Votre question

PC infecté par TR/Rootkit.gen [résolu]

Tags :
  • Rootkit
  • Sécurité
Dernière réponse : dans Sécurité et virus
29 Décembre 2010 14:45:04

Bonjour,

Je fais appel à vous car mon pc rencontre pas mal de soucis.
L'active desktop est désactivé, le pc rame, des périphériques cessent de fonctionner, la carte son se désinstalle, il apparait des messages d'alertes que je ne connais pas, j'ai même du mal à éteindre le pc en passant par démarrer et Antivir détecte Tr/rootkit.gen à chaque fois que je scan.

Pouvez-vous m'aider SVP

Autres pages sur : infecte rootkit gen resolu

29 Décembre 2010 15:57:58

Bonjour


  • Télécharge OTL (de OldTimer) sur ton Bureau.
  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche Rapport minimal.
  • Coche également les cases à côté de Recherche Lop et Recherche Purity.
  • sous Personnalisation (dans le cadre blanc), copie_colle le contenu du cadre ci dessous:


    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %SYSTEMDRIVE%\*.exe
    /md5start
    explorer.exe
    userinit.exe
    winlogon.exe
    wininit.exe
    /md5stop
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    CREATERESTOREPOINT



  • Enfin, clique sur le bouton Analyse. Laisse travailler l'outil.
  • Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau).

    Pour me transmettre les rapports :
  • Clique sur ce lien : http://www.cijoint.fr/
  • Clique sur Parcourir... et cherche le fichier du rapport que tu souhaites me transmettre.
  • Clique sur Ouvrir.
  • Clique sur Cliquez ici pour déposer le fichier.
  • Un lien de cette forme, hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt, est ajouté dans la page.
  • Copie-colle ce lien dans ta réponse.


    ++++++++++++++++++++


    tu peux aussi me passer un rapport de scan antivir (tu le trouves dans l'onglet rapport d'antivir)
    31 Décembre 2010 15:26:47

    Salut!
    Merci de te préoccuper de mon cas :) 

    " Connexion réinitialisée La connexion avec le serveur a été réinitialisée pendant le chargement de la page. "
    Lorsque je tente d'héberger.

    Rapport d'antivir :

    Avira AntiVir Personal
    Date de création du fichier de rapport : lundi 27 décembre 2010 14:06

    La recherche porte sur 2105624 souches de virus.

    Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
    Numéro de série : 0000149996-ADJIE-0000001
    Plateforme : Windows XP
    Version de Windows : (Service Pack 2) [5.1.2600]
    Mode Boot : Démarré normalement
    Identifiant : SYSTEM
    Nom de l'ordinateur : MANON

    Informations de version :
    BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00
    AVSCAN.EXE : 9.0.3.10 466689 Bytes 29/11/2009 17:58:10
    AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 10:21:02
    LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 11:35:11
    LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 10:21:31
    VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 17:58:09
    VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 17:58:10
    VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 22:15:13
    VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 18:32:10
    VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 15:04:56
    VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 12:23:29
    VBASE006.VDF : 7.10.6.83 2048 Bytes 15/04/2010 12:23:29
    VBASE007.VDF : 7.10.6.84 2048 Bytes 15/04/2010 12:23:29
    VBASE008.VDF : 7.10.6.85 2048 Bytes 15/04/2010 12:23:29
    VBASE009.VDF : 7.10.6.86 2048 Bytes 15/04/2010 12:23:30
    VBASE010.VDF : 7.10.6.87 2048 Bytes 15/04/2010 12:23:30
    VBASE011.VDF : 7.10.6.88 2048 Bytes 15/04/2010 12:23:30
    VBASE012.VDF : 7.10.6.89 2048 Bytes 15/04/2010 12:23:30
    VBASE013.VDF : 7.10.6.90 2048 Bytes 15/04/2010 12:23:31
    VBASE014.VDF : 7.10.6.123 126464 Bytes 19/04/2010 13:20:10
    VBASE015.VDF : 7.10.6.152 123392 Bytes 21/04/2010 13:20:11
    VBASE016.VDF : 7.10.6.178 122880 Bytes 22/04/2010 13:20:09
    VBASE017.VDF : 7.10.6.206 120320 Bytes 26/04/2010 18:32:10
    VBASE018.VDF : 7.10.6.232 99328 Bytes 28/04/2010 18:32:12
    VBASE019.VDF : 7.10.7.2 155648 Bytes 30/04/2010 15:15:16
    VBASE020.VDF : 7.10.7.26 119808 Bytes 04/05/2010 19:46:51
    VBASE021.VDF : 7.10.7.51 118272 Bytes 06/05/2010 19:46:58
    VBASE022.VDF : 7.10.7.52 2048 Bytes 06/05/2010 19:46:58
    VBASE023.VDF : 7.10.7.53 2048 Bytes 06/05/2010 19:46:58
    VBASE024.VDF : 7.10.7.54 2048 Bytes 06/05/2010 19:46:59
    VBASE025.VDF : 7.10.7.55 2048 Bytes 06/05/2010 19:46:59
    VBASE026.VDF : 7.10.7.56 2048 Bytes 06/05/2010 19:46:59
    VBASE027.VDF : 7.10.7.57 2048 Bytes 06/05/2010 19:46:59
    VBASE028.VDF : 7.10.7.58 2048 Bytes 06/05/2010 19:46:59
    VBASE029.VDF : 7.10.7.59 2048 Bytes 06/05/2010 19:46:59
    VBASE030.VDF : 7.10.7.60 2048 Bytes 06/05/2010 19:46:59
    VBASE031.VDF : 7.10.7.72 404992 Bytes 10/05/2010 16:31:50
    Version du moteur : 8.2.1.236
    AEVDF.DLL : 8.1.2.0 106868 Bytes 24/04/2010 17:18:25
    AESCRIPT.DLL : 8.1.3.28 1298810 Bytes 05/05/2010 19:47:15
    AESCN.DLL : 8.1.5.0 127347 Bytes 27/02/2010 12:31:16
    AESBX.DLL : 8.1.3.1 254324 Bytes 24/04/2010 17:18:28
    AERDL.DLL : 8.1.4.6 541043 Bytes 16/04/2010 12:26:19
    AEPACK.DLL : 8.2.1.1 426358 Bytes 20/03/2010 12:48:33
    AEOFFICE.DLL : 8.1.0.41 201083 Bytes 17/03/2010 20:34:28
    AEHEUR.DLL : 8.1.1.27 2670967 Bytes 05/05/2010 19:47:12
    AEHELP.DLL : 8.1.11.3 242039 Bytes 01/04/2010 17:44:33
    AEGEN.DLL : 8.1.3.7 373106 Bytes 16/04/2010 12:23:50
    AEEMU.DLL : 8.1.2.0 393588 Bytes 24/04/2010 17:18:18
    AECORE.DLL : 8.1.15.1 192886 Bytes 05/05/2010 19:46:56
    AEBB.DLL : 8.1.1.0 53618 Bytes 24/04/2010 17:18:17
    AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 08:47:30
    AVPREF.DLL : 9.0.3.0 44289 Bytes 29/11/2009 17:58:10
    AVREP.DLL : 8.0.0.7 159784 Bytes 18/02/2010 19:39:31
    AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 15:24:42
    AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 15:05:22
    AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 10:36:37
    SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 15:03:49
    SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 08:20:57
    NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 15:40:59
    RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 29/11/2009 17:58:09
    RCTEXT.DLL : 9.0.73.0 88321 Bytes 29/11/2009 17:58:09

    Configuration pour la recherche actuelle :
    Nom de la tâche...............................: Contrôle intégral du système
    Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
    Documentation.................................: bas
    Action principale.............................: interactif
    Action secondaire.............................: ignorer
    Recherche sur les secteurs d'amorçage maître..: marche
    Recherche sur les secteurs d'amorçage.........: marche
    Secteurs d'amorçage...........................: C:, D:, E:, F:, G:, I:, J:,
    Recherche dans les programmes actifs..........: marche
    Recherche en cours sur l'enregistrement.......: marche
    Recherche de Rootkits.........................: marche
    Contrôle d'intégrité de fichiers système......: arrêt
    Fichier mode de recherche.....................: Tous les fichiers
    Recherche sur les archives....................: marche
    Limiter la profondeur de récursivité..........: 20
    Archive Smart Extensions......................: marche
    Heuristique de macrovirus.....................: marche
    Heuristique fichier...........................: moyen
    Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+SPR,

    Début de la recherche : lundi 27 décembre 2010 14:06

    La recherche d'objets cachés commence.
    HKEY_LOCAL_MACHINE\System\ControlSet001\Services\bmuoqd\type
    [INFO] L'entrée d'enregistrement n'est pas visible.
    HKEY_LOCAL_MACHINE\System\ControlSet001\Services\bmuoqd\start
    [INFO] L'entrée d'enregistrement n'est pas visible.
    HKEY_LOCAL_MACHINE\System\ControlSet001\Services\bmuoqd\errorcontrol
    [INFO] L'entrée d'enregistrement n'est pas visible.
    HKEY_LOCAL_MACHINE\System\ControlSet001\Services\bmuoqd\group
    [INFO] L'entrée d'enregistrement n'est pas visible.
    HKEY_LOCAL_MACHINE\System\ControlSet001\Services\bmuoqd\t0rv5x7qn6
    [INFO] L'entrée d'enregistrement n'est pas visible.
    HKEY_LOCAL_MACHINE\System\ControlSet001\Services\bmuoqd\nuih6t1mi3
    [INFO] L'entrée d'enregistrement n'est pas visible.
    HKEY_LOCAL_MACHINE\System\ControlSet001\Services\bmuoqd\a8w5lly2
    [INFO] L'entrée d'enregistrement n'est pas visible.
    '54828' objets ont été contrôlés, '7' objets cachés ont été trouvés.

    La recherche sur les processus démarrés commence :
    Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'update.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'hpqgpc01.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'hpqbam08.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'hpqste08.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'Hxuxua.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'wdfmgr.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'soffice.bin' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'soffice.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'Hw1.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'binternet.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'TrayMin210.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'hpqtra08.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'SMax4.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'smax4pnp.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'binternet.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'winampa.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'a.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'AdobeARM.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'VM_STI.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'WinSys2.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
    '51' processus ont été contrôlés avec '51' modules

    La recherche sur les secteurs d'amorçage maître commence :
    Secteur d'amorçage maître HD0
    [INFO] Aucun virus trouvé !
    Secteur d'amorçage maître HD1
    [INFO] Aucun virus trouvé !
    Secteur d'amorçage maître HD2
    [INFO] Aucun virus trouvé !

    La recherche sur les secteurs d'amorçage commence :
    Secteur d'amorçage 'C:\'
    [INFO] Aucun virus trouvé !
    Secteur d'amorçage 'D:\'
    [INFO] Aucun virus trouvé !
    Secteur d'amorçage 'E:\'
    [INFO] Aucun virus trouvé !
    Secteur d'amorçage 'F:\'
    [INFO] Aucun virus trouvé !
    Secteur d'amorçage 'G:\'
    [INFO] Aucun virus trouvé !
    Secteur d'amorçage 'I:\'
    [INFO] Aucun virus trouvé !
    Secteur d'amorçage 'J:\'
    [INFO] Aucun virus trouvé !

    La recherche sur les renvois aux fichiers exécutables (registre) commence :
    Le registre a été contrôlé ( '68' fichiers).


    La recherche sur les fichiers sélectionnés commence :

    Recherche débutant dans 'C:\'
    C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE] Ce fichier est un fichier système Windows.
    [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
    C:\WINDOWS\system32\drivers\bmuoqd.sys
    [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    Recherche débutant dans 'D:\' <utils>
    Recherche débutant dans 'E:\' <Jeux>
    Recherche débutant dans 'F:\' <Films>
    Recherche débutant dans 'G:\' <Ziks>
    Recherche débutant dans 'I:\' <Films disq ext>
    Recherche débutant dans 'J:\'
    Impossible d'ouvrir le chemin à contrôler J:\ !
    Erreur système [3]: Le chemin d'accès spécifié est introuvable.

    Début de la désinfection :
    C:\WINDOWS\system32\drivers\bmuoqd.sys
    [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
    [AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004
    [AVERTISSEMENT] Impossible de trouver le fichier source.
    [REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d8da0a0.qua' !


    Fin de la recherche : lundi 27 décembre 2010 15:19
    Temps nécessaire: 1:10:17 Heure(s)

    La recherche a été effectuée intégralement

    10927 Les répertoires ont été contrôlés
    345796 Des fichiers ont été contrôlés
    1 Des virus ou programmes indésirables ont été trouvés
    0 Des fichiers ont été classés comme suspects
    0 Des fichiers ont été supprimés
    0 Des virus ou programmes indésirables ont été réparés
    1 Les fichiers ont été déplacés dans la quarantaine
    0 Les fichiers ont été renommés
    2 Impossible de contrôler des fichiers
    345793 Fichiers non infectés
    3012 Les archives ont été contrôlées
    2 Avertissements
    2 Consignes
    54828 Des objets ont été contrôlés lors du Rootkitscan
    7 Des objets cachés ont été trouvés

    Contenus similaires
    1 Janvier 2011 11:52:00

    bonjour
    on va se passer d'OTL pour le moment...

    Désactive ton antivirus et tout autre type de protection.
    Télécharge ComboFix de sUBs : Combofix
    Sauvegarde-le sur ton bureau et pas ailleurs!

    Double-clic sur ComboFix, Il va te poser une question, suis les invites puis attends que combofix ait terminé, il est possible que ton PC reboot, c’est normal, un rapport sera créé.Poste le rapport:C:\Combofix.txt
    clique dessus pour l'ouvrir, puis édition "sélectionner tout", édition "copier"

    viens sur le forum et édition "coller"

    AIDE : Un guide et un tutoriel sur l'utilisation de ComboFix
    * le nom de la partition peut changer

    <@_@>


    1 Janvier 2011 17:09:51

    Je te remercie d'avance car ça va déjà nettement mieux
    (et bonne année :) 

    ComboFix 10-12-31.02 - man 01/01/2011 16:54:57.2.2 - x86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1023.515 [GMT 1:00]
    Lancé depuis: c:\documents and settings\man\Bureau\ComboFix.exe
    AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\documents and settings\LocalService\Application Data\desktop.ini
    c:\documents and settings\LocalService\Application Data\xssend2
    c:\documents and settings\LocalService\Application Data\xssend2\svcnost.exe
    c:\windows\system32\Config\svchost.exe
    c:\windows\system32\driVERs\bmuoqd.sys
    c:\windows\system32\sshnas21.dll
    c:\windows\system32\userini.exe
    c:\windows\system32\yuoldllnlrrkyls.exe
    c:\windows\Sysvxd.exe

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_SSHNAS
    -------\Legacy_SVCHOST32
    -------\Legacy_USNJSVC
    -------\Service_SSHNAS
    -------\Service_svchost32
    -------\Service_usnjsvc
    -------\Legacy_bmuoqd
    -------\Service_bmuoqd


    ((((((((((((((((((((((((((((( Fichiers créés du 2010-12-01 au 2011-01-01 ))))))))))))))))))))))))))))))))))))
    .

    2010-12-30 14:52 . 2010-12-31 13:55 -------- d-----w- c:\program files\ZHPDiag
    2010-12-29 14:08 . 2010-12-29 14:08 -------- d-----w- c:\documents and settings\man\Local Settings\Application Data\PackageAware
    2010-12-28 16:28 . 2010-12-28 16:28 29996 ---h--w- c:\documents and settings\LocalService\Application Data\ntuser.dat
    2010-12-28 16:27 . 2010-12-28 16:27 -------- d-----w- c:\documents and settings\LocalService\Application Data\llzsag3ndezhzlaon13xjdpkzshqmsl2
    2010-12-27 18:41 . 2010-12-30 14:00 -------- d-s---w- c:\documents and settings\LocalService\UserData
    2010-12-27 15:07 . 2010-12-27 15:07 -------- d-----w- c:\documents and settings\All Users\Application Data\Logitech
    2010-12-27 15:07 . 2010-12-27 15:07 -------- d-----w- c:\program files\Logitech
    2010-12-27 14:26 . 2004-08-19 15:10 20992 ----a-w- c:\windows\system32\dshowext.ax
    2010-12-20 15:52 . 2010-12-20 15:51 207360 ----a-w- c:\windows\Hxuxua.exe
    2010-12-20 15:51 . 2010-12-20 15:51 -------- d-----w- c:\program files\icons
    2010-12-12 19:38 . 2007-01-16 08:09 293888 ----a-r- c:\windows\system32\drivers\ADIHdAud.sys
    2010-12-12 19:38 . 2006-08-07 05:57 93952 ----a-r- c:\windows\system32\drivers\aeaudio.sys
    2010-12-12 19:38 . 2006-03-17 16:18 392960 ----a-r- c:\windows\system32\drivers\senfilt.sys
    2010-12-12 16:38 . 2010-12-12 16:38 -------- d--h--w- c:\windows\PIF
    2010-12-12 15:52 . 2010-12-12 19:36 -------- d-----w- c:\program files\ma-config.com
    2010-12-12 15:52 . 2010-12-12 15:52 -------- d-----w- c:\documents and settings\All Users\Application Data\ma-config.com

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2011-01-01 15:24 . 2002-08-29 10:45 1036288 ----a-w- c:\windows\explorer.exe
    2010-10-28 23:09 . 2010-10-28 23:09 448056 ----a-w- c:\documents and settings\man\binternet.exe
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "H3O8CABBPI"="c:\windows\Hxuxua.exe" [2010-12-20 207360]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "JMB36X Configure"="c:\windows\system32\JMRaidTool.exe" [2006-06-02 385024]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-03-07 8425472]
    "nwiz"="nwiz.exe" [2007-03-07 1622016]
    "SW20"="c:\windows\system32\sw20.exe" [2006-12-15 208896]
    "SW24"="c:\windows\system32\sw24.exe" [2006-12-15 69632]
    "WinSys2"="c:\windows\system32\winsys2.exe" [2006-12-15 217088]
    "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-03-07 81920]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
    "Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]
    "WinampAgent"="c:\program files\Winamp\winampa.exe" [2009-07-01 37888]
    "binternet"="c:\documents and settings\man\binternet.exe" [2010-10-28 448056]
    "SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2006-12-18 868352]
    "LogitechCommunicationsManager"="c:\program files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe" [2007-10-25 563984]
    "LogitechQuickCamRibbon"="c:\program files\Logitech\QuickCam\Quickcam.exe" [2007-10-25 2178832]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    "FlashPlayerUpdate"="c:\windows\system32\Macromed\Flash\FlashUtil10b.exe" [2009-02-03 240544]

    c:\documents and settings\man\Menu D‚marrer\Programmes\D‚marrage\
    binternet.lnk - c:\documents and settings\man\binternet.exe [2010-10-29 448056]
    OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]

    c:\documents and settings\man\Menu D‚marrer\Programmes\D‚marrage\
    binternet.lnk - c:\documents and settings\man\binternet.exe [2010-10-29 448056]
    OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]

    c:\documents and settings\man\Menu D‚marrer\Programmes\D‚marrage\
    binternet.lnk - c:\documents and settings\man\binternet.exe [2010-10-29 448056]
    OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]

    c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2009-5-21 275768]
    Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

    c:\documents and settings\man\Menu D‚marrer\Programmes\D‚marrage\
    binternet.lnk - c:\documents and settings\man\binternet.exe [2010-10-29 448056]
    OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "AntiVirusOverride"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfcCopy.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqusgm.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqusgh.exe"=
    "c:\\Program Files\\eMule\\emule.exe"=
    "c:\\Program Files\\Messenger\\msmsgs.exe"=
    "e:\\stronghold\\Stronghold2 1.0.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

    R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [29/11/2009 18:05 108289]
    R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Adapter;c:\windows\system32\drivers\atl01_xp.sys [29/11/2009 16:24 34944]
    S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [12/09/2010 15:30 251248]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
    hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
    .
    Contenu du dossier 'Tâches planifiées'

    2011-01-01 c:\windows\Tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job
    - c:\windows\Hxuxua.exe [2010-12-20 15:51]
    .
    .
    ------- Examen supplémentaire -------
    .
    uSearchMigratedDefaultURL = hxxp://www.cherche.us/Result.php?cx=partner-pub-04206471363191...{searchTerms}
    mStart Page = hxxp://www.duxot.com/
    uInternet Settings,ProxyServer = http=127.0.0.1:5555
    uInternet Settings,ProxyOverride = <local>
    TCP: {A6D3A292-CCAB-44BE-8BF4-FCEC9357902D} = 192.168.1.1
    DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
    DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
    FF - ProfilePath - c:\documents and settings\man\Application Data\Mozilla\Firefox\Profiles\1voi56gr.default\
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
    FF - prefs.js: keyword.URL - hxxp://www.cherche.us/Result.php?cx=partner-pub-04206471363191...
    FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
    FF - Ext: Java Console: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}
    FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
    FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
    FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    HKCU-Run-userini - c:\windows\explorer.exe:userini.exe
    HKLM-Run-soft2PC - (no file)
    HKLM-Run-userini - c:\windows\explorer.exe:userini.exe
    HKU-Default-Run-userini - c:\windows\explorer.exe:userini.exe
    HKLM-Explorer_Run-userini - c:\windows\explorer.exe:userini.exe
    HKU-Default-Explorer_Run-userini - c:\windows\explorer.exe:userini.exe
    AddRemove-yuoldllnlrrkyls - c:\windows\system32\yuoldllnlrrkyls.exe



    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2011-01-01 17:03
    Windows 5.1.2600 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...


    c:\docume~1\man\LOCALS~1\Temp\EFValdation.INI 219 bytes

    Scan terminé avec succès
    Fichiers cachés: 1

    **************************************************************************
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'explorer.exe'(4512)
    c:\program files\Fichiers communs\Logishrd\LVMVFM\LVPrcInj.dll
    c:\windows\system32\nview.dll
    c:\windows\system32\NVWRSFR.DLL
    c:\progra~1\FICHIE~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
    c:\progra~1\FICHIE~1\MICROS~1\WEBCOM~1\10\1036\owci10.dll
    c:\windows\System32\msls31.dll
    c:\windows\system32\nvwddi.dll
    c:\windows\System32\shdoclc.dll
    c:\windows\System32\msimtf.dll
    c:\windows\System32\MSCTF.dll
    c:\windows\system32\browselc.dll
    c:\windows\system32\ODBC32.dll
    c:\program files\Microsoft Office\Office10\msohev.dll
    c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll
    c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA
    c:\windows\system32\nvwimg.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\program files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
    c:\program files\Avira\AntiVir Desktop\avguard.exe
    c:\program files\Java\jre6\bin\jqs.exe
    c:\program files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
    c:\windows\system32\nvsvc32.exe
    c:\windows\system32\wdfmgr.exe
    c:\windows\system32\RUNDLL32.EXE
    c:\windows\system32\rundll32.exe
    c:\program files\OpenOffice.org 3\program\soffice.exe
    c:\program files\OpenOffice.org 3\program\soffice.bin
    c:\program files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
    c:\program files\HP\Digital Imaging\bin\hpqSTE08.exe
    c:\program files\HP\Digital Imaging\bin\hpqbam08.exe
    c:\program files\HP\Digital Imaging\bin\hpqgpc01.exe
    c:\program files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
    .
    **************************************************************************
    .
    Heure de fin: 2011-01-01 17:07:05 - La machine a redémarré
    ComboFix-quarantined-files.txt 2011-01-01 16:07

    Avant-CF: 9 601 331 200 octets libres
    Après-CF: 10 932 150 272 octets libres

    - - End Of File - - DFEE91C8DA8F42DF13BF5DA92FDD0B93
    1 Janvier 2011 19:31:45

    bonne année également ;O)

    1

    vire binternet de ton menu démarrer.


    2


    ~ Démarre Internet Explorer, clique sur le menu Outils puis ouvre les Options Internet comme sur cette image :





    ~ Ouvre l’onglet connexions :





    ~ Clique sur le bouton Paramètres réseau comme sur l’image suivante :






    ~ Décoche la boîte de dialogue: Utiliser un serveur proxy pour votre réseau local si elle est cochée.





    ~ Clique sur OK.



    3

    Copie (Ctrl+C) le texte ci-dessous :
    File::
    c:\windows\Hxuxua.exe
    c:\documents and settings\man\binternet.exe


    Folder::
    c:\documents and settings\LocalService\Application Data\llzsag3ndezhzlaon13xjdpkzshqmsl2

    Registry::
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "H3O8CABBPI"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "binternet"=-





    Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu viens de copier.
    Sauvegarde ce fichier sous le nom de CFScript.txt

    Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture


  • Combofix se lance, laisse toi guider..

  • Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis

  • Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

    AIDE : Un guide et un tutoriel sur l'utilisation de ComboFix
    * le nom de la partition peut changer


    4
    On vérifie explorer car j'ai un doute

    Télécharge SystemLook à partir d'un des liens ci dessous sur ton Bureau.
    http://jpshortstuff.247fixes.com/SystemLook.exe

    * Double-click SystemLook.exe pour le lancer.
    * Clic droit/copier le contenu du cadre ci dessous ,et clic droit/coller dans le cadre blanc de SystemLook:

    :filefind
    explorer.exe


    * Click le bouton Look pour commencer le scan.
    * Laisse l'outil travailler, cela peut prendre quelques minutes.
    * Copie-colle dans ta prochaine réponse le rapport\contenu du fichier texte qui s'affiche

    Note: Le rapport peut aussi être trouvé sur ton Bureau nommé SystemLook.txt
    1 Janvier 2011 20:43:05

    3

    ComboFix 11-01-01.01 - man 01/01/2011 20:20:40.3.2 - x86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1023.587 [GMT 1:00]
    Lancé depuis: c:\documents and settings\man\Bureau\ComboFix.exe
    Commutateurs utilisés :: c:\documents and settings\man\Bureau\CFScript.txt.txt
    AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}

    FILE ::
    "c:\documents and settings\man\binternet.exe"
    "c:\windows\Hxuxua.exe"
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\documents and settings\LocalService\Application Data\llzsag3ndezhzlaon13xjdpkzshqmsl2
    c:\documents and settings\LocalService\Application Data\llzsag3ndezhzlaon13xjdpkzshqmsl2\csrss.exe
    c:\documents and settings\man\binternet.exe
    c:\windows\Hxuxua.exe

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-12-01 au 2011-01-01 ))))))))))))))))))))))))))))))))))))
    .

    2010-12-30 14:52 . 2010-12-31 13:55 -------- d-----w- c:\program files\ZHPDiag
    2010-12-29 14:08 . 2010-12-29 14:08 -------- d-----w- c:\documents and settings\man\Local Settings\Application Data\PackageAware
    2010-12-28 16:28 . 2010-12-28 16:28 29996 ---h--w- c:\documents and settings\LocalService\Application Data\ntuser.dat
    2010-12-27 18:41 . 2010-12-30 14:00 -------- d-s---w- c:\documents and settings\LocalService\UserData
    2010-12-27 15:07 . 2010-12-27 15:07 -------- d-----w- c:\documents and settings\All Users\Application Data\Logitech
    2010-12-27 15:07 . 2010-12-27 15:07 -------- d-----w- c:\program files\Logitech
    2010-12-27 14:26 . 2004-08-19 15:10 20992 ----a-w- c:\windows\system32\dshowext.ax
    2010-12-20 15:51 . 2010-12-20 15:51 -------- d-----w- c:\program files\icons
    2010-12-12 19:38 . 2007-01-16 08:09 293888 ----a-r- c:\windows\system32\drivers\ADIHdAud.sys
    2010-12-12 19:38 . 2006-08-07 05:57 93952 ----a-r- c:\windows\system32\drivers\aeaudio.sys
    2010-12-12 19:38 . 2006-03-17 16:18 392960 ----a-r- c:\windows\system32\drivers\senfilt.sys
    2010-12-12 16:38 . 2010-12-12 16:38 -------- d--h--w- c:\windows\PIF
    2010-12-12 15:52 . 2010-12-12 19:36 -------- d-----w- c:\program files\ma-config.com
    2010-12-12 15:52 . 2010-12-12 15:52 -------- d-----w- c:\documents and settings\All Users\Application Data\ma-config.com

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2011-01-01 15:24 . 2002-08-29 10:45 1036288 ----a-w- c:\windows\explorer.exe
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "JMB36X Configure"="c:\windows\system32\JMRaidTool.exe" [2006-06-02 385024]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-03-07 8425472]
    "nwiz"="nwiz.exe" [2007-03-07 1622016]
    "SW20"="c:\windows\system32\sw20.exe" [2006-12-15 208896]
    "SW24"="c:\windows\system32\sw24.exe" [2006-12-15 69632]
    "WinSys2"="c:\windows\system32\winsys2.exe" [2006-12-15 217088]
    "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-03-07 81920]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
    "Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
    "WinampAgent"="c:\program files\Winamp\winampa.exe" [2009-07-01 37888]
    "SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2006-12-18 868352]
    "LogitechCommunicationsManager"="c:\program files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe" [2007-10-25 563984]
    "LogitechQuickCamRibbon"="c:\program files\Logitech\QuickCam\Quickcam.exe" [2007-10-25 2178832]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    "FlashPlayerUpdate"="c:\windows\system32\Macromed\Flash\FlashUtil10b.exe" [2009-02-03 240544]

    c:\documents and settings\man\Menu D‚marrer\Programmes\D‚marrage\
    OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]

    c:\documents and settings\man\Menu D‚marrer\Programmes\D‚marrage\
    OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]

    c:\documents and settings\man\Menu D‚marrer\Programmes\D‚marrage\
    OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]

    c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2009-5-21 275768]
    Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

    c:\documents and settings\man\Menu D‚marrer\Programmes\D‚marrage\
    OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "AntiVirusOverride"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfcCopy.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqusgm.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqusgh.exe"=
    "c:\\Program Files\\eMule\\emule.exe"=
    "c:\\Program Files\\Messenger\\msmsgs.exe"=
    "e:\\stronghold\\Stronghold2 1.0.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
    "c:\\WINDOWS\\system32\\dpvsetup.exe"=

    R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [29/11/2009 18:05 108289]
    R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Adapter;c:\windows\system32\drivers\atl01_xp.sys [29/11/2009 16:24 34944]
    S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [12/09/2010 15:30 251248]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
    hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
    .
    Contenu du dossier 'Tâches planifiées'
    .
    .
    ------- Examen supplémentaire -------
    .
    uSearchMigratedDefaultURL = hxxp://www.cherche.us/Result.php?cx=partner-pub-04206471363191...{searchTerms}
    mStart Page = hxxp://www.duxot.com/
    uInternet Settings,ProxyServer = http=127.0.0.1:5555
    uInternet Settings,ProxyOverride = <local>
    TCP: {A6D3A292-CCAB-44BE-8BF4-FCEC9357902D} = 192.168.1.1
    DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
    DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
    FF - ProfilePath - c:\documents and settings\man\Application Data\Mozilla\Firefox\Profiles\1voi56gr.default\
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
    FF - prefs.js: keyword.URL - hxxp://www.cherche.us/Result.php?cx=partner-pub-04206471363191...
    FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
    FF - Ext: Java Console: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}
    FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
    FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
    FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2011-01-01 20:24
    Windows 5.1.2600 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    Heure de fin: 2011-01-01 20:25:36
    ComboFix-quarantined-files.txt 2011-01-01 19:25
    ComboFix2.txt 2011-01-01 16:07

    Avant-CF: 10 805 747 712 octets libres
    Après-CF: 10 926 391 296 octets libres

    - - End Of File - - F04BFCB4AD5CBBD47408BBC91D18C384





    Je n'ai pas re détecté de problème particulier si ce n'est le fond d'écran qui est noir. Mon pc ne rame plus, ma messagerie fonctionne à nouveau, ainsi que tout ce qui me lâchai petit à petit ^^ Par contre + de pub s'affichent inopinément




    4

    SystemLook 04.09.10 by jpshortstuff
    Log created at 20:35 on 01/01/2011 by man
    Administrator - Elevation successful

    ========== filefind ==========

    Searching for "explorer.exe"
    C:\WINDOWS\explorer.exe --a---- 1036288 bytes [10:45 29/08/2002] [15:24 01/01/2011] 2A7BD330924252A2FD80344FC949BB72
    C:\WINDOWS\$NtServicePackUninstall$\explorer.exe -----c- 1008128 bytes [14:53 29/11/2009] [10:45 29/08/2002] 82FE0D400CB1AC937234467B927B867A
    C:\WINDOWS\ERDNT\cache\explorer.exe --a---- 1036288 bytes [16:05 01/01/2011] [15:24 01/01/2011] 2A7BD330924252A2FD80344FC949BB72
    C:\WINDOWS\ServicePackFiles\i386\explorer.exe ------- 1036288 bytes [14:56 29/11/2009] [15:09 19/08/2004] 2A7BD330924252A2FD80344FC949BB72
    C:\WINDOWS\SoftwareDistribution\Download\327771f7f3830b5acec68906a2aac4ab\explorer.exe --a---- 1037824 bytes [15:15 02/12/2009] [02:34 14/04/2008] F2317622D29F9FF0F88AEECD5F60F0DD
    C:\WINDOWS\system32\dllcache\explorer.exe --a--c- 1036288 bytes [10:45 29/08/2002] [15:24 01/01/2011] 2A7BD330924252A2FD80344FC949BB72

    -= EOF =-
    2 Janvier 2011 00:50:29

    ESETSmartInstaller@High as CAB hook log:
    OnlineScanner.ocx - registred OK
    # version=7
    # iexplore.exe=6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)
    # OnlineScanner.ocx=1.0.0.6419
    # api_version=3.0.2
    # EOSSerial=6a9cd64b21cdc547838e5fa6e7a6a5a4
    # end=finished
    # remove_checked=false
    # archives_checked=true
    # unwanted_checked=true
    # unsafe_checked=false
    # antistealth_checked=true
    # utc_time=2011-01-01 11:46:17
    # local_time=2011-01-02 12:46:17 (+0100, Paris, Madrid)
    # country="France"
    # lang=1036
    # osver=5.1.2600 NT Service Pack 2
    # compatibility_mode=1024 16777215 100 0 0 0 0 0
    # compatibility_mode=1797 16775141 100 100 10647 69434497 3438 0
    # compatibility_mode=8192 67108863 100 0 3947 3947 0 0
    # scanned=84601
    # found=19
    # cleaned=0
    # scan_time=2804
    C:\Qoobox\Quarantine\C\Documents and Settings\LocalService\Application Data\llzsag3ndezhzlaon13xjdpkzshqmsl2\csrss.exe.vir une variante de Win32/Kryptik.JHV cheval de troie (impossible de nettoyer) 00000000000000000000000000000000 I
    C:\Qoobox\Quarantine\C\Documents and Settings\LocalService\Application Data\xssend2\svcnost.exe.vir une variante de Win32/Kryptik.JHV cheval de troie (impossible de nettoyer) 00000000000000000000000000000000 I
    C:\Qoobox\Quarantine\C\Documents and Settings\man\binternet.exe.vir une variante de Win32/BInternet.AA application (impossible de nettoyer) 00000000000000000000000000000000 I
    C:\Qoobox\Quarantine\C\WINDOWS\Hxuxua.exe.vir Win32/TrojanDownloader.FakeAlert.BGV cheval de troie (impossible de nettoyer) 00000000000000000000000000000000 I
    C:\Qoobox\Quarantine\C\WINDOWS\system32\sshnas21.dll.vir une variante de Win32/Kryptik.JBT cheval de troie (impossible de nettoyer) 00000000000000000000000000000000 I
    C:\Qoobox\Quarantine\C\WINDOWS\system32\userini.exe.vir Win32/Kryptik.JHS.Gen cheval de troie (impossible de nettoyer) 00000000000000000000000000000000 I
    C:\Qoobox\Quarantine\C\WINDOWS\system32\config\svchost.exe.vir Win32/Agent.RRT cheval de troie (impossible de nettoyer) 00000000000000000000000000000000 I
    C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\bmuoqd.sys.vir Win32/Bubnix.AO cheval de troie (impossible de nettoyer) 00000000000000000000000000000000 I
    C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\_bmuoqd_.sys.zip Win32/Bubnix.AO cheval de troie (impossible de nettoyer) 00000000000000000000000000000000 I
    C:\System Volume Information\_restore{FA3AE7CA-390B-4614-A92E-4CD582BC1654}\RP309\A0054525.exe:userini.exe Win32/Kryptik.JHS.Gen cheval de troie (impossible de nettoyer) 00000000000000000000000000000000 I
    C:\System Volume Information\_restore{FA3AE7CA-390B-4614-A92E-4CD582BC1654}\RP309\A0054543.exe menaces multiples (impossible de nettoyer) 00000000000000000000000000000000 I
    C:\System Volume Information\_restore{FA3AE7CA-390B-4614-A92E-4CD582BC1654}\RP309\A0054544.exe Win32/Agent.RRT cheval de troie (impossible de nettoyer) 00000000000000000000000000000000 I
    C:\System Volume Information\_restore{FA3AE7CA-390B-4614-A92E-4CD582BC1654}\RP309\A0054585.sys Win32/Olmarik.ZC cheval de troie (impossible de nettoyer) 00000000000000000000000000000000 I
    C:\System Volume Information\_restore{FA3AE7CA-390B-4614-A92E-4CD582BC1654}\RP309\A0054641.exe:userini.exe Win32/Kryptik.JHS.Gen cheval de troie (impossible de nettoyer) 00000000000000000000000000000000 I
    C:\System Volume Information\_restore{FA3AE7CA-390B-4614-A92E-4CD582BC1654}\RP309\A0055658.exe une variante de Win32/Kryptik.JHV cheval de troie (impossible de nettoyer) 00000000000000000000000000000000 I
    C:\System Volume Information\_restore{FA3AE7CA-390B-4614-A92E-4CD582BC1654}\RP309\A0055659.exe Win32/Agent.RRT cheval de troie (impossible de nettoyer) 00000000000000000000000000000000 I
    C:\System Volume Information\_restore{FA3AE7CA-390B-4614-A92E-4CD582BC1654}\RP309\A0055660.dll une variante de Win32/Kryptik.JBT cheval de troie (impossible de nettoyer) 00000000000000000000000000000000 I
    C:\System Volume Information\_restore{FA3AE7CA-390B-4614-A92E-4CD582BC1654}\RP309\A0055661.exe Win32/Kryptik.JHS.Gen cheval de troie (impossible de nettoyer) 00000000000000000000000000000000 I
    C:\System Volume Information\_restore{FA3AE7CA-390B-4614-A92E-4CD582BC1654}\RP309\A0055668.sys Win32/Bubnix.AO cheval de troie (impossible de nettoyer) 00000000000000000000000000000000 I
    2 Janvier 2011 19:32:51

    re
    ~Désactive puis réactive la restauration en suivant ce tuto:
    http://service1.symantec.com/SUPPORT/INTER/tsgeninfoint...
    Il faudra désactiver la restauration, redémarrer l'ordinateur et réactiver aussitôt la restauration.

    Désinstalle combofix en suivant cette procédure:

  • Menu démarrer puis exécuter
  • Tape maintenant Combofix /u dans la fenêtre que apparaît puis valide par OK. Veille à bien laisser un espace entre le X et le /U, car cela est nécessaire ici.





    Supprime tous les programmes installés pour la désinfection.


    Merci de consulter ce dossier (en pdf) pour en connaître davantage sur les risques du Net.



    Si tu trouves ce document intéressant, n'hésite pas à le transmettre à tes contacts.

    Si tu en as assez d'être assailli de publicités durant ta navigation, installe Firefox sécurisé avec les extensions noscript et AdBlock Plus.

    Lire aussi:
  • Antispyware gratuit : ça sert à rien!


    ~Edite ton premier message et marque [résolu] dans le titre.
    Si ton nom de session correspond à ton véritable nom, tu as la possibilité de le changer en éditant tes posts.

    :hello: 

    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS