Sujet Précédent Sujet Suivant

Virus explorer.exe + pb avec horloge windows

Résolu/Fermé
Jones1 Messages postés 8 Date d'inscription mardi 27 mai 2008 Statut Membre Dernière intervention 5 juin 2009 - 11 oct. 2008 à 18:31
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 - 6 déc. 2008 à 21:03
Bonjour à tous,

plusieurs clé USB ont été brachées sur mon ordi portable récemment. Norton a fait son travail mais, évidemment pas parfaitement, et des problèmes subsistent et j'aimerai savoir si quelqu'un pouvait m'aider. Ca serait vraiment sympa et super!

Dans mon disque dur local C: j'ai trouvé par exemple le ficher explorer.exe qui n'est pas le bon fichier explorer.exe de Windows. En analysant ce ficher avec virustotal on trouve par ex sous kaspersky que c Worm.Win32.AutoRun.bdq Il semble qu'il est lier au autorun.inf où l'on peut lire suite à l'ouverture:
[autorun]
Open=explorer.exe
Shellexecute=explorer.exe
Shell\Auto\command=explorer.exe
Shell=Auto

Pour explorer.exe j'ose pas le supprimer avec hijack par peur de supprimer le bon explorer.exe de Windows. Avec killbox.exe, le fichier apparait de nouveau au bout de quelques min après l'avoir supprimé.

Autre chose, un dossier se nommant: c397cb550b5eaffd86b281e2 apparait aussi. Ayant analysé un ficher un peu au hasard dans ce dossier (il y en a plein), par exemple virustotal a trouvé cela (1/36 uniquement):
VBA32 3.12.8.6 2008.10.10 suspected of Win32.BrokenEmbeddedSignature (paranoid heuristics)

Aussi, mon horloge windows se met automatiquement en 2002. Lors du démmarge bien sûr mais aussi quand je mets la bonne adresse manuellement, 5 min plus tard, c reparti vers le passé, en 2002. Du coup, mes emails que j'envoie avec outlook sont envoyés en ... 2002! Le mirco des conversations skype est bloqué aussi au bout de 5 min et on n'entend plus ma voix. Défois en terminant le processus suite à "alt + ctrl + del" ca remarche mais pas toujours.

Pour résumé, l'ordi est devenu aussi super lent. Que faire? Quelqu'un a t-il une ou plusieurs idées? Un rapport de Hijack peut-il aider?

Salut
A voir également:

8 réponses

Réponse 1 / 8
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
17 oct. 2008 à 13:50
scan avec un des deux suivant et colle le rapport:

bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html


Panda en ligne :
http://pandasoftware.fr
1
jones1
21 oct. 2008 à 11:01
Bonjor jlpj,

voici le rapport fait avec panda. Le truc, c que je ne peux pas poster le rapport car quand je fais copier/coller, il n'apparait pas. Même en le collant dans Word auparavant et ensuite sur cette page web, le rapport n'apparait pas; les lignes dans Word sur sousligné avec des petits poins, j'arrive pas à les enlever, probablement une sorte de protection. Donc, j'ai tappé ce qui me semblait imporant (voir plus bas). Au final, il y a trouvé environ 170 fichiers infectés, dont environ 95% sous
C:\ System Volume Information\restore_restore{5B4EFD...B1-7F4120E3FE1C}RP261\A00526218.exe
Tous les fichiers se ressemblent sauf que les numéros à la fin varient.

Pour l'instant, j'ai pas fait la "guérison" gratos qu'on me proposait sur panda car je souhaiterai avoir ton avis. Dans les fichiers infectés qu'on me propose de guérir gratos, il a trouvé le fichiers explorer.exe (Nr. 36) et et iexplorer.exe (Nr. 91). Aussi, que faire avec tous problèmes payant qu'il a trouvé, essentiellement des cookies à rique faible, Norton ne les a jamais remarqué...


Analyse
Recherche de virus, logiciels espions, chevaux de Troie et autres menaces. Ce processus peut prendre plus d’une heure, selon la quantité d’informations stockées sur votre ordinateur.
12%
Elément en cours: C:\Documents and Settings...\13405-02_05[1].exe]
Fichiers analysés : 46078
Fichiers infectés : 33
Fichiers suspects détectés : 0
Vulnérabilités détectées : 2

Exporter vers :
Menaces avec désinfection gratuite (8)
Niveau de risque élevé (1)

W32/Autorun.VY... Virus Actif/Active Afficher
+Infos
35. C:\WINDOWS\system32\wuauc1t.exe
36. C:\explorer.exe
40. C:\Killbox\explorer.exe ( 5)
52. C:\Killbox\explorer.exe
91. C:\WONDOWS\system32\iexplorer.exe

Niveau de risque moyen (2)

W32/AutoRun.DJ... Virus Latent(e) Afficher
+Infos

Trj/Alanchum.M... Virus Latent(e) Afficher
+Infos


Niveau de risque faible (5)

W32/Lineage.IB... Virus Latent(e) Afficher
+Infos

W32/Legmir.AWY... Virus Latent(e) Afficher
+Infos

Generic Malwar... Virus Latent(e) Afficher
+Infos

W32/Lineage.IW... Virus Latent(e) Afficher
+Infos

W32/Lineage.IW... Virus Latent(e) Afficher
+Infos



Menaces désinfectées avec la version payante (28)
Niveau de risque faible (28)

Cookie/Apmebf Cookie de surveillance Latent(e) Afficher
+Infos

Cookie/Cgi-bin Cookie de surveillance Latent(e) Afficher
+Infos

Cookie/Xiti Cookie de surveillance Latent(e) Afficher
+Infos

Cookie/Webtren... Cookie de surveillance Latent(e) Afficher
+Infos

Cookie/Serving... Cookie de surveillance Latent(e) Afficher
+Infos

Cookie/Mediapl... Cookie de surveillance Latent(e) Afficher
+Infos

Cookie/Statcou... Cookie de surveillance Latent(e) Afficher
+Infos

Application/Ni... Application de surveillance Latent(e) Afficher
+Infos
Non désinfectable

Cookie/Adtech Cookie de surveillance Latent(e) Afficher
+Infos

Cookie/Searchp... Cookie de surveillance Latent(e) Afficher
+Infos

Cookie/Smartad... Cookie de surveillance Latent(e) Afficher
+Infos

Cookie/YieldMa... Cookie de surveillance Latent(e) Afficher
+Infos

Cookie/Serving... Cookie de surveillance Latent(e) Afficher
+Infos

Cookie/Weboram... Cookie de surveillance Latent(e) Afficher
+Infos

Cookie/Adviva Cookie de surveillance Latent(e) Afficher
+Infos

Cookie/Tradedo... Cookie de surveillance Latent(e) Afficher
+Infos

Application/Hi... Application de surveillance Latent(e) Afficher
+Infos

Cookie/Adverti... Cookie de surveillance Latent(e) Afficher
+Infos

Cookie/Adrevol... Cookie de surveillance Latent(e) Afficher
+Infos

Cookie/Com.com Cookie de surveillance Latent(e) Afficher
+Infos

Cookie/FastCli... Cookie de surveillance Latent(e) Afficher
+Infos

Cookie/Atlas D... Cookie de surveillance Latent(e) Afficher
+Infos

Cookie/fe.lea.... Cookie de surveillance Latent(e) Afficher
+Infos

Cookie/Adverse... Cookie de surveillance Latent(e) Afficher
+Infos

Cookie/Comclic... Cookie de surveillance Latent(e) Afficher
+Infos

Cookie/Bluestr... Cookie de surveillance Latent(e) Afficher
+Infos

Cookie/Doublec... Cookie de surveillance Latent(e) Afficher
+Infos

Cookie/Adrevol... Cookie de surveillance Latent(e) Afficher
+Infos

Uniquement disponible en version payante.
Acheter - Je suis un client
Fichiers suspects (0)
Vulnérabilités (2)
MS07-008 Elevée +Infos

MS06-065 Moyenne +Infos
0
Réponse 2 / 8
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
21 oct. 2008 à 11:59
vire ce qui est dans le fichier killbox en allant dans poste de travail puis:

C:\Killbox

________________


télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.

[si je suspecte une infection bagle, j'ajoute :

sous le nom de antibagle. Fais le avant que le fichier ne soit enregistré sur le bureau]

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

_______________________________

Telecharge UsbFix sur ton bureau
http://sd-1.archive-host.com/membres/up/116615172019703188/UsbFix.exe

--> Lance l installation avec les parametres par default

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

--> Double clic sur le raccourci UsbFix sur ton bureau

--> Le pc va redémarer

-->Apres redémarrage post le rapport UsbFix.txt

Note : le rapport UsbFix.txt est sauvegardé a la racine du disque
Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides
1
Jones1 Messages postés 8 Date d'inscription mardi 27 mai 2008 Statut Membre Dernière intervention 5 juin 2009
4 nov. 2008 à 13:55
Salut jlpjlp,

merci pour ton aide et conseils pour combofixe. Le programme a bien marché, il a supprimé les fichiers infectés (explorer.exe, iexplorer.exe, etc.) et depuis, l'ordi marche bien de nouveau.
Pour ton conseil pour usbfixe, je ne l'ai pas fait parce que t m'avais déjà aidé pour supprimer les virus auparavant avec rav. Ce que j'ai fait, ce que j'ai reformaté mes clés usb et depuis ton semble être bon.
Pour ce qui est du rapport de combofix, de nouveau j'arrive pas à faire l'opération "copier-coller". Le rapport, je l'avais collé dans un doc Word et tout a bien marché. Maintenant, si je veux faire la même chose, rien ce colle sur cette page web. Toute le texte dans le doc Word est sousligné avec des petits poitillets que j'arrive pas à enlever. Probablement qu'il s'agit d'une sorte de protection ou autre.
Salut,
0
Réponse 3 / 8
Patch
11 oct. 2008 à 20:01
Pour ne pas galérer, un patch pour ce virus sur ce site :

http://www.net-studio.org/fr/application/Wuauc1t.php
0
Réponse 4 / 8
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
5 nov. 2008 à 10:36
sans les rapports cela va etre dur....





scan avec un des deux suivant et colle le rapport:

bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html


Panda en ligne :
http://pandasoftware.fr
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 8
Jones1 Messages postés 8 Date d'inscription mardi 27 mai 2008 Statut Membre Dernière intervention 5 juin 2009
12 nov. 2008 à 10:34
Bonjour,

finalement en faisant un copier dans d'autre docs Word, j'ai peux enfin coller le rapport de combofix (il date du 23/10/2008) et voici l'analyse avec les fichiers supprimés:


ComboFix 08-10-22.05 - GTZ 2008-10-23 15:10:07.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1468 [GMT 1:00]
Lancé depuis: C:\Documents and Settings\GTZ\Bureau\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
C:\explorer.exe
C:\WINDOWS\system32\iexplorer.exe
C:\WINDOWS\system32\wuauc1t.exe

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-09-23 au 2008-10-23 ))))))))))))))))))))))))))))))))))))
.

2008-10-18 15:24 . 2008-10-18 15:24 <REP> d-------- C:\Program Files\Panda Security
2008-10-18 15:24 . 2008-06-19 17:24 28,544 --a------ C:\WINDOWS\system32\drivers\pavboot.sys
2008-10-08 09:37 . 2008-10-08 09:37 <REP> d-------- C:\VundoFix Backups
2008-10-03 14:34 . 2008-10-03 14:34 625,032 --a------ C:\WINDOWS\system32\SymNeti.dll
2008-10-03 14:34 . 2008-10-03 14:34 242,056 --a------ C:\WINDOWS\system32\SymRedir.dll
2008-10-03 14:14 . 2008-10-03 14:14 187,952 --a------ C:\WINDOWS\system32\drivers\symtdi.sys
2008-10-03 14:14 . 2008-10-03 14:14 146,096 --a------ C:\WINDOWS\system32\drivers\symfw.sys
2008-10-03 14:14 . 2008-10-03 14:14 39,984 --a------ C:\WINDOWS\system32\drivers\symids.sys
2008-10-03 14:14 . 2008-10-03 14:14 37,936 --a------ C:\WINDOWS\system32\drivers\symndisv.sys
2008-10-03 14:14 . 2008-10-03 14:14 35,120 --a------ C:\WINDOWS\system32\drivers\symndis.sys
2008-10-03 14:14 . 2008-10-03 14:14 27,696 --a------ C:\WINDOWS\system32\drivers\symredrv.sys
2008-10-03 14:14 . 2008-10-03 14:14 12,848 --a------ C:\WINDOWS\system32\drivers\symdns.sys
2008-10-03 14:14 . 2008-10-03 14:14 10,804 --a------ C:\WINDOWS\system32\drivers\SymRedir.cat
2008-10-03 14:14 . 2008-10-03 14:14 1,358 --a------ C:\WINDOWS\system32\drivers\SymRedir.inf
2008-09-30 08:44 . 2008-09-30 08:44 <REP> d-------- C:\Program Files\Fichiers communs\SWF Studio

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-23 14:27 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2008-10-19 16:30 --------- d-----w C:\Documents and Settings\GTZ\Application Data\Skype
2008-10-19 15:36 --------- d-----w C:\Documents and Settings\GTZ\Application Data\skypePM
2008-10-18 16:21 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec
2008-10-09 20:21 --------- d-----w C:\Documents and Settings\GTZ\Application Data\dvdcss
2008-10-01 10:40 --------- d-----w C:\Documents and Settings\GTZ\Application Data\U3
2008-09-21 12:59 --------- d-----w C:\Program Files\Hewlett-Packard
2008-09-19 18:00 --------- d-----w C:\Program Files\Google
2008-09-12 08:24 --------- d-----w C:\Documents and Settings\GTZ\Application Data\Leadertech
2008-09-01 14:04 --------- d-----w C:\Program Files\Trust
2008-09-01 14:02 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-09-01 13:38 --------- d-----w C:\Documents and Settings\GTZ\Application Data\ArcSoft
2008-09-01 13:33 --------- d-----w C:\Program Files\Fichiers communs\PCCamera
2008-08-31 18:01 --------- d-----w C:\Program Files\Fichiers communs\PAC207
2008-08-27 10:06 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-08-24 14:58 --------- d-----w C:\Documents and Settings\GTZ\Application Data\AdobeUM
2007-12-30 13:13 15,397 ----a-w C:\Program Files\settings.dat
2007-11-19 08:20 32 ----a-w C:\Documents and Settings\All Users\Application Data\ezsid.dat
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 15360]
"LtMoh"="C:\Program Files\ltmoh\Ltmoh.exe" [2007-01-09 191552]
"TOSCDSPD"="C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-11 65536]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ThpSrv"="C:\WINDOWS\system32\thpsrv" [X]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-06-14 8433664]
"NVRotateSysTray"="C:\WINDOWS\system32\nvsysrot.dll" [2007-06-14 49152]
"00THotkey"="C:\WINDOWS\system32\[u]0/u0THotkey.exe" [2006-08-11 06:52 253952]
"Apoint"="C:\Program Files\Apoint2K\Apoint.exe" [2004-03-24 196608]
"DpUtil"="C:\Program Files\TOSHIBA\DualPointUtility\TEDTray.exe" [2005-08-08 155648]
"SmoothView"="C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe" [2007-05-11 143360]
"TMERzCtl.EXE"="C:\Program Files\TOSHIBA\TME3\TMERzCtl.EXE" [2006-09-01 90112]
"TMESRV.EXE"="C:\Program Files\TOSHIBA\TME3\TMESRV31.EXE" [2006-01-19 118784]
"TosHKCW.exe"="C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe" [2005-05-17 49152]
"TAudEffect"="C:\Program Files\TOSHIBA\TAudEffect\TAudEff.exe" [2006-08-09 344144]
"DDWMon"="C:\Program Files\TOSHIBA\TOSHIBA Direct Disc Writer\\ddwmon.exe" [2007-04-26 495616]
"PSQLLauncher"="C:\Program Files\Protector Suite QL\launcher.exe" [2006-05-05 30208]
"topi"="C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe" [2007-04-02 577536]
"ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2007-01-10 115816]
"osCheck"="C:\Program Files\Norton Internet Security\osCheck.exe" [2007-01-14 771704]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"Symantec PIF AlertEng"="C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 583048]
"OrderReminder"="C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe" [2006-01-30 98304]
"HPWS myPrintMileage Agent"="C:\Program Files\Hewlett-Packard\HP Deskjet 1280\Toolbox\mpm.exe" [2004-10-31 102400]
"nwiz"="nwiz.exe" [2007-06-14 C:\WINDOWS\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2007-03-13 C:\WINDOWS\RTHDCPL.exe]
"000StTHK"="000StTHK.exe" [2001-06-23 03:28 24576 C:\WINDOWS\system32\[u]0/u00StTHK.exe]
"TFNF5"="TFNF5.exe" [2006-04-11 C:\WINDOWS\system32\TFNF5.exe]
"TPSODDCtl"="TPSODDCtl.exe" [2007-06-18 C:\WINDOWS\system32\TPSODDCtl.exe]
"TPSMain"="TPSMain.exe" [2007-06-18 C:\WINDOWS\system32\TPSMain.exe]
"TOSDCR"="TOSDCR.EXE" [2005-12-12 C:\WINDOWS\system32\TOSDCR.exe]
"NDSTray.exe"="NDSTray.exe" [BU]
"TFncKy"="TFncKy.exe" [BU]
"CFSServ.exe"="CFSServ.exe" [BU]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 15360]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Windows Desktop Search.lnk - C:\Program Files\Windows Desktop Search\WindowsSearch.exe [2007-02-05 118784]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableStatusMessages"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "C:\Program Files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2007-02-05 294400]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
2006-05-05 16:48 40448 C:\WINDOWS\system32\psqlpwd.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\TosBtNP]
2006-07-22 03:54 65536 C:\WINDOWS\system32\TosBtNP.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli psqlpwd

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

R0 pavboot;pavboot;C:\WINDOWS\system32\drivers\pavboot.sys [2008-06-19 28544]
R0 Thpdrv;TOSHIBA HDD Protection Driver;C:\WINDOWS\system32\DRIVERS\thpdrv.sys [2007-04-27 21120]
R0 Thpevm;TOSHIBA HDD Protection - Shock Sensor Driver;C:\WINDOWS\system32\DRIVERS\Thpevm.SYS [2007-03-09 6528]
R1 TMEI3E;TMEI3E;C:\WINDOWS\system32\Drivers\TMEI3E.SYS [2004-06-16 5888]
R2 FdRedir;FdRedir;C:\Program Files\Fichiers communs\Protector Suite QL\Drivers\FdRedir.sys [2006-05-05 13568]
R2 FileDisk2;FileDisk Protector Kernel Driver;C:\Program Files\Fichiers communs\Protector Suite QL\Drivers\filedisk.sys [2006-05-05 33024]
R2 LMS;Intel(R) Active Management Technology Local Management Service;C:\Program Files\Intel\AMT\LMS.exe [2007-04-10 121624]
R2 smihlp;SMI helper driver;C:\Program Files\Protector Suite QL\smihlp.sys [2006-05-05 3456]
R2 tdudf;TOSHIBA UDF File System Driver;C:\WINDOWS\system32\DRIVERS\tdudf.sys [2007-03-26 105856]
R2 trudf;TOSHIBA DVD-RAM UDF File System Driver;C:\WINDOWS\system32\DRIVERS\trudf.sys [2007-02-19 134016]
R2 UNS;Intel(R) Active Management Technology User Notification Service;C:\Program Files\Intel\AMT\UNS.exe [2007-04-10 1489688]
R3 IFXTPM;IFXTPM;C:\WINDOWS\system32\DRIVERS\IFXTPM.SYS [2005-06-10 35968]
R3 TEchoCan;Toshiba Audio Effect;C:\WINDOWS\system32\DRIVERS\TEchoCan.sys [2007-02-21 435072]
S2 atchksrv;Intel(R) Active Management Technology System Status Service;C:\Program Files\Intel\AMT\atchksrv.exe [ ]
S2 MSSQL$MSSMLBIZ;SQL Server (MSSMLBIZ);c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [2006-04-14 28933976]
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{033b3636-a3ec-11dc-a70c-0013e86c6175}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL antihost.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0c381e1c-a409-11dc-a70f-0013e86c6175}]
\Shell\Auto\command - wscript "Sex City.jpg.wsf"
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript "Sex City.jpg.wsf"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0e975bfa-480a-11dd-a8e2-0013e86c6175}]
\Shell\AutoRun\command - qwultj1.bat
\Shell\explore\Command - qwultj1.bat
\Shell\open\Command - qwultj1.bat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{13e81ba9-2684-11dd-a870-0013e86c6175}]
\Shell\Autoexec\command - wscript "The_Cars.vbs"
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript "The_Cars.vbs"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{19a78cd0-d875-11d6-a974-0013e86c6175}]
\Shell\Auto\command - explorer.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL explorer.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3459b6e6-ce75-11dc-a787-0013e86c6175}]
\Shell\1\Command - E:\RUNAUT~1\autorun.pif
\Shell\2\Command - E:\RUNAUT~1\autorun.pif
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RUNAUT~1\autorun.pif

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5373c7ed-8e19-11dd-a96a-0013e86c6175}]
\Shell\AutoRun\command - n1deiect.com
\Shell\explore\Command - n1deiect.com
\Shell\open\Command - n1deiect.com

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5373c7f4-8e19-11dd-a96a-0013e86c6175}]
\Shell\AutoRun\command - 8uot.exe
\Shell\explore\Command - 8uot.exe
\Shell\open\Command - 8uot.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5373c7f8-8e19-11dd-a96a-0013e86c6175}]
\Shell\AutoRun\command - E:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe
\Shell\open\command - E:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6588fc3c-8f74-11dd-a96c-0013e86c6175}]
\Shell\Auto\command - E:\explorer.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL explorer.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6588fc3f-8f74-11dd-a96c-0013e86c6175}]
\Shell\AutoRun\command - scene.exe 1
\Shell\explore\Command - scene.exe 1
\Shell\open\Command - scene.exe 1
\Shell\Scan\Command - scene.exe 2

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6588fc4d-8f74-11dd-a96c-0013e86c6175}]
\Shell\AutoRun\command - E:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6588fc4e-8f74-11dd-a96c-0013e86c6175}]
\Shell\Auto\command - F:\Folders.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Folders.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6588fc60-8f74-11dd-a96c-0013e86c6175}]
\Shell\Auto\command - explorer.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL explorer.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{681daec7-e930-11dc-a7df-0013e86c6175}]
\Shell\Auto\command - wscript "esta ig.vbs"
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript "esta ig.vbs"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{715858a1-46b5-11dd-a8db-0013e86c6175}]
\Shell\AutoRun\command - E:\r.cmd
\Shell\explore\Command - E:\r.cmd
\Shell\open\Command - E:\r.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7ac58ae3-2256-11dd-a85c-0013e86c6175}]
\Shell\Auto\command - wscript "esta ig.vbs"
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript "esta ig.vbs"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{85bc014e-21a1-11dd-a859-0013e86c6175}]
\Shell\1\Command - RUNAUT~1\autorun.pif
\Shell\2\Command - RUNAUT~1\autorun.pif
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RUNAUT~1\autorun.pif

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{86d5b96a-047b-11dd-a80d-0013e86c6175}]
\Shell\1\Command - RUNAUT~1\autorun.pif
\Shell\2\Command - RUNAUT~1\autorun.pif
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RUNAUT~1\autorun.pif

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9168d578-071a-11dd-a816-0013e86c6175}]
\Shell\1\Command - E:\RUNAUT~1\autorun.pif
\Shell\2\Command - E:\RUNAUT~1\autorun.pif
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RUNAUT~1\autorun.pif

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c286c86e-320b-11dd-a8a7-0013e86c6175}]
\Shell\AutoRun\command - E:\qwultj1.bat
\Shell\explore\Command - E:\qwultj1.bat
\Shell\open\Command - E:\qwultj1.bat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ca8fc076-ec17-11dc-a7d1-0013e86c6175}]
\Shell\AutoRun\command - start.exe
\Shell\iledefrance\command - start.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d5351bac-f12b-11dc-a7dc-0013e86c6175}]
\Shell\AutoRun\command - E:\Launch.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f04574ea-3074-11dd-a8a1-0013e86c6175}]
\Shell\AutoRun\command - t.com
\Shell\explore\Command - t.com
\Shell\open\Command - t.com

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fb1eb8f8-8eae-11dd-a96b-0013e86c6175}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL antihost.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fb1eb8fa-8eae-11dd-a96b-0013e86c6175}]
\Shell\AutoRun\command - E:\rdsfk.com
\Shell\explore\Command - E:\rdsfk.com
\Shell\open\Command - E:\rdsfk.com

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fb1eb8ff-8eae-11dd-a96b-0013e86c6175}]
\Shell\AutoRun\command - njibyekk.com
\Shell\explore\Command - njibyekk.com
\Shell\open\Command - njibyekk.com

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fb1eb902-8eae-11dd-a96b-0013e86c6175}]
\Shell\AutoRun\command - E:\LaunchU3.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fb1eb90e-8eae-11dd-a96b-0013e86c6175}]
\Shell\AutoRun\command - E:\LaunchU3.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fb365728-cb72-11dc-a781-0013e86c6175}]
\Shell\Auto\command - wscript "esta ig.vbs"
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript "esta ig.vbs"

*Newly Created Service* - COMHOST
.
Contenu du dossier 'Tâches planifiées'

2008-09-22 C:\WINDOWS\Tasks\Norton Internet Security - Run Full System Scan - GTZ.job
- C:\Program Files\Norton Internet Security\Norton AntiVirus\Navw32.exe [2007-01-14 10:09]
.
- - - - ORPHELINS SUPPRIMES - - - -

HKU-Default-RunOnce-<NO NAME> - (no file)


.
------- Examen supplémentaire -------
.
R0 -: HKCU-Main,Start Page = http://owa.gtz.de/...
O8 -: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
.
.
------- Associations de fichier -------
.
inifile=%SystemRoot%\System32\NOTEPAD.EXE %1"
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-23 15:28:10
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

PROCESSUS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\system32\nview.dll
.
------------------------ Autres processus actifs ------------------------
.
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Program Files\Toshiba\ConfigFree\CFSvcs.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\WINDOWS\system32\ThpSrv.exe
C:\WINDOWS\system32\TODDSrv.exe
C:\Program Files\Toshiba\TME3\TMEEJME.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\WINDOWS\system32\searchindexer.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ThpSrv.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\Program Files\Apoint2K\ApntEx.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Program Files\Toshiba\ConfigFree\NDSTray.exe
C:\Program Files\Toshiba\Commandes TOSHIBA\TFncKy.exe
C:\Program Files\Toshiba\TOSHIBA Direct Disc Writer\DDWMon.exe
C:\Program Files\Protector Suite QL\psqltray.exe
C:\Program Files\Toshiba\ConfigFree\CFSServ.exe
C:\WINDOWS\system32\searchprotocolhost.exe
C:\WINDOWS\system32\searchfilterhost.exe
.
**************************************************************************
.
Heure de fin: 2008-10-23 15:43:31 - La machine a redémarré [GTZ]
ComboFix-quarantined-files.txt 2008-10-23 14:43:23

Avant-CF: 113,872,633,856 octets libres
Après-CF: 114,480,947,200 octets libres

301 --- E O F --- 2008-09-10 10:13:24
0
Réponse 6 / 8
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
12 nov. 2008 à 21:16
Telecharge UsbFix sur ton bureau
http://sd-1.archive-host.com/membres/up/116615172019703188/U­sbFix.exe

--> Lance l installation avec les parametres par default

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

--> Double clic sur le raccourci UsbFix sur ton bureau

--> Le pc va redémarer

-->Apres redémarrage post le rapport UsbFix.txt

Note : le rapport UsbFix.txt est sauvegardé a la racine du disque
Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides*


___________________




scan avec un des deux suivant et colle le rapport:

bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html


Panda en ligne :
http://pandasoftware.fr
0
jones1
4 déc. 2008 à 13:08
Bonjour jlpjlp,

tout marche de nouveau. Merci pour tout.

Salut
0
Réponse 7 / 8
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
6 déc. 2008 à 21:03
tu as le rapport usbfix et du scan en ligne?


sinon



Télécharge ici :

http://images.malwareremoval.com/random/RSIT.exe

random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.

Double-clique sur RSIT.exe afin de lancer RSIT.

Clique Continue à l'écran Disclaimer.

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

NB : Les rapports sont sauvegardés dans le dossier C:\rsit
0
Réponse 8 / 8
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
11 oct. 2008 à 19:39
slt,

Télécharge RavAntivirus d'Evosla :
http://ww25.evosla.com/compteur.php?soft=rav_antivirus

# Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX
# Fais un clic droit sur le fichier .ZIP > Extraire sur > le Bureau
# Doucle-clique sur >> RAV.exe << afin de lancer l'outil.
# Une fois RAV ANTIVIRUS lancé, laisse-le réagir , il scanne automatiquement tout les lecteurs (disques fixes et amovibles)
# Si infection > un log s'établira, sinon le soft affichera (très rapide) ==>Votre Ordinateur est sain .
# Retire tes disques amovibles et redémarrez votre ordinateur.
# Poste le rapport, si infection!
_________________________
2/ Télécharge sur le bureau Flash Disinfector (de SUBS) à cette adresse : http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

Double-clique sur l’icône.
Les icônes vont disparaître. C’est normal.
Si un rapport est généré en cas d'infection, sauvegarde-le sur le bureau, et poste le ensuite
Redémarre ensuite le PC.

_______________________
3/
colle un rapport hijackthis


http://www.trendsecure.com/portal/en-US/tools/security_tools­/hijackthis/(...)

manuel :

http://leblogdeclaude.blogspot.com/2006/10/informatique-sect­ion-hijackth(...)

Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo.

ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste

Ensuite avec Explorer créer un dossier c:\hijackthis
Décompresser Hijackthis dans ce dossier.
C'est important pour les sauvegardes."


____________

et dis si encore de soucis
-1
Jones1 Messages postés 8 Date d'inscription mardi 27 mai 2008 Statut Membre Dernière intervention 5 juin 2009
16 oct. 2008 à 16:57
Bonjour jlpjlp,

merci tout d'abord pour tes conseils.
Ton point 1 a bien marché et je peux récupérer des fichiers chez d'autres gens et aussi leur filer des trucs de chez moi sans avoir mauvaise conscience de leur filer un/plusieurs virus.

Par contre, ton point deux n'a pas marché ou du moins aucun rapport n'a été généré. Disons que j'ai laissé tourner la machine toute la nuit après disparition des icones et le lendemain, toujours pas d'icone et pas de rapport. Cependant, je suis sûr d'être infecté.

Pour ton point 3, je n'ai pas tout compris et j'ai donc cherché à me renseigner sur le site-blog de claude. Un très bon site que je vais explorer plus en détails quand j'aurai le temps.
Sur ce site j'ai trouvé une rubrique "comment supprimer un ficher récalcitrant" avec hijack à travers "delete a file on reboot".
Donc j'ai décidé d'appliquer cette procédure. Pour mes deux virus: explorer.exe et aussi iexplorer.exe.
Le iexplorer.exe se trouve dans le ficher 32 de Windows et selon analyse de virustotal, c bien un virus (31/36). Explorer.exe se trouve sous c: et aussi dans killbox avec quoi j'avais essayé de le supprimer.

Aussi comment crééer avec explorer un dossier dans c:\Hijackthis?

Est-ce que donc tu me conseils d'appliquer cette procédure ou conseils tu autre chose? Merci d'avance pour ton temps et tes conseils.
-1
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040 > Jones1 Messages postés 8 Date d'inscription mardi 27 mai 2008 Statut Membre Dernière intervention 5 juin 2009
16 oct. 2008 à 20:04
ne supprime rien surtout !!! avec hijackhtis

fais que coller le rapport car si tu supprime un exe l'ordi peut ne jamais redemarrer ...
-1
jones1 > jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022
17 oct. 2008 à 09:41
Bonjour jlpjlp,

Merci et voici mon rapport hijackthis. Ca serait cool qu'il t'aide à m'aider.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:39:06, on 17/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\Program Files\Intel\AMT\LMS.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ThpSrv.exe
C:\Program Files\TOSHIBA\TME3\Tmesrv31.exe
C:\WINDOWS\system32\TODDSrv.exe
c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\Program Files\Intel\AMT\UNS.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\Program Files\TOSHIBA\TME3\TMEEJME.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\00THotkey.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\TOSHIBA\DualPointUtility\TEDTray.exe
C:\WINDOWS\system32\thpsrv.exe
C:\WINDOWS\system32\TFNF5.exe
C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
C:\WINDOWS\system32\TPSODDCtl.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Program Files\TOSHIBA\TME3\TMERzCtl.EXE
C:\WINDOWS\system32\TPSBattM.exe
C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\Program Files\TOSHIBA\TAudEffect\TAudEff.exe
C:\Program Files\TOSHIBA\Commandes TOSHIBA\TFncKy.exe
C:\Program Files\TOSHIBA\TOSHIBA Direct Disc Writer\ddwmon.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe
C:\Program Files\Protector Suite QL\psqltray.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSServ.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\wuauc1t.exe
C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
C:\Program Files\Hewlett-Packard\HP Deskjet 1280\Toolbox\mpm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ltmoh\Ltmoh.exe
C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://owa.gtz.de/...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.5\NppBho.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [NVRotateSysTray] rundll32.exe C:\WINDOWS\system32\nvsysrot.dll,Enable
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\system32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [DpUtil] C:\Program Files\TOSHIBA\DualPointUtility\TEDTray.exe
O4 - HKLM\..\Run: [ThpSrv] C:\WINDOWS\system32\thpsrv /logon
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [SmoothView] C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
O4 - HKLM\..\Run: [TPSODDCtl] TPSODDCtl.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TMERzCtl.EXE] C:\Program Files\TOSHIBA\TME3\TMERzCtl.EXE /Service
O4 - HKLM\..\Run: [TMESRV.EXE] C:\Program Files\TOSHIBA\TME3\TMESRV31.EXE /Logon
O4 - HKLM\..\Run: [TOSDCR] TOSDCR.EXE
O4 - HKLM\..\Run: [TosHKCW.exe] "C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe"
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [TAudEffect] C:\Program Files\TOSHIBA\TAudEffect\TAudEff.exe /run
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [DDWMon] C:\Program Files\TOSHIBA\TOSHIBA Direct Disc Writer\\ddwmon.exe
O4 - HKLM\..\Run: [PSQLLauncher] "C:\Program Files\Protector Suite QL\launcher.exe" /startup
O4 - HKLM\..\Run: [topi] C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe -startup
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [OrderReminder] C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
O4 - HKLM\..\Run: [HPWS myPrintMileage Agent] C:\Program Files\Hewlett-Packard\HP Deskjet 1280\Toolbox\mpm.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [] (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [] (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [] (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [] (User 'Default user')
O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {44990301-3C9D-426D-81DF-AAB636FA4345} (Symantec Script Runner Class) - https://support.norton.com/sp/en/us/home/current/info
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: TosBtNP - C:\WINDOWS\SYSTEM32\TosBtNP.dll
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: Intel(R) Active Management Technology System Status Service (atchksrv) - Unknown owner - C:\Program Files\Intel\AMT\atchksrv.exe (file missing)
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\VAScanner\comHost.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Intel(R) Active Management Technology Local Management Service (LMS) - Intel Corporation - C:\Program Files\Intel\AMT\LMS.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: TOSHIBA HDD Protection (Thpsrv) - TOSHIBA Corporation - C:\WINDOWS\system32\ThpSrv.exe
O23 - Service: Tmesrv3 (Tmesrv) - TOSHIBA - C:\Program Files\TOSHIBA\TME3\Tmesrv31.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\WINDOWS\system32\TODDSrv.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
O23 - Service: Intel(R) Active Management Technology User Notification Service (UNS) - Intel Corporation - C:\Program Files\Intel\AMT\UNS.exe
0