Multi problèmes

Réponse 21 / 37

sonaquil

et la protection résidente est activée en élevée.

Réponse 22 / 37

sonaquil

Bonjour! j'en ai pas dormi de la nuit car une question me tarodait l'esprit(lol): ne vaut il pas mieux que je change d'antivirus!? n'y a t-il pas plus performant!?

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

Salut,

Bien sûr que l'on peut changer d'AV ... pour mieux, plus légé et gratuit .... ^^

Donc voilà la démarche à suivre :

1- Télécharges AntiVir ici :
https://www.pcastuces.com/logitheque/antivir.htm
ou
https://www.avira.com/

Anti-virus gratuit ( en anglais mais très simple ) .

--> ne lances pas l'installes de suite !

2- Désinstalles proprement Avast en suivant cette astuce :
-> http://www.commentcamarche.net/faq/sujet 8172 desinstaller proprement avast

Pour que la désinstalle ce déroule sans prb , lances l'.exe en mode sans échec .

3- De retour en mode normal , refais un coup de CCleaner ( registre compris )

4- Enfin , installes AntiVir et mets le à jour (fais ce-ci très régulièrement ) .

Aide AntiVir : https://www.malekal.com/avira-free-security-antivirus-gratuit/

( Si jamais tu as un problème avec la mise à jour , regardes ici :
http://www.commentcamarche.net/faq/sujet 8622 mise a jour d antivir impossible ).

Fais ce réglage supplémentaire :

***************************************
Une fois AntiVir ouvert click sur configuration et coches la case "expert mode" .
*Puis click sur configuration en haut a droite; dans la nouvelle fenetre à gauche ->scanner -> coches "scan all files" et en dessous ->scanner priority = High
*coches : allow stopping the scanner, comme cela tu peux faire une pause pendant le scan si tu le desir.
*puis sur la droite, coches les cases suivantes :
scan boot sectors of selected drives
scan master boot sectors
scan memory
search for rootkit before scan
et décoches :
ignore off line files
*toujours a gauche -> scan -> deploie -> heuristique -> macrovirus heuristic = coché et en dessous -> win32 heuristic la case cochée et high detection level aussi ...

---> cliques sur "OK" pour valider le réglage ...
****************************************

Une fois fait ,
Impératif : Redémarrer l'ordinateur en mode sans échec .

/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

Comment aller en Mode sans échec
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur (si besoin ... )

Lances un scan complet de ton PC , mets tout ce qu'il peut trouver en "quarantaine" ...
Redémarres ton PC et postes moi le rapport obtenu ... Aides toi bien du tuto ;)

( PS : Si AntiVir s'affolle dès la fin de son installe , ainsi qu'au redémarrage du PC , mets tout en quarantaine et postes moi tous les rapports ... )

Accompagnes aussi le rapport d'AntiVir avec un nouveau rapport Hijackthis ...

Réponse 23 / 37

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

Bien ... Plusieurs infections ...

commences par ceci :

1- Télécharges UsbFix de Chiquitine29 sur ton bureau :

http://sd-1.archive-host.com/membres/up/116615172019703188/UsbFix.exe

! Déconnectes toi d'internet et fermes toutes applications en cours !

--> Double-cliques sur l' .exe pour lancer l'installation de l'outil ( ne touche pas aux paramètres d'installe ) .

Branches toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .

--> Double-cliques sur le raccourci "UsbFix" qui est sur ton bureau pour lancer l'outil et laisses le travailler .

--> Le pc va redémarrer .

--> Une fois de retour à ton bureau , le rapport "UsbFix.txt" s'affiche .
Fais un copier/coller de son contenu dans ta prochaine réponse pour analyse ...

( Note : le rapport UsbFix.txt est sauvegardé a la racine du disque dur > C:\UsbFix.txt )

PS : Si le Bureau ne réapparait pas, presses Ctrl + Alt + Suppr , Onglet "Fichier"-> "Nouvelle tâche":
tapes explorer.exe et valides .

2- refais un scan RSIT , postes le nouveau rapport "log.txt" obtenu et attends la suite ...

Réponse 24 / 37

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

salut,

malheureusement son créateur viens de se retirer de la désinfection ( donc ces outils aussi ) .... On va procéder autrement ...

Commences par ceci :

Télécharges ToolBar S&D ( de Eric_71/Team IDN ) :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2

( Tuto : https://sites.google.com/site/toolbarsd/aideenimages )

!! Déconnectes toi et fermes toute tes applications en cours le temps de la manipe !!

* double-cliques sur l'.exe pour lancer l'installe et laisses toi guider ...
* Une fois fait, cliques sur le raccourci créé sur ton bureau pour lancer l'outil .
* Choisis l'option 1 ( "recherche") et tapes "entrée" .
* Une fois le scan finit , un rapport va apparaître, copie/colles l'intégralité
de son contenu dans ta prochaine réponse ...
( le rapport est en outre sauvegardé ici -> C:\TB.txt )

Réponse 25 / 37

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

Salut,

bon ...plusieurs crack infectés qu'il absolument supprimer ! ... :s

1- Télécharges OTMoveIt3 (de Old_Timer) sur ton Bureau.

http://oldtimer.geekstogo.com/OTMoveIt3.exe

! Déconnectes toi et fermes toute tes applications en cours !

Double cliques sur "OTMoveIt3.exe" pour ouvrir le prg .
Puis copies ce qui se trouve en citation ci-dessous,

:Processes
explorer.exe

:Services

:Reg

:Files
C:\Users\Fabien\Microsoft Office 2007 Working Keygen.exe 
C:\Users\Fabien\Seriali e KeyGen 
C:\Users\Fabien\AppData\Local\Microsoft\Messenger\fafabuloso33@hotmail.fr\Sharing Folders\sonaquil@hotmail.com\Crack 
C:\Users\Fabien\AppData\Roaming\Microsoft\Windows\Recent\crack recon.lnk 
C:\Users\Fabien\AppData\Roaming\Microsoft\Windows\Recent\crack.lnk 
C:\Users\Fabien\AppData\Roaming\Microsoft\Windows\Recent\Football Manager 2008 (PC) + crack (2).lnk 
C:\Users\Fabien\AppData\Roaming\Microsoft\Windows\Recent\Football Manager 2008 (PC) + crack.lnk 
C:\Users\Fabien\AppData\Roaming\Microsoft\Windows\Recent\Ghost Recon Advanced Warfighter 2 keygen-HATRED.lnk 
C:\Users\Fabien\AppData\Roaming\Microsoft\Windows\Recent\Ghost_Recon_Advanced_Warfighter_2_keygen___HATRED_rar-Fenopy.com.lnk 
C:\Users\Fabien\AppData\Roaming\Microsoft\Windows\Recent\Microsoft Office 2007 Keygen Updated.lnk 
C:\Users\Fabien\AppData\Roaming\Microsoft\Windows\Recent\Microsoft Office 2007 Working Keygen.lnk 
C:\Users\Fabien\AppData\Roaming\Microsoft\Windows\Recent\Microsoft.Office.2007.Keygen.lnk 
C:\Users\Fabien\AppData\Roaming\Microsoft\Windows\Recent\Pc Game - Pes - Pro Evolution Soccer 2008-Serial ok(multi crack keygen patch) !!!.lnk 
C:\Users\Fabien\AppData\Roaming\Microsoft\Windows\Recent\serial.keygen.crack.generator.Microsoft Office Word 2007.lnk 
C:\Users\Fabien\AppData\Roaming\Microsoft\Windows\Recent\Seriali e KeyGen Microsoft Office Word 2007.lnk 
C:\Users\Fabien\AppData\Roaming\Microsoft\Windows\Recent\The.Sims2.Apartment.Life.Crack.n.Keygen.lnk 
C:\Users\Fabien\AppData\Roaming\uTorrent\Ghost Recon Advanced Warfighter 2 keygen-HATRED.rar.1.torrent 
C:\Users\Fabien\AppData\Roaming\uTorrent\Ghost Recon Advanced Warfighter 2 keygen-HATRED.rar.2.torrent 
C:\Users\Fabien\AppData\Roaming\uTorrent\Ghost Recon Advanced Warfighter 2 keygen-HATRED.rar.torrent 
C:\Users\Fabien\AppData\Roaming\uTorrent\keygen.exe.torrent 
C:\Users\Fabien\AppData\Roaming\uTorrent\Mercenaries.2.World.In.Flames.Crackfix-RELOADED.torrent 
C:\Users\Fabien\AppData\Roaming\uTorrent\Microsoft Office 2007 Keygen Updated.rar.torrent 
C:\Users\Fabien\AppData\Roaming\uTorrent\Microsoft Office 2007 Keygen.exe.torrent 
C:\Users\Fabien\AppData\Roaming\uTorrent\Microsoft Office 2007 Working Keygen.rar.torrent 
C:\Users\Fabien\AppData\Roaming\uTorrent\Microsoft.Office.2007.Keygen.rar.torrent 
C:\Users\Fabien\Documents\Football Manager 2008 (PC) + crack 
C:\Users\Fabien\Documents\Football Manager 2008 (PC) + crack\fm.exe 
C:\Users\Fabien\Documents\Football Manager 2008 (PC) + crack\FM2008.iso 
C:\Users\Fabien\Documents\Football Manager 2008 (PC) + crack\How to get a Nintendo Wii for nothing (United Kingdom Residents only).rtf 
C:\Users\Fabien\Documents\Football Manager 2008 (PC) + crack\instructions.txt 

:Commands
[emptytemp]
[start explorer]
[Reboot]

et colles le dans le cadre de gauche de OTMoveIt3 :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)

-> cliques sur MoveIt! pour lancer la suppression.
-> laisses travailler l'outil ...

( Note : ton bureau va disparaitre puis réapparaitre, c'est normal .)

-> une fois finis , un petite fenêtre s'ouvre : cliques sur " Yes " .

Ton PC va redémarrer de lui même ...

-->Postes le contenu du rapport qui se trouve dans le dossier "C:\_OTMoveIt\MovedFiles"
( " xxxx2008_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation )

2- Nettoyage avec ToolBar S&D :

!! Déconnectes toi et fermes toute tes applications en cours le temps de la manipe !!

Relances Toolbar-S&D en double-cliquant sur le raccourci.
-->Tapes sur l'option 2 ( "nettoyage" ) puis tapes sur "Entrée".

Note : ne touches à rien lors de la suppression !

Un rapport sera généré à la fin du processus : postes son contenu dans ta prochaine réponse
accompagné d'un nouveau rapport RSIT ( "log.txt" ) pour analyse ...

sonaquil

Bonjour, voici tous les rapports dans l'ordre demandé:

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
========== REGISTRY ==========
========== FILES ==========
C:\Users\Fabien\Microsoft Office 2007 Working Keygen.exe moved successfully.
C:\Users\Fabien\Seriali e KeyGen moved successfully.
C:\Users\Fabien\AppData\Local\Microsoft\Messenger\fafabuloso33@hotmail.fr\Sharing Folders\sonaquil@hotmail.com\Crack moved successfully.
C:\Users\Fabien\AppData\Roaming\Microsoft\Windows\Recent\crack recon.lnk moved successfully.
C:\Users\Fabien\AppData\Roaming\Microsoft\Windows\Recent\crack.lnk moved successfully.
C:\Users\Fabien\AppData\Roaming\Microsoft\Windows\Recent\Football Manager 2008 (PC) + crack (2).lnk moved successfully.
C:\Users\Fabien\AppData\Roaming\Microsoft\Windows\Recent\Football Manager 2008 (PC) + crack.lnk moved successfully.
C:\Users\Fabien\AppData\Roaming\Microsoft\Windows\Recent\Ghost Recon Advanced Warfighter 2 keygen-HATRED.lnk moved successfully.
C:\Users\Fabien\AppData\Roaming\Microsoft\Windows\Recent\Ghost_Recon_Advanced_Warfighter_2_keygen___HATRED_rar-Fenopy.com.lnk moved successfully.
C:\Users\Fabien\AppData\Roaming\Microsoft\Windows\Recent\Microsoft Office 2007 Keygen Updated.lnk moved successfully.
C:\Users\Fabien\AppData\Roaming\Microsoft\Windows\Recent\Microsoft Office 2007 Working Keygen.lnk moved successfully.
C:\Users\Fabien\AppData\Roaming\Microsoft\Windows\Recent\Microsoft.Office.2007.Keygen.lnk moved successfully.
C:\Users\Fabien\AppData\Roaming\Microsoft\Windows\Recent\Pc Game - Pes - Pro Evolution Soccer 2008-Serial ok(multi crack keygen patch) !!!.lnk moved successfully.
C:\Users\Fabien\AppData\Roaming\Microsoft\Windows\Recent\serial.keygen.crack.generator.Microsoft Office Word 2007.lnk moved successfully.
C:\Users\Fabien\AppData\Roaming\Microsoft\Windows\Recent\Seriali e KeyGen Microsoft Office Word 2007.lnk moved successfully.
C:\Users\Fabien\AppData\Roaming\Microsoft\Windows\Recent\The.Sims2.Apartment.Life.Crack.n.Keygen.lnk moved successfully.
C:\Users\Fabien\AppData\Roaming\uTorrent\Ghost Recon Advanced Warfighter 2 keygen-HATRED.rar.1.torrent moved successfully.
C:\Users\Fabien\AppData\Roaming\uTorrent\Ghost Recon Advanced Warfighter 2 keygen-HATRED.rar.2.torrent moved successfully.
C:\Users\Fabien\AppData\Roaming\uTorrent\Ghost Recon Advanced Warfighter 2 keygen-HATRED.rar.torrent moved successfully.
C:\Users\Fabien\AppData\Roaming\uTorrent\keygen.exe.torrent moved successfully.
C:\Users\Fabien\AppData\Roaming\uTorrent\Mercenaries.2.World.In.Flames.Crackfix-RELOADED.torrent moved successfully.
C:\Users\Fabien\AppData\Roaming\uTorrent\Microsoft Office 2007 Keygen Updated.rar.torrent moved successfully.
C:\Users\Fabien\AppData\Roaming\uTorrent\Microsoft Office 2007 Keygen.exe.torrent moved successfully.
C:\Users\Fabien\AppData\Roaming\uTorrent\Microsoft Office 2007 Working Keygen.rar.torrent moved successfully.
C:\Users\Fabien\AppData\Roaming\uTorrent\Microsoft.Office.2007.Keygen.rar.torrent moved successfully.
C:\Users\Fabien\Documents\Football Manager 2008 (PC) + crack moved successfully.
File/Folder C:\Users\Fabien\Documents\Football Manager 2008 (PC) + crack\fm.exe not found.
File/Folder C:\Users\Fabien\Documents\Football Manager 2008 (PC) + crack\FM2008.iso not found.
File/Folder C:\Users\Fabien\Documents\Football Manager 2008 (PC) + crack\How to get a Nintendo Wii for nothing (United Kingdom Residents only).rtf not found.
File/Folder C:\Users\Fabien\Documents\Football Manager 2008 (PC) + crack\instructions.txt not found.
========== COMMANDS ==========
File delete failed. C:\Users\Fabien\AppData\Local\Temp\RtkBtMnt.exe scheduled to be deleted on reboot.
File delete failed. C:\Users\Fabien\AppData\Local\Temp\sfareca00001.dll scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.5.0 log created on 10192008_145733

-----------\\ ToolBar S&D 1.2.2 XP/Vista

Microsoft® Windows Vista™ Édition Familiale Premium ( v6.0.6001 ) Service Pack 1
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU T5250 @ 1.50GHz )
BIOS : Default System BIOS
USER : Fabien ( Administrator )
BOOT : Normal boot
Antivirus : avast! antivirus 4.7.1098 [VPS 081018-0] 4.7.1098 (Activated)
C:\ (Local Disk) - NTFS - Total : 111 Go Free : 27 Go
D:\ (Local Disk) - NTFS - Total : 232 Go Free : 74 Go
E:\ (Local Disk) - NTFS - Total : 111 Go Free : 106 Go
F:\ (CD or DVD)
G:\ (CD or DVD)

"C:\ToolBar SD" ( MAJ : 04-10-2008|21:00 )
Option : [2] ( 19/10/2008|15:53 )

[ UAC => 1 ]

-----------\\ SUPPRESSION

Supprime! - C:\Program Files\DAEMON Tools Toolbar\FirefoxDTT
Supprime! - C:\Program Files\DAEMON Tools Toolbar\Resources
Supprime! - C:\Program Files\DAEMON Tools Toolbar\_DTLite.xml
Supprime! - C:\Windows\iun6002.exe
Supprime! - C:\Program Files\DAEMON Tools Toolbar

-----------\\ Recherche de Fichiers / Dossiers ...

-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://home.neuf.fr/"
"SEARCH PAGE"="https://actus.sfr.fr"
"Local Page"="C:\\Windows\\system32\\blank.htm"
"SearchMigratedDefaultURL"="https://search.yahoo.com/web{searchTerms}&ei=utf-8&fr=b1ie7"
"Search Bar"="https://actus.sfr.fr"
"Url"="https://www.msn.com/fr-fr/actualite/"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="https://www.msn.com/fr-fr/"
"Default_Page_URL"="https://fr.yahoo.com/"
"Default_Search_URL"="https://actus.sfr.fr"
"Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"

--------------------\\ Recherche d'autres infections

C:\Program Files\InternetGameBox
C:\Program Files\InternetGameBox\language
C:\Program Files\InternetGameBox\ressources
C:\Program Files\InternetGameBox\skins
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\InternetGameBox
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\InternetGameBox\Conditions g‚n‚rales.url
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\InternetGameBox\Confidentialit‚.url
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\InternetGameBox\D‚sinstaller.lnk
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\InternetGameBox\InternetGameBox.lnk
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\InternetGameBox\Website.url

C:\Users\Fabien\AppData\Local\glurxd.dat
C:\Users\Fabien\AppData\Local\glurxd_nav.dat
C:\Users\Fabien\AppData\Local\glurxd_navps.dat
[b]==> EGDACCESS <==/b

[ UAC => 1 ]

1 - "C:\ToolBar SD\TB_1.txt" - 18/10/2008| 4:50 - Option : [1]
2 - "C:\ToolBar SD\TB_2.txt" - 19/10/2008|15:55 - Option : [2]

-----------\\ Fin du rapport a 15:55:21,26

et enfin le rapport RSIT

Logfile of random's system information tool 1.04 (written by random/random)
Run by Fabien at 2008-10-19 16:00:25
Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 1
System drive C: has 28 GB (25%) free of 114 GB
Total RAM: 2045 MB (55% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:00:34, on 19/10/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\explorer.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Users\Fabien\AppData\Local\Temp\RtkBtMnt.exe
C:\Program Files\Apoint2K\ApMsgFwd.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Windows\system32\conime.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\taskeng.exe
C:\Users\Fabien\Desktop\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Fabien.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Config\csrss.exe
O1 - Hosts: ::1 localhost
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Windows\system32\ActiveToolBand.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU)
O13 - Gopher Prefix:
O23 - Service: ALaunch Service (ALaunchService) - Unknown owner - C:\Acer\ALaunch\ALaunchSvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

sonaquil

Bonjour, voici tous les rapports dans l'ordre demandé:

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
========== REGISTRY ==========
========== FILES ==========
C:\Users\Fabien\Microsoft Office 2007 Working Keygen.exe moved successfully.
C:\Users\Fabien\Seriali e KeyGen moved successfully.
C:\Users\Fabien\AppData\Local\Microsoft\Messenger\fafabuloso33@hotmail.fr\Sharing Folders\sonaquil@hotmail.com\Crack moved successfully.
C:\Users\Fabien\AppData\Roaming\Microsoft\Windows\Recent\crack recon.lnk moved successfully.
C:\Users\Fabien\AppData\Roaming\Microsoft\Windows\Recent\crack.lnk moved successfully.
C:\Users\Fabien\AppData\Roaming\Microsoft\Windows\Recent\Football Manager 2008 (PC) + crack (2).lnk moved successfully.
C:\Users\Fabien\AppData\Roaming\Microsoft\Windows\Recent\Football Manager 2008 (PC) + crack.lnk moved successfully.
C:\Users\Fabien\AppData\Roaming\Microsoft\Windows\Recent\Ghost Recon Advanced Warfighter 2 keygen-HATRED.lnk moved successfully.
C:\Users\Fabien\AppData\Roaming\Microsoft\Windows\Recent\Ghost_Recon_Advanced_Warfighter_2_keygen___HATRED_rar-Fenopy.com.lnk moved successfully.
C:\Users\Fabien\AppData\Roaming\Microsoft\Windows\Recent\Microsoft Office 2007 Keygen Updated.lnk moved successfully.
C:\Users\Fabien\AppData\Roaming\Microsoft\Windows\Recent\Microsoft Office 2007 Working Keygen.lnk moved successfully.
C:\Users\Fabien\AppData\Roaming\Microsoft\Windows\Recent\Microsoft.Office.2007.Keygen.lnk moved successfully.
C:\Users\Fabien\AppData\Roaming\Microsoft\Windows\Recent\Pc Game - Pes - Pro Evolution Soccer 2008-Serial ok(multi crack keygen patch) !!!.lnk moved successfully.
C:\Users\Fabien\AppData\Roaming\Microsoft\Windows\Recent\serial.keygen.crack.generator.Microsoft Office Word 2007.lnk moved successfully.
C:\Users\Fabien\AppData\Roaming\Microsoft\Windows\Recent\Seriali e KeyGen Microsoft Office Word 2007.lnk moved successfully.
C:\Users\Fabien\AppData\Roaming\Microsoft\Windows\Recent\The.Sims2.Apartment.Life.Crack.n.Keygen.lnk moved successfully.
C:\Users\Fabien\AppData\Roaming\uTorrent\Ghost Recon Advanced Warfighter 2 keygen-HATRED.rar.1.torrent moved successfully.
C:\Users\Fabien\AppData\Roaming\uTorrent\Ghost Recon Advanced Warfighter 2 keygen-HATRED.rar.2.torrent moved successfully.
C:\Users\Fabien\AppData\Roaming\uTorrent\Ghost Recon Advanced Warfighter 2 keygen-HATRED.rar.torrent moved successfully.
C:\Users\Fabien\AppData\Roaming\uTorrent\keygen.exe.torrent moved successfully.
C:\Users\Fabien\AppData\Roaming\uTorrent\Mercenaries.2.World.In.Flames.Crackfix-RELOADED.torrent moved successfully.
C:\Users\Fabien\AppData\Roaming\uTorrent\Microsoft Office 2007 Keygen Updated.rar.torrent moved successfully.
C:\Users\Fabien\AppData\Roaming\uTorrent\Microsoft Office 2007 Keygen.exe.torrent moved successfully.
C:\Users\Fabien\AppData\Roaming\uTorrent\Microsoft Office 2007 Working Keygen.rar.torrent moved successfully.
C:\Users\Fabien\AppData\Roaming\uTorrent\Microsoft.Office.2007.Keygen.rar.torrent moved successfully.
C:\Users\Fabien\Documents\Football Manager 2008 (PC) + crack moved successfully.
File/Folder C:\Users\Fabien\Documents\Football Manager 2008 (PC) + crack\fm.exe not found.
File/Folder C:\Users\Fabien\Documents\Football Manager 2008 (PC) + crack\FM2008.iso not found.
File/Folder C:\Users\Fabien\Documents\Football Manager 2008 (PC) + crack\How to get a Nintendo Wii for nothing (United Kingdom Residents only).rtf not found.
File/Folder C:\Users\Fabien\Documents\Football Manager 2008 (PC) + crack\instructions.txt not found.
========== COMMANDS ==========
File delete failed. C:\Users\Fabien\AppData\Local\Temp\RtkBtMnt.exe scheduled to be deleted on reboot.
File delete failed. C:\Users\Fabien\AppData\Local\Temp\sfareca00001.dll scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.5.0 log created on 10192008_145733

-----------\\ ToolBar S&D 1.2.2 XP/Vista

Microsoft® Windows Vista™ Édition Familiale Premium ( v6.0.6001 ) Service Pack 1
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU T5250 @ 1.50GHz )
BIOS : Default System BIOS
USER : Fabien ( Administrator )
BOOT : Normal boot
Antivirus : avast! antivirus 4.7.1098 [VPS 081018-0] 4.7.1098 (Activated)
C:\ (Local Disk) - NTFS - Total : 111 Go Free : 27 Go
D:\ (Local Disk) - NTFS - Total : 232 Go Free : 74 Go
E:\ (Local Disk) - NTFS - Total : 111 Go Free : 106 Go
F:\ (CD or DVD)
G:\ (CD or DVD)

"C:\ToolBar SD" ( MAJ : 04-10-2008|21:00 )
Option : [2] ( 19/10/2008|15:53 )

[ UAC => 1 ]

-----------\\ SUPPRESSION

Supprime! - C:\Program Files\DAEMON Tools Toolbar\FirefoxDTT
Supprime! - C:\Program Files\DAEMON Tools Toolbar\Resources
Supprime! - C:\Program Files\DAEMON Tools Toolbar\_DTLite.xml
Supprime! - C:\Windows\iun6002.exe
Supprime! - C:\Program Files\DAEMON Tools Toolbar

-----------\\ Recherche de Fichiers / Dossiers ...

-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://home.neuf.fr/"
"SEARCH PAGE"="https://actus.sfr.fr"
"Local Page"="C:\\Windows\\system32\\blank.htm"
"SearchMigratedDefaultURL"="https://search.yahoo.com/web{searchTerms}&ei=utf-8&fr=b1ie7"
"Search Bar"="https://actus.sfr.fr"
"Url"="https://www.msn.com/fr-fr/actualite/"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="https://www.msn.com/fr-fr/"
"Default_Page_URL"="https://fr.yahoo.com/"
"Default_Search_URL"="https://actus.sfr.fr"
"Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"

--------------------\\ Recherche d'autres infections

C:\Program Files\InternetGameBox
C:\Program Files\InternetGameBox\language
C:\Program Files\InternetGameBox\ressources
C:\Program Files\InternetGameBox\skins
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\InternetGameBox
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\InternetGameBox\Conditions g‚n‚rales.url
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\InternetGameBox\Confidentialit‚.url
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\InternetGameBox\D‚sinstaller.lnk
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\InternetGameBox\InternetGameBox.lnk
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\InternetGameBox\Website.url

C:\Users\Fabien\AppData\Local\glurxd.dat
C:\Users\Fabien\AppData\Local\glurxd_nav.dat
C:\Users\Fabien\AppData\Local\glurxd_navps.dat
[b]==> EGDACCESS <==/b

[ UAC => 1 ]

1 - "C:\ToolBar SD\TB_1.txt" - 18/10/2008| 4:50 - Option : [1]
2 - "C:\ToolBar SD\TB_2.txt" - 19/10/2008|15:55 - Option : [2]

-----------\\ Fin du rapport a 15:55:21,26

et enfin le rapport RSIT

Logfile of random's system information tool 1.04 (written by random/random)
Run by Fabien at 2008-10-19 16:00:25
Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 1
System drive C: has 28 GB (25%) free of 114 GB
Total RAM: 2045 MB (55% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:00:34, on 19/10/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\explorer.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Users\Fabien\AppData\Local\Temp\RtkBtMnt.exe
C:\Program Files\Apoint2K\ApMsgFwd.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Windows\system32\conime.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\taskeng.exe
C:\Users\Fabien\Desktop\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Fabien.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Config\csrss.exe
O1 - Hosts: ::1 localhost
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Windows\system32\ActiveToolBand.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU)
O13 - Gopher Prefix:
O23 - Service: ALaunch Service (ALaunchService) - Unknown owner - C:\Acer\ALaunch\ALaunchSvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

sonaquil > sKe69 Messages postés 21955 Statut Contributeur sécurité

J'ai effectué les actions recommandées:sachant que j'ai installé et exécuté usb fix cependant je n'ai aucun rapport ni sur le bureau ni sous c:/(opération répétée à deux reprises).je l'ai d'abord fait sans périphérique usb et je l'ai fait ensuite ac un appareil photo numérique.

sonaquil > sKe69 Messages postés 21955 Statut Contributeur sécurité

ok, je fais ça sur le champ ;)

sonaquil > sonaquil

et voila le rapport:

Search Navipromo version 3.6.6 commencé le 19/10/2008 à 19:21:46,26

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "Fabien"

Mise à jour le 29.09.2008 à 17h30 par IL-MAFIOSO

Microsoft Windows Vista 6.0.6001
Internet Explorer : 7.0.6001.18000
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***

*** Recherche dossiers dans "C:\Windows" ***

*** Recherche dossiers dans "C:\Program Files" ***

...\InternetGameBox trouvé !

*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***

...\InternetGameBox trouvé !

*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1" ***

*** Recherche dossiers dans "C:\ProgramData" ***

*** Recherche dossiers dans "c:\users\fabien\appdata\roaming\micros~1\windows\startm~1\programs" ***

*** Recherche dossiers dans "C:\Users\Fabien\AppData\Local\virtualstore\Program Files" ***

*** Recherche dossiers dans "C:\Users\Fabien\AppData\Roaming" ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\Windows\system32" *

* Recherche dans "C:\Users\Fabien\AppData\Local\Microsoft" *

* Recherche dans "C:\Users\Fabien\AppData\Local\virtualstore\windows\system32" *

* Recherche dans "C:\Users\Fabien\AppData\Local" *

*** Recherche fichiers ***

*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :

2)Recherche Heuristique :

* Dans "C:\Windows\system32" :

* Dans "C:\Users\Fabien\AppData\Local\Microsoft" :

* Dans "C:\Users\Fabien\AppData\Local\virtualstore\windows\system32" :

* Dans "C:\Users\Fabien\AppData\Local" :

glurxd.dat trouvé !
glurxd_nav.dat trouvé !
glurxd_navps.dat trouvé !

3)Recherche Certificats :

Certificat Egroup trouvé !
Certificat Electronic-Group trouvé !
Certificat Montorgueil absent !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :

*** Analyse terminée le 19/10/2008 à 19:32:39,83 ***

Réponse 26 / 37

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

La suite :

!! Déconnectes toi, désactives tes défenses ( anti-virus,anti-spyware ) et fermes bien toutes tes applications le temps de la manipe !!

--->Double-cliques sur le raccourci Navilog1

Arriver au menu principal, choisir l'option 2 et valider (nettoyage "automatique" ).

Le fix demandera ensuite de "redémarrer le PC", fermer toutes les fenêtres ouvertes
et appuyer sur une touche comme demandé.( important : si le PC ne redémarre pas automatiquement, le faire manuellement )
Au redémarrage du PC, choisir la session habituelle si nécessaire.

Patienter jusqu'au message : "Nettoyage Terminé le ..."

Le bureau revient, puis le bloc-note s'ouvre .
Sauvegarder ce rapport de manière à le retrouver, puis fermer le bloc-note ...
(Le rapport sera en outre sauvegardé à la racine du disque "C\:cleannavi.txt")

Postes ce rapport dans ta nouvelle réponse accompagné d'un nouveau rapport RSIT ( "log.txt" ) pour analyse et attends la suite ...

(PS : Si le bureau ne réapparaît pas, faire CTRL+ALT+SUPPR pour ouvrir le gestionnaire de tâches.
Choisir l'onglet processus. Cliquer en haut à gauche sur fichiers et choisir exécuter,
Taper explorer et valider.)

sonaquil

lean Navipromo version 3.6.6 commencé le 19/10/2008 à 19:49:40,16

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "Fabien"

Mise à jour le 29.09.2008 à 17h30 par IL-MAFIOSO

Microsoft Windows Vista 6.0.6001
Internet Explorer : 7.0.6001.18000
Système de fichiers : NTFS

Mode suppression automatique
avec prise en charge résultats Catchme et GNS

Nettoyage exécuté au redémarrage de l'ordinateur

*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\Windows\System32" *

* Suppression dans "C:\Users\Fabien\AppData\Local\Microsoft" *

* Suppression dans "C:\Users\Fabien\AppData\Local\virtualstore\windows\system32" *

* Suppression dans "C:\Users\Fabien\AppData\Local" *

*** Suppression dossiers dans "C:\Windows" ***

*** Suppression dossiers dans "C:\Program Files" ***

...\InternetGamebox ...suppression...
...\InternetGamebox supprimé !

*** Suppression dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***

...\InternetGamebox ...suppression...
...\InternetGamebox supprimé !

*** Suppression dossiers dans "c:\progra~2\micros~1\windows\startm~1" ***

*** Suppression dossiers dans "C:\ProgramData" ***

*** Suppression dossiers dans c:\users\fabien\appdata\roaming\micros~1\windows\startm~1\programs ***

*** Suppression dossiers dans "C:\Users\Fabien\AppData\Local\virtualstore\Program Files" ***

*** Suppression dossiers dans "C:\Users\Fabien\AppData\Roaming" ***

*** Suppression fichiers ***

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\Windows\Temp effectué !
Nettoyage contenu C:\Users\Fabien\AppData\Local\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :

* Dans "C:\Windows\system32" *

* Dans "C:\Users\Fabien\AppData\Local\Microsoft" *

* Dans "C:\Users\Fabien\AppData\Local\virtualstore\windows\system32" *

* Dans "C:\Users\Fabien\AppData\Local" *

glurxd.dat trouvé !
Copie glurxd.dat réalisée avec succès !
glurxd.dat supprimé !

glurxd_nav.dat trouvé !
Copie glurxd_nav.dat réalisée avec succès !
glurxd_nav.dat supprimé !

glurxd_navps.dat trouvé !
Copie glurxd_navps.dat réalisée avec succès !
glurxd_navps.dat supprimé !

*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok

*** Certificats ***

Certificat Egroup supprimé !
Certificat Electronic-Group supprimé !
Certificat Montorgueil absent !
Certificat OOO-Favorit supprimé !
Certificat Sunny-Day-Design-Ltdt absent !

*** Nettoyage terminé le 19/10/2008 à 19:55:10,96 ***

Logfile of random's system information tool 1.04 (written by random/random)
Run by Fabien at 2008-10-19 19:57:47
Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 1
System drive C: has 28 GB (24%) free of 114 GB
Total RAM: 2045 MB (64% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:58:03, on 19/10/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.exe
C:\Windows\explorer.exe
C:\Windows\system32\conime.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Apoint2K\ApMsgFwd.exe
C:\Users\Fabien\AppData\Local\Temp\RtkBtMnt.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Users\Fabien\Desktop\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Fabien.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Config\csrss.exe
O1 - Hosts: ::1 localhost
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Windows\system32\ActiveToolBand.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU)
O13 - Gopher Prefix:
O23 - Service: ALaunch Service (ALaunchService) - Unknown owner - C:\Acer\ALaunch\ALaunchSvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

sKe69 Messages postés 21955 Statut Contributeur sécurité 463 > sonaquil

Bien ... voilà la suite des oppérations ... dans l'ordre :

1- Avoir accès aux fichiers cachés :

Vas dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
* "Afficher les fichiers et dossiers cachés" ---> coché
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché
* "masquer les fichiers du système" ---> décoché
-> valides la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )

2- Important :
Branches toutes tes unités externes au PC ( DD externes , clé USB , lecteur mp3, appareil photo numérique ect...) mais sans les ouvrir !

3- Rends toi sur ce site :

https://www.virustotal.com/gui/

Copies ce qui suit et colles le dans l'espace pour la recherche :
C:\Windows\system32\ActiveToolBand.dll

Cliques sur Send File ( = " Envoyer le fichier " ).

Un rapport va s'élaborer ligne à ligne.

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copies le dans ta prochaine réponse ...

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

Fais de même pour :
H:\copy.exe
G:\setup.exe

postes moi donc ces 3 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...

sonaquil > sKe69 Messages postés 21955 Statut Contributeur sécurité

Pour C:\Windows\system32\ActiveToolBand.dll voici le rapport:

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.10.18.0 2008.10.19 -
AntiVir 7.9.0.5 2008.10.19 -
Authentium 5.1.0.4 2008.10.19 -
Avast 4.8.1248.0 2008.10.15 -
AVG 8.0.0.161 2008.10.18 -
BitDefender 7.2 2008.10.19 -
CAT-QuickHeal 9.50 2008.10.18 -
ClamAV 0.93.1 2008.10.19 -
DrWeb 4.44.0.09170 2008.10.19 -
eSafe 7.0.17.0 2008.10.19 -
eTrust-Vet 31.6.6154 2008.10.17 -
Ewido 4.0 2008.10.19 -
F-Prot 4.4.4.56 2008.10.19 -
F-Secure 8.0.14332.0 2008.10.19 -
Fortinet 3.113.0.0 2008.10.19 -
GData 19 2008.10.19 -
Ikarus T3.1.1.44.0 2008.10.19 -
K7AntiVirus 7.10.498 2008.10.18 -
Kaspersky 7.0.0.125 2008.10.19 -
McAfee 5408 2008.10.17 -
Microsoft 1.4005 2008.10.19 -
NOD32 3536 2008.10.19 -
Norman 5.80.02 2008.10.17 -
Panda 9.0.0.4 2008.10.19 -
PCTools 4.4.2.0 2008.10.19 -
Prevx1 V2 2008.10.19 -
Rising 20.66.62.00 2008.10.19 -
SecureWeb-Gateway 6.7.6 2008.10.19 -
Sophos 4.34.0 2008.10.19 -
Sunbelt 3.1.1732.1 2008.10.18 -
Symantec 10 2008.10.19 -
TheHacker 6.3.1.0.119 2008.10.18 -
TrendMicro 8.700.0.1004 2008.10.17 -
VBA32 3.12.8.7 2008.10.19 -
ViRobot 2008.10.18.1426 2008.10.18 -
VirusBuster 4.5.11.0 2008.10.19 -
Information additionnelle
File size: 299008 bytes
MD5...: a356c37d72ac22bdfbe421e7a96b51d6
SHA1..: 4fcc0f116b84164091c8ca12e061217bae67c8dc
SHA256: 5f8d51103651c033fa9f828ef5d19a37275522a8bd1fc6ea041f29d9ae4e1fd9
SHA512: 228f4974ad31c5e04835a983c8a4440eea300c4148db99795d5ceea865fbf811
d7f3a1c5bdd5e7b881d240f0fb5d0767d422e7c4732242ce9936bee1dd32d60d
PEiD..: -
TrID..: File type identification
DirectShow filter (73.9%)
Win32 Executable MS Visual C++ (generic) (13.8%)
Windows Screen Saver (4.8%)
Win32 Executable Generic (3.1%)
Win32 Dynamic Link Library (generic) (2.7%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x100183e0
timedatestamp.....: 0x462f1251 (Wed Apr 25 08:33:21 2007)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2fb8f 0x30000 6.22 1b4a2986a64eaabd9dda8b53f69de9fe
.rdata 0x31000 0xf72b 0x10000 4.36 f3a2bad86fed845257256216a11cfe89
.data 0x41000 0x3470 0x2000 2.67 38ac50dcd3315d0084f128227cd85e43
.rsrc 0x45000 0xe2c 0x1000 4.68 8012f9f83490ec47e3f174342432c1a0
.reloc 0x46000 0x4488 0x5000 4.24 971fb398d2830ee293107b847f2e865f

( 5 imports )
> KERNEL32.dll: FindResourceW, LoadLibraryExW, lstrcmpiW, LoadResource, RaiseException, LeaveCriticalSection, EnterCriticalSection, SizeofResource, MultiByteToWideChar, FreeLibrary, GetLastError, lstrlenW, GetModuleFileNameW, GetModuleHandleW, InterlockedDecrement, InterlockedIncrement, InitializeCriticalSection, DeleteCriticalSection, DisableThreadLibraryCalls, FlushFileBuffers, CreateFileA, GetConsoleOutputCP, WriteConsoleA, SetStdHandle, GetConsoleMode, GetConsoleCP, SetFilePointer, GetVersionExA, InterlockedExchange, GetACP, GetLocaleInfoA, GetThreadLocale, GetCurrentProcessId, CloseHandle, SetEvent, OpenEventA, OutputDebugStringA, OutputDebugStringW, lstrlenA, WaitForSingleObject, GetCurrentThreadId, VirtualAlloc, UnmapViewOfFile, GetSystemInfo, MapViewOfFile, CreateFileMappingA, GetCurrentThread, GetVersion, OpenFileMappingA, GetModuleFileNameA, RtlUnwind, HeapValidate, IsBadReadPtr, GetCommandLineA, HeapFree, HeapAlloc, GetProcessHeap, FatalAppExitA, DebugBreak, WideCharToMultiByte, IsDebuggerPresent, GetProcAddress, LoadLibraryA, GetStdHandle, WriteFile, WriteConsoleW, GetFileType, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, GetModuleHandleA, ExitProcess, LoadLibraryW, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, SetLastError, HeapReAlloc, HeapDestroy, HeapCreate, VirtualFree, GetOEMCP, GetCPInfo, SetHandleCount, GetStartupInfoA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, QueryPerformanceCounter, GetTickCount, GetSystemTimeAsFileTime, VirtualQuery, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW
> USER32.dll: CharNextW, UnregisterClassW, MsgWaitForMultipleObjects, PeekMessageA, IsWindowUnicode, DispatchMessageA, DispatchMessageW, TranslateMessage, GetMessageA, GetMessageW

pour le lecteur h copy.exe

AhnLab-V3 2008.10.18.0 2008.10.19 Win-Trojan/CopySelf.1211
AntiVir 7.9.0.5 2008.10.19 W32/Perlovga.A.1
Authentium 5.1.0.4 2008.10.19 W32/Perlovga.A
Avast 4.8.1248.0 2008.10.15 Win32:Hupigon-LCG
AVG 8.0.0.161 2008.10.18 Generic.VDT
BitDefender 7.2 2008.10.19 Backdoor.Hupigon.ADI
CAT-QuickHeal 9.50 2008.10.18 Worm.Perlovga.a
ClamAV 0.93.1 2008.10.19 Trojan.Small-4214
DrWeb 4.44.0.09170 2008.10.19 Trojan.Copyself
eSafe 7.0.17.0 2008.10.19 Win32.Stration
eTrust-Vet 31.6.6154 2008.10.17 Win32/Perlovga.A
Ewido 4.0 2008.10.19 Trojan.Copyself
F-Prot 4.4.4.56 2008.10.19 W32/Perlovga.A
Fortinet 3.113.0.0 2008.10.19 W32/Perlovga.E!worm
GData 19 2008.10.19 Backdoor.Hupigon.ADI
Ikarus T3.1.1.44.0 2008.10.19 Worm.Win32.Perlovga.a
K7AntiVirus 7.10.498 2008.10.18 Virus.Win32.Perlovga.a
Kaspersky 7.0.0.125 2008.10.19 Worm.Win32.Perlovga.a
McAfee 5408 2008.10.17 W32/Perlovga
Microsoft 1.4005 2008.10.19 Worm:Win32/Perlovga.A
NOD32 3536 2008.10.19 Win32/Perlovga.A
Norman 5.80.02 2008.10.17 W32/Perlovga.A
Panda 9.0.0.4 2008.10.19 W32/Perlovga.A.worm
PCTools 4.4.2.0 2008.10.19 Worm.Perlovga!sd6
Rising 20.66.62.00 2008.10.19 Worm.Win32.Small.av
SecureWeb-Gateway 6.7.6 2008.10.19 Win32.Perlovga.A.1
Sophos 4.34.0 2008.10.19 W32/Perlovg-D
Sunbelt 3.1.1732.1 2008.10.18 Worm.Win32.Perlovga.e
Symantec 10 2008.10.19 W32.SillyFDC
TheHacker 6.3.1.0.119 2008.10.18 W32/Perlovga.gen
TrendMicro 8.700.0.1004 2008.10.17 WORM_PERLOVGA.G
VBA32 3.12.8.7 2008.10.19 Worm.Win32.Perlovga
ViRobot 2008.10.18.1426 2008.10.18 Trojan.Win32.Perlovga.1211
VirusBuster 4.5.11.0 2008.10.19 Worm.Perlovga.A
Information additionnelle
File size: 1211 bytes
MD5...: f7bd87b88e591e4ac9b3553852740984
SHA1..: 8374d811f2a88e1d64bef01fbc6ad13bab3a35ac
SHA256: d0b1ce6ebc31840767679d43c199f706ac6f7134196366e5ae1948a85cbbc16e
SHA512: 17645ffd62a0df28f55daa4e59e92eb896b587e7b58f7eda191e15b071b9c42e
1dfdcd6bbb5b4b0855c017f657373fc13cb47cbbe816bfc618166fd14720b657
PEiD..: MEW 11 SE v1.2 -> Northfox[HCC]
TrID..: File type identification
Mew compressed Win32 Executable (84.3%)
Win32 Executable Generic (10.6%)
Generic Win/DOS Executable (2.4%)
DOS Executable Generic (2.4%)
Targa bitmap (Original TGA Format) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x131562a2
timedatestamp.....: 0x0 (Thu Jan 01 00:00:00 1970)
machinetype.......: 0x14c (I386)

( 2 sections )
name viradd virsiz rawdsiz ntrpy md5
MEWF 0x1000 0x15000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
u 0x16000 0x1000 0x2bb 7.32 3d0c508cbecb783774398407a53f5703

( 1 imports )
> kernel32.dll: LoadLibraryA, GetProcAddress

( 0 exports )
ThreatExpert info: https://www.symantec.com?md5=f7bd87b88e591e4ac9b3553852740984
packers (Kaspersky): PE_Patch, MEW
> ADVAPI32.dll: RegSetValueExW, RegEnumKeyExW, RegOpenKeyExW, RegCreateKeyExW, RegCloseKey, RegDeleteValueW, RegDeleteKeyW, SetThreadToken, RevertToSelf, OpenThreadToken, RegQueryInfoKeyW
> ole32.dll: CoTaskMemFree, CoTaskMemAlloc, CoTaskMemRealloc, StringFromGUID2, CoCreateInstance, CoReleaseMarshalData, CoMarshalInterface, CreateStreamOnHGlobal, CoUnmarshalInterface, CoRevokeClassObject, CoRegisterClassObject
> OLEAUT32.dll: -, -, -, -, -, -, -, -

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer

et le g set up.exe

Fichier Setup.exe reçu le 2008.10.19 21:28:32 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/36 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 2.
L'heure estimée de démarrage est entre 45 et 64 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.10.18.0 2008.10.19 -
AntiVir 7.9.0.5 2008.10.19 -
Authentium 5.1.0.4 2008.10.19 -
Avast 4.8.1248.0 2008.10.15 -
AVG 8.0.0.161 2008.10.18 -
BitDefender 7.2 2008.10.19 -
CAT-QuickHeal 9.50 2008.10.18 -
ClamAV 0.93.1 2008.10.19 -
DrWeb 4.44.0.09170 2008.10.19 -
eSafe 7.0.17.0 2008.10.19 -
eTrust-Vet 31.6.6154 2008.10.17 -
Ewido 4.0 2008.10.19 -
F-Prot 4.4.4.56 2008.10.19 -
F-Secure 8.0.14332.0 2008.10.19 -
Fortinet 3.113.0.0 2008.10.19 -
GData 19 2008.10.19 -
Ikarus T3.1.1.44.0 2008.10.19 -
K7AntiVirus 7.10.498 2008.10.18 -
Kaspersky 7.0.0.125 2008.10.19 -
McAfee 5408 2008.10.17 -
Microsoft 1.4005 2008.10.19 -
NOD32 3536 2008.10.19 -
Norman 5.80.02 2008.10.17 -
Panda 9.0.0.4 2008.10.19 -
PCTools 4.4.2.0 2008.10.19 -
Prevx1 V2 2008.10.19 -
Rising 20.66.62.00 2008.10.19 -
SecureWeb-Gateway 6.7.6 2008.10.19 -
Sophos 4.34.0 2008.10.19 -
Sunbelt 3.1.1732.1 2008.10.18 -
Symantec 10 2008.10.19 -
TheHacker 6.3.1.0.119 2008.10.18 -
TrendMicro 8.700.0.1004 2008.10.17 -
VBA32 3.12.8.7 2008.10.19 -
ViRobot 2008.10.18.1426 2008.10.18 -
VirusBuster 4.5.11.0 2008.10.19 -
Information additionnelle
File size: 43648 bytes
MD5...: 3e3f23e6aab5226cf82a953e6d0d839a
SHA1..: 00ca6b3944e76926566017075acc00dcadfc422d
SHA256: e86fecbf8e38cbe742d054c74173be4a3aecd77f5efc1eb65d6cc42018357b50
SHA512: 09c7a19a6d12e2168b85f763885516918f5cb78d1c1e7b76053db19a8f5e30c2
bda3f459b9544958ebf3649d7a6a3e946fe25d91bfff4652d2380fb416d4fbc9
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4030fb
timedatestamp.....: 0x46d055c9 (Sat Aug 25 16:16:09 2007)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5b30 0x5c00 6.47 2170497fe50b1b7365c3d0dd28144dfa
.rdata 0x7000 0x129c 0x1400 5.05 e409400a0ff5e0ae59f2c4f2de09666e
.data 0x9000 0x25cd8 0x400 5.16 c9707ede28fac4e1522d538816060705
.ndata 0x2f000 0x9000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x38000 0x6c8 0x800 2.92 1df771fe74d8a0d48e1d71b2275eb81f

( 8 imports )
> KERNEL32.dll: CompareFileTime, SearchPathA, GetShortPathNameA, GetFullPathNameA, MoveFileA, SetCurrentDirectoryA, GetFileAttributesA, GetLastError, CreateDirectoryA, SetFileAttributesA, Sleep, GetFileSize, GetModuleFileNameA, GetTickCount, GetCurrentProcess, CopyFileA, ExitProcess, GetWindowsDirectoryA, SetFileTime, GetCommandLineA, SetErrorMode, LoadLibraryA, lstrcpynA, GetDiskFreeSpaceA, GlobalUnlock, GlobalLock, CreateThread, CreateProcessA, RemoveDirectoryA, CreateFileA, GetTempFileNameA, lstrlenA, lstrcatA, GetSystemDirectoryA, GetVersion, CloseHandle, lstrcmpiA, lstrcmpA, ExpandEnvironmentStringsA, GlobalFree, GlobalAlloc, WaitForSingleObject, GetExitCodeProcess, GetModuleHandleA, LoadLibraryExA, GetProcAddress, FreeLibrary, MultiByteToWideChar, WritePrivateProfileStringA, GetPrivateProfileStringA, WriteFile, ReadFile, MulDiv, SetFilePointer, FindClose, FindNextFileA, FindFirstFileA, DeleteFileA, GetTempPathA
> USER32.dll: EndDialog, ScreenToClient, GetWindowRect, EnableMenuItem, GetSystemMenu, SetClassLongA, IsWindowEnabled, SetWindowPos, GetSysColor, GetWindowLongA, SetCursor, LoadCursorA, CheckDlgButton, GetMessagePos, LoadBitmapA, CallWindowProcA, IsWindowVisible, CloseClipboard, SetClipboardData, EmptyClipboard, RegisterClassA, TrackPopupMenu, AppendMenuA, CreatePopupMenu, GetSystemMetrics, SetDlgItemTextA, GetDlgItemTextA, MessageBoxIndirectA, CharPrevA, DispatchMessageA, PeekMessageA, CreateDialogParamA, DestroyWindow, SetTimer, SetWindowTextA, PostQuitMessage, SetForegroundWindow, wsprintfA, SendMessageTimeoutA, FindWindowExA, SystemParametersInfoA, CreateWindowExA, GetClassInfoA, DialogBoxParamA, CharNextA, OpenClipboard, ExitWindowsEx, IsWindow, GetDlgItem, SetWindowLongA, LoadImageA, GetDC, EnableWindow, InvalidateRect, SendMessageA, DefWindowProcA, BeginPaint, GetClientRect, FillRect, DrawTextA, EndPaint, ShowWindow
> GDI32.dll: SetBkColor, GetDeviceCaps, DeleteObject, CreateBrushIndirect, CreateFontIndirectA, SetBkMode, SetTextColor, SelectObject
> SHELL32.dll: SHGetPathFromIDListA, SHBrowseForFolderA, SHGetFileInfoA, ShellExecuteA, SHFileOperationA, SHGetSpecialFolderLocation
> ADVAPI32.dll: RegQueryValueExA, RegSetValueExA, RegEnumKeyA, RegEnumValueA, RegOpenKeyExA, RegDeleteKeyA, RegDeleteValueA, RegCloseKey, RegCreateKeyExA
> COMCTL32.dll: ImageList_AddMasked, ImageList_Destroy, -, ImageList_Create
> ole32.dll: CoTaskMemFree, OleInitialize, OleUninitialize, CoCreateInstance
> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA

( 0 exports )

Réponse 27 / 37

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

trés bien ...

On va réutiliser UsbFix , mais tiens bien compte de ce que je t'ai dit au départ :

pour installer et executer l 'outil , tu fais clique droit / " executer entant q'administrateur " !

Télécharges UsbFix de Chiquitine29 sur ton bureau :

http://sd-1.archive-host.com/membres/up/116615172019703188/UsbFix.exe

! Déconnectes toi d'internet et fermes toutes applications en cours !

--> clique droit / " executer entant q'administrateur " sur l' .exe pour lancer l'installation de l'outil ( ne touche pas aux paramètres d'installe ) .

Branches toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .

--> clique droit / " executer entant q'administrateur " sur le raccourci "UsbFix" qui est sur ton bureau pour lancer l'outil et laisses le travailler .

--> Le pc va redémarrer .

--> Une fois de retour à ton bureau , le rapport "UsbFix.txt" s'affiche .
Fais un copier/coller de son contenu dans ta prochaine réponse pour analyse et attends la suite ....

( Note : le rapport UsbFix.txt est sauvegardé a la racine du disque dur > C:\UsbFix.txt )

PS : Si le Bureau ne réapparait pas, presses Ctrl + Alt + Suppr , Onglet "Fichier"-> "Nouvelle tâche":
tapes explorer.exe et valides .

Réponse 28 / 37

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

bien ...

on va renetteoyer l'outil de suite ...

1-Remets ta page d'acceuil d' IE à l'origine ( car supprimé par usbFix ) :

Vas dans " démarrer " / " panneau de configuration " .
( pour Vista , choisir dans les options à droite : " affichage classique " ).

* Là tu cliques sur " option internet " .
* sur la fenêtre qui s'ouvre ( sur l'onglet "général" ), rentres l'adresse suivante dans le cadre de saisis :

http://www.neufportail.fr/

-> En bas à droite de la fenêtre , tu cliques sur " ok " puis " appliquer " .

2- Pour nettoyer UsbFix :

* Vas sur " démarrer " / "tous les programmes" / "UsbFix" --> cliques sur "Uninstal Usbfix" .

* Ou bien rends toi dans ce dossier > C:\Program Files\UsbFix .
là tu double-cliques sur le fichier " Uninstal.exe " pour désinstaller proprement l'outil ...

3- refais un coup de CCleaner (registre comprsi )

4- Continues avec ceci :

Télécharges MalwareByte's :
ici ftp://ftp.commentcamarche.com/download/mbam-setup.exe
ou ici : http://www.malwarebytes.org/mbam.php

Installes le ( choisis bien "francais" ; ne modifies pas les paramètres d'installe ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharges le ici : https://www.malekal.com/tutorial-aboutbuster/ )

Potasses le tuto pour te familiariser avec le prg :
https://forum.pcastuces.com/sujet.asp?f=31&s=3
https://www.androidworld.fr/
( cela dis, il est très simple d'utilisation ).

Impératif : Démarrer en mode sans echec .

/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

Comment aller en Mode sans échec :
1) Redémarres ton ordi .
2) Tapotes la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
4) Choisis la première option : Sans Échec , et valides en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ).
attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...

Lances Malwarebyte's .

Fais un scan dit "complet" ( sélectionnes bien tous tes disks avant le scan ! ) et supprimes tout ce qu'il peut trouver, c'est à dire :
-->Laisses le scan se terminer,puis à la fin tu cliques sur "résultat" .
-->Vérifies que tous les objets infectés soient validés, puis cliques sur " suppression " .

Redémarres ton PC ( mode normal ).

Postes le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date) accompagné d'un nouveau rapport RSIT ( fait en mode normal ) ...

sonaquil

alwarebytes' Anti-Malware 1.29
Version de la base de données: 1295
Windows 6.0.6001 Service Pack 1

20/10/2008 16:39:15
mbam-log-2008-10-20 (16-39-15).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|)
Eléments examinés: 162922
Temps écoulé: 35 minute(s), 41 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

RSIT

Logfile of random's system information tool 1.04 (written by random/random)
Run by Fabien at 2008-10-20 16:56:04
Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 1
System drive C: has 28 GB (24%) free of 114 GB
Total RAM: 2045 MB (58% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:56:16, on 20/10/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\explorer.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Apoint2K\ApMsgFwd.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Users\Fabien\AppData\Local\Temp\RtkBtMnt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Users\Fabien\Desktop\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Fabien.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Config\csrss.exe
O1 - Hosts: ::1 localhost
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Windows\system32\ActiveToolBand.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU)
O13 - Gopher Prefix:
O23 - Service: ALaunch Service (ALaunchService) - Unknown owner - C:\Acer\ALaunch\ALaunchSvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

sonaquil

alwarebytes' Anti-Malware 1.29
Version de la base de données: 1295
Windows 6.0.6001 Service Pack 1

20/10/2008 16:39:15
mbam-log-2008-10-20 (16-39-15).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|)
Eléments examinés: 162922
Temps écoulé: 35 minute(s), 41 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

RSIT

Logfile of random's system information tool 1.04 (written by random/random)
Run by Fabien at 2008-10-20 16:56:04
Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 1
System drive C: has 28 GB (24%) free of 114 GB
Total RAM: 2045 MB (58% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:56:16, on 20/10/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\explorer.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Apoint2K\ApMsgFwd.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Users\Fabien\AppData\Local\Temp\RtkBtMnt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Users\Fabien\Desktop\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Fabien.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Config\csrss.exe
O1 - Hosts: ::1 localhost
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Windows\system32\ActiveToolBand.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU)
O13 - Gopher Prefix:
O23 - Service: ALaunch Service (ALaunchService) - Unknown owner - C:\Acer\ALaunch\ALaunchSvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

sonaquil > sonaquil

Bon apparemment mon ordi n'est plus infecté, cependant le problème du bureau qui ne s'affiche pas est toujours présent;je te remercie en tout cas de ta précieuse aide jusqu'ici.

A+

sonaquil

ComboFix 08-10-19.04 - Fabien 2008-10-20 19:37:11.3 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6001.1.1252.1.1036.18.1229 [GMT 2:00]
Lancé depuis: C:\Users\Fabien\Downloads\ComboFix.exe
Commutateurs utilisés :: C:\Users\Fabien\Desktop\CFScript.txt - Raccourci.lnk
* Un nouveau point de restauration a été créé
.

((((((((((((((((((((((((((((( Fichiers créés du 2008-09-20 au 2008-10-20 ))))))))))))))))))))))))))))))))))))
.

2008-10-20 07:59 . 2008-10-20 07:59 <REP> d-------- C:\Users\Fabien\AppData\Roaming\Malwarebytes
2008-10-20 07:59 . 2008-10-20 07:59 <REP> d-------- C:\Users\All Users\Malwarebytes
2008-10-20 07:59 . 2008-10-20 07:59 <REP> d-------- C:\ProgramData\Malwarebytes
2008-10-20 07:59 . 2008-10-20 07:59 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-10-20 07:59 . 2008-10-16 20:25 38,496 --a------ C:\Windows\System32\drivers\mbamswissarmy.sys
2008-10-20 07:59 . 2008-10-16 20:25 15,504 --a------ C:\Windows\System32\drivers\mbam.sys
2008-10-19 22:34 . 2008-10-20 07:50 <REP> d-------- C:\Program Files\UsbFix
2008-10-19 19:17 . 2008-10-19 19:55 <REP> d-------- C:\Program Files\Navilog1
2008-10-19 14:57 . 2008-10-19 14:57 <REP> d-------- C:\_OTMoveIt
2008-10-18 06:29 . 2008-10-18 06:29 <REP> d-------- C:\Program Files\SpeedFan
2008-10-18 06:29 . 2008-10-18 06:29 45 --a------ C:\Windows\System32\initdebug.nfo
2008-10-18 04:48 . 2008-10-19 15:55 <REP> d-------- C:\ToolBar SD
2008-10-16 17:49 . 2008-10-16 17:49 <REP> d-------- C:\rsit
2008-10-16 16:24 . 2008-10-16 16:24 <REP> d-------- C:\Program Files\Trend Micro
2008-10-15 19:12 . 2008-10-15 19:13 1,905 --a------ C:\Windows\diagwrn.xml
2008-10-15 19:12 . 2008-10-15 19:13 1,905 --a------ C:\Windows\diagerr.xml
2008-10-14 15:54 . 2008-10-14 15:54 <REP> d-------- C:\Program Files\7-Zip
2008-10-12 16:09 . 2008-10-12 16:09 <REP> d-------- C:\Users\All Users\Windows Genuine Advantage
2008-10-06 15:24 . 2008-10-06 15:24 <REP> d-------- C:\Program Files\RegCleaner
2008-10-06 14:56 . 2008-10-06 14:56 <REP> d-------- C:\Program Files\EA Sports
2008-10-06 14:42 . 2008-10-06 14:42 <REP> d-------- C:\Users\Fabien\Drivers
2008-10-05 17:48 . 2008-10-05 17:48 <REP> d-------- C:\Users\Fabien\AppData\Roaming\Leadertech
2008-09-22 18:45 . 2008-09-22 18:45 <REP> d-------- C:\Program Files\OpenOffice.org 2.4
2008-09-22 17:14 . 2008-10-16 16:54 <REP> d-------- C:\Users\Fabien\AppData\Roaming\OpenOffice.org2
2008-09-22 13:22 . 2008-09-22 13:22 0 --a------ C:\debug.crf
2008-09-22 13:18 . 2008-09-22 13:18 385,024 --a------ C:\Windows\System32\xa11785547.exe
2008-09-22 13:18 . 2008-09-22 13:18 385,024 --a------ C:\Windows\System32\xa11785298.exe
2008-09-22 13:16 . 2008-09-22 13:16 385,024 --a------ C:\Windows\System32\xa11672930.exe
2008-09-22 13:16 . 2008-09-22 13:16 385,024 --a------ C:\Windows\System32\xa11672681.exe
2008-09-22 13:15 . 2008-09-22 13:15 385,024 --a------ C:\Windows\System32\xa11601326.exe
2008-09-22 13:15 . 2008-09-22 13:15 385,024 --a------ C:\Windows\System32\xa11601045.exe
2008-09-22 13:15 . 2008-09-22 13:15 167,936 --a------ C:\Windows\System32\wr46817.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-19 12:57 --------- d-----w C:\Users\Fabien\AppData\Roaming\uTorrent
2008-10-18 03:22 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard
2008-10-18 03:20 --------- d-----w C:\Program Files\KONAMI
2008-10-16 14:46 --------- d---a-w C:\ProgramData\TEMP
2008-10-14 18:29 --------- d-----w C:\ProgramData\Ubisoft
2008-10-02 03:49 827,392 ----a-w C:\Windows\System32\wininet.dll
2008-09-24 15:09 --------- d-----w C:\Program Files\EA GAMES
2008-09-22 19:36 --------- d-----w C:\Program Files\Codemasters
2008-09-22 15:21 --------- d-----w C:\ProgramData\Microsoft Help
2008-09-22 15:21 --------- d-----w C:\Program Files\Microsoft Works
2008-09-22 15:11 --------- d-----w C:\Program Files\Java
2008-09-18 05:09 3,601,464 ----a-w C:\Windows\System32\ntkrnlpa.exe
2008-09-18 05:09 3,549,240 ----a-w C:\Windows\System32\ntoskrnl.exe
2008-09-18 02:16 2,032,640 ----a-w C:\Windows\System32\win32k.sys
2008-09-17 20:11 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-09-14 16:52 --------- d-----w C:\Program Files\Monte Cristo
2008-09-13 22:16 --------- d-----w C:\Users\Fabien\AppData\Roaming\DAEMON Tools
2008-09-13 22:16 --------- d-----w C:\ProgramData\Media Center Programs
2008-09-13 22:16 --------- d-----w C:\Program Files\UBISOFT
2008-09-13 22:16 --------- d-----w C:\Program Files\DAEMON Tools Lite
2008-09-12 22:35 --------- d-----w C:\Program Files\Alcohol Soft
2008-08-29 22:31 278,728 ----a-w C:\Windows\system32\drivers\atksgt.sys
2008-08-29 22:31 25,416 ----a-w C:\Windows\system32\drivers\lirsgt.sys
2008-08-29 22:07 --------- d-----w C:\Program Files\X-Plane
2008-08-29 22:07 --------- d-----w C:\Program Files\Rockstar Games
2008-08-29 22:07 --------- d-----w C:\Program Files\DivX
2008-08-27 01:06 288,768 ----a-w C:\Windows\system32\drivers\srv.sys
2008-08-06 18:34 66,872 ----a-w C:\Windows\System32\PnkBstrA.exe
2008-08-06 18:34 103,736 ----a-w C:\Windows\System32\PnkBstrB.exe
2008-08-06 18:29 22,328 ----a-w C:\Users\Fabien\AppData\Roaming\PnkBstrK.sys
2008-08-02 03:26 36,864 ----a-w C:\Windows\System32\cdd.dll
2008-05-24 05:20 174 --sha-w C:\Program Files\desktop.ini
2008-05-12 20:07 16,384 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
2008-05-12 20:07 32,768 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
2008-05-12 20:07 16,384 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
2008-06-19 22:35 16,384 --sha-w C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
2008-06-19 22:35 32,768 --sha-w C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
2008-06-19 22:35 16,384 --sha-w C:\Windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
.

((((((((((((((((((((((((((((( snapshot@2008-10-20_19.02.17.49 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-10-20 17:01:28 262,144 --sha-w C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT
+ 2008-10-20 17:39:39 262,144 --sha-w C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT
+ 2008-10-20 17:39:39 262,144 ---ha-w C:\Windows\ServiceProfiles\NetworkService\ntuser.dat.LOG1
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]
"DAEMON Tools Lite"="C:\Program Files\DAEMON Tools Lite\daemon.exe" [2008-04-01 486856]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="C:\Program Files\Apoint2K\Apoint.exe" [2007-06-06 159744]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"RtHDVCpl"="RtHDVCpl.exe" [2007-07-06 C:\Windows\RtHDVCpl.exe]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.divxa32"= divxa32.acm

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{1ACDC690-E812-4BF4-8277-CADB310BB196}"= C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\Acer Arcade Deluxe.exe:Acer Arcade Deluxe
"{975C10A6-89E7-450F-8386-9F6BEC5992B5}"= C:\Program Files\Acer Arcade Deluxe\VideoMagician\VideoMagician.exe:VideoMagician
"{4B2A96AC-90BB-469D-96F2-1E462E2F2103}"= C:\Program Files\Acer Arcade Deluxe\HomeMedia\HomeMedia.exe:HomeMedia
"{CB0A5015-2744-4511-8C92-B47FF3948EAF}"= C:\Program Files\Acer Arcade Deluxe\DV Wizard\DV Wizard.exe:DV Wizard
"{D0A6304D-819B-411B-A0DD-349D66451688}"= C:\Program Files\Acer Arcade Deluxe\DVDivine\DVDivine.exe:DVDivine
"{44AEC2BE-C39B-4B4C-8ABC-0B7E421824EA}"= C:\Program Files\Acer Arcade Deluxe\Play Movie\PlayMovie.exe:Play Movie
"{FF76204C-4C6D-40B4-997D-25EC1ABC4745}"= C:\Program Files\Acer Arcade Deluxe\Play Movie\PMVService.exe:Play Movie Resident Program
"{8A7BDEFA-8E15-47E7-91A6-E2C23A8F86EC}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"TCP Query User{41A2A3F5-16D1-4BF1-8A85-940F96080697}C:\\program files\\sopcast\\adv\\sopadver.exe"= UDP:C:\program files\sopcast\adv\sopadver.exe:SopCast Adver
"UDP Query User{3841E113-9CDC-49AF-B6FD-1804928CE929}C:\\program files\\sopcast\\adv\\sopadver.exe"= TCP:C:\program files\sopcast\adv\sopadver.exe:SopCast Adver
"TCP Query User{2E3B1A3E-7796-43F0-BAF9-74458A5985EF}C:\\program files\\sopcast\\sopcast.exe"= UDP:C:\program files\sopcast\sopcast.exe:SopCast Main Application
"UDP Query User{4B89D9CC-B0B0-4F04-A6C1-99E4AA91EB44}C:\\program files\\sopcast\\sopcast.exe"= TCP:C:\program files\sopcast\sopcast.exe:SopCast Main Application
"TCP Query User{7977D237-4D23-407C-81C9-187D356DC22B}C:\\program files\\tvants\\tvants.exe"= UDP:C:\program files\tvants\tvants.exe:TVAnts
"UDP Query User{0B175661-9182-4619-B0BC-74BCEFFFAC05}C:\\program files\\tvants\\tvants.exe"= TCP:C:\program files\tvants\tvants.exe:TVAnts
"TCP Query User{682F13C9-0636-49BA-94D5-58366C32634D}C:\\program files\\internet explorer\\iexplore.exe"= UDP:C:\program files\internet explorer\iexplore.exe:Internet Explorer
"UDP Query User{086179B4-0A8C-4FB4-86B8-3934F0250573}C:\\program files\\internet explorer\\iexplore.exe"= TCP:C:\program files\internet explorer\iexplore.exe:Internet Explorer
"{BE445D8C-2FF9-45A4-AEA5-FC17EA8FA5A7}"= UDP:C:\Program Files\Sports Interactive\Football Manager 2008\fm.exe:Football Manager 2008
"{66159B11-3615-41E9-951D-39E977CF3820}"= TCP:C:\Program Files\Sports Interactive\Football Manager 2008\fm.exe:Football Manager 2008
"{61127A9B-A244-438A-B558-9CD7AB7DC3BD}"= TCP:10093:port fm1
"{113C4C30-07FD-465A-AE15-83C7094A8BD4}"= UDP:10094:port fm2
"TCP Query User{68846C28-60CD-4DA3-81B8-64B9A66B2853}C:\\program files\\utorrent\\utorrent.exe"= UDP:C:\program files\utorrent\utorrent.exe:uTorrent
"UDP Query User{6078DCA6-5351-482D-87FF-347C4F77F046}C:\\program files\\utorrent\\utorrent.exe"= TCP:C:\program files\utorrent\utorrent.exe:uTorrent
"TCP Query User{7443B907-AFFD-4121-8540-B5A49A9F4347}C:\\program files\\utorrent\\utorrent.exe"= UDP:C:\program files\utorrent\utorrent.exe:uTorrent
"UDP Query User{F99B7EDA-951D-45B6-8E7F-55792D6E6C6E}C:\\program files\\utorrent\\utorrent.exe"= TCP:C:\program files\utorrent\utorrent.exe:uTorrent
"TCP Query User{345C3572-A9FE-423A-965B-37646C621F5C}C:\\program files\\tvants\\tvants.exe"= UDP:C:\program files\tvants\tvants.exe:TVAnts
"UDP Query User{C4A692B4-5D24-4C23-BAA3-B936B2FD2FA8}C:\\program files\\tvants\\tvants.exe"= TCP:C:\program files\tvants\tvants.exe:TVAnts
"TCP Query User{20964DBA-10FB-474A-9891-534A5371A332}C:\\program files\\sports interactive\\football manager 2008\\fm.exe"= UDP:C:\program files\sports interactive\football manager 2008\fm.exe:Football Manager 2008
"UDP Query User{965FCDAB-A616-424A-B420-29AC6FB9EDA7}C:\\program files\\sports interactive\\football manager 2008\\fm.exe"= TCP:C:\program files\sports interactive\football manager 2008\fm.exe:Football Manager 2008
"{0884D3CC-A72E-4100-BBB2-24BFDBF381C3}"= UDP:C:\Program Files\Bonjour\mDNSResponder.exe:Bonjour
"{6F643EB4-4832-403B-84DF-4C5CB9963E26}"= TCP:C:\Program Files\Bonjour\mDNSResponder.exe:Bonjour
"{3CA60563-B2D5-42E6-9940-C2835CD1D0FA}"= UDP:C:\Program Files\iTunes\iTunes.exe:iTunes
"{ED549A87-D3A4-43A2-8622-69DA1EAA2D69}"= TCP:C:\Program Files\iTunes\iTunes.exe:iTunes
"TCP Query User{26CAF261-D8FD-4D0F-8FD0-B0840F730474}C:\\program files\\mozilla firefox\\firefox.exe"= UDP:C:\program files\mozilla firefox\firefox.exe:Firefox
"UDP Query User{83FBD664-D6A3-4A2A-A7E1-ECE00D0B08B5}C:\\program files\\mozilla firefox\\firefox.exe"= TCP:C:\program files\mozilla firefox\firefox.exe:Firefox
"{CF6FECF6-2287-4578-B78C-D64572B2F06E}"= UDP:C:\Program Files\EA GAMES\Battlefield 2\BF2.exe:Battlefield 2
"{226FD81F-E0D0-4B94-9CFF-E71089D6D9DF}"= TCP:C:\Program Files\EA GAMES\Battlefield 2\BF2.exe:Battlefield 2
"TCP Query User{D002A002-7605-4039-9111-6BE92ECA5ECE}C:\\program files\\emule\\emule.exe"= UDP:C:\program files\emule\emule.exe:eMule
"UDP Query User{CD6B0AE9-DECF-4279-A654-D129648C4358}C:\\program files\\emule\\emule.exe"= TCP:C:\program files\emule\emule.exe:eMule
"{6C1CA720-DC50-4048-8E1F-2D5539E7697D}"= UDP:C:\Program Files\Neuf\Media Center\httpd\httpd.exe:Serveur de partage Media Center (Player Neuf Cegetel)
"{C75D5198-BC1C-40F0-9645-18594BDE8A3A}"= TCP:C:\Program Files\Neuf\Media Center\httpd\httpd.exe:Serveur de partage Media Center (Player Neuf Cegetel)
"{E8E9A142-CC82-4B30-9BA4-63242CDDB3BE}"= UDP:C:\Program Files\UBISOFT\Ghost Recon Advanced Warfighter 2\graw2.exe:Ghost Recon Advanced Warfighter® 2
"{215B82E3-68C0-4F54-AF80-943BC8B7A886}"= TCP:C:\Program Files\UBISOFT\Ghost Recon Advanced Warfighter 2\graw2.exe:Ghost Recon Advanced Warfighter® 2
"{D6886498-3313-4C64-904A-8E9BDCABD9CB}"= UDP:C:\Program Files\UBISOFT\Ghost Recon Advanced Warfighter 2\graw2_dedicated.exe:Ghost Recon Advanced Warfighter® 2 Dedicated Server
"{A8B04E56-21E5-46DB-BFB4-C865EA47B992}"= TCP:C:\Program Files\UBISOFT\Ghost Recon Advanced Warfighter 2\graw2_dedicated.exe:Ghost Recon Advanced Warfighter® 2 Dedicated Server
"TCP Query User{FABEBB8E-E1A0-4019-8D3D-955FB064D5BF}C:\\program files\\konami\\pro evolution soccer 2008\\pes2008.exe"= UDP:C:\program files\konami\pro evolution soccer 2008\pes2008.exe:Pro Evolution Soccer 2008
"UDP Query User{4B3BA566-7277-40E8-A502-88F0A5AE8C62}C:\\program files\\konami\\pro evolution soccer 2008\\pes2008.exe"= TCP:C:\program files\konami\pro evolution soccer 2008\pes2008.exe:Pro Evolution Soccer 2008
"TCP Query User{D15AC1A2-D388-4A70-A4BD-5FEAEA726727}C:\\users\\fabien\\videos\\pes 2008 pc [www.lokotorrents.com][by cerealkiller]\\parche pes 2008\\pes2008.exe"= UDP:C:\users\fabien\videos\pes 2008 pc [www.lokotorrents.com][by cerealkiller]\parche pes 2008\pes2008.exe:pes2008.exe
"UDP Query User{B28EA3B5-D7F6-4491-9C98-E77CF0DF90A1}C:\\users\\fabien\\videos\\pes 2008 pc [www.lokotorrents.com][by cerealkiller]\\parche pes 2008\\pes2008.exe"= TCP:C:\users\fabien\videos\pes 2008 pc [www.lokotorrents.com][by cerealkiller]\parche pes 2008\pes2008.exe:pes2008.exe
"TCP Query User{E700B9A6-ECB9-4B39-98E5-8ED2008AF6C5}C:\\users\\fabien\\desktop\\vitality\\pes2008.exe"= UDP:C:\users\fabien\desktop\vitality\pes2008.exe:pes2008.exe
"UDP Query User{D0162477-ABC0-4520-8915-E737F22895F5}C:\\users\\fabien\\desktop\\vitality\\pes2008.exe"= TCP:C:\users\fabien\desktop\vitality\pes2008.exe:pes2008.exe
"TCP Query User{04497619-BE4A-4405-93D0-22E9C621D7B6}C:\\users\\fabien\\appdata\\local\\temp\\rar$ex02.620\\pes2008.exe"= UDP:C:\users\fabien\appdata\local\temp\rar$ex02.620\pes2008.exe:pes2008.exe
"UDP Query User{53B22F54-5A06-4C98-AE89-C4F1768E7F06}C:\\users\\fabien\\appdata\\local\\temp\\rar$ex02.620\\pes2008.exe"= TCP:C:\users\fabien\appdata\local\temp\rar$ex02.620\pes2008.exe:pes2008.exe
"{E7D00F54-ED7E-46DF-B501-CC101D813108}"= UDP:C:\Windows\System32\PnkBstrA.exe:PnkBstrA
"{259D568A-126B-4BA8-8DF5-932D540D6605}"= TCP:C:\Windows\System32\PnkBstrA.exe:PnkBstrA
"{255E43FA-F80E-44B1-85F3-D8D1D02B606D}"= UDP:C:\Windows\System32\PnkBstrB.exe:PnkBstrB
"{296D0095-3A55-4DB7-B184-02FCCFAC1372}"= TCP:C:\Windows\System32\PnkBstrB.exe:PnkBstrB
"{AB75BDF4-E8E4-457E-A199-DD582C457886}"= UDP:C:\Program Files\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe:Call of Duty(R) 4 - Modern Warfare(TM)
"{9C7C401D-3667-4744-9BDE-0B08B670B912}"= TCP:C:\Program Files\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe:Call of Duty(R) 4 - Modern Warfare(TM)
"{EEAAFA52-0891-4B07-AFBB-AFA0B11F104E}"= UDP:C:\Windows\System32\PnkBstrA.exe:PnkBstrA
"{6733538E-8346-4D37-BA90-48A1F1B3B69F}"= TCP:C:\Windows\System32\PnkBstrA.exe:PnkBstrA
"{9F73D474-0CF0-4864-87CB-7188A1B2AB53}"= UDP:C:\Windows\System32\PnkBstrB.exe:PnkBstrB
"{CAC193B6-A8F6-4D3D-B961-63DAA5984E63}"= TCP:C:\Windows\System32\PnkBstrB.exe:PnkBstrB
"{1912F05B-A748-4C1F-BB8D-B25BA635E8A0}"= UDP:C:\Program Files\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe:Call of Duty(R) 4 - Modern Warfare(TM)
"{998CAEB4-70BF-4C91-9C9A-CE3581D85557}"= TCP:C:\Program Files\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe:Call of Duty(R) 4 - Modern Warfare(TM)
"TCP Query User{ABCD6DB2-BBF5-4162-AF4A-DDD18F62ACA7}C:\\program files\\ubisoft\\ghost recon advanced warfighter 2\\graw2.exe"= UDP:C:\program files\ubisoft\ghost recon advanced warfighter 2\graw2.exe:Ghost Recon Advanced Warfighter® 2
"UDP Query User{6CD2BED1-5817-4DE8-903F-8D9235792029}C:\\program files\\ubisoft\\ghost recon advanced warfighter 2\\graw2.exe"= TCP:C:\program files\ubisoft\ghost recon advanced warfighter 2\graw2.exe:Ghost Recon Advanced Warfighter® 2
"{204280CF-F792-4EF5-97D3-CF710BDBDE52}"= UDP:C:\Program Files\uTorrent\uTorrent.exe:µTorrent (TCP-In)
"{F97719EF-9A81-4457-B197-58A4F2DC0219}"= TCP:C:\Program Files\uTorrent\uTorrent.exe:µTorrent (UDP-In)
"TCP Query User{26E3CD33-77EB-4060-96D9-D74D6BD5BD7B}C:\\program files\\mozilla firefox\\firefox.exe"= UDP:C:\program files\mozilla firefox\firefox.exe:Firefox
"UDP Query User{BA16E4E1-0A13-4E95-91A3-83DDBD275B50}C:\\program files\\mozilla firefox\\firefox.exe"= TCP:C:\program files\mozilla firefox\firefox.exe:Firefox
"{1ABAC473-2EBB-4A89-89DC-0D37316AE8C8}"= UDP:C:\Windows\System32\lxbccoms.exe:Lexmark Communications System
"{56E5FC9E-A9CE-48CA-90D0-0BA8F1F2DA85}"= TCP:C:\Windows\System32\lxbccoms.exe:Lexmark Communications System
"TCP Query User{34532869-7289-424D-84B2-FA59F98F6437}D:\\program files\\rsv\\binaries\\r6vegas2_game.exe"= UDP:D:\program files\rsv\binaries\r6vegas2_game.exe:R6Vegas2_Game
"UDP Query User{F9D4D1F0-AB32-4116-B494-4EF6915C1790}D:\\program files\\rsv\\binaries\\r6vegas2_game.exe"= TCP:D:\program files\rsv\binaries\r6vegas2_game.exe:R6Vegas2_Game
"{647B4118-76B4-4289-B451-52A4CC4215B4}"= UDP:D:\Program Files\pes 2009\PES 2009\pes2009.exe:Pro Evolution Soccer 2009
"{50B40BC6-382A-4B5A-9F02-5DB634726B93}"= TCP:D:\Program Files\pes 2009\PES 2009\pes2009.exe:Pro Evolution Soccer 2009

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

R2 {49DE1C67-83F8-4102-99E0-C16DCC7EEC796};{49DE1C67-83F8-4102-99E0-C16DCC7EEC796};C:\Program Files\Acer Arcade Deluxe\Play Movie\[u]0/u00.fcl [2006-11-02 16:51 13560]
R2 ALaunchService;ALaunch Service;C:\Acer\ALaunch\ALaunchSvc.exe [2007-01-26 50688]
R2 aswMonFlt;aswMonFlt;C:\Windows\system32\DRIVERS\aswMonFlt.sys [2007-12-04 45648]
R3 atikmdag;atikmdag;C:\Windows\system32\DRIVERS\atikmdag.sys [2007-08-11 2930176]
R3 enecir;ENE CIR Receiver;C:\Windows\system32\DRIVERS\enecir.sys [2007-03-07 32256]
S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;C:\Windows\system32\DRIVERS\b57nd60x.sys [2007-06-05 179712]
S3 WSVD;WSVD;C:\Windows\system32\drivers\WSVD.sys [2006-09-19 80744]
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-20 19:39:48
Windows 6.0.6001 Service Pack 1 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

C:\Users\Fabien\AppData\Local\Microsoft\Windows\GameExplorer\{DFEF49D9-FC95-4301-99B9-2FB91C6ABA06}\PlayTasks\1\Les Sims™ 2 : Boit@Look.lnk 1283 bytes hidden from API

Scan terminé avec succès
Fichiers cachés: 1

**************************************************************************
.
Heure de fin: 2008-10-20 19:41:44
ComboFix-quarantined-files.txt 2008-10-20 17:41:38
ComboFix2.txt 2008-10-20 17:03:35

Avant-CF: 29 215 297 536 octets libres
Après-CF: 28,955,250,688 octets libres

217 --- E O F --- 2008-10-15 22:04:57

et le hijack arrive

sonaquil

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:45:52, on 20/10/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Windows\Explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Windows\system32\ActiveToolBand.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU)
O13 - Gopher Prefix:
O23 - Service: ALaunch Service (ALaunchService) - Unknown owner - C:\Acer\ALaunch\ALaunchSvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

Réponse 29 / 37

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

Salut,

Malwarebytes n'as pas solutionné le reste du prb ...

changeons le fusil d'épaule ... Fais exactement ce qui suit :

1- Fais un recherche sur VirusTotal comme l'autre fois pour ces 4 fichiers :
C:\Windows\system32\xa11785298.exe
C:\Windows\system32\xa11672930.exe
C:\Windows\system32\wr46817.dll
C:\Windows\system32\xa11601326.exe

Postes moi le 4 rapports obtenus .... ensuite fais ceci :

2- Télécharges ComboFix (par sUBs) sur ton Bureau (et pas ailleurs !):

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! Déconnectes toi,fermes tes applications en cours et DESACTIVES TOUTES TES DEFENSES (anti-virus, guardes anti spy-ware, pare-feu) le temps de la manipe :
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

---------------------------------------------------------------------------------------------------------------------------------

Ensuite :
double-cliques sur l'icône "combofix.exe" pour lancer l'outil .

Appuyes sur la touche Y (Yes) pour démarrer le scan .

Notes importantes :
-> n'utilises pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisses le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un momment : cliques sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

Le rapport sera crée dans: C:\Combofix.txt

Postes le rapport Combofix pour analyse ...

Réponse 30 / 37

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

1-Crées un doc texte sur ton bureau :
pointes ta souris sur ton bureau , cliques droit : vas dans "nouveau" et choisis "document texte" .

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
[-HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

File::
C:\Windows\System32\xa11785547.exe
C:\Windows\System32\xa11785298.exe
C:\Windows\System32\xa11672930.exe
C:\Windows\System32\xa11672681.exe
C:\Windows\System32\xa11601326.exe
C:\Windows\System32\xa11601045.exe
C:\Windows\System32\wr46817.dll
C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

Driver::
as8rdipy
CLTNetCnService

rootkit::
C:\Windows\system32\drivers\as8rdipy.sys

Puis vas dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valides ...

2-Nettoyage :

!! Déconnectes toi, fermes toutes tes applications et désactives TOUTES TES DEFENSES ( tu les réactiveras après ) !!

--->Sur ton bureau, fais un glissé avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tapes 1 puis valide.

Puis patientes le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

!! Ne touches à rien tant que le scan n'est pas terminé !!

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisses-le faire.

Une fois le scan achevé, un rapport va s'afficher : Postes le accompagné d' un nouveau rapport HijackThis pour analyse ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

Réponse 31 / 37

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

Tu as du faire une erreur de manipe ... recommence ceci :

http://www.commentcamarche.net/forum/affich 8915947 multi problemes?#32

vérifies le le CFScript soit nommer correctement et fais bien glisser ce fichier sur l'icone de combofix ...

Réponse 32 / 37

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

Arg ... j'ai vu ce qui ce passe et pourquoi cela ne marche pas !

L'UAC est réactivé ! ( à cause d'un autre outile utiliser )

1- Désactiver le contrôle des comptes utilisateurs ou UAC (le réactiver seulement à la fin de la désinfection) :

Aller dans "démarrer" puis "panneau de configuration" :
--->Sur la droite de la fenêtre , cliques sur " affichage classique "
--->Double-Cliquer sur l'icône "Comptes d'utilisateurs"
--->Cliquer ensuite sur "Activer ou désactiver le contrôle ..." .
--->Décocher la case "utlisiser le contrôle ..." et cliquer sur OK .
Puis redémarrer le PC quand il le vous saura demandé ...

Tuto : https://forum.malekal.com/viewtopic.php?f=59&t=6517

2- Reprends cette dernière manipe ( cette fois cela devrai être la bonne ;) ) :

http://www.commentcamarche.net/forum/affich 8915947 multi problemes?#32

Réponse 33 / 37

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

Salut,

Impec ... cette fois cela à fonctionner ...

Dis moi comment va le PC maintenant ?

Fais ceci dans l'ordre :

1-Télécharges ToolsCleaner (de A.Rothstein) sur ton Bureau.
http://pc-system.fr/

Déconnectes toi et fermes bien toutes tes applications en cours .

Cliques droit sur le prg et choisis "éxécuter en tant que Administrateur"

*Cliques sur Recherche et laisses le scan se terminer (cela peut être long).
*Cliques sur Suppression pour finaliser.
*Tu peux, si tu le souhaites, te servir des Options facultatives ( sauf la création d'un point de restauration !)
*Cliques sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) :
--> Postes ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt .

Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection .
Supprimes tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé .

( gardes CCleaner et Malwarebytes : très utiles ! )

2- Refais un coup de CCleaner ( registre compris ) .

3- Retélécharges et réinstalles hijackthis ( car supprimé par Toolscleaner2 ) ,

Télécharges et installes le logiciel HijackThis :

ici ftp://ftp.commentcamarche.com/download/HJTInstall.exe
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-> Cliques sur le setup pour lancer l'installe : laisses toi guider et ne modifies pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : fermes le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne fais pas de scan pour le moment )

4- Purge de la restauration système
-->Désactives ta restauration :
Dans démarrer, cliques droit sur ordinateur/propriétés/protection du système : décoches la case devant ton disk dur maitre ( pour toi -> C ) , valides, appliques et OK
Redémarres ton PC
-->Réactives ta restauration :
Cliques droit sur ordinateur/propriétés/protection du système : coches la case devant ton disk dur maitre , valides, appliques et OK
Redémarres ton PC
( tuto : http://www.commentcamarche.net/faq/sujet 13214 desactiver reactiver la restauration systeme de vista )

5- Fais ce scan en ligne pour vérifier :

Fais un scan antivirus en ligne, avec Internet Explorer et accepter l'ActiveX :

https://www.bitdefender.fr/

* Aide : En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
Dans la nouvelle fenêtre, clique sur j’accepte .
La fenêtre change encore, clique sur scanner .
Les signatures se chargent, etc ...

* pour le rapport : cliques sur l'onglet "plus de détailles" . A la fin du scan, cliques sur " problème détectés " .
-> juste au dessus à droite de la fenêtre des résultats , tu as " cliquer ici pour exporter le rapport " .
->Cliques dessus et choisis d'enregistrer le rapport sur ton bureau .

--> Ouvres le document html que tu viens de sauvegarder ( le rapport ),
fais un copier/coller de tout son contenu et postes le dans ta prochaine réponse ...

Rappel : le scan en ligne ne fonctionne que sous Internet Exploreur ! ( et pas sur FireFox ou autres navigateurs )

Tutoriel en images ici :
http://perso.orange.fr/rginformatique/section%20virus/defender.htm (merci à Balltrap34 pour cette réalisation)
Et ici : http://www.commentcamarche.net/faq/sujet 8872 scanner en ligne avec bitdefender

Réponse 34 / 37

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

note :

pour ce trois outil :
HijackThis
Navilog1
UsbFix

dans le menu "démarrer" , cliques droit dessus et choisis " supprimer " pour les effacer de ce menu ....

Tu le feras avant de lancer le scan en ligne ....

Réponse 35 / 37

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

bien .... on finalise :

1- Vérifies ceci :

Mets à jours ce qui suit, c'est important ( des versions pas à jours = failles de sécurité ) :
* pour la console Java :
- aller sur : Démarrer > Panneau de configuration > Icône Java > onglet Mise à jour > "Mettre à jour maintenant" > cocher la case "Automatiser la détection des mises à jour".
-> puis désinstalles les versions antérieurs via le panneau de config./"Ajout et suppression de programmes" (pour XP) ou " Programmes et fonctionnalités " (pour Vista) .

--> si tu ne trouves pas l' icône Java dans le panneau de config:
Désinstalles les version antérieurs, puis télécharges et installes la dernière version ici :
http://www.commentcamarche.net/telecharger/telecharger 34055318 java runtime environment

* Adobe Reader :
-> désinstalles avant l'ancienne version via le panneau de config./"Ajout et suppression de programmes" (pour XP) ou " Programmes et fonctionnalités " (pour Vista) .
-> Important : si tu as une imprimante ,désactives la et la débranches du PC avant de faire la mise à jour.
-> télécharges et installes la dernière version ici :
http://www.commentcamarche.net/telecharger/telecharger 27 acrobat reader

2- réactives avast maintenant :
vas dans "C:\program files", puis recherche le dossier "alwil" (Avast) .
Tu rentres dedans et recherches " ashDisp.exe " -> tu cliques dessus ---> l´icone d´avast devrait réaparaitre ...

3- refais un dernier scan hijackthis , postes le nouveau rapport obtenu et attends la suite ...

Réponse 36 / 37

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

Re,

Tu as désinstaller et réinstaller Avast comme je te l'ai demandé ?... car là , il n'est toujours pas présent au démarrage du PC .... :-/

Lorsque tu cliques droit sur l'icone de celui-ci présent en bas à droite de l'écran ( barre des tâches ) , est-ce que " la protection résidente " est activée ?

sonaquil

oui oui ile est bien présent dans la bare des tâches c'est d'ailleurs pour ça que je ne l'ai pas re-installé.

Réponse 37 / 37

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

oui oui ile est bien présent dans la bare des tâches c'est d'ailleurs pour ça que je ne l'ai pas re-installé.

malhaureusement cela ne veux rien dire ... :s

en faite il n'a jamais été vraiment actif à cause de Norton avec lequel il entrait en conflit ...
Et l'infection l'a " déterrioré "...

tu vas devoir faire ce que je t'ai dit :

* pour désinstaller proprement Avast suit cette astuce :
https://www.commentcamarche.net/list 8172 desinstaller proprement avast

* Retélécharges et réinstalles avast :
https://www.commentcamarche.net/telecharger/ 34055246 utilitaire de desinstallation de avast

-> refais un dernier scan hijack , postes le rapport obtenu pour contrôle et attends la suite ...

sonaquil

ok ok c'est toi l'informaticien :) je m'y remet dem, bonne nuit.

A+

sKe69 Messages postés 21955 Statut Contributeur sécurité 463 > sonaquil

oki ... une fois ceci fait on pourra finaliser ... ^^

good night ... et à demain pour la fin . :)

Multi problèmes

37 réponses

Votre réponse

Discussions similaires

Newsletters