Votre question

Une ch'tit desinfection siou plait?

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
11 Août 2010 16:37:55

Salutation Helpers, Helpeuses et Bot

Mon fere, dans sa grande gentillesse, est venu quemander mon attention hier soir, tard (vers 23h) parce qu'il avait une infection sur son PC qui bloquait completement la machine.

Ni une ni deux, je demarre en mode sans echec et je limite la casse en supprimant l'executif localise:
c:\User\"mon frere"\Local\wqaryjex`\tiaxjkjtssd.exe

J'ai aussi desactive 3 cles de demarrages via CCleaner sans certitude que ce soit lie:
C:\Windows\systeme32\qvuyp.exe
rundll32"dvuyp.dll",,Run
c:\User\"mon frere"\Local\Temp\secnamwro.exe

J'ai passe RSIT:
Spoiler
Logfile of random's system information tool 1.08 (written by random/random)
Run by Benjamin at 2010-08-11 15:58:36
Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 2
System drive C: has 17 GB (12%) free of 138 GB
Total RAM: 3066 MB (68% free)

HijackThis download failed

======Scheduled tasks folder======

C:\Windows\tasks\GlaryInitialize.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{07125C84-4889-404F-AAF7-903E16FDEA88}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2010-04-04 75200]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}]
RealPlayer Download and Record Plugin for Internet Explorer - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll [2010-03-08 329312]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Windows Live Sign-in Helper - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-07-25 41760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856}]
HP Smart BHO Class - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll [2007-11-06 542016]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{D4027C7F-154A-4066-A1AD-4243D8127440}

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Apoint"=C:\Program Files\DellTPad\Apoint.exe [2009-03-31 217088]
"NvCplDaemon"=C:\Windows\system32\NvCpl.dll [2009-01-18 13597216]
"NvMediaCenter"=C:\Windows\system32\NvMcTray.dll [2009-01-18 92704]
"NVHotkey"=C:\Windows\system32\nvHotkey.dll [2009-01-18 96800]
"Broadcom Wireless Manager UI"=C:\Windows\system32\WLTRAY.exe [2008-12-11 3563520]
"DellSupportCenter"=C:\Program Files\Dell Support Center\bin\sprtcmd.exe [2009-05-21 206064]
"hpqSRMon"=C:\Program Files\HP\Digital Imaging\bin\hpqSRMon.exe [2007-08-22 80896]
"avgnt"=C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"Waiting1690"=C:\Windows\stid1690.exe [2007-06-05 60416]
"SysTrayApp"=C:\Program Files\IDT\WDM\sttray.exe [2009-03-31 483420]
"TkBellExe"=C:\Program Files\Common Files\Real\Update_OB\realsched.exe [2010-03-08 202256]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"=C:\Windows\ehome\ehTray.exe [2008-01-21 125952]
"DellSupportCenter"=C:\Program Files\Dell Support Center\bin\sprtcmd.exe [2009-05-21 206064]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2010-03-24 952768]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe [2010-04-04 36272]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Bar]
C:\Users\Benjamin\AppData\Local\Temp\secnamwxro.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ddwqjloi]
C:\Users\Benjamin\AppData\Local\wqaryjexq\tiaxjkjtssd.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
C:\Program Files\DivX\DivX Update\DivXUpdate.exe /CHECKNOW []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dscactivate]
C:\Program Files\Dell Support Center\gs_agent\custom\dsca.exe [2008-03-11 16384]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe [2007-10-14 49152]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
C:\Program Files\iTunes\iTunesHelper.exe [2010-07-21 141608]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MChk]
C:\Windows\system32\qvuyp.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Program Files\QuickTime\QTTask.exe [2010-03-17 421888]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sidebar]
C:\Program Files\Windows Sidebar\sidebar.exe [2009-04-11 1233920]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\sta]
rundll32 dvuyp.dll,,Run []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
C:\Program Files\Java\jre6\bin\jusched.exe [2009-07-25 149280]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG]
C:\Program Files\Windows Media Player\WMPNSCFG.exe [2008-01-21 202240]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Wdf01000.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfPf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfRd]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfUsbccidDriver]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableUIADesktopToggle"=0

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoFolderOptions"=0
"NoDriveTypeAutoRun"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"BindDirectlyToPropertySetStorage"=0

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

======File associations======

.js - edit - C:\Windows\System32\Notepad.exe %1
.js - open - C:\Windows\System32\WScript.exe "%1" %*

======List of files/folders created in the last 1 months======

2010-08-11 15:58:36 ----D---- C:\rsit
2010-08-11 15:58:36 ----D---- C:\Program Files\trend micro
2010-08-10 01:14:47 ----A---- C:\Windows\system32\drivers\afesp.sys
2010-08-10 01:14:40 ----D---- C:\Windows\$NtUninstallMTF1011$
2010-08-10 01:13:41 ----D---- C:\Users\Benjamin\AppData\Roaming\66B25C23D8F1C8180F4A0A1655CB9BED
2010-08-03 10:38:22 ----A---- C:\Windows\system32\shell32.dll
2010-07-26 00:08:36 ----D---- C:\Program Files\iPod
2010-07-24 12:26:04 ----D---- C:\ProgramData\McAfee

======List of files/folders modified in the last 1 months======

2010-08-11 15:58:36 ----RD---- C:\Program Files
2010-08-11 15:58:28 ----D---- C:\Windows\Temp
2010-08-11 15:58:28 ----D---- C:\Windows\Prefetch
2010-08-11 11:45:06 ----SHD---- C:\System Volume Information
2010-08-11 11:00:46 ----D---- C:\Windows\Minidump
2010-08-11 11:00:40 ----D---- C:\Windows
2010-08-10 23:48:30 ----D---- C:\Users\Benjamin\AppData\Roaming\Spotify
2010-08-10 13:09:31 ----D---- C:\Users\Benjamin\AppData\Roaming\vlc
2010-08-10 13:01:25 ----D---- C:\Windows\System32
2010-08-10 11:58:17 ----HD---- C:\ProgramData
2010-08-10 03:07:53 ----RSD---- C:\Windows\Fonts
2010-08-10 03:07:53 ----D---- C:\Windows\system32\drivers
2010-08-10 00:50:48 ----D---- C:\Windows\system32\Tasks
2010-08-07 10:23:24 ----D---- C:\Windows\system32\catroot2
2010-08-04 03:00:53 ----D---- C:\Windows\winsxs
2010-08-03 10:37:39 ----D---- C:\Windows\system32\catroot
2010-08-01 13:49:26 ----D---- C:\Program Files\Mozilla Firefox
2010-07-31 15:11:21 ----D---- C:\Users\Benjamin\AppData\Roaming\Dropbox
2010-07-31 15:09:38 ----SHD---- C:\boot
2010-07-31 15:09:38 ----D---- C:\Windows\system32\config
2010-07-28 11:00:54 ----D---- C:\Windows\Tasks
2010-07-26 23:35:40 ----SHD---- C:\Windows\Installer
2010-07-26 00:09:25 ----D---- C:\Program Files\iTunes
2010-07-26 00:08:35 ----D---- C:\Program Files\Common Files\Apple
2010-07-21 11:30:01 ----D---- C:\Windows\system32\spool
2010-07-15 10:52:21 ----D---- C:\Windows\Debug
2010-07-15 10:34:31 ----D---- C:\Program Files\Windows Mail
2010-07-15 10:32:35 ----D---- C:\ProgramData\Microsoft Help

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R0 iaStor;Intel AHCI Controller; C:\Windows\system32\drivers\iastor.sys [2009-01-19 328728]
R0 PxHelp20;PxHelp20; C:\Windows\System32\Drivers\PxHelp20.sys [2007-07-26 43872]
R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys [2009-02-13 11608]
R1 avipbb;avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 ssmdrv;ssmdrv; C:\Windows\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
R2 avgntflt;avgntflt; C:\Windows\system32\DRIVERS\avgntflt.sys [2010-02-06 56816]
R3 ApfiltrService;Alps Touch Pad Filter Driver for Windows 2000/XP/Vista; C:\Windows\system32\DRIVERS\Apfiltr.sys [2009-03-31 196144]
R3 BCM42RLY;BCM42RLY; C:\Windows\system32\drivers\BCM42RLY.sys [2008-12-11 18424]
R3 BCM43XX;Pilote de la carte réseau local sans fil Wireless de Dell; C:\Windows\system32\DRIVERS\bcmwl6.sys [2008-12-11 1207288]
R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\Windows\system32\DRIVERS\GEARAspiWDM.sys [2009-05-18 26600]
R3 nvlddmkm;nvlddmkm; C:\Windows\system32\DRIVERS\nvlddmkm.sys [2009-01-18 7415936]
R3 O2MDGRDR;O2MDGRDR; C:\Windows\system32\DRIVERS\o2mdg.sys [2009-01-08 51616]
R3 O2SDGRDR;O2SDGRDR; C:\Windows\system32\DRIVERS\o2sdg.sys [2009-01-08 41760]
R3 RTL8169;Realtek 8169 NT Driver; C:\Windows\system32\DRIVERS\Rtlh86.sys [2009-02-02 142848]
R3 STHDA;IDT High Definition Audio CODEC; C:\Windows\system32\DRIVERS\stwrt.sys [2009-03-31 394240]
R3 StillCam;Pilote d'appareil photo numérique série; C:\Windows\system32\DRIVERS\serscan.sys [2008-01-21 9216]
R3 TPM;Module de plateforme sécurisée (TPM); C:\Windows\system32\drivers\tpm.sys [2008-01-21 45624]
S0 Lbd;Lbd; C:\Windows\system32\DRIVERS\Lbd.sys []
S3 CAM1690;USB 2.0 Compliance JPEG Video Camera; C:\Windows\System32\Drivers\cam1690.sys [2007-08-29 153856]
S3 Dot4;Pilote MS IEEE-1284.4; C:\Windows\system32\DRIVERS\Dot4.sys [2008-01-21 131584]
S3 Dot4Print;Pilote de classe Imprimante pour IEEE-1284.4; C:\Windows\system32\DRIVERS\Dot4Prt.sys [2008-01-21 16384]
S3 dot4usb;MS Dot4USB Filter Dot4USB Filter; C:\Windows\system32\DRIVERS\dot4usb.sys [2008-01-21 36864]
S3 drmkaud;Filtre de décodeur DRM (Noyau Microsoft); C:\Windows\system32\drivers\drmkaud.sys [2008-01-21 5632]
S3 e1express;Pilote de la connexion réseau Intel(R) PRO/1000 PCI Express; C:\Windows\system32\DRIVERS\e1e6032.sys [2008-01-21 220672]
S3 hamachi;Hamachi Network Interface; C:\Windows\system32\DRIVERS\hamachi.sys [2009-09-23 26176]
S3 mod7700;DiBcom DIB7700 based TV tuner device; C:\Windows\System32\Drivers\mod7700.sys [2007-02-15 459264]
S3 MODRC;DiBcom Infrared Receiver; C:\Windows\system32\DRIVERS\modrc.sys [2006-11-14 13056]
S3 MSKSSRV;Proxy de service de répartition Microsoft; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-21 8192]
S3 MSPCLOCK;Proxy d'horloge de répartition Microsoft; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-21 5888]
S3 MSPQM;Proxy de gestion de qualité de répartition Microsoft; C:\Windows\system32\drivers\MSPQM.sys [2008-01-21 5504]
S3 MSTEE;Convertisseur en T/site-à-site de répartition Microsoft; C:\Windows\system32\drivers\MSTEE.sys [2008-01-21 6016]
S3 R300;R300; C:\Windows\system32\DRIVERS\atikmdag.sys [2006-11-02 2028032]
S3 USBAAPL;Apple Mobile USB Driver; C:\Windows\System32\Drivers\usbaapl.sys [2009-08-28 40448]
S3 usbaudio;Pilote USB audio (WDM); C:\Windows\system32\drivers\usbaudio.sys [2009-04-11 73216]
S3 usbscan;Pilote de scanneur USB; C:\Windows\system32\DRIVERS\usbscan.sys [2008-01-21 35328]
S3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2008-01-21 83328]
S3 xnacc;Contrôleur XBOX 360 pour le service de pilote Windows; C:\Windows\system32\DRIVERS\xnacc.sys [2008-01-21 521216]
S3 xusb21;Xbox 360 Wireless Receiver Driver Service 21; C:\Windows\system32\DRIVERS\xusb21.sys [2007-02-26 61984]
S4 ErrDev;Microsoft Hardware Error Device Driver; C:\Windows\system32\drivers\errdev.sys [2009-04-23 6656]
S4 MegaSR;MegaSR; C:\Windows\system32\drivers\megasr.sys [2008-01-21 386616]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AESTFilters;Andrea ST Filters Service; C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_ec3a90dd\aestsrv.exe [2009-03-31 81920]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler; C:\Program Files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089]
R2 Apple Mobile Device;Apple Mobile Device; C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe [2010-06-10 144176]
R2 Bonjour Service;Service Bonjour; C:\Program Files\Bonjour\mDNSResponder.exe [2010-05-18 345376]
R2 hpqddsvc;Service HP CUE DeviceDiscovery; C:\Windows\system32\svchost.exe [2008-01-21 21504]
R2 LightScribeService;LightScribeService Direct Disc Labeling Service; C:\Program Files\Common Files\LightScribe\LSSrvc.exe [2008-06-09 73728]
R2 MDM;Machine Debug Manager; C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe [2006-10-26 335872]
R2 Net Driver HPZ12;Net Driver HPZ12; C:\Windows\System32\svchost.exe [2008-01-21 21504]
R2 nvsvc;NVIDIA Display Driver Service; C:\Windows\system32\nvvsvc.exe [2009-01-18 203296]
R2 O2FLASH;O2FLASH; C:\Windows\system32\DRIVERS\o2flash.exe [2009-01-08 72224]
R2 Pml Driver HPZ12;Pml Driver HPZ12; C:\Windows\System32\svchost.exe [2008-01-21 21504]
R2 PnkBstrA;PnkBstrA; C:\Windows\system32\PnkBstrA.exe [2010-04-14 66872]
R2 PnkBstrB;PnkBstrB; C:\Windows\system32\PnkBstrB.exe [2010-04-14 107832]
R2 sprtsvc_dellsupportcenter;SupportSoft Sprocket Service (dellsupportcenter); C:\Program Files\Dell Support Center\bin\sprtsvc.exe [2008-08-14 201968]
R2 STacSV;Audio Service; C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_ec3a90dd\STacSV.exe [2009-03-31 249938]
R2 wltrysvc;Dell Wireless WLAN Tray Service; C:\Windows\System32\WLTRYSVC.EXE [2008-12-11 24064]
R3 hpqcxs08;hpqcxs08; C:\Windows\system32\svchost.exe [2008-01-21 21504]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86; C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
S3 FontCache;@%systemroot%\system32\FntCache.dll,-100; C:\Windows\system32\svchost.exe [2008-01-21 21504]
S3 iPod Service;Service de l’iPod; C:\Program Files\iPod\bin\iPodService.exe [2010-07-21 540968]
S3 NMIndexingService;NMIndexingService; C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe []
S3 odserv;Microsoft Office Diagnostics Service; C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE [2008-11-04 441712]
S3 ose;Office Source Engine; C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
S3 Steam Client Service;Steam Client Service; C:\Program Files\Common Files\Steam\SteamService.exe [2009-07-16 316664]
S3 stllssvr;stllssvr; C:\Program Files\Common Files\SureThing Shared\stllssvr.exe [2007-07-11 69632]
S3 WPFFontCache_v0400;@C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe,-100; C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]

-----------------EOF-----------------



Donc des idees?
Des suggestions ?

Merci

Autres pages sur : tit desinfection siou plait

12 Août 2010 19:23:57

Très cher maître (:p ),

Il y a encore des conneries qui s'exécutent au démarrage:
Citation :
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Bar]
C:\Users\Benjamin\AppData\Local\Temp\secnamwxro.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ddwqjloi]
C:\Users\Benjamin\AppData\Local\wqaryjexq\tiaxjkjtssd.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MChk]
C:\Windows\system32\qvuyp.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\sta]
rundll32 dvuyp.dll,,Run []


Mais je ne connais pas trop RSIT, est-ce que tu pourrais faire un log OTL à la place (ça revient plus ou moins au même)

  • Télécharge OTL (de OldTimer) sur ton Bureau.
  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche Rapport minimal.
  • Dans la section "Analyse des fichiers", "Âge du fichier", met 30 jours
  • Coche également les cases à côté de Recherche Lop et Recherche Purity.
  • Enfin, clique sur le bouton Analyse. Le scan ne prendra pas beaucoup de temps.
  • Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau).

    Pour me transmettre les rapports :
  • Clique sur ce lien : http://www.cijoint.fr/
  • Clique sur Parcourir... et cherche le fichier du rapport que tu souhaites me transmettre.
  • Clique sur Ouvrir.
  • Clique sur Cliquez ici pour déposer le fichier.
  • Un lien de cette forme, hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt, est ajouté dans la page.
  • Copie-colle ce lien dans ta réponse.
    Contenus similaires
    Pas de réponse à votre question ? Demandez !
    15 Août 2010 14:28:21

    Hi,

    1)
    Télécharge Ad-Remover (C_XX) sur ton Bureau.
    /!\ Déconnecte toi et ferme toutes applications en cours /!\
    Double-cliquez sur AD-R présent sur ton bureau. (Clic droit -> "Exécuter en tant qu'administrateur" pour VISTA)
    Patiente jusqu'à l'apparition du menu principale. A partir de là, clique sur Nettoyer. On te demandera de confirmer, clique sur Oui et patiente jusqu'à la fin du scan.
    !! Laisse Travailler l'outil !!
    A la fin du scan on te propose de redémarrer, accepte en cliquant sur oui. Ton PC va redémarrer.
    Une fois ton PC rallumé, rend toi ici : C:\ et ouvre le fichier nommé Ad-Report-SCAN.
    Poste moi dans ta prochaine réponse le contenu de Ad-Report-SCAN.
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )


    2)
    On va vérifier des fichiers :

    Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
    - Coche Afficher les fichiers et dossiers cachés
    - Décoche Masquer les extensions des fichiers dont le type est connu
    - Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)
    clique sur Appliquer, puis OK.

    N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

    Fais analyser le(s) fichier(s) suivants sur Virustotal

  • Clique sur Parcourir, choisis Poste de travail et cherche ce fichier : C:\Windows\StiD1690.exe
  • Clique maintenant sur Send file et laisse travailler tant que "Current status : analysing" est affiché.
  • Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
  • Lorsque l'analyse est terminée ("Current status: finished"), clique sur Compact
  • Une nouvelle fenêtre de ton navigateur va apparaître
  • Clique alors sur l'onglet BBCode
  • Sélectionne tout le contenu de la page
  • Enfin colle le résultat dans ta prochaine réponse.

  • Fais la même chose avec ces fichiers : C:\Windows\System32\drivers\afesp.sys


    3)

    Relance OTL.exe.

  • Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant (Ne le modifie pas):

    :OTL
    PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
    SRV - (psblqkfj) -- File not found
    SRV - (evysrejui) -- File not found
    O2 - BHO: (no name) - {07125C84-4889-404F-AAF7-903E16FDEA88} - No CLSID value found.
    [2010/08/10 01:14:41 | 000,000,005 | ---- | M] () -- C:\zrpt.xml

    :Services
    psblqkfj
    evysrejui
    SRV - (psblqkfj) -- File not found
    SRV - (evysrejui) -- File not found

    :Reg

    :Files
    C:\Users\Benjamin\AppData\Local\wqaryjexq\
    C:\Windows\system32\qvuyp.exe

    :Commands
    [purity]
    [emptytemp]
    [start explorer]
    [Reboot]


  • Puis clique sur le bouton Correction en haut de la fenêtre.
  • Laisse le programme travailler, redémarre une fois le fix terminé.
  • Enfin, poste un nouveau log OTL (cette fois, ne coche pas les cases LOP Check et Purity).

    Note : Tu verras peut-être un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi). Si tu veux le poster, sauvegarde-le sur ton Bureau et poste-le avec le nouveau log OTL
    15 Août 2010 19:19:35

    Voila le contenu du Ad-Report-SCAN:


    ======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par C_XX le 26/07/10 à 12:00
    Contact: AdRemover.contact[AT]gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 18:34:33 le 15/08/2010, Mode normal

    Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 2 (X86)
    Benjamin@BENJAMINM (Dell Inc. Vostro 1520)

    ============== ACTION(S) ==============


    3,Fichier supprimé: C:\Users\Benjamin\AppData\Local\oghow.bat
    0,Dossier supprimé: C:\Program Files\Conduit
    0,Dossier supprimé: C:\Users\Benjamin\AppData\LocalLow\Sky-Banners
    0,Dossier supprimé: C:\Users\Benjamin\AppData\LocalLow\Street-Ads
    0,Dossier supprimé: C:\Windows\$NtUninstallMTF1011$
    0,Fichier supprimé: C:\Users\Benjamin\AppData\Local\hztuga_nav.dat
    2,Fichier supprimé: C:\Users\Benjamin\AppData\Local\hztuga.dat
    0,Fichier supprimé: C:\Users\Benjamin\AppData\Local\hztuga_navps.dat

    (!) -- Fichiers temporaires supprimés.


    -- Fichier ouvert: C:\Users\Benjamin\AppData\Roaming\Mozilla\FireFox\Profiles\8app04g2.default\Prefs.js --
    Ligne supprimée: user_pref("extensions.snipit.askTbInstalled", true);
    -- Fichier Fermé --


    1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{07125C84-4889-404F-AAF7-903E16FDEA88}
    1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{07125C84-4889-404F-AAF7-903E16FDEA88}
    1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{07125C84-4889-404F-AAF7-903E16FDEA88}
    1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
    1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
    1,Clé supprimée: HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
    1,Clé supprimée: HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
    1,Clé supprimée: HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
    1,Clé supprimée: HKLM\Software\Classes\Interface\{D6094FC6-821F-474C-8D73-C13066CD178D}
    3,Clé supprimée: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\hztuga
    0,Clé supprimée: HKLM\Software\Classes\adgj.agHlp
    0,Clé supprimée: HKLM\Software\Classes\adgj.agHlp.1
    0,Clé supprimée: HKLM\Software\Classes\adShotHlpr.adShotHlpr
    0,Clé supprimée: HKLM\Software\Classes\adShotHlpr.adShotHlpr.1.0
    0,Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd
    0,Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1
    0,Clé supprimée: HKLM\Software\Classes\Toolbar.CT2504091
    0,Clé supprimée: HKLM\Software\Classes\AppID\GenericAskToolbar.DLL
    1,Clé supprimée: HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
    0,Clé supprimée: HKLM\Software\Relatedpageinstall
    0,Clé supprimée: HKLM\Software\Sky-Banners
    0,Clé supprimée: HKLM\Software\Street-Ads
    0,Clé supprimée: HKCU\Software\Conduit
    0,Clé supprimée: HKCU\Software\Sky-Banners
    0,Clé supprimée: HKCU\Software\Street-Ads
    0,Clé supprimée: HKCU\Software\AppDataLow\Software\Conduit
    0,Clé supprimée: HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\Bar
    0,Clé supprimée: HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\MChk
    0,Clé supprimée: HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\sta
    0,Clé supprimée: HKLM\Software\Classes\AppID\{38061EDC-40BB-4618-A8DA-E56353347E6D}
    0,Clé supprimée: HKLM\Software\Classes\AppID\{84C3C236-F588-4c93-84F4-147B2ABBE67B}
    0,Clé supprimée: HKLM\Software\Classes\AppID\{7B6A2552-E65B-4A9E-ADD4-C45577FFD8FD}

    0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{00000000-6E41-4FD3-8538-502F5495E5FC}
    0,Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{D4027C7F-154A-4066-A1AD-4243D8127440}


    ============== SCAN ADDITIONNEL ==============

    ** Mozilla Firefox Version [3.6.8 (fr)] **

    -- C:\Users\Benjamin\AppData\Roaming\Mozilla\FireFox\Profiles\8app04g2.default\Prefs.js --
    browser.download.dir, C:\\Users\\Benjamin\\Downloads
    browser.startup.homepage, hxxp://www.blackle.com
    browser.startup.homepage_override.mstone, rv:1.9.2.8

    ========================================

    ** Internet Explorer Version [8.0.6001.18943] **

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\Windows\system32\blank.htm
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\Main]
    AutoHide: yes
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Enable Browser Extensions: no
    Local Page: C:\Windows\System32\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 6 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 15/08/2010 (5559 Octet(s))

    Fin à: 18:36:48, 15/08/2010

    ============== E.O.F ==============



    le contenu de l'onglet BBCode (C:\Windows\StiD1690.exe) :

    Antivirus results
    AhnLab-V3 - 2010.08.15.01 - 2010.08.15 - -
    AntiVir - 8.2.4.34 - 2010.08.13 - -
    Antiy-AVL - 2.0.3.7 - 2010.08.11 - -
    Authentium - 5.2.0.5 - 2010.08.15 - -
    Avast - 4.8.1351.0 - 2010.08.15 - -
    Avast5 - 5.0.332.0 - 2010.08.15 - -
    AVG - 9.0.0.851 - 2010.08.15 - -
    BitDefender - 7.2 - 2010.08.15 - -
    CAT-QuickHeal - 11.00 - 2010.08.14 - -
    ClamAV - 0.96.0.3-git - 2010.08.15 - -
    Comodo - 5749 - 2010.08.15 - -
    DrWeb - 5.0.2.03300 - 2010.08.15 - -
    Emsisoft - 5.0.0.37 - 2010.08.15 - -
    eTrust-Vet - 36.1.7790 - 2010.08.13 - -
    F-Prot - 4.6.1.107 - 2010.08.14 - -
    F-Secure - 9.0.15370.0 - 2010.08.15 - -
    Fortinet - 4.1.143.0 - 2010.08.15 - -
    GData - 21 - 2010.08.15 - -
    Ikarus - T3.1.1.88.0 - 2010.08.15 - -
    Jiangmin - 13.0.900 - 2010.08.15 - -
    Kaspersky - 7.0.0.125 - 2010.08.15 - -
    McAfee - 5.400.0.1158 - 2010.08.15 - -
    McAfee-GW-Edition - 2010.1 - 2010.08.14 - -
    Microsoft - 1.6004 - 2010.08.15 - -
    NOD32 - 5368 - 2010.08.15 - -
    Norman - 6.05.11 - 2010.08.15 - -
    nProtect - 2010-08-15.01 - 2010.08.15 - -
    Panda - 10.0.2.7 - 2010.08.15 - -
    PCTools - 7.0.3.5 - 2010.08.15 - -
    Prevx - 3.0 - 2010.08.15 - -
    Rising - 22.60.06.04 - 2010.08.15 - -
    Sophos - 4.56.0 - 2010.08.15 - -
    Sunbelt - 6737 - 2010.08.15 - -
    SUPERAntiSpyware - 4.40.0.1006 - 2010.08.15 - -
    Symantec - 20101.1.1.7 - 2010.08.15 - -
    TheHacker - 6.5.2.1.348 - 2010.08.14 - -
    TrendMicro - 9.120.0.1004 - 2010.08.15 - -
    TrendMicro-HouseCall - 9.120.0.1004 - 2010.08.15 - -
    VBA32 - 3.12.14.0 - 2010.08.13 - -
    ViRobot - 2010.8.9.3978 - 2010.08.15 - -
    VirusBuster - 5.0.27.0 - 2010.08.15 - -
    File info:
    MD5: a4b7541acc8e80bc9380797e95954228
    SHA1: 39e1efeef2b3d7aacd0fb5bddb81444759a34919
    SHA256: 254cab744148597eb06b653d661eba8013e14ea351ca742224575cdb8ccb7036
    File size: 60416 bytes
    Scan date: 2010-08-15 16:48:14 (UTC)


    pour le fichier C:\Windows\System32\drivers\afesp.sys:

    le fichier veut pas s'ouvrir et un message d'erreur s'ouvre, j'en ai fait une capture d'ecran et oila le lien:
    http://www.cijoint.fr/cjlink.php?file=cj201008/cijMS6SA...


    Et voila le nouveau log OTL: http://www.cijoint.fr/cjlink.php?file=cj201008/cij033H5...
    16 Août 2010 01:00:09

    Très bien.

    1) Ad-Remover montre des traces d'infection Navipromo.
    On va passer un coup de Navilog1 pour s'assurer qu'il n'a rien loupé.

    Télécharge Navilog1.exe (IL-MAFIOSO)
    Enregistre-le sur ton Bureau.
    Lance l'installation en double cliquant sur navilog.exe.
    Une fois l'installation terminée, l'utilitaire s'exécutera automatiquement.
    (Si ce n'est pas le cas, double clique sur le raccourci présent sur le Bureau)

    Laisse-toi guider par l'utilitaire. Choisis l'option 1 puis valide.
    ! N'utilise pas l'option 2, 3 et 4 sans notre accord ![/#f]
    Patiente jusqu'à l'apparition de ce message :
    "*** Analyse Termine le ..... ***"
    Appuie sur une touche comme demandé. Le Bloc-notes va s'ouvrir. Poste-nous son contenu de cette manière :

    -> Edition / Sélectionner tout
    -> Edition / Copier
    -> Clique-Droit / Coller dans ta réponse


    NOTE : Le rapport se trouve également ici : C:\fixnavi.txt

    2)
    Inquiétant le afesp.sys du coup...
    On va essayer de voir avec Gmer:

    Les logiciels d'émulation de CD ( comme Daemon Tools et autre ) peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

    * Télécharge Defogger (de jpshortstuff) sur ton Bureau
    http://www.jpshortstuff.247fixes.com/Defogger.exe
    * Lance le
    * Une fenêtre apparait : clique sur "Disable"
    * Fais redémarrer l'ordinateur si l'outil te le demande
    * Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"


    Télécharge Gmer. ([#006dff]Przemyslaw Gmerek
    )

  • Dézippe-le dans un dossier dédié ou sur ton Bureau.
  • Déconnecte toi d'Internet puis ferme tous les programmes.
  • Double-clique sur Gmer.exe.
    Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
  • Clique sur l'onglet Rootkit.
  • A droite, coche seulement Files, Services & Registry.
  • Clique maintenant sur Scan.
  • Lorsque le scan est terminé, clique sur Copy.
  • Ouvre le Bloc-notes puis clique sur le Menu Edition / Coller.
  • Le rapport doit alors apparaître.
  • Enregistre le fichier sur ton Bureau et poste le contenu ici.
    17 Août 2010 22:42:01

    Bon si tu avais pas deja compris, c'est pas moi qui te repond mais quelqu'un a qui j'ai prete mon compte donc je lui ai passe le compte non admin' :D 

    Merci en tout cas
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS