:23 . 2008-10-08 20:25 d-------- C:\WINDOWS\BDOSCAN8 2008-10-07 20:00 . 2008-10-07 20:00 d-------- C:\Program Files\CCleaner 2008-10-07 19:53 . 2008-10-07 19:53 d-------- C:\Program Files\Malwarebytes' Anti-Malware 2008-10-07 19:53 . 2008-10-07 19:53 d-------- C:\Documents and Settings\mathieu l blais\Application Data\Malwarebytes 2008-10-07 19:53 . 2008-10-07 19:53 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-10-07 19:53 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-10-07 19:53 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-10-07 12:46 . 2008-10-07 12:46 1,910 --a------ C:\Documents and Settings\Orph.egd 2008-10-07 12:44 . 2008-10-07 12:47 d-------- C:\ToolBar SD 2008-10-07 10:30 . 2008-10-07 10:30 d-------- C: sit 2008-10-07 09:58 . 2008-10-07 09:58 579,584 --a--c--- C:\WINDOWS\system32\dllcache\user32.dll 2008-10-07 09:55 . 2008-10-07 09:55 d-------- C:\WINDOWS\ERUNT 2008-10-07 09:08 . 2008-10-07 10:17 d-------- C:\SDFix 2008-10-05 18:41 . 2008-10-05 18:41 2,544 --a------ C:\WINDOWS\system32\OEMINFO.PNF 2008-10-05 12:21 . 2007-11-27 22:56 116,416 --a------ C:\WINDOWS\system32\drivers\msfwhlpr.sys 2008-10-05 12:21 . 2007-11-27 22:56 91,328 --a------ C:\WINDOWS\system32\drivers\msfwdrv.sys 2008-10-05 12:18 . 2008-05-15 16:15 53,168 --a------ C:\WINDOWS\system32\drivers\MpFilter.sys 2008-10-05 12:13 . 2008-10-09 08:11 d-------- C:\Program Files\Microsoft Windows OneCare Live 2008-10-02 20:28 . 2008-10-02 20:28 d-------- C:\Documents and Settings\mathieu l blais\WINDOWS 2008-10-02 10:09 . 2008-04-27 10:33 765,952 --a------ C:\WINDOWS\system32\xvidcore.dll 2008-10-02 10:09 . 2008-04-27 10:35 180,224 --a------ C:\WINDOWS\system32\xvidvfw.dll 2008-10-02 10:09 . 2007-06-28 18:55 77,824 --a------ C:\WINDOWS\system32\xvid.ax 2008-09-26 23:38 . 2008-09-29 20:40 58 --a------ C:\WINDOWS\cdplayer.ini 2008-09-26 23:22 . 2008-10-01 08:39 d-------- C:\Program Files\Real 2008-09-26 23:22 . 2008-10-01 08:39 d-------- C:\Program Files\Fichiers communs\Real 2008-09-15 19:42 . 2008-09-15 19:45 d-------- C:\Program Files\QuickTime 2008-09-15 19:21 . 2008-09-15 19:21 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-09-15 19:21 . 2008-09-15 19:21 1,409 --a------ C:\WINDOWS\QTFont.for 2008-09-14 14:21 . 2008-09-14 14:21 d-------- C:\Program Files\Sun 2008-09-14 14:21 . 2008-09-14 14:21 410,976 --a------ C:\WINDOWS\system32\deploytk.dll . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-08 15:15 --------- d-----w C:\Documents and Settings\mathieu l blais\Application Data\Audacity 2008-10-08 00:05 --------- d-----w C:\Program Files\myBabylon 2008-10-03 00:24 --------- d-----w C:\Documents and Settings\mathieu l blais\Application Data\LimeWire 2008-10-02 20:43 --------- d-----w C:\Program Files\Fichiers communs\Apple 2008-10-01 12:35 --------- d-----w C:\Program Files\Google 2008-09-14 18:21 --------- d-----w C:\Program Files\Java 2008-09-11 01:05 --------- d-----w C:\Program Files\Messenger Plus! Live 2008-09-10 11:50 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help 2008-09-08 16:19 --------- d-----w C:\Documents and Settings\mathieu l blais\Application Data\U3 2008-09-07 17:30 --------- d-----w C:\Documents and Settings\mathieu l blais\Application Data\ldoce4 2008-09-07 17:29 90,112 ----a-w C:\WINDOWS\system32\CmdLineExt.dll 2008-09-07 17:29 126,976 ----a-w C:\WINDOWS\system32\UAService7.exe 2008-09-07 17:29 --------- d-----w C:\Documents and Settings\mathieu l blais\Application Data\SecuROM 2008-09-07 17:20 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-09-07 17:20 --------- d-----w C:\Program Files\TEXTware 2008-09-07 17:20 --------- d-----w C:\Program Files\IDM 2008-09-04 16:53 --------- d-----w C:\Program Files\Microsoft Silverlight 2008-09-04 12:41 278,016 ----a-w C:\WINDOWS\system32\vct3216.dll 2008-09-03 10:54 --------- d-----w C:\Program Files\Apple Software Update 2008-08-27 13:47 --------- d-----w C:\Program Files\HP 2008-08-17 17:58 --------- d-----w C:\Program Files\Conduit 2008-07-19 02:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll 2008-07-19 02:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe 2008-07-19 02:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll 2008-07-19 02:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll 2008-07-19 02:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll 2008-07-19 02:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll 2008-07-19 02:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll 2008-07-19 02:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll 2008-07-19 02:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll 2008-07-19 02:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll . (((((((((((((((((((((((((((((((((((((((((((( Look ))))))))))))))))))))))))))))))))))))))))))))))))))))))))) . ---- Directory of c:\Documents and Settings\mathieulblais\LocalSettings\Applicat ionData ---- c:\Documents and Settings\mathieulblais\LocalSettings\Applicat ionData\ ((((((((((((((((((((((((((((( snapshot@2008-10-07_12.31.43.56 ))))))))))))))))))))))))))))))))))))))))) . + 2008-10-08 18:26:44 45,056 ----a-w C:\WINDOWS\BDOSCAN8\avxdisk.dll + 2008-10-08 18:26:45 10,240 ----a-w C:\WINDOWS\BDOSCAN8\avxs.dll + 2008-10-08 18:26:46 27,136 ----a-w C:\WINDOWS\BDOSCAN8\avxt.dll + 2008-10-08 18:26:48 102,400 ----a-w C:\WINDOWS\BDOSCAN8\bdcore.dll + 2008-01-09 19:01:48 118,784 ----a-w C:\WINDOWS\BDOSCAN8\bdupd.dll + 2008-01-09 19:01:48 53,248 ----a-w C:\WINDOWS\BDOSCAN8\ipsupd.dll + 2008-10-08 18:26:50 142,848 ----a-w C:\WINDOWS\BDOSCAN8\libfn.dll + 2008-10-08 18:26:46 86,016 ----a-w C:\WINDOWS\BDOSCAN8\librtvr.dll + 2008-01-09 19:01:48 53,248 ----a-w C:\WINDOWS\bdoscandel.exe + 2008-01-09 19:01:48 118,784 ----a-w C:\WINDOWS\Downloaded Program Files\bdupd.dll + 2008-01-09 19:01:48 53,248 ----a-w C:\WINDOWS\Downloaded Program Files\ipsupd.dll + 2008-10-09 12:04:23 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_214.dat + 2008-10-09 12:02:02 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_7a8.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-13 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952] "PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168] "PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168] "Apoint"="C:\Program Files\Apoint2K\Apoint.exe" [2003-10-07 159744] "OneCareUI"="C:\Program Files\Microsoft Windows OneCare Live\winssnotify.exe" [2008-08-08 67112] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-13 15360] C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2003-09-16 237568] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.divxa32"= divxa32.acm [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\OneCareMP] @="Service" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "C:\Program Files\Messenger\msmsgs.exe"= "C:\Documents and Settings\mathieu l blais\Mes documents\mateo\gramant\BitComet\BitComet.exe"= "C:\Program Files\LimeWire\LimeWire.exe"= "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "C:\Program Files\Windows Live\Messenger\livecall.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "7766:TCP"= 7766:TCP:BitComet 7766 TCP "7766:UDP"= 7766:UDP:BitComet 7766 UDP R0 atiide;atiide;C:\WINDOWS\system32\DRIVERS\atiide.sys [2004-04-14 5632] R2 JavaQuickStarterService;Java Quick Starter;C:\Program Files\Java\jre6\bin\jqs.exe [2008-09-14 147456] R2 OcHealthMon;Windows Live OneCare Health Monitor;C:\Program Files\Microsoft Windows OneCare Live\OcHealthMon.exe [2008-08-08 28200] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d3c23588-7223-11dd-a81c-000fb042299b}] \Shell\Shell00\Command - E:\Start.exe . Contenu du dossier 'Tâches planifiées' 2008-09-11 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34] 2008-10-09 C:\WINDOWS\Tasks\GoogleUpdateTaskUser.job - C:\Documents and Settings\mathieu l blais\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2008-09-02 19:42] 2007-10-26 C:\WINDOWS\Tasks\Symantec NetDetect.job - C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE [2003-09-09 13:39] . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-09 08:24:57 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . --------------------- DLLs chargées dans les processus actifs --------------------- PROCESSUS: C:\WINDOWS\system32\winlogon.exe -> C:\WINDOWS\system32\Ati2evxx.dll . Heure de fin: 2008-10-09 8:28:20 ComboFix-quarantined-files.txt 2008-10-09 12:28:04 ComboFix2.txt 2008-10-08 23:20:59 ComboFix3.txt 2008-10-07 19:43:08 ComboFix4.txt 2008-10-07 16:33:00 Avant-CF: 64 298 950 656 octets libres Après-CF: 64,287,633,408 octets libres 162 --- E O F --- 2008-10-05 05:49:47 MLB

Lyonnais92 · Answer

Re,

on va faire comme ça :

Télécharge DirLook  de jpshortstuff ici :

http://jpshortstuff.247fixes.com/DirLook.exe
 
[*]Double-clique sur   DirLook.exe pour le lancer.
[*]Assure-toi que Show Hidden Files et BBCode Ouput soient tous les deux cochés.
[*]Copie le contenu de la boîte ci-dessous dans le champ texte principal :

c:\Documents and Settings\mathieulblais\Local Settings
c:\Documents and Settings\mathieulblais\Local Settings\Application Data

[*]Clique sur le bouton DirLook pour lancer l'examen.
[*]Quand il est terminé, une fenêtre du Bloc-notes s'ouvre avec le résultat du scan. Merci de poster ce rapport dans ta prochaine réponse. 

Note : Le rapport peut aussi être trouvé dans C:\dl_log.txt
Note :Il se peut que l'examen prenne plus de temps pour les gros répertoires.

MALBO · Answer

voila,

DirLook.exe v2.0 by jpshortstuff
Log created at 11:01 on 09/10/2008
==================================[b]
Contents of "c:\Documents and Settings\mathieulblais\Local Settings"
[/b]
Unable to find directory.

==================================[b]
Contents of "c:\Documents and Settings\mathieulblais\Local Settings\Application Data"
[/b]
Unable to find directory.

==================================
[b][color=blue]=EOF=[/b][/color]



MLB

Lyonnais92 · Answer

Re,

problème d'écriture des noms.


Télécharge DirLook de jpshortstuff ici :

http://jpshortstuff.247fixes.com/DirLook.exe

[*]Double-clique sur DirLook.exe pour le lancer.
[*]Assure-toi que Show Hidden Files et BBCode Ouput soient tous les deux cochés.
[*]Copie le contenu de la boîte ci-dessous dans le champ texte principal :

C:\Documents and Settings\mathieu l blais\Local Settings
C:\Documents and Settings\mathieu l blais\Local Settings\Application Data

[*]Clique sur le bouton DirLook pour lancer l'examen.
[*]Quand il est terminé, une fenêtre du Bloc-notes s'ouvre avec le résultat du scan. Merci de poster ce rapport dans ta prochaine réponse.

Note : Le rapport peut aussi être trouvé dans C:\dl_log.txt
Note :Il se peut que l'examen prenne plus de temps pour les gros répertoires.

MALBO · Answer

voila,

DirLook.exe v2.0 by jpshortstuff
Log created at 12:00 on 09/10/2008
==================================[b]
Contents of "C:\Documents and Settings\mathieu l blais\Local Settings"
[/b]
[b][color=blue]---FOLDERS---[/b][/color]

[b]Application Data[/b] (Created on 26/10/2007 at 00:56) d--h--
[b]Apps[/b] (Created on 21/09/2008 at 15:52) d-----
[b]Historique[/b] (Created on 26/10/2007 at 00:56) d--hs-
[b]temp[/b] (Created on 09/10/2008 at 12:28) d-----
[b]Temporary Internet Files[/b] (Created on 26/10/2007 at 00:56) d--hs-

[b][color=blue]---FILES---[/b][/color]

[b]Application DataKiweeToolbar1.2.116.msi[/b] (2434560 bytes - created on 04/02/2008 at 23:26, modified on 04/02/2008 at 23:26) --a---
[b]desktop.ini[/b] (62 bytes - created on 26/10/2007 at 00:56, modified on 09/10/2008 at 12:01) --ahs-

==================================[b]
Contents of "C:\Documents and Settings\mathieu l blais\Local Settings\Application Data"
[/b]
[b][color=blue]---FOLDERS---[/b][/color]

[b]Adobe[/b] (Created on 04/11/2007 at 18:51) d-----
[b]Apple[/b] (Created on 18/02/2008 at 18:05) d-----
[b]Apple Computer[/b] (Created on 26/10/2007 at 02:14) d-----
[b]ApplicationHistory[/b] (Created on 26/10/2007 at 01:52) d-----
[b]Conduit[/b] (Created on 17/08/2008 at 18:31) d-----
[b]Google[/b] (Created on 03/04/2008 at 12:05) d-----
[b]HP[/b] (Created on 26/10/2007 at 02:33) d-----
[b]Identities[/b] (Created on 27/11/2007 at 22:48) d-----
[b]Microsoft[/b] (Created on 26/10/2007 at 00:56) d-----
[b]Microsoft Help[/b] (Created on 29/01/2008 at 23:03) d-----
[b]MicroVision Applications[/b] (Created on 28/10/2007 at 20:12) d-----
[b]myBabylon[/b] (Created on 17/08/2008 at 17:58) d-----
[b]PCHealth[/b] (Created on 07/11/2007 at 02:59) d-----
[b]WMTools Downloaded Files[/b] (Created on 14/02/2008 at 02:12) d-----
[b]{7148F0A6-6813-11D6-A77B-00B0D0142030}[/b] (Created on 26/10/2007 at 02:22) d-----

[b][color=blue]---FILES---[/b][/color]

[b]DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini[/b] (34816 bytes - created on 02/11/2007 at 02:21, modified on 02/10/2008 at 14:01) --a---
[b]fusioncache.dat[/b] (138 bytes - created on 26/10/2007 at 01:52, modified on 26/10/2007 at 01:52) --a---
[b]GDIPFONTCACHEV1.DAT[/b] (73240 bytes - created on 26/10/2007 at 02:32, modified on 08/09/2008 at 18:20) --a---
[b]IconCache.db[/b] (4846426 bytes - created on 27/09/2008 at 04:26, modified on 27/09/2008 at 04:27) --ah--

==================================
[b][color=blue]=EOF=[/b][/color]




MLB

Lyonnais92 · Answer

Re,

OK, il s'appelle bien comme ça.

Fais ça :

    Démarre en mode sans échec :
    Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
    Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
    Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
    (Si F8 ne marche pas utilise la touche F5).

Ouvre l'explorateur windows et cherche : C:\Documents and Settings\mathieu l blais\Local Settings\Application DataKiweeToolbar1.2.116.msi

Clic droit et Supprimer.

Redémarre en mode normal et vérifie que le fichier est parti.

MALBO · Answer

bon, le fichier est supprimé.

tout est donc supposé être correct.

Il ne me reste plus qu'à vous remercier et à tout éliminer les programmes que j'ai installé sur mon ordinateur.

Merci beaucoup,

MLB

Lyonnais92 · Answer

Re,

pour éliminer, on a des utilitaires :

* Télécharge ToolsCleaner par A.Rothstein & dj QUIOU sur ton Bureau.

http://pc-system.fr/
hxxp://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
hxxp://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe

* Clique sur Recherche et laisse le scan se terminer.

* Clique, sur Suppression pour finaliser.

* Tu peux, si tu le souhaites, te servir des Options facultatives.

* Clique sur Quitter, pour que le rapport puisse se créer.

* Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

MALBO · Answer

voilà,


[ Rapport ToolsCleaner version 2.2.3 (par A.Rothstein & dj QUIOU) ]

-->- Recherche: 

C:\Combofix.txt: trouvé !
C:\TB.txt: trouvé !
C:\SDFIX: trouvé !
C:\Qoobox: trouvé !
C:\Toolbar SD: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\mathieu l blais\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\mathieu l blais\Bureau\HijackThis.exe: trouvé !
C:\Documents and Settings\mathieu l blais\Bureau\hijackthis.log: trouvé !
C:\Documents and Settings\mathieu l blais\Bureau\TB.txt: trouvé !
C:\Documents and Settings\mathieu l blais\Mes documents\Téléchargements\SdFix.exe: trouvé !
C:\Documents and Settings\mathieu l blais\Mes documents\Téléchargements\HJTInstall.exe: trouvé !


Fichiers temporaires nettoyés !
---------------------------------
-->- Suppression: 
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\mathieu l blais\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\mathieu l blais\Bureau\HijackThis.exe: supprimé !
C:\Documents and Settings\mathieu l blais\Mes documents\Téléchargements\SdFix.exe: supprimé !
C:\Documents and Settings\mathieu l blais\Mes documents\Téléchargements\HJTInstall.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\TB.txt: supprimé !
C:\Documents and Settings\mathieu l blais\Bureau\hijackthis.log: supprimé !
C:\Documents and Settings\mathieu l blais\Bureau\TB.txt: supprimé !
C:\SDFIX: supprimé !
C:\Qoobox: supprimé !
C:\Toolbar SD: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !

Corbeille vidée!


MLB

Lyonnais92 · Answer

Re,

il faut que tu supprimes combofix à la main.

Au pire, tu vas en mode sans échec.

Il faut aussi que tu supprimes DirLook et son rapport.

MALBO · Answer

re,

bon voila cE'st fait merci bcp,

pourriez-vous me dire quel est l,avantage de supprimer des trucs en mode sans échec ???

merci,

MLB

Lyonnais92 · Answer

Re,

Il n'y a pas d'avantage. Si Combofix veut bien se supprimer en mode normal, fais-le.

Simplement, si l'outil n' pas pu le supprimer, quelque chose le bloque. Il est possible que faire redémarrer l'ordi suffise à débloquer.

Simplement, le mode sans échec semble plus certain.

De rien pour l'aide.

Ron ads by cpmsky

31 réponses

Discussions similaires

Newsletters