Se connecter / S'enregistrer
Votre question

Infecte par thinkpoint, securite alert et redirection goméo [RESOLU]

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
23 Octobre 2010 18:26:09

Bonjour, je suis infecté par thinkpoint (fenêtre) + la fenêtre windows sécurity alert et enfin toutes mes recherches google me renvoient sur goméo (heureusement que j'ai quelques favoris!!)

de plus, antivir me détecte winlogon.exe comme trojan.

Je joins le rapport ZHPDIAG:
http://www.cijoint.fr/cjlink.php?file=cj201010/cijgEQuU...

Merci d'avance si quelqu'un peut m'aider.

Autres pages sur : infecte thinkpoint securite alert redirection gomeo resolu

23 Octobre 2010 22:10:11

Sorry, impossible de lire le rapport ZHPDIAG.
Mais ca ressemble a un malware (toutes mes recherches google me renvoient sur goméo), télécharge malwarebyte et lance un scan, ca devrais régler ton problème.
23 Octobre 2010 23:21:33

Bonsoir
lire:
http://forum.malekal.com/trojan-bamital-aka-son-nom-gen...



Télécharge OTLPENet.
Prépare un CD vierge et lance OTLPENet, cela va te permettre de graver une mage iso.
Note : Le CD gravé, il faut maintenant redémarrer la machine sur le lecteur CDROM
Pour se faire suivre ce lien : Booter sur un CD.
Tuto OTLPE

Tu lances l'iso d'OTLPENet que tu as gravé.
  • une fois le bureau de reatogo chargé , tu lances OTLPE , l'icône jaune

  • Double-clique sur l'icone OTLPE
  • quand demandé "Do you wish to load the remote registry", select Yes
  • quand demandé "Do you wish to load remote user profile(s) for scanning", select Yes
  • vérifier que "Automatically Load All Remaining Users" est sélectionné et press OK



  • sous Custom Scan box
    1 copie_colle le contenu du cadre ci dessous:


    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %SYSTEMDRIVE%\*.exe
    /md5start
    explorer.exe
    userinit.exe
    winlogon.exe
    wininit.exe
    csrss.exe
    smss.exe
    svchost.exe
    services.exe
    spoolsv.exe
    alg.exe
    ctfmon.exe
    eventlog.dll
    scecli.dll
    netlogon.dll
    cngaudit.dll
    sceclt.dll
    ntelogon.dll
    logevent.dll
    iaStor.sys
    nvstor.sys
    atapi.sys
    i8042prt.sys
    cdrom.sys
    disk.sys
    ndis.sys
    tcpip.sys
    mountmgr.sys
    aec.sys
    rasacd.sys
    redbook.sys
    ipsec.sys
    mrxsmb10.sys
    mrxsmb20.sys
    termdd.sys
    mrxsmb.sys
    win32k.sys
    storport.sys
    IdeChnDr.sys
    viasraid.sys
    AGP440.sys
    vaxscsi.sys
    nvatabus.sys
    viamraid.sys
    nvata.sys
    nvgts.sys
    iastorv.sys
    ViPrt.sys
    eNetHook.dll
    ahcix86.sys
    KR10N.sys
    nvstor32.sys
    ahcix86s.sys
    nvrd32.sys
    /md5stop
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav


  • copie colle ce texte dans un fichier texte|bloc note que tu enregistres sur clé usb que tu brancheras sous reatogo tu pourras alors facilement le copier\coller.
  • 2 Clic Run Scan pour démarrer le scan.
  • Une fois terminé , le fichier se trouve là C:\OTL.txt
  • Copie_colle le contenu dans ta prochaine réponse.
    Contenus similaires
    25 Octobre 2010 13:26:47

    Je n'étais pas chez moi ce week end!
    Donc, je fais faire tes manip ce soir!
    @+
    25 Octobre 2010 16:39:09

    Sham_rock, j'ai vu sur le forum que tu proposais dans d'autres désinfections le fichier texte avec à la dernière ligne: CREATERESTOREPOINT.
    Il n'est pas dans le fichier que tu m'a transmis.
    Est-ce normal?
    Ou s'agit-il d'un simple oubli et je m'empresse de le rajouter?
    Merci d'avance,
    cordialement.
    25 Octobre 2010 20:28:24

    TROISUR a dit :
    Sham_rock, j'ai vu sur le forum que tu proposais dans d'autres désinfections le fichier texte avec à la dernière ligne: CREATERESTOREPOINT.
    Il n'est pas dans le fichier que tu m'a transmis.
    Est-ce normal?
    Ou s'agit-il d'un simple oubli et je m'empresse de le rajouter?
    Merci d'avance,
    cordialement.

    alors là ça me scie ;) 
    Nan, ça ne sert à rien...le point de restauration est crée avec OTL mais pas sous reatogo...

    avant de faire le scan OTLPE, on va essayer une routine avec ComboFix, possible que ça marche. :D 


    Télécharge ComboFix de sUBs :
    ComboFix.exe
    et sauvegarde le sur ton bureau et pas ailleurs!

    mais attention, ton infection peut faire planter les outils, il faut feinter pour que tu puisses lancer combofix donc:
    renomme Combofix en Combo-Fix avant de lancer le téléchargement comme suit:
    http://forum.pcastuces.com/sujet.asp?f=25&s=37315
    Double-clic sur ComboFix, Il va te poser une question, suis les invites puis attends que combofix ait terminé, il est possible que ton PC reboot, c’est normal, un rapport sera créé.Poste le rapport:C:\Combofix.txt
    clique dessus pour l'ouvrir, puis édition "sélectionner tout", édition "copier"

    viens sur le forum et édition "coller"

    AIDE : Un guide et un tutoriel sur l'utilisation de ComboFix
    * le nom de la partition peut changer
    25 Octobre 2010 22:47:39

    Ok , j'ai fait combofix comme tu m'as dit.
    J'ajoute que antivir détecte winlogon.exe et server hlp.dat (sans arrêt). Je suis obligé de faire ignoere sans quoi je n'ai plus accès à internet.
    Je fais peut-être une c...erie?!!
    Autrement, voici le rapport:


    ComboFix 10-10-24.06 - jmb 25/10/2010 22:25:43.3.2 - x86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.3582.2767 [GMT 2:00]
    Lancé depuis: c:\documents and settings\jmb\Bureau\Combo-Fix.exe
    AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
    FW: ZoneAlarm Firewall *enabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\windows\system32\winlogon.exe . . . est infecté!!

    Une copie infectée de c:\windows\explorer.exe a été trouvée et désinfectée
    Copie restaurée à partir de - c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-09-25 au 2010-10-25 ))))))))))))))))))))))))))))))))))))
    .

    2010-10-24 18:59 . 2010-09-01 13:51 35136 ----a-w- c:\program files\Mozilla Firefox\plugins\np_gp.dll
    2010-10-24 18:59 . 2010-10-24 18:59 -------- d-----w- c:\documents and settings\All Users\Application Data\NOS
    2010-10-24 18:59 . 2010-10-24 18:59 -------- d-----w- c:\program files\NOS
    2010-10-23 17:12 . 2010-10-23 17:12 124416 ----a-w- c:\program files\MyHosts.exe
    2010-10-23 10:52 . 2010-10-23 10:59 -------- d-----w- C:\Rapports de log désinfection
    2010-10-21 16:15 . 2010-10-22 19:17 -------- d-----w- c:\windows\ERUNT
    2010-10-21 16:04 . 2010-10-21 22:06 -------- d-----w- C:\SDFix
    2010-10-20 13:35 . 2010-10-23 12:32 -------- d-----w- c:\program files\Ad-Remover
    2010-10-20 13:34 . 2010-10-20 13:53 -------- d-----w- C:\FICHIERS DE SCANS
    2010-10-20 13:29 . 2010-10-22 22:15 -------- d-----w- C:\UsbFix
    2010-10-20 13:03 . 2010-10-21 09:04 -------- d-----w- c:\documents and settings\All Users\Application Data\moosoft
    2010-10-20 11:04 . 2010-10-23 18:32 -------- d-----w- c:\program files\ZHPDiag
    2010-10-20 08:21 . 2010-10-20 08:20 36317320 ----a-w- c:\program files\7.0.0.543e-sdsetup-Revenue(207).exe
    2010-09-29 15:27 . 2004-01-24 22:00 70656 ----a-w- c:\windows\system32\yv12vfw.dll
    2010-09-29 15:27 . 2004-01-24 22:00 70656 ----a-w- c:\windows\system32\i420vfw.dll
    2010-09-29 15:25 . 2010-09-29 15:44 -------- d-----w- c:\program files\SUPERV2010

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-08-29 13:18 . 2010-08-29 13:18 1409 ----a-w- c:\windows\QTFont.for
    2010-08-14 19:13 . 2004-08-03 22:14 360320 ----a-w- c:\windows\system32\drivers\tcpip.sys
    2010-06-05 09:00 . 2010-06-05 09:00 305664 ----a-w- c:\program files\Xtremsplit.exe
    2010-05-28 18:28 . 2010-05-28 18:28 370960 ----a-w- c:\program files\SaxoTrader_webdeploy.exe
    2010-05-15 15:35 . 2010-05-15 15:35 28110640 ----a-w- c:\program files\O2007Cnv.exe
    2010-05-15 15:34 . 2010-05-15 15:34 19954000 ----a-w- c:\program files\office2003-kb910473-fullfile-enu.exe
    2010-05-11 11:56 . 2010-05-11 11:56 2599844 ----a-w- c:\program files\SH-S223C_SB03.exe
    2010-04-25 18:30 . 2010-04-25 18:30 8412160 ----a-w- c:\program files\Firefox Setup 3.6.3.exe
    2010-04-25 09:23 . 2010-04-25 09:23 21942632 ----a-w- c:\program files\installation_ie8-xp.exe
    2010-04-14 15:50 . 2010-04-14 15:50 3376656 ----a-w- c:\program files\ccsetup230.exe
    2010-02-06 22:48 . 2010-02-06 22:48 4682976 ----a-w- c:\program files\fxpro4setup.exe
    2010-02-06 22:30 . 2010-02-06 22:30 3956696 ----a-w- c:\program files\mt4setup.exe
    2010-01-24 17:23 . 2008-05-25 11:10 3114432 ----a-w- c:\program files\SetupLCL.exe
    2009-11-09 14:41 . 2009-11-09 14:41 539136 ----a-w- c:\program files\ArchiFacile.exe
    2009-10-16 09:32 . 2009-10-16 09:28 23510720 ----a-w- c:\program files\dotnetfx.exe
    2009-09-24 14:57 . 2009-09-24 14:56 3816080 ----a-w- c:\program files\rcsetup130.exe
    2009-09-18 15:34 . 2009-09-18 15:34 3054408 ----a-w- c:\program files\idm_fr.exe
    2009-09-17 07:45 . 2009-09-17 07:44 8124808 ----a-w- c:\program files\Firefox Setup 3.5.3.exe
    2009-09-08 19:25 . 2009-09-08 19:25 8881515 ----a-w- c:\program files\qtsetup.exe
    2009-09-05 09:29 . 2009-09-05 09:29 764089 ----a-w- c:\program files\gci-demo_trader_setup.exe
    2009-08-28 15:45 . 2009-08-28 15:45 72192 ----a-w- c:\program files\tasklist.exe
    2009-08-22 19:07 . 2009-08-22 19:07 19796209 ----a-w- c:\program files\motherboard_driver_chipset_nvidia_mcp65_xp.exe
    2009-08-22 14:30 . 2009-08-22 14:30 1245304 ----a-w- c:\program files\Google Updater.exe
    2009-08-22 11:58 . 2009-08-22 11:58 111403600 ----a-w- c:\program files\190.38_desktop_winxp_32bit_international_whql.exe
    2009-08-12 15:52 . 2009-08-12 15:52 15509560 ----a-w- c:\program files\launch.exe
    2009-08-11 06:51 . 2009-08-12 19:38 119808 ----a-w- c:\program files\VundoFix.exe
    2009-03-08 17:26 . 2009-03-08 17:26 3216548 ----a-w- c:\program files\pixia33b.exe
    2009-03-08 17:13 . 2009-03-08 17:13 1665837 ----a-w- c:\program files\pf-setup.exe
    2009-02-19 17:27 . 2009-02-19 17:27 7620336 ----a-w- c:\program files\Firefox Setup 3[1].0.6.exe
    2008-09-07 22:14 . 2008-09-07 22:14 528345264 ----a-w- c:\program files\trackmania_nations_forever_jeu_complet_multi-langues_240580.exe
    2008-08-01 13:22 . 2008-08-01 13:22 1271557 ----a-w- c:\program files\wrar371fr.exe
    2008-07-24 21:36 . 2008-07-24 21:36 11879728 ----a-w- c:\program files\dbg_x86_6.4.7.2.exe
    2005-08-25 12:04 . 2008-08-01 12:26 50200549 ----a-w- c:\program files\Patch_Phase2_105_JeuxVideo.com_10655.exe
    2006-05-03 09:06 163328 --sh--r- c:\windows\system32\flvDX.dll
    2007-02-21 10:47 31232 --sh--r- c:\windows\system32\msfDX.dll
    2008-03-16 12:30 216064 --sh--r- c:\windows\system32\nbDX.dll
    .

    ------- Sigcheck -------

    [-] 2008-04-14 . DD73D6B9F6B4CB630CF35B438B540174 . 512000 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\327771f7f3830b5acec68906a2aac4ab\winlogon.exe
    [-] 2008-04-14 . DD73D6B9F6B4CB630CF35B438B540174 . 512000 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\winlogon.exe
    [-] 2004-08-03 . 5E957A8963AE9ADCC6C841145DB7CB21 . 506368 . . [5.1.2600.2180] . . c:\windows\system32\winlogon.exe

    [-] 2008-04-14 . F2317622D29F9FF0F88AEECD5F60F0DD . 1037824 . . [6.00.2900.5512] . . c:\windows\SoftwareDistribution\Download\327771f7f3830b5acec68906a2aac4ab\explorer.exe
    [-] 2008-04-14 . F2317622D29F9FF0F88AEECD5F60F0DD . 1037824 . . [6.00.2900.5512] . . c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\explorer.exe
    [-] 2007-06-13 . 7A766039456A42CA156BD86837492117 . 1037312 . . [6.00.2900.3156] . . c:\windows\explorer.exe
    [7] 2007-06-13 . B795475444D6D57A572C14B9E1A29839 . 1037312 . . [6.00.2900.3156] . . c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe
    [7] 2004-08-03 . 4C33E5B9A6197B6ED215F6CFBA0A2DAA . 1036288 . . [6.00.2900.2180] . . c:\windows\$NtUninstallKB938828$\explorer.exe
    .
    ((((((((((((((((((((((((((((( SnapShot@2010-10-23_10.27.00 )))))))))))))))))))))))))))))))))))))))))
    .
    + 2010-10-25 20:32 . 2010-10-25 20:32 16384 c:\windows\Temp\Perflib_Perfdata_520.dat
    + 2010-10-25 15:18 . 2010-10-25 15:18 16384 c:\windows\Temp\Perflib_Perfdata_16c.dat
    + 2010-10-10 10:04 . 2009-05-26 11:40 18296 c:\windows\system32\spmsg.dll
    + 2010-10-24 18:59 . 2010-10-24 18:59 232912 c:\windows\system32\Macromed\Flash\FlashUtil10k_ActiveX.exe
    + 2010-10-24 18:59 . 2010-10-24 18:59 311760 c:\windows\system32\Macromed\Flash\FlashUtil10k_ActiveX.dll
    + 2010-10-24 20:14 . 2009-08-13 13:56 1748992 c:\windows\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.6001.22319_x-ww_f0b4c2df\GdiPlus.dll
    - 2010-08-03 22:32 . 2009-08-13 13:56 1748992 c:\windows\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.6001.22319_x-ww_f0b4c2df\GdiPlus.dll
    + 2010-08-03 22:32 . 2009-08-13 13:56 1748992 c:\windows\WinSxS\InstallTemp\20447086\GdiPlus.dll
    + 2010-10-24 19:06 . 2010-10-24 19:06 3970048 c:\windows\Installer\2256f1a.msi
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "tcactive"="c:\program files\The Cleaner\tcap.exe" [2010-03-29 2951680]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
    "RTHDCPL"="RTHDCPL.EXE" [2007-09-03 16841216]
    "ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2010-06-23 1043968]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-07-14 13877248]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
    "Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSIServer]
    @="Service"

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]
    path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk
    backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^LUMIX Simple Viewer.lnk]

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^WinZip Quick Pick.lnk]

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
    2010-09-20 21:07 932288 ----a-r- c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DT PHL]
    2007-07-27 17:26 292352 ----a-w- c:\program files\Philips Display\SmartControl II\dthtml.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
    2009-10-31 10:52 135664 ----atw- c:\documents and settings\jmb\Local Settings\Application Data\Google\Update\GoogleUpdate.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
    2007-05-08 14:24 54840 ----a-w- c:\program files\HP\HP Software Update\hpwuSchd2.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
    2001-07-09 10:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
    2009-10-11 03:17 149280 ----a-w- c:\program files\Java\jre6\bin\jusched.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
    "a2free"=2 (0x2)
    "a2AntiMalware"=2 (0x2)

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
    "CTFMON.EXE"=c:\windows\system32\ctfmon.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
    "RTHDCPL"=RTHDCPL.EXE
    "NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
    "ORAHSSSessionManager"="c:\program files\OrangeHSS\SessionManager\SessionManager.exe"
    "StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
    "nwiz"=c:\program files\NVIDIA Corporation\nView\nwiz.exe /install
    "amd_dc_opt"="c:\program files\AMD\Dual-Core Optimizer\amd_dc_opt.exe"
    "QuickTime Task"="c:\program files\QuickTime\qttask.exe" -atboottime
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\WINDOWS\\system32\\PnkBstrA.exe"=
    "c:\\WINDOWS\\system32\\PnkBstrB.exe"=
    "c:\\Program Files\\OrangeHSS\\Connectivity\\ConnectivityManager.exe"=
    "c:\\Program Files\\uTorrent\\uTorrent.exe"=
    "c:\\Program Files\\Java\\jre6\\bin\\javaw.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqcopy2.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfcCopy.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqusgm.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqusgh.exe"=
    "c:\\Program Files\\HP\\HP Software Update\\HPWUCli.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\smart web printing\\SmartWebPrintExe.exe"=
    "c:\\WINDOWS\\system32\\ZoneLabs\\vsmon.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

    R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [17/05/2010 18:29 28552]
    R2 AASW2_Service;Ashampoo AntiSpyWare 2 Service;c:\program files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWareService.exe [26/07/2010 18:15 749912]
    R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [05/03/2010 18:57 108289]
    R2 OPTENET_FILTER;Control Parental;c:\program files\Controle Parental\bin\optproxy.exe [21/03/2008 19:30 564400]
    S0 qeivlxf;qeivlxf;c:\windows\system32\drivers\llexjl.sys --> c:\windows\system32\drivers\llexjl.sys [?]
    S0 sptd;sptd;c:\windows\system32\Drivers\sptd.sys --> c:\windows\system32\Drivers\sptd.sys [?]
    S2 gupdate1ca2335a43ff818;Service Google Update (gupdate1ca2335a43ff818);c:\program files\Google\Update\GoogleUpdate.exe [22/08/2009 16:34 133104]
    S2 IKANLOADER2;General Purpose USB Driver (e4ldr.sys);c:\windows\system32\drivers\e4ldr.sys [21/03/2008 19:34 63555]
    S3 e4usbaw;USB ADSL2 WAN Adapter;c:\windows\system32\drivers\e4usbaw.sys [21/03/2008 19:34 114616]
    S3 gUSBSTOi;gUSBSTOi;\??\c:\docume~1\jmb\LOCALS~1\Temp\gUSBSTOi.sys --> c:\docume~1\jmb\LOCALS~1\Temp\gUSBSTOi.sys [?]
    S3 nosGetPlusHelper;getPlus(R) Helper 3004;c:\windows\System32\svchost.exe -k nosGetPlusHelper [04/08/2004 01:55 14336]
    S3 WDC_SAM;WD SCSI Pass Thru driver;c:\windows\system32\drivers\wdcsam.sys [29/07/2010 18:30 11520]
    S4 a2AntiMalware;a-squared Anti-Malware Service; [x]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
    hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
    nosGetPlusHelper REG_MULTI_SZ nosGetPlusHelper

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    UxTuneUp
    .
    Contenu du dossier 'Tâches planifiées'

    2010-10-19 c:\windows\Tasks\AppleSoftwareUpdate.job
    - c:\program files\Apple Software Update\SoftwareUpdate.exe [2006-08-29 13:21]

    2010-10-25 c:\windows\Tasks\Google Software Updater.job
    - c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-08-22 14:30]

    2010-10-25 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2009-08-22 14:33]

    2010-10-25 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2009-08-22 14:33]

    2010-10-24 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-515967899-606747145-725345543-1003Core.job
    - c:\documents and settings\jmb\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-02-18 10:52]

    2010-10-25 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-515967899-606747145-725345543-1003UA.job
    - c:\documents and settings\jmb\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-02-18 10:52]

    2010-10-25 c:\windows\Tasks\Restauration du système.job
    - c:\windows\system32\Restore\rstrui.exe [2008-03-21 23:55]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.fr/
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    LSP: c:\program files\Controle Parental\bin\lsp.dll
    Trusted Zone: mappy.com
    Trusted Zone: orange.fr
    Trusted Zone: voila.fr\rw.search.ke
    Trusted Zone: weborama.fr\orange
    FF - ProfilePath - c:\documents and settings\jmb\Application Data\Mozilla\Firefox\Profiles\p36gnafs.default\
    FF - prefs.js: browser.search.selectedEngine - Yahoo
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
    FF - prefs.js: keyword.URL - hxxp://www.yougoo.fr/renseignement?search&q=
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    MSConfigStartUp-Adobe Reader Speed Launcher - c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe



    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-10-25 22:33
    Windows 5.1.2600 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{156bbe90-f5e5-4c5c-a163-a9aa6149a43c}]
    @Denied: (Full) (Everyone)
    "Model"=dword:00000120
    "Therad"=dword:0000001d

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}]
    @Denied: (Full) (Everyone)
    "scansk"=hex(0):e1,33,d5,ab,09,6c,fc,46,c3,d9,dc,47,07,e7,0c,63,f2,3e,48,c3,8e,
    09,cd,08,ed,da,c2,09,14,cd,6a,6b,f2,4f,84,83,f9,81,c6,b0,00,00,00,00,00,00,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
    @DACL=(02 0010)
    @Denied: (A 2) (Everyone)
    @="FlashBroker"
    "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101"

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
    @DACL=(02 0010)
    "Enabled"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
    @DACL=(02 0010)
    @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe"

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
    @DACL=(02 0010)
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
    @DACL=(02 0010)
    @Denied: (A 2) (Everyone)
    @="IFlashBroker4"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
    @DACL=(02 0010)
    @="{00020424-0000-0000-C000-000000000046}"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
    @DACL=(02 0010)
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    "Version"="1.0"
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'explorer.exe'(3832)
    c:\windows\system32\webcheck.dll
    c:\windows\system32\WPDShServiceObj.dll
    c:\program files\ArcSoft\Software Suite\PhotoImpression\share\pihook.dll
    c:\windows\system32\PortableDeviceTypes.dll
    c:\windows\system32\PortableDeviceApi.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\windows\system32\nvsvc32.exe
    c:\program files\Avira\AntiVir Desktop\avguard.exe
    c:\program files\Fichiers communs\Portrait Displays\Shared\DTSRVC.exe
    c:\windows\RTHDCPL.EXE
    c:\program files\Java\jre6\bin\jqs.exe
    c:\windows\system32\PnkBstrA.exe
    c:\windows\system32\wbem\wmiapsrv.exe
    c:\windows\system32\wscntfy.exe
    .
    **************************************************************************
    .
    Heure de fin: 2010-10-25 22:36:15 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-10-25 20:36
    ComboFix2.txt 2010-10-23 10:32

    Avant-CF: 48 855 191 552 octets libres
    Après-CF: 48 991 670 272 octets libres

    Current=1 Default=1 Failed=0 LastKnownGood=5 Sets=1,2,3,4,5
    - - End Of File - - B64F56CC5A33D4AC82F1A96E66EA5B5D
    26 Octobre 2010 12:40:41

    Après combofix, j'ai toujours les mêmes symptomes:

    redirection vers gomeo en tapant une recherche google.
    Apparition de fenêtre windows security alert
    détection par antivir: winlogon.exe et sever hlp.dat infecté.

    Par contre je n'ai plus la fenêtre thinkpoint!
    26 Octobre 2010 19:33:39

    Curieux,
    ce soir, la redirection serait réparée sur internet explorer mas pas sur les autres navigateurs.
    En effet, un cadre bleu entoure mes recherches internet et lorsque je clique sur le site voulu, j'ai bien l'affichage du site!!?
    26 Octobre 2010 23:34:12

    bonsoir
    nous n'avons pas terminé...

    Télécharge OTLPENet.
    Prépare un CD vierge et lance OTLPENet, cela va te permettre de graver une image iso.
    Tu mets le cd de côté et tu continues avec combofix.


    ++++++++++++

    Citation :
    détection par antivir: winlogon.exe et sever hlp.dat infecté.

    Je ne trouve pas hlp.dat, on le virera avec OTLPEnet...

    ++++++++++++++++++++++++++++++++

    1

    Copie (Ctrl+C) le texte ci-dessous :

    Driver::
    qeivlxf
    gUSBSTOi
    nosGetPlusHelper

    FCopy::
    c:\windows\SoftwareDistribution\Download\327771f7f3830b5acec68906a2aac4ab\winlogon.exe | c:\windows\system32\winlogon.exe
    File::
    c:\docume~1\jmb\LOCALS~1\Temp\gUSBSTOi.sys

    Registry::
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    "qeivlxf"=-
    "nosGetPlusHelper"=-



    Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu viens de copier.
    Sauvegarde ce fichier sous le nom de CFScript.txt

    Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture


  • Combofix se lance, laisse toi guider..

  • Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis

  • Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

    AIDE : Un guide et un tutoriel sur l'utilisation de ComboFix
    * le nom de la partition peut changer


    2
    Déroule la procédure avec OTLPENET et poste le rapport
    27 Octobre 2010 00:27:55

    Bonsoir et merci de ta réponse.
    Je me pose juste une petite question.
    Si le problème vient du fichier winlogon.exe et que combofix le supprime, le PC vas t'il malfonctionné?
    Et comment ce fichier sera restauré?
    Je vais faire les manips au plus vite.
    Cordialement.
    27 Octobre 2010 00:44:31

    Citation :
    Si le problème vient du fichier winlogon.exe et que combofix le supprime, le PC vas t'il malfonctionné?
    Et comment ce fichier sera restauré?


    Tu as raison, c'est bien que tu te poses des questions. :) 
    Le souci vient bien de winlogon, même s'il y a d'autre niarks que l'on vire au passage.
    après, si tu lis:

    1- je te fais télécharger OTLPE
    2- je tente un remplacement de winlogon avec Combofix (via Fcopy:: )
    3- On passe à OTLPEnet

    du coup, si le replace de winlogon via Combofix ne marche pas, on le fera avec OTLPEnet.. ;O)
    27 Octobre 2010 00:46:48

    Merci pour la réponse, c'est juste pour comprendre "un peu" ce que je vais faire.
    Je vais m'en occuper demain!
    2 Novembre 2010 16:56:12

    Me revoilà!!
    petits prob perso!
    J'ai fait CFScript avec combofix.
    Windows m'a demandé de restaurer des fichiers modifiés avec le CD XP; je ne l'a pas fait!!??
    http://www.cijoint.fr/cjlink.php?file=cj201011/cijwgDZi...

    La redirection parait éradiquée!
    je vais faire un redémarrage et te tiens au courant.
    2 Novembre 2010 17:32:23

    Après redémarrage , la redirection est réapparue!!
    je vais donc faire la solution OTLPE!!
    2 Novembre 2010 18:28:18

    re
    bah c'est pour ça que je disais qu'on allait le faire avec OTLPE... là je ne vois pas tout et Combofix couine encore des sigcheck:
    Citation :
    ------- Sigcheck -------

    [-] 2008-04-14 . DD73D6B9F6B4CB630CF35B438B540174 . 512000 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\327771f7f3830b5acec68906a2aac4ab\winlogon.exe
    [-] 2008-04-14 . DD73D6B9F6B4CB630CF35B438B540174 . 512000 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\winlogon.exe
    [-] 2008-04-14 . C1DDDFFB920BB813388765B41B66C929 . 512000 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe

    [-] 2008-04-14 . F2317622D29F9FF0F88AEECD5F60F0DD . 1037824 . . [6.00.2900.5512] . . c:\windows\SoftwareDistribution\Download\327771f7f3830b5acec68906a2aac4ab\explorer.exe
    [-] 2008-04-14 . F2317622D29F9FF0F88AEECD5F60F0DD . 1037824 . . [6.00.2900.5512] . . c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\explorer.exe
    [-] 2007-06-13 . 7A9563E3374153F823F4FCD3310C025B . 1037312 . . [6.00.2900.3156] . . c:\windows\explorer.exe
    [7] 2007-06-13 . B795475444D6D57A572C14B9E1A29839 . 1037312 . . [6.00.2900.3156] . . c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe
    [7] 2004-08-03 . 4C33E5B9A6197B6ED215F6CFBA0A2DAA . 1036288 . . [6.00.2900.2180] . . c:\windows\$NtUninstallKB938828$\explorer.exe


    C'est encore tout pourri :o 
    3 Novembre 2010 20:50:06

    J'ai rebooté avec le disque iso OTLPENET mais j'ai un écran tout bleu sans icônes!
    3 Novembre 2010 21:53:54

    re
    quelle guigne! :o 


    t'es sûr que tu as bien gravé l'iso?

    essaye le cd sur un autre pc pour voir si c'est la gravure qui a foiré...
    s'il ne marche toujours pas, tu peux le faire de manière alternative comme suit:

    En récupérant direct une iso sur un de ces deux liens:


    http://www.multifa7.be/SkyTech/OTLPE_New_Net.iso

    ou

    http://mesdonnees.orange.fr/DBweb/indexGuest_fr.html?co...


    » utilise ton utilitaire de gravure pour graver l'image , il faut utiliser l'option fichier\ graver iso \ graver image, ça peut etre different en fonction des utilitaires de gravures , mais le principe reste le meme.Ne pas graver comme disk de données /!\


     telecharge et dezippe BurnCDCC.zip : http://www.sendspace.com/file/7a5tzr

     Avec l'onglet "browse", sélectionne OTLPE_New_Net.iso

     coche alors "read verify" , "Finalyze" et "autoeject"

     déplace sous speed le curseur pour le mettre à 32X , insere un cd vierge et clic start


    http://imagesup.org/images6/1274882337-sans-titre.jpg

    ou bien exemple Nero:


    http://imagesup.org/images6/1271317310-nero0.jpg


    http://imagesup.org/images6/1271317368-nero1.jpg

    cliquer ouvrir pour demarrer la gravure
    4 Novembre 2010 22:49:14

    cool

    vu les tools que tu as utilisé sans moi, je suis presque sûr que tu t'es fait désinfecter ailleurs...
    Tu te débrouilleras pour faire le ménage après car je ne le ferai pas pour toi. :D 


    Démarre OTLPENet à partir du CD comme tu viens de le faire.
    Copie le fichier Fix.txt sur ta clé USB.

    http://www.sendspace.com/file/qrjznv



  • Insère ta clé USB avec le fichier Fix.txt dans ton PC
  • Démarre OTLPE
  • Fais un glisser/déposer du fichier Fix.txt dans la boîte de dialogue Custom scans and fixes.



  • Si cela ne marche pas, clique sur Run Fix et une boîte de dialogue s'ouvrira pour te demander de selectionner un endroit, déroule jusqu'au fichier Fix.txt qui est sur ta clé USB.
  • Puis clique sur Run Fix
  • Laisse l'outil travailler.
  • Une fois terminé, le rapport de suppression est sauvegardé sur ton disque dur C:\_OTL\ sous la forme date_heure.txt


    ++++++
    Télécharge SystemLook à partir d'un des liens ci dessous sur ton Bureau.
    http://jpshortstuff.247fixes.com/SystemLook.exe

    * Double-click SystemLook.exe pour le lancer.
    * Clic droit/copier le contenu du cadre ci dessous ,et clic droit/coller dans le cadre blanc de SystemLook:


    :filefind
    explorer.exe
    winlogon.exe


    * Click le bouton Look pour commencer le scan.
    * Laisse l'outil travailler, cela peut prendre quelques minutes.
    * Copie-colle dans ta prochaine réponse le rapport\contenu du fichier texte qui s'affiche

    Note: Le rapport peut aussi être trouvé sur ton Bureau nommé SystemLook.txt


    4 Novembre 2010 23:05:55

    j ai juste fait 1 essai avec AD-R hier < pas marche>
    voici le rapport
    ========== OTL ==========
    Registry value HKEY_USERS\jmb_ON_C\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\\{EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107}\ not found.
    Registry value HKEY_USERS\jmb_ON_C\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107}\ not found.
    Registry value HKEY_USERS\jmb_ON_C\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{EF99BD32-C1FB-11D2-892F-0090271D4F88} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}\ not found.
    ========== FILES ==========
    File C:\WINDOWS\explorer.exe successfully replaced with C:\WINDOWS\SoftwareDistribution\Download\327771f7f3830b5acec68906a2aac4ab\explorer.exe
    ========== REGISTRY ==========
    HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon\\"Shell"|"explorer.exe" /E : value set successfully!
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: Administrateur
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: Administrateur.MAX1
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: All Users

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 67 bytes
    ->Flash cache emptied: 56545 bytes

    User: jmb
    ->Temp folder emptied: 987631 bytes
    ->Temporary Internet Files folder emptied: 25432428 bytes
    ->Java cache emptied: 0 bytes
    ->FireFox cache emptied: 44431462 bytes
    ->Google Chrome cache emptied: 216462502 bytes
    ->Flash cache emptied: 670 bytes

    User: LocalService
    ->Temp folder emptied: 66016 bytes
    ->Temporary Internet Files folder emptied: 32902 bytes

    User: NetworkService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 631119 bytes

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 6344811 bytes
    %systemroot%\System32 .tmp files removed: 1263104 bytes
    %systemroot%\System32\dllcache .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 7338 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes

    Total Files Cleaned = 282.00 mb


    OTLPE by OldTimer - Version 3.1.40.0 log created on 11042010_235820
    4 Novembre 2010 23:14:12

    dois-je utiliser systemlook sur OTLPENET cqr il ne fonctionne pas <
    4 Novembre 2010 23:27:22

    pour completer j ai le message
    the application configuration is incorrect
    4 Novembre 2010 23:36:40

    re
    pour systemlook, tu le fais sous xp... (mais après avoir fait ce qui suit.)


    j'avais edité mon script otlpe mais tu as fait la manip entre temps...
    donc fais celui ci aussi:


    édition, voir ci-dessous
    4 Novembre 2010 23:44:38

    voici le rapport systemlook:
    SystemLook 04.09.10 by jpshortstuff
    Log created at 00:37 on 05/11/2010 by jmb
    Administrator - Elevation successful

    ========== filefind ==========

    Searching for "explorer.exe "
    C:\WINDOWS\explorer.exe --a---- 1037824 bytes [23:54 03/08/2004] [02:34 14/04/2008] 579412766F22619CAE254126786C5EF0
    C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe --a---- 1037312 bytes [13:10 13/06/2007] [13:10 13/06/2007] B795475444D6D57A572C14B9E1A29839
    C:\WINDOWS\$NtUninstallKB938828$\explorer.exe -----c- 1036288 bytes [22:43 09/08/2010] [23:54 03/08/2004] 4C33E5B9A6197B6ED215F6CFBA0A2DAA
    C:\WINDOWS\SoftwareDistribution\Download\327771f7f3830b5acec68906a2aac4ab\explorer.exe --a---- 1037824 bytes [20:43 08/08/2010] [02:34 14/04/2008] F2317622D29F9FF0F88AEECD5F60F0DD
    C:\WINDOWS\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\explorer.exe --a---- 1037824 bytes [02:34 14/04/2008] [02:34 14/04/2008] F2317622D29F9FF0F88AEECD5F60F0DD

    Searching for "winlogon.exe"
    C:\WINDOWS\SoftwareDistribution\Download\327771f7f3830b5acec68906a2aac4ab\winlogon.exe ------- 512000 bytes [20:42 08/08/2010] [02:34 14/04/2008] DD73D6B9F6B4CB630CF35B438B540174
    C:\WINDOWS\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\winlogon.exe --a---- 512000 bytes [02:34 14/04/2008] [02:34 14/04/2008] DD73D6B9F6B4CB630CF35B438B540174
    C:\WINDOWS\system32\winlogon.exe --a---- 512000 bytes [23:55 03/08/2004] [02:34 14/04/2008] C1DDDFFB920BB813388765B41B66C929

    -= EOF =-
    Je ferais la deuxème partie OTLPENET demain!
    Merci en tous cas!
    Bonne nuit!
    4 Novembre 2010 23:46:14

    Tant pis!! je recommencerais systemlook demain aussi! car j'avais pas vu le "après"
    5 Novembre 2010 00:13:29

    je le sens pas car apparemment, explorer s'est repatched aussi sec... à mon avis, il fallait faire les replacements de winlogon et explorer en même temps, sinon, on tourne en rond...

    le mieux serait de refaire un script avec OTLPE comme ça, on replace winlogon et explorer en même temps...





    Démarre OTLPENet à partir du CD comme tu viens de le faire.
    Copie le fichier Fix.txt sur ta clé USB.
    http://www.sendspace.com/file/49ripx



  • Insère ta clé USB avec le fichier Fix.txt dans ton PC
  • Démarre OTLPE
  • Fais un glisser/déposer du fichier Fix.txt dans la boîte de dialogue Custom scans and fixes.



  • Si cela ne marche pas, clique sur Run Fix et une boîte de dialogue s'ouvrira pour te demander de selectionner un endroit, déroule jusqu'au fichier Fix.txt qui est sur ta clé USB.
  • Puis clique sur Run Fix
  • Laisse l'outil travailler.
  • Une fois terminé, le rapport de suppression est sauvegardé sur ton disque dur C:\_OTL\ sous la forme date_heure.txt

    5 Novembre 2010 08:03:48

    Est-ce que je dois utiliser systemlook juste après OTLPENET comme la première fois?
    Merci.
    5 Novembre 2010 18:05:33

    VOILA LE RAPPORT
    ========== FILES ==========
    File C:\WINDOWS\explorer.exe successfully replaced with C:\WINDOWS\SoftwareDistribution\Download\327771f7f3830b5acec68906a2aac4ab\explorer.exe
    File C:\WINDOWS\system32\winlogon.exe successfully replaced with C:\WINDOWS\SoftwareDistribution\Download\327771f7f3830b5acec68906a2aac4ab\winlogon.exe
    File C:\WINDOWS\system32\dllcache\explorer.exe successfully replaced with C:\WINDOWS\SoftwareDistribution\Download\327771f7f3830b5acec68906a2aac4ab\explorer.exe
    ========== REGISTRY ==========
    HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon\\"Shell"|"explorer.exe" /E : value set successfully!
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: Administrateur
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: Administrateur.MAX1
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: All Users

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 0 bytes

    User: jmb
    ->Temp folder emptied: 687581 bytes
    ->Temporary Internet Files folder emptied: 2687300 bytes
    ->Java cache emptied: 0 bytes
    ->FireFox cache emptied: 0 bytes
    ->Google Chrome cache emptied: 0 bytes
    ->Flash cache emptied: 456 bytes

    User: LocalService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: NetworkService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32\dllcache .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 1058029 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes

    Total Files Cleaned = 4.00 mb


    OTLPE by OldTimer - Version 3.1.40.0 log created on 11052010_200239
    5 Novembre 2010 22:01:26

    'soir
    refais une routine combofix, on va voir s'il couine au niveaux des sigchek...

    Double-clic sur ComboFix, Il va te poser une question, suis les invites puis attends que combofix ait terminé, il est possible que ton PC reboot, c’est normal, un rapport sera créé.Poste le rapport:C:\Combofix.txt
    clique dessus pour l'ouvrir, puis édition "sélectionner tout", édition "copier"

    viens sur le forum et édition "coller"

    5 Novembre 2010 22:37:17

    Bonsoir!
    voilà le rapport combofix:
    ComboFix 10-11-05.05 - jmb 05/11/2010 22:21:06.6.2 - x86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.3582.2693 [GMT 1:00]
    Lancé depuis: c:\documents and settings\jmb\Bureau\Combo-Fix.exe
    AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
    FW: ZoneAlarm Firewall *enabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
    .

    ((((((((((((((((((((((((((((( Fichiers créés du 2010-10-05 au 2010-11-05 ))))))))))))))))))))))))))))))))))))
    .

    2010-11-06 00:02 . 2008-04-14 02:34 1037824 -c--a-w- c:\windows\system32\dllcache\explorer.exe
    2010-11-05 03:58 . 2010-11-05 03:58 -------- d-----w- C:\_OTL
    2010-11-05 02:42 . 2010-11-05 02:42 -------- d-s---w- c:\documents and settings\Administrateur.MAX1\IETldCache
    2010-10-27 19:36 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-10-27 19:36 . 2010-10-27 19:36 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-10-27 19:36 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-10-26 22:18 . 2010-10-25 14:31 127353979 ----a-w- c:\program files\OTLPENet.exe
    2010-10-24 18:59 . 2010-09-01 13:51 35136 ----a-w- c:\program files\Mozilla Firefox\plugins\np_gp.dll
    2010-10-24 18:59 . 2010-10-28 18:12 -------- d-----w- c:\documents and settings\All Users\Application Data\NOS
    2010-10-24 18:59 . 2010-10-24 18:59 -------- d-----w- c:\program files\NOS
    2010-10-23 17:12 . 2010-10-23 17:12 124416 ----a-w- c:\program files\MyHosts.exe
    2010-10-23 10:52 . 2010-10-23 10:59 -------- d-----w- C:\Rapports de log désinfection
    2010-10-21 16:15 . 2010-10-22 19:17 -------- d-----w- c:\windows\ERUNT
    2010-10-21 16:04 . 2010-10-21 22:06 -------- d-----w- C:\SDFix
    2010-10-20 13:35 . 2010-10-23 12:32 -------- d-----w- c:\program files\Ad-Remover
    2010-10-20 13:34 . 2010-10-20 13:53 -------- d-----w- C:\FICHIERS DE SCANS
    2010-10-20 13:29 . 2010-10-22 22:15 -------- d-----w- C:\UsbFix
    2010-10-20 13:03 . 2010-10-21 09:04 -------- d-----w- c:\documents and settings\All Users\Application Data\moosoft
    2010-10-20 11:04 . 2010-10-23 18:32 -------- d-----w- c:\program files\ZHPDiag
    2010-10-20 08:21 . 2010-10-20 08:20 36317320 ----a-w- c:\program files\7.0.0.543e-sdsetup-Revenue(207).exe

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-08-14 19:13 . 2004-08-03 22:14 360320 ----a-w- c:\windows\system32\drivers\tcpip.sys
    2010-05-28 18:28 . 2010-05-28 18:28 370960 ----a-w- c:\program files\SaxoTrader_webdeploy.exe
    2010-05-15 15:35 . 2010-05-15 15:35 28110640 ----a-w- c:\program files\O2007Cnv.exe
    2010-05-15 15:34 . 2010-05-15 15:34 19954000 ----a-w- c:\program files\office2003-kb910473-fullfile-enu.exe
    2010-05-11 11:56 . 2010-05-11 11:56 2599844 ----a-w- c:\program files\SH-S223C_SB03.exe
    2010-04-25 18:30 . 2010-04-25 18:30 8412160 ----a-w- c:\program files\Firefox Setup 3.6.3.exe
    2010-04-25 09:23 . 2010-04-25 09:23 21942632 ----a-w- c:\program files\installation_ie8-xp.exe
    2010-04-14 15:50 . 2010-04-14 15:50 3376656 ----a-w- c:\program files\ccsetup230.exe
    2010-02-06 22:48 . 2010-02-06 22:48 4682976 ----a-w- c:\program files\fxpro4setup.exe
    2010-02-06 22:30 . 2010-02-06 22:30 3956696 ----a-w- c:\program files\mt4setup.exe
    2010-01-24 17:23 . 2008-05-25 11:10 3114432 ----a-w- c:\program files\SetupLCL.exe
    2009-11-09 14:41 . 2009-11-09 14:41 539136 ----a-w- c:\program files\ArchiFacile.exe
    2009-10-16 09:32 . 2009-10-16 09:28 23510720 ----a-w- c:\program files\dotnetfx.exe
    2009-09-24 14:57 . 2009-09-24 14:56 3816080 ----a-w- c:\program files\rcsetup130.exe
    2009-09-18 15:34 . 2009-09-18 15:34 3054408 ----a-w- c:\program files\idm_fr.exe
    2009-09-17 07:45 . 2009-09-17 07:44 8124808 ----a-w- c:\program files\Firefox Setup 3.5.3.exe
    2009-09-08 19:25 . 2009-09-08 19:25 8881515 ----a-w- c:\program files\qtsetup.exe
    2009-09-05 09:29 . 2009-09-05 09:29 764089 ----a-w- c:\program files\gci-demo_trader_setup.exe
    2009-08-28 15:45 . 2009-08-28 15:45 72192 ----a-w- c:\program files\tasklist.exe
    2009-08-22 19:07 . 2009-08-22 19:07 19796209 ----a-w- c:\program files\motherboard_driver_chipset_nvidia_mcp65_xp.exe
    2009-08-22 14:30 . 2009-08-22 14:30 1245304 ----a-w- c:\program files\Google Updater.exe
    2009-08-22 11:58 . 2009-08-22 11:58 111403600 ----a-w- c:\program files\190.38_desktop_winxp_32bit_international_whql.exe
    2009-08-12 15:52 . 2009-08-12 15:52 15509560 ----a-w- c:\program files\launch.exe
    2009-08-11 06:51 . 2009-08-12 19:38 119808 ----a-w- c:\program files\VundoFix.exe
    2009-03-08 17:26 . 2009-03-08 17:26 3216548 ----a-w- c:\program files\pixia33b.exe
    2009-03-08 17:13 . 2009-03-08 17:13 1665837 ----a-w- c:\program files\pf-setup.exe
    2009-02-19 17:27 . 2009-02-19 17:27 7620336 ----a-w- c:\program files\Firefox Setup 3[1].0.6.exe
    2008-12-21 12:36 . 2008-12-21 12:36 15689006 ----a-w- c:\program files\klcodec434f.exe
    2008-09-07 22:14 . 2008-09-07 22:14 528345264 ----a-w- c:\program files\trackmania_nations_forever_jeu_complet_multi-langues_240580.exe
    2008-08-01 13:22 . 2008-08-01 13:22 1271557 ----a-w- c:\program files\wrar371fr.exe
    2008-07-24 21:36 . 2008-07-24 21:36 11879728 ----a-w- c:\program files\dbg_x86_6.4.7.2.exe
    2005-08-25 12:04 . 2008-08-01 12:26 50200549 ----a-w- c:\program files\Patch_Phase2_105_JeuxVideo.com_10655.exe
    2006-05-03 09:06 163328 --sh--r- c:\windows\system32\flvDX.dll
    2007-02-21 10:47 31232 --sh--r- c:\windows\system32\msfDX.dll
    2008-03-16 12:30 216064 --sh--r- c:\windows\system32\nbDX.dll
    .

    ------- Sigcheck -------

    [-] 2008-04-14 . DD73D6B9F6B4CB630CF35B438B540174 . 512000 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\327771f7f3830b5acec68906a2aac4ab\winlogon.exe
    [-] 2008-04-14 . DD73D6B9F6B4CB630CF35B438B540174 . 512000 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\winlogon.exe
    [-] 2008-04-14 . DD73D6B9F6B4CB630CF35B438B540174 . 512000 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe

    [-] 2008-04-14 . F2317622D29F9FF0F88AEECD5F60F0DD . 1037824 . . [6.00.2900.5512] . . c:\windows\explorer.exe
    [-] 2008-04-14 . F2317622D29F9FF0F88AEECD5F60F0DD . 1037824 . . [6.00.2900.5512] . . c:\windows\SoftwareDistribution\Download\327771f7f3830b5acec68906a2aac4ab\explorer.exe
    [-] 2008-04-14 . F2317622D29F9FF0F88AEECD5F60F0DD . 1037824 . . [6.00.2900.5512] . . c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\explorer.exe
    [-] 2008-04-14 . F2317622D29F9FF0F88AEECD5F60F0DD . 1037824 . . [6.00.2900.5512] . . c:\windows\system32\dllcache\explorer.exe
    [7] 2007-06-13 . B795475444D6D57A572C14B9E1A29839 . 1037312 . . [6.00.2900.3156] . . c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe
    [7] 2004-08-03 . 4C33E5B9A6197B6ED215F6CFBA0A2DAA . 1036288 . . [6.00.2900.2180] . . c:\windows\$NtUninstallKB938828$\explorer.exe
    .
    ((((((((((((((((((((((((((((( SnapShot@2010-10-23_10.27.00 )))))))))))))))))))))))))))))))))))))))))
    .
    + 2010-11-05 21:22 . 2010-11-05 21:22 16384 c:\windows\Temp\Perflib_Perfdata_584.dat
    + 2010-10-10 10:04 . 2009-05-26 11:40 18296 c:\windows\system32\spmsg.dll
    + 2002-08-30 12:00 . 2010-11-05 21:25 86074 c:\windows\system32\perfc00C.dat
    - 2002-08-30 12:00 . 2010-10-19 15:07 86074 c:\windows\system32\perfc00C.dat
    + 2002-08-30 12:00 . 2010-11-05 21:25 71982 c:\windows\system32\perfc009.dat
    - 2002-08-30 12:00 . 2010-10-19 15:07 71982 c:\windows\system32\perfc009.dat
    + 2002-08-30 12:00 . 2010-11-05 21:25 513046 c:\windows\system32\perfh00C.dat
    - 2002-08-30 12:00 . 2010-10-19 15:07 513046 c:\windows\system32\perfh00C.dat
    + 2002-08-30 12:00 . 2010-11-05 21:25 443724 c:\windows\system32\perfh009.dat
    - 2002-08-30 12:00 . 2010-10-19 15:07 443724 c:\windows\system32\perfh009.dat
    + 2010-10-24 18:59 . 2010-10-24 18:59 232912 c:\windows\system32\Macromed\Flash\FlashUtil10k_ActiveX.exe
    + 2010-10-24 18:59 . 2010-10-24 18:59 311760 c:\windows\system32\Macromed\Flash\FlashUtil10k_ActiveX.dll
    - 2010-08-03 22:32 . 2009-08-13 13:56 1748992 c:\windows\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.6001.22319_x-ww_f0b4c2df\GdiPlus.dll
    + 2010-10-24 20:14 . 2009-08-13 13:56 1748992 c:\windows\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.6001.22319_x-ww_f0b4c2df\GdiPlus.dll
    + 2010-08-03 22:32 . 2009-08-13 13:56 1748992 c:\windows\WinSxS\InstallTemp\20447086\GdiPlus.dll
    + 2010-10-24 19:06 . 2010-10-24 19:06 3970048 c:\windows\Installer\2256f1a.msi
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
    "RTHDCPL"="RTHDCPL.EXE" [2007-09-03 16841216]
    "ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2010-06-23 1043968]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-07-14 13877248]
    "Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
    "Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2010-04-29 437584]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSIServer]
    @="Service"

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]
    path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk
    backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^LUMIX Simple Viewer.lnk]

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^WinZip Quick Pick.lnk]

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
    2010-09-20 21:07 932288 ----a-r- c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
    2009-04-23 13:51 691656 ----a-w- c:\program files\DAEMON Tools Lite\daemon.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DT PHL]
    2007-07-27 17:26 292352 ----a-w- c:\program files\Philips Display\SmartControl II\dthtml.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
    2009-10-31 10:52 135664 ----atw- c:\documents and settings\jmb\Local Settings\Application Data\Google\Update\GoogleUpdate.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
    2007-05-08 14:24 54840 ----a-w- c:\program files\HP\HP Software Update\hpwuSchd2.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
    2001-07-09 10:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
    2009-10-11 03:17 149280 ----a-w- c:\program files\Java\jre6\bin\jusched.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
    "a2free"=2 (0x2)
    "a2AntiMalware"=2 (0x2)

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
    "CTFMON.EXE"=c:\windows\system32\ctfmon.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
    "RTHDCPL"=RTHDCPL.EXE
    "NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
    "ORAHSSSessionManager"="c:\program files\OrangeHSS\SessionManager\SessionManager.exe"
    "StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
    "nwiz"=c:\program files\NVIDIA Corporation\nView\nwiz.exe /install
    "amd_dc_opt"="c:\program files\AMD\Dual-Core Optimizer\amd_dc_opt.exe"
    "QuickTime Task"="c:\program files\QuickTime\qttask.exe" -atboottime
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\WINDOWS\\system32\\PnkBstrA.exe"=
    "c:\\WINDOWS\\system32\\PnkBstrB.exe"=
    "c:\\Program Files\\OrangeHSS\\Connectivity\\ConnectivityManager.exe"=
    "c:\\Program Files\\Java\\jre6\\bin\\javaw.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqcopy2.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfcCopy.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqusgm.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqusgh.exe"=
    "c:\\Program Files\\HP\\HP Software Update\\HPWUCli.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\smart web printing\\SmartWebPrintExe.exe"=
    "c:\\WINDOWS\\system32\\ZoneLabs\\vsmon.exe"=

    R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [17/05/2010 17:29 28552]
    R2 AASW2_Service;Ashampoo AntiSpyWare 2 Service;c:\program files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWareService.exe [26/07/2010 17:15 749912]
    R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [05/03/2010 17:57 108289]
    R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [27/10/2010 20:36 304464]
    R2 OPTENET_FILTER;Control Parental;c:\program files\Controle Parental\bin\optproxy.exe [21/03/2008 18:30 564400]
    R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\program files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [06/07/2010 13:10 1051968]
    R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [27/10/2010 20:36 20952]
    R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\program files\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [25/02/2010 09:18 10064]
    S0 sptd;sptd;c:\windows\system32\Drivers\sptd.sys --> c:\windows\system32\Drivers\sptd.sys [?]
    S2 gupdate1ca2335a43ff818;Service Google Update (gupdate1ca2335a43ff818);c:\program files\Google\Update\GoogleUpdate.exe [22/08/2009 15:34 133104]
    S2 IKANLOADER2;General Purpose USB Driver (e4ldr.sys);c:\windows\system32\drivers\e4ldr.sys [21/03/2008 18:34 63555]
    S3 e4usbaw;USB ADSL2 WAN Adapter;c:\windows\system32\drivers\e4usbaw.sys [21/03/2008 18:34 114616]
    S3 WDC_SAM;WD SCSI Pass Thru driver;c:\windows\system32\drivers\wdcsam.sys [29/07/2010 17:30 11520]
    S4 a2AntiMalware;a-squared Anti-Malware Service; [x]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
    hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    UxTuneUp
    .
    Contenu du dossier 'Tâches planifiées'

    2010-11-02 c:\windows\Tasks\AppleSoftwareUpdate.job
    - c:\program files\Apple Software Update\SoftwareUpdate.exe [2006-08-29 13:21]

    2010-11-05 c:\windows\Tasks\Google Software Updater.job
    - c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-08-22 14:30]

    2010-11-05 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2009-08-22 14:33]

    2010-11-05 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2009-08-22 14:33]

    2010-10-28 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-515967899-606747145-725345543-1003Core.job
    - c:\documents and settings\jmb\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-02-18 10:52]

    2010-11-05 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-515967899-606747145-725345543-1003UA.job
    - c:\documents and settings\jmb\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-02-18 10:52]

    2010-11-05 c:\windows\Tasks\Restauration du système.job
    - c:\windows\system32\Restore\rstrui.exe [2008-03-21 23:55]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.fr/
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    LSP: c:\program files\Controle Parental\bin\lsp.dll
    Trusted Zone: mappy.com
    Trusted Zone: orange.fr
    Trusted Zone: voila.fr\rw.search.ke
    Trusted Zone: weborama.fr\orange
    FF - ProfilePath - c:\documents and settings\jmb\Application Data\Mozilla\Firefox\Profiles\p36gnafs.default\
    FF - prefs.js: browser.search.selectedEngine - Yahoo
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
    FF - prefs.js: keyword.URL - hxxp://www.yougoo.fr/renseignement?search&q=
    FF - plugin: c:\documents and settings\jmb\Local Settings\Application Data\Google\Update\1.2.183.39\npGoogleOneClick8.dll
    FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
    FF - plugin: c:\program files\Google\Google Updater\2.4.1691.8062\npCIDetect13.dll
    FF - plugin: c:\program files\Google\Update\1.2.183.39\npGoogleOneClick8.dll
    FF - plugin: c:\program files\NOS\bin\np_gp.dll
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-11-05 22:26
    Windows 5.1.2600 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{156bbe90-f5e5-4c5c-a163-a9aa6149a43c}]
    @Denied: (Full) (Everyone)
    "Model"=dword:00000120
    "Therad"=dword:0000001d

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}]
    @Denied: (Full) (Everyone)
    "scansk"=hex(0):e1,33,d5,ab,09,6c,fc,46,c3,d9,dc,47,07,e7,0c,63,f2,3e,48,c3,8e,
    09,cd,08,ed,da,c2,09,14,cd,6a,6b,f2,4f,84,83,f9,81,c6,b0,00,00,00,00,00,00,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
    @DACL=(02 0010)
    @Denied: (A 2) (Everyone)
    @="FlashBroker"
    "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101"

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
    @DACL=(02 0010)
    "Enabled"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
    @DACL=(02 0010)
    @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe"

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
    @DACL=(02 0010)
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
    @DACL=(02 0010)
    @Denied: (A 2) (Everyone)
    @="IFlashBroker4"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
    @DACL=(02 0010)
    @="{00020424-0000-0000-C000-000000000046}"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
    @DACL=(02 0010)
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    "Version"="1.0"
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'explorer.exe'(2348)
    c:\windows\system32\webcheck.dll
    c:\windows\system32\WPDShServiceObj.dll
    c:\windows\system32\PortableDeviceTypes.dll
    c:\windows\system32\PortableDeviceApi.dll
    .
    Heure de fin: 2010-11-05 22:28:49
    ComboFix-quarantined-files.txt 2010-11-05 21:28
    ComboFix2.txt 2010-10-27 20:29
    ComboFix3.txt 2010-10-25 20:36
    ComboFix4.txt 2010-10-23 10:32

    Avant-CF: 38 855 237 632 octets libres
    Après-CF: 38 872 313 856 octets libres

    Current=1 Default=1 Failed=0 LastKnownGood=5 Sets=1,2,3,4,5
    - - End Of File - - 63AD8958414E81A472D30A061F154AC8
    Merci.
    6 Novembre 2010 17:55:33

    Merci , c'est déjà mieux!
    Je n'ai plus de redirection goméo! et je n'ai pas eu de nouveau l'affichage thinkpoint et windows alert!
    je vais essayer plusieurs sites pour bien confirmer
    J'ai juste un détail qui me chiffonne: lorsque j'ouvre (dans IE8) les favoris internet et que je fais glisser le curseur pour choisir le site, il se passe comme un ralentissement du déplacement du curseur de la souris avec un déplacement légèrement circulaire.
    Au bout de la 2ème recherche, çà ne se reproduit plus!!?
    6 Novembre 2010 21:12:05

    re
    Citation :
    J'ai juste un détail qui me chiffonne: lorsque j'ouvre (dans IE8) les favoris internet et que je fais glisser le curseur pour choisir le site, il se passe comme un ralentissement du déplacement du curseur de la souris avec un déplacement légèrement circulaire.
    Au bout de la 2ème recherche, çà ne se reproduit plus!!?

    pas lié à un virus je pense...

    * Fais un scan en ligne Kaspersky
    http://www.kaspersky.com/kos/eng/partner/default/kavweb...

    * Clique sur Accept
    * Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
    * clique une nouvelle fois sur "Accept"
    * Les bases de mises à jour vont s'installer, patiente un moment
    * Clique sur Next.
    * Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera et copie_colle le rapport dans ta prochaine reponse
    http://www.malekal.com/scan_Av_en_ligne.php#mozTocId291...


    6 Novembre 2010 23:00:26

    Bonsoir, OK je fais le scan!
    j'ai quelques redirections (sn27.net) mais pas sur google chrome !!?
    7 Novembre 2010 11:45:48

    Bonjour, voici le rapport Kapersky:
    KASPERSKY ONLINE SCANNER 7.0: scan report
    Sunday, November 7, 2010
    Operating system: Microsoft Windows XP Professional Service Pack 2 (build 2600)
    Kaspersky Online Scanner version: 7.0.26.13
    Last database update: Saturday, November 06, 2010 09:23:22
    Records in database: 4223912
    --------------------------------------------------------------------------------

    Scan settings:
    scan using the following database: extended
    Scan archives: yes
    Scan e-mail databases: yes

    Scan area - My Computer:
    A:\
    C:\
    D:\
    E:\
    F:\
    H:\
    I:\
    J:\
    K:\

    Scan statistics:
    Objects scanned: 169817
    Threats found: 2
    Infected objects found: 2
    Suspicious objects found: 0
    Scan duration: 04:07:01


    File name / Threat / Threats count
    C:\Program Files\ArchiFacile.exe Infected: Trojan-Clicker.Win32.Libie.lb 1
    C:\Qoobox\Quarantine\C\Program Files\Mozilla Firefox\extensions\{1CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content\plug.xul.vir Infected: Trojan-Spy.JS.Agent.a 1

    Selected area has been scanned.
    7 Novembre 2010 14:45:51

    re

    1


    supprime les fichiers/dossiers en gras:
    C:\Program Files\ArchiFacile.exe
    C:\Qoobox

    2
    Passe-moi le lien du forum où tu as commencé ta désinfection. :D 

    3

    Télécharge MBRCheck.exe sur ton Bureau::
    http://download.bleepingcomputer.com/rootrepeal/MBRChec...


    * Désactive tes programmes de sécurité avant de lancer le scan. (antispyware/antivirus)
    * Double clique sur le fichier pour lancer le programme. (Note: Si tu utilises Vista/7, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).
    * Une fenêtre va s'ouvrir sur ton Bureau: Patiente une dizaine de secondes pour permettre à l'outil de compléter l'analyse.
    * Si un code de démarrage inconnu est détecté, des options s'afficheront
    * Si c'est le cas, appuie alors sur la touche N puis [Entrée] deux fois.
    * Si rien de particulier n'est détecté, presse juste sur la touche [Entrée]
    * Un fichier texte nommé MBRCheck_mois/jour/année/_heure.minutes.secondes devrait apparaitre sur ton Bureau.
    * Poste stp son contenu dans ton prochain message.

    4

    Télécharge TDSSKiller de Kaspersky sur ton bureau.

  • Décompresse-le en faisant clic-droit dessus -> extraire tout... (clique sur "suivant", "suivant" et "Terminer".)
  • Double clique sur "TDSSKiller.exe" pour lancer l'outil.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)

  • Clique alors sur le bouton "Start Scan".
  • Laisse le scan s'effectuer.

  • Dans la fenêtre de résultat, assures-toi que "Malicious objects" ait le statut "Cure"
  • Pour la partie "Suspicious object" clique sur "Skip" et choisi "Quarantine"
  • Clique enfin sur "Continue"

  • Il te sera surement demandé de redémarrer ton pc, fait-le en cliquant sur "Reboot now"

  • Au redémarrage va chercher le rapport de suppression, il se trouve ici :
    C:\ TDSSKiller.x.x.x.x_date_heure_log.txt

    Poste son contenu dans ta prochaine réponse.
    7 Novembre 2010 19:36:46

    Bonsoir, voici mes rapports:
    J'ai fait comme çà car je pensait qu'ils étaient trop longs pour être directement copiés.

    MBRCHECK:
    http://www.cijoint.fr/cjlink.php?file=cj201011/cijfRGue...

    TDSKILL:
    http://www.cijoint.fr/cjlink.php?file=cj201011/cijD9Atl...
    TDS ne m'a pas demandé de redémarrer et je n'ai pas eu de fenêtre malicious objects...
    .
    Quant au N°2, je n'ai pas utilisé un autre forum!
    J'ai effectivement fait quelques opérations perso piochées sur des forums (combofix, AD-R..).
    Maintenant si tu ne veux plus me donner un coup de main, je comprendrais pour ma maladresse!
    J'espère que tu ne m'en tiendras pas rigueur.
    7 Novembre 2010 21:02:08

    re

    Citation :
    Quant au N°2, je n'ai pas utilisé un autre forum!
    J'ai effectivement fait quelques opérations perso piochées sur des forums (combofix, AD-R..).
    Maintenant si tu ne veux plus me donner un coup de main, je comprendrais pour ma maladresse!
    J'espère que tu ne m'en tiendras pas rigueur.

    Mais nan, c'est pas la question, c'est parce que tout me semble clean maintenant et je ne sais pas ce qui cloche...
    vu que tu dis:
    Citation :
    Bonsoir, OK je fais le scan!
    j'ai quelques redirections (sn27.net) mais pas sur google chrome !!?


    Faut que je regarde les profils en détails...
    les redirections persistent:
    sous IE?
    Sous FF?
    Les deux?

    Refais un scan OTLPE et je vais tout relire depuis le début... :D 
    7 Novembre 2010 21:29:10

    J'ai plus de redirections! sous IE8 FF et GC!
    Est-ce utile de refaire OTLPENET?
    de plus, j'ai telechargé la version 10 antivir!

    Merci.
    7 Novembre 2010 21:51:41

    re
    Nan, pas la peine de faire un nouveau scan...

    Mets à jour java:
    http://www.java.com/fr/download/windows_xpi.jsp?locale=...

    ++++++++++++

    Désinstalle combofix en suivant cette procédure:

  • Menu démarrer puis exécuter
  • Tape maintenant Combofix /u dans la fenêtre que apparaît puis valide par OK. Veille à bien laisser un espace entre le X et le /U, car cela est nécessaire ici.





    Supprime tous les programmes installés pour la désinfection.


    Merci de consulter ce dossier (en pdf) pour en connaître davantage sur les risques du Net.



    Si tu trouves ce document intéressant, n'hésite pas à le transmettre à tes contacts.

    Si tu en as assez d'être assailli de publicités durant ta navigation, installe Firefox sécurisé avec les extensions noscript et AdBlock Plus.

    Lire aussi:
  • Antispyware gratuit : ça sert à rien!


    ~Edite ton premier message et marque [résolu] dans le titre.
    Si ton nom de session correspond à ton véritable nom, tu as la possibilité de le changer en éditant tes posts.

    :hello: 

    7 Novembre 2010 22:45:06

    Merci en tout cas pour ce grand service!!
    C'est trop fort!
    à une prochaine fois.
    8 Novembre 2010 21:00:29

    de rien
    Bon surf :hello: 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS