Votre question

Des infections

Tags :
  • Logiciels
  • Sécurité
Dernière réponse : dans Sécurité et virus
16 Juin 2010 14:18:29

Bonjour!

Je suis amené à créer un sujet ici, car je suis depuis quelques temps infecté par des virus. Après avoir été infecté une première fois l'autre jour suite à l'installation d'un jeu par mon frère il y a quelques temps, j'ai laissé un peu couler l'eau sous les ponts (et dieu sait qu'il en tombe en ce moment ^^), mais je crois qu'un autre (voir plusieurs sans doutes), se sont rajoutés par-dessus depuis que j'ai installé un logiciel "pirate" l'autre jour...
La première infection, me demande de cliquer sur OK plusieurs fois lorsque je clique droit sur des dossiers, quand je veux ouvrir la corbeille, ce genre de choses...
La deuxième me redirige parfois vers de fausses pages internet lorsque je surfe. Ex : Je suis sur la Fnac, une deuxième page Fnac s'ouvre, avec une adresse similaire mais modifiée, évidemment je me garde bien de commander en ces conditions... J'ai d'ailleurs effacé mes mots de passe préenregistrés, sait-on jamais, et encore rien ne me dit qu'ils ne sont pas utilisés :s
Donc j'aimerais tout simplement trouver une solution pour tout réparer tout ça :)  En gros, je fais les bêtises, et vous m'aidez à les rattraper... J'en suis désolé :/  Je me sens en fait pas trop chez moi sur mon ordi en ce moment, et j'avoue que c'est très désagréable :s
Mon antivirus (AVG Free) ne détecte rien...

Au passage, je tiens à vous remercier pour vos pages de conseils sur la sécurité que j'ai commencées de lire (j'ai pas énormément de temps en ce moment, révisions de bac oblige), que je compte lire assez rapidement pour enfin adopter des logiciels et habitudes de surf efficaces...

Par avance, merci!

Autres pages sur : infections

16 Juin 2010 15:53:21

Hello,


on va jeter un oiel sur ce PC ...


commence par faire ce qui suit pour avoir un diagnostique précis de la situation :


Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

-> http://telechargement.zebulon.fr/zhpdiag.html

!! déconnecte toi et ferme toutes tes applications en cours !!

  • Double-clique sur "ZHPDiag.exe" ( avec Vista/Seven faire clique droit / "executer en tant qu'admin..." ) pour lancer l'installation de l'outil et laisse toi guider. Ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" ( afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ).

  • A la fin de l'installe , laisse bien la case "executer ZHPDiag" cochée et clique sur "Terminer " > l'outil se lancera donc automatiquement .

  • Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite ( celui avec le tournevis ) :

    Une liste apparait dans l'encadré principal > coche toutes les lignes sauf les 045 et 061 ( important ! ) .

  • clique sur le bouton "calendrier" qui est en haut à droite : choisis 30 days

  • Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .

    > Laisses travailler l'outil ... ( cela peut-être relativement long )

  • Une fois terminé, le rapport obtenu ( ZHPDiag.txt ) est sauvegardé sur ton bureau.

    Puis ferme le programme ...


    > Pour me faire parvenir ce rapport, rends toi sur ce site : http://www.cijoint.fr/

  • Clique sur "parcourir" et va jusqu'au rapport ZHPDiag.txt qui est sauvegardé sur le bureau .
  • Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
  • Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....

    m
    0
    l
    16 Juin 2010 21:23:01

    Merci de ta réponse, je m'occupe de ça dès demain, je suis un peu chargé en ce moment, j'espère que ça ne pose pas de problème ?
    Je posterais un nouveau message dès que possible avec tout ce qui a été demandé dedans ;) 
    m
    0
    l
    Contenus similaires
    16 Juin 2010 21:39:00

    pas de soucis ...

    A demain avec le rapport demandé ...
    m
    0
    l
    17 Juin 2010 16:10:20

    On me demande d'accepter un "contrat" lors du scan, est-ce normal, dois-je accepter ?
    m
    0
    l
    17 Juin 2010 16:42:56

    re,


    pas d'inquiètude , c'est pour le fonctionnement du scan : accepte ! ... ;) 

    m
    0
    l
    17 Juin 2010 19:20:10

    Encore un soucis, je suis désolé que cette première manipulation se passe avec autant d'accrocs : je ne peux héberger le fichier, le site me met un message d'erreur! :s
    m
    0
    l
    17 Juin 2010 19:30:40

    re,

    quel message d'erreur ? ...

    tu as bien sauvegardé le rapport en " .txt " ? ... sinon recommence stp ....
    m
    0
    l
    17 Juin 2010 21:10:24

    J'ai essayé deux fois, je suis bien en .txt, ça ne marche pas... C'est un message de mon navigateur, les recommandations classiques, vérifier si ça vient du site ou bien de nous. Tu en as un autre éventuellement ?
    m
    0
    l
    18 Juin 2010 20:08:03

    Ça ne fonctionne pas non plus c'est assez impressionnant en fait... Possible qu'un virus ait prévu le coup, ou que ce soit lié ?!
    m
    0
    l
    21 Juin 2010 08:53:11

    hello,


    renomme le rapport en " .xls " ( au lieux de .txt ) et retente l'uplaod pour voir ...
    m
    0
    l
    21 Juin 2010 10:22:03

    Toujours pas :( 
    m
    0
    l
    21 Juin 2010 11:36:08

    re,


    essaye de zipper le rapport et d'uplaoder le .zip ....

    m
    0
    l
    22 Juin 2010 18:16:38

    re,


    c'était à prévoir ... infection assez coriace ! .... :sarcastic: 



    /!\ Pour le bon déroulement de la désinfection :
  • Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
  • N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
  • Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
  • Si tu as un quelconque problème, n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).

    =============================================================



    commence par faire ceci dans l'ordre :


    1- protocole à suivre pour Windows Vista :

  • Désactiver le "contrôle des comptes utilisateurs" ou UAC (le réactiver seulement à la fin de la désinfection) :

    Aller dans "démarrer" puis "panneau de configuration" :
    --->Sur la droite de la fenêtre , cliques sur " affichage classique "
    --->Double-Cliquer sur l'icône "Comptes d'utilisateurs"
    --->Cliquer ensuite sur "Activer ou désactiver le contrôle ..." .
    --->Décocher la case "utlisiser le contrôle ..." et cliquer sur OK .
    --->Redémarrer le PC !

    Tutos :
    http://pagesperso-orange.fr/NosTools/uac_vista.html
    http://forum.malekal.com/viewtopic.php?f=59&t=6517


  • Important :
    Pour installer ou pour lancer les outils, que tu utiliseras au court de la désinfection, fais toujours ainsi :
    clique DROIT ( sur le setup d'installe ou sur l'outil ) -> choisis " Exécuter entant qu'administrateur " .
    Fais ceci systématiquement ! ...


    une fois ceci fait et pris en compte , enchaine ...


    ==================================


    2- Utilisation de l'outil ZHPFix :

    * Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


    O63 - Logiciel: Ad-Remover By C_XX - (.C_XX.)
    O63 - Logiciel: Toolbar SD - (.IDN Team.)
    O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
    O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
    MBRFix



    > Puis Lance ZHPFix "en tant qu'admin ..." depuis le raccouci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    * Puis clique sur le bouton [ OK ] .
    > à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


    * Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

    * Enfin clique sur le bouton [ Nettoyer ] .


    -> laisse travailler l'outil et ne touche à rien ...


    Une fois terminée , un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

    ( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )


    Important : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le de suite !


    Pense à réactiver tes défenses une fois la procédure terminée !...


    ( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )


    ==================================

    3- Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :

    > http://www.sendspace.com/file/vlrnn3

    ( ske.exe = Combofix.exe préalablement renomé par mes soins pour contrer l'infection )


    >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
  • Ferme tes applications en cours ( ainsi que ton navigateur ) .
  • DESACTIVE TOUTES TES DEFENSES (anti-virus, garde anti spy-ware, pare-feu) le temps de la manipe.
    En effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !
    > Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
  • Tuto ( aide ) ici : http://www.bleepingcomputer.com/combofix/fr/comment-uti...
  • Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
    >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<


    Ensuite :
    > clique droit / "executer en tant qu'admin..." sur l'icône de ske.exe ( = Combofix ) pour lancer l'outil .
    > A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...


    Notes importantes :
    -> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
    -> si l'outil te dit qu'une version plus récente est disponible , accepte la mise à jour.
    -> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
    -> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes .
    -> Si après un reboot éventuel , ton antivirus s'affole lorsque travail encore Combofix , ignore les alertes ! ( ne supprime rien et ne mets rien en quarantaine )

    Le rapport sera crée ici : C:\Combofix.txt

    Réactive bien tes défenses .


    > Poste le rapport Combofix pour analyse et attends la suite ...
    m
    0
    l
    23 Juin 2010 19:12:54

    Avant de me lancer là-dedans dès que j'ai le temps, ce qui risque d'arriver assez tôt vu que j'ai du temps devant moi avec la fin du bac... Tu as marqué ceci :

    /!\ Pour le bon déroulement de la désinfection :

    * Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
    * N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
    * Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
    * Si tu as un quelconque problème, n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).

    C'est à dire, en gros, je ne dois plus utiliser mon PC à part pour le réparer si j'ai bien compris ?

    En tout cas merci d'avoir continué de m'aider, les débuts ont été assez difficiles pour se lancer :D 
    m
    0
    l
    23 Juin 2010 20:31:20

    Re,

    Citation :
    C'est à dire, en gros, je ne dois plus utiliser mon PC à part pour le réparer si j'ai bien compris ?



    -> oui ! ... sinon cela risque d'empirer très rapidement ! ...



    j'attends donc les rapports demandés ....


    et je te dis me**de pour les dernières épreuves du bac ... ;) 
    m
    0
    l
    24 Juin 2010 00:24:56

    Voilà, j'attaque maintenant que j'ai le temps, les épreuves sont terminées donc je vais pouvoir profiter un peu du temps libre pour remettre tout ça au clair, j'espère!

    J'ai lu intégralement ce que tu as marqué, et j'ai un doute sur ça avant de commencer :

    * Puis clique sur le bouton [ OK ] .
    > à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!

    Quand tu dis ne touche plus à rien, je vais savoir comment que je peux poursuivre ? Je préfère ne pas prendre de risque :D 
    m
    0
    l
    24 Juin 2010 00:34:40

    re,

    en faite c'est pour insister sur ce point > une fois que tu en es là , tu ne poursuis pas sans t'être déconnecté d'internet , avoir désactiver ton antivirus et stoper toutes applications éventuellement en cours ...


    et dé-stress ... les exam' , c'est finit ! ... :whistle: 



    m
    0
    l
    24 Juin 2010 11:06:15

    Je commence la procédure :)  En attendant, par simple curiosité, tu sais déjà comme ça de quels types de virus il peut s'agir, les risques j'encours, etc... ? (je vais flipper là ^^)

    EDIT J'ai accès à un autre ordinateur, ce qui m'a permis d'aller vérifier comment désactiver AVG Free, je te demande néanmoins confirmation avant :
    j'ouvre l'interface utilisateur, je double-clique sur "bouclier résident", puis je décoche la case "bouclier résident actif", et enfin je clique sur "enregistrer les modifications". C'est bien ça ?
    m
    0
    l
    24 Juin 2010 11:45:14

    re,


    c'est bien cela pour AVG ....


    pour l'infection principale , c'est un rootkit TDL 3 qui as donc pour bute de te renvoyer dès que tu navigues ( et surtout sur tes recherches Google ), vers des sites piégés, des sites frauduleux ou des arnaques ... :p 



    j'attends toujours les rapports !




    m
    0
    l
    24 Juin 2010 12:06:14

    Désolé de te faire attendre, mais je préfère vraiment prendre un maximum de précautions pour pas faire de gaffe :s ;) 

    ZHPFix v1.12.3108 by Nicolas Coolman - Rapport de suppression du 24/06/2010 11:57:25
    Fichier d'export Registre : C:\ZHPExportRegistry-24-06-2010-11-57-25.txt
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.ht...
    Contact : nicolascoolman@yahoo.fr

    Processus mémoire :
    (Néant)

    Module mémoire :
    (Néant)

    Clé du Registre :
    (Néant)

    Valeur du Registre :
    O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur supprimée avec succès
    O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente

    Elément de données du Registre :
    (Néant)

    Préférences navigateur :
    (Néant)

    Dossier :
    C:\ToolBar SD => Supprimé et mis en quarantaine

    Fichier :
    c:\tb.txt => Supprimé et mis en quarantaine

    Logiciel :
    O63 - Logiciel: Ad-Remover By C_XX - (.C_XX.) => Logiciel supprimé avec succès

    Script Registre :
    (Néant)

    Master Boot Record :
    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x919D1EC5]<<
    kernel: MBR read successfully
    detected MBR rootkit hooks:
    \Driver\atapi -> 0x8521e1f8
    Warning: possible MBR rootkit infection !
    user & kernel MBR OK
    Use "Recovery Console" command "fixmbr" to clear infection !

    Resultat après le fix :
    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK

    Autre :
    (Néant)


    Récapitulatif :
    Processus mémoire : 0
    Module mémoire : 0
    Clé du Registre : 0
    Valeur du Registre : 2
    Elément de données du Registre : 0
    Dossier : 1
    Fichier : 1
    Logiciel : 1
    Master Boot Record : 19
    Préférences navigateur : 0
    Autre : 0


    End of the scan
    m
    0
    l
    24 Juin 2010 12:12:07

    re,

    Citation :
    Désolé de te faire attendre



    t'inquète , tu ne fais point attendre du tout ... ;) 


    je dis ça pour te motiver à te lancer ... :p 



    impec pour ZHPFix ... la suite donc ...
    m
    0
    l
    24 Juin 2010 13:35:49

    Soucis pour réactiver AVG, voici un screen :
    http://www.sendspace.com/file/8rgtoq

    Pour le reste, voici le rapport :


    ComboFix 10-06-21.03 - Niouki 24/06/2010 12:54:22.1.2 - x86
    Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.2046.1037 [GMT 2:00]
    Lancé depuis: c:\users\Niouki\Desktop\ske.exe
    SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
    * Un nouveau point de restauration a été créé
    .

    ((((((((((((((((((((((((((((( Fichiers créés du 2010-05-24 au 2010-06-24 ))))))))))))))))))))))))))))))))))))
    .

    2010-06-24 11:10 . 2010-06-24 11:11 -------- d-----w- c:\users\Niouki\AppData\Local\temp
    2010-06-24 11:10 . 2010-06-24 11:10 -------- d-----w- c:\users\Default\AppData\Local\temp
    2010-06-17 14:02 . 2010-06-24 09:57 -------- d-----w- c:\program files\ZHPDiag
    2010-06-11 11:13 . 2010-06-11 11:13 95024 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
    2010-06-11 11:03 . 2010-06-16 11:45 -------- d-----w- c:\programdata\Lavasoft
    2010-06-10 11:44 . 2010-06-11 10:51 -------- d-----w- c:\programdata\Spybot - Search & Destroy
    2010-06-10 11:44 . 2010-06-11 10:51 -------- d-----w- c:\program files\Spybot - Search & Destroy
    2010-05-29 09:22 . 2010-06-18 16:34 -------- d-----w- c:\users\Niouki\AppData\Roaming\vlc
    2010-05-26 15:55 . 2010-05-26 15:55 -------- d-----w- c:\program files\Common Files\Java
    2010-05-26 15:54 . 2010-04-12 15:29 411368 ----a-w- c:\windows\system32\deployJava1.dll
    2010-05-26 12:21 . 2010-04-23 14:13 2048 ----a-w- c:\windows\system32\tzres.dll

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-06-24 10:59 . 2006-11-02 15:48 669566 ----a-w- c:\windows\system32\perfh00C.dat
    2010-06-24 10:59 . 2006-11-02 15:48 123556 ----a-w- c:\windows\system32\perfc00C.dat
    2010-06-23 17:42 . 2010-03-04 19:09 0 ----a-w- c:\users\Niouki\AppData\Local\prvlcl.dat
    2010-06-08 19:25 . 2009-12-20 17:50 -------- d-----w- c:\program files\Guitar Pro 5
    2010-06-05 10:55 . 2009-07-22 19:43 -------- d-----w- c:\program files\Microsoft Silverlight
    2010-06-04 13:47 . 2009-11-11 10:57 242896 ----a-w- c:\windows\system32\drivers\avgtdix.sys
    2010-06-04 13:47 . 2009-11-11 10:57 29584 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
    2010-05-26 15:54 . 2010-05-26 15:54 0 ----a-w- c:\windows\system32\RENDDB3.tmp
    2010-05-26 15:54 . 2010-05-26 15:54 0 ----a-w- c:\windows\system32\RENDDB2.tmp
    2010-05-26 15:54 . 2010-05-26 15:54 0 ----a-w- c:\windows\system32\RENDDB1.tmp
    2010-05-26 15:54 . 2009-07-01 08:12 -------- d-----w- c:\program files\Java
    2010-05-23 19:51 . 2010-05-23 19:51 50354 ----a-w- c:\users\Niouki\AppData\Roaming\Facebook\uninstall.exe
    2010-05-23 19:51 . 2010-02-03 20:01 -------- d-----w- c:\users\Niouki\AppData\Roaming\Facebook
    2010-05-17 18:13 . 2009-06-30 20:51 -------- d-----w- c:\program files\Windows Live
    2010-05-13 09:46 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
    2010-05-09 12:40 . 2010-05-09 12:40 -------- d-----w- c:\program files\Microsoft Sync Framework
    2010-05-09 12:39 . 2010-05-09 12:39 -------- d-----w- c:\program files\Microsoft
    2010-05-09 12:38 . 2010-05-09 12:38 -------- d-----w- c:\program files\Common Files\Windows Live
    2010-04-28 14:47 . 2010-04-28 14:46 -------- d-----w- c:\program files\iTunes
    2010-04-28 14:46 . 2010-04-28 14:46 -------- d-----w- c:\program files\iPod
    2010-04-28 14:46 . 2009-07-23 11:05 -------- d-----w- c:\program files\Common Files\Apple
    2010-04-28 14:43 . 2009-07-23 11:08 -------- d-----w- c:\program files\Bonjour
    2010-04-24 16:33 . 2010-04-24 16:33 73000 ----a-w- c:\programdata\Apple Computer\Installer Cache\iTunes 9.1.1.11\SetupAdmin.exe
    2010-04-16 23:28 . 2010-04-16 23:28 307056 ----a-w- c:\windows\WLXPGSS.SCR
    2010-04-16 20:12 . 2010-04-16 20:12 48464 ----a-w- c:\windows\system32\sirenacm.dll
    2010-04-08 11:20 . 2010-04-08 11:20 91424 ----a-w- c:\windows\system32\dnssd.dll
    2010-04-08 11:20 . 2010-04-08 11:20 107808 ----a-w- c:\windows\system32\dns-sd.exe
    2010-04-06 17:11 . 2010-04-06 15:15 1086 ----a-w- C:\UsbFix_Upload_Me_PC-de-Niouki.zip
    2010-04-06 09:33 . 2010-04-06 09:33 94208 ----a-w- c:\windows\amcap.exe
    2010-04-04 08:47 . 2009-07-10 21:17 1 ----a-w- c:\users\Niouki\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
    2010-03-29 22:46 . 2010-04-07 13:27 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-03-29 22:45 . 2010-04-07 13:27 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
    "ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
    "Google Update"="c:\users\Niouki\AppData\Local\Google\Update\GoogleUpdate.exe" [2009-12-21 135664]
    "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Smart Watch Dog"="-c:\program files\Compal Electronics" [X]
    "Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
    "RtHDVCpl"="RtHDVCpl.exe" [2007-04-10 4431872]
    "WLSS"="c:\program files\Compal\Wireless Select Switch\WLSS.exe" [2007-03-29 190000]
    "snp2uvc"="c:\windows\vsnp2uvc.exe" [2006-12-29 569344]
    "Wow Video&Audio"="c:\program files\Compal\Wow Video&Audio\WVAMain.exe" [2007-04-12 947760]
    "ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2004-08-09 81920]
    "SmtLauncher"="c:\program files\Compal\Smart Tracing\SmLaunch.exe" [2007-04-12 13312]
    "IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2006-04-23 174872]
    "SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe" [2009-05-05 1466368]
    "NvSvc"="c:\windows\system32\nvsvc.dll" [2008-01-11 92704]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-01-11 8534560]
    "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-01-11 88608]
    "AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-06-04 2065248]
    "SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
    "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]
    "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]
    "NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-04-24 142120]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "EnableLUA"= 0 (0x0)
    "EnableUIADesktopToggle"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
    "HonorAutoRunSetting"= 0 (0x0)

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
    "HonorAutoRunSetting"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=c:\windows\System32\avgrsstx.dll

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
    @="Service"

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
    "VistaSp2"=hex(b):c9,a7,46,dc,0a,54,ca,01

    R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\Drivers\avgldx86.sys [2010-03-13 216200]
    R2 ATE_PROCMON;ATE_PROCMON;c:\program files\Anti Trojan Elite\ATEPMon.sys [x]
    R2 avg9emc;AVG Free E-mail Scanner;c:\program files\AVG\AVG9\avgemc.exe [2010-03-13 916760]
    R3 ActionReplayDS;ActionReplayDS;c:\windows\system32\Drivers\ActionReplayDS.sys [2007-02-08 29184]
    R4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys [2009-12-20 691696]
    S0 EMSC;COMPAL Embedded System Control;c:\windows\system32\DRIVERS\EMSC.SYS [2007-02-13 11776]
    S1 AvgTdiX;AVG Free Network Redirector;c:\windows\system32\Drivers\avgtdix.sys [2010-06-04 242896]
    S2 avg9wd;AVG Free WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [2010-03-13 308064]
    S2 Smart Watchdog;Smart Watchdog Service;c:\program files\Compal Electronics, INC\Smart Watchdog\SWDsvc.exe [2007-04-19 114688]
    S3 b57nd60x;%SvcDispName%;c:\windows\system32\DRIVERS\b57nd60x.sys [2008-01-19 179712]
    S3 CamFilter;CamFilter;c:\windows\system32\Drivers\CamFilter.sys [2009-06-30 17408]
    S3 enecir;ENE CIR Receiver;c:\windows\system32\DRIVERS\enecir.sys [2007-03-07 32256]


    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
    HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
    .
    Contenu du dossier 'Tâches planifiées'

    2010-06-23 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4271400101-1776489150-3921235929-1000Core.job
    - c:\users\Niouki\AppData\Local\Google\Update\GoogleUpdate.exe [2009-12-21 18:19]

    2010-06-24 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4271400101-1776489150-3921235929-1000UA.job
    - c:\users\Niouki\AppData\Local\Google\Update\GoogleUpdate.exe [2009-12-21 18:19]
    .
    .
    ------- Examen supplémentaire -------
    .
    mWindow Title =
    uInternet Settings,ProxyOverride = *.local
    FF - ProfilePath - c:\users\Niouki\AppData\Roaming\Mozilla\Firefox\Profiles\x0dy2hkl.default\
    FF - prefs.js: browser.startup.homepage - www.google.fr
    FF - prefs.js: keyword.URL - hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navcli...
    FF - component: c:\program files\AVG\AVG9\Firefox\components\avgssff.dll
    FF - plugin: c:\program files\Java\jre6\bin\npdeployJava1.dll
    FF - plugin: c:\program files\Java\jre6\bin\npjpi160_20.dll
    FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
    FF - plugin: c:\programdata\id Software\QuakeLive\npquakezero.dll
    FF - plugin: c:\users\Niouki\AppData\Local\Google\Update\1.2.183.29\npGoogleOneClick8.dll
    FF - plugin: c:\users\Niouki\AppData\Roaming\Facebook\npfbplugin_1_0_1.dll
    FF - plugin: c:\users\Niouki\AppData\Roaming\Facebook\npfbplugin_1_0_3.dll
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

    ---- PARAMETRES FIREFOX ----
    FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 10);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    HKCU-Run-Anti Trojan Elite - c:\program files\Anti Trojan Elite\TJEnder.exe
    HKLM-Run-SMBTray - c:\program files\Compal\Smart Battery\SMBTray.exe
    AddRemove-Action Replay Code Manager_is1 - c:\program files\Datel\Action Replay Code Manager\unins000.exe
    AddRemove-Adobe_32e9033392a51340b32fdc6ad893ab7 - c:\program files\Common Files\Adobe\Installers\32e9033392a51340b32fdc6ad893ab7\Setup.exe
    AddRemove-Audacity_is1 - c:\program files\Audacity\unins000.exe
    AddRemove-AxCrypt - c:\program files\Axon Data\AxCrypt\AxCryptU.exe
    AddRemove-eMule - c:\program files\eMule\Uninstall.exe
    AddRemove-GeoGebra - c:\program files\GeoGebra\UninstallerData\Uninstaller.exe
    AddRemove-Google Updater - c:\program files\Google\Google Updater\GoogleUpdater.exe
    AddRemove-Insaniquarium_Deluxe_1.0 - c:\windows\iun6002.exe
    AddRemove-InstallShield_{065A7AFE-195D-4DFB-A4B2-A83842C0F79F} - c:\progra~1\COMMON~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe
    AddRemove-InstallShield_{14F7C0A0-64AA-4EBB-A836-E36232FD8B55} - c:\progra~1\COMMON~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe
    AddRemove-InstallShield_{449A16C4-83B3-426C-AA4A-00A34E80C093} - c:\progra~1\COMMON~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe
    AddRemove-InstallShield_{485775E8-AEB8-46BD-922B-242879E03DD5} - c:\progra~1\COMMON~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe
    AddRemove-InstallShield_{7243A264-7401-445E-99E6-2CC334960047} - c:\progra~1\COMMON~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe
    AddRemove-InstallShield_{85B9124A-7EE0-4A60-B141-B233124E7DBD} - c:\progra~1\COMMON~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe
    AddRemove-InstallShield_{F408DA6B-DA75-4D95-B87D-49AFF0B4EBB0} - c:\progra~1\COMMON~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe
    AddRemove-Messenger Plus! Live - c:\program files\Messenger Plus! Live\Uninstall.exe
    AddRemove-Notepad++ - c:\program files\Notepad++\uninstall.exe
    AddRemove-Steam App 3483 - c:\program files\Steam\steam.exe
    AddRemove-UnderCoverXP_is1 - c:\program files\UnderCoverXP\unins000.exe
    AddRemove-Urban Terror_is1 - c:\program files\UrbanTerror\unins000.exe
    AddRemove-Youtube Music Downloader_is1 - c:\youtubemusicdownloader\unins000.exe
    AddRemove-{399C37FB-08AF-493B-BFED-20FBD85EDF7F} - c:\program files\InstallShield Installation Information\{399C37FB-08AF-493B-BFED-20FBD85EDF7F}\setup.exe
    AddRemove-{86D3D561-D1FD-4d57-8395-20030467E0F9} - c:\program files\HP\Digital Imaging\{86D3D561-D1FD-4d57-8395-20030467E0F9}\setup\hpzscr01.exe
    AddRemove-{909F8EBC-EC7F-48FF-0085-475D818F0F31} - c:\mes documents\Need for Speed Underground 2\EA GAMES\Need for Speed Underground 2\EAUninstall.exe
    AddRemove-{e960f870-9e13-4163-ba8a-e544e904de15} - c:\program files\Common Files\Nero\Nero ProductInstaller 4\SetupX.exe
    AddRemove-CodeBlocks - c:\program files\CodeBlocks\uninstall.exe



    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-06-24 13:11
    Windows 6.0.6002 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x911A3EC5]<<
    kernel: MBR read successfully
    detected MBR rootkit hooks:
    \Driver\Disk -> CLASSPNP.SYS @ 0x88ab2d24
    \Driver\ACPI -> acpi.sys @ 0x8324dd68
    \Driver\atapi -> ataport.SYS @ 0x884d2a2c
    \Driver\iaStor -> iaStor.sys @ 0x88411c1a
    IoDeviceObjectType ->\Device\Harddisk0\DR0 ->user & kernel MBR OK

    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    "MSCurrentCountry"=dword:000000b5
    .
    Heure de fin: 2010-06-24 13:13:44
    ComboFix-quarantined-files.txt 2010-06-24 11:13

    Avant-CF: 12 528 140 288 octets libres
    Après-CF: 12 480 720 896 octets libres

    - - End Of File - - A1CADF1B898D0FF726490F282073A4D8
    m
    0
    l
    24 Juin 2010 13:46:51

    bon ...


    pour AVG , t'inquète ... au prochaine rebbot tu y auras accès ...



    Mais il faut arriver à dénicher quels sont le(s) fichier(s) systeme patché(s) par l'infection ...



    il me faut plus d'info donc ... fait ce qui suit :



    Télécharge gmer sur le bureau :

    http://cjoint.com/?gynSYPboH2

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe ( naviguateurs compris ) !!

    * clique droit / 'executer en tant qu'admin..." sur ..._gmer.exe pour lancer l'outil.
    * Met toi bien sur l'onglet "rootkit".
    * A droite, au niveau des options , vérifie que TOUT soit coché .
    * puis clique sur scan .

    > laisse travailler et ne touche à rien ! ( cela est relativement long, donc patience ... )

    * A la fin du scan, clique sur le bouton copy.
    * Puis va dans le menu "démarrer"> "programmes" > accessoires : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note.

    > poste le contenu du rapport via "Cijoint" ( ou "SendSpace" ) si possible stp ...
    m
    0
    l
    24 Juin 2010 16:06:38

    très bien ...


    j'ai le fichier patché ... ;) 


    maintenant il me faut savoir où dénicher sur le PC un fichier saint pour le remplacer ...


    fait ceci donc :


    Télécharge SEAF ( de C__XX ) sur ton bureau :

    ici http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe
    ou ici http://forum-aide-contre-virus.be/download/C_XX/SEAF.ex...

    ! Ferme toutes applications en cours !

  • clique droit / "executer en tant qu'admin..." sur "SEAF.exe" ( clique droit et "Exécuter en tant qu'administrateur" pour Vista / 7 ) pour lancer l'outil.
  • Dans l'encardré blanc " Entrez ci dessous...." copie/colle ceci :


    netbt.sys


  • Au niveau des "options des fichiers ", fait les réglages suivant :
    > A "Calculer le checksum" , choisis : MD5
    > Coche la case devant " Info. supplémentaire ".
    > Coche la case devant " Afficher les ADS "

    ( ne touche à aucun autre réglage )

  • Clique sur " Lancer la recherche " et laisse travailler l'outil ...

    ( cela peut-être plus ou moins long suivant les cas ).

    --> Une fois terminé, une fenêtre avec un log .txt va s'afficher. Enregistre ce rapport de façon à le retrouver facilement ( sur le bureau par exemple ). Sinon il sera en outre sauvegardé à la racine de ton disque dur ( ici > C:\SEAFLog.txt )

    --> Copie/colle le contenu de ce rapport dans ta prochaine réponse . Si le rapport est trop long, utilise le site d'uplaod "Cijoint" pour me le faire parvenir > http://www.cijoint.fr/
    m
    0
    l
    24 Juin 2010 17:38:23

    Raooirt SEAFlog :

    1. ========================= SEAF 1.0.0.7 - C_XX
    2.
    3. Commencé à: 17:36:27 le 24/06/2010
    4.
    5. Valeur(s) recherchée(s):
    6.
    7. netbt.sys
    8.
    9. (!) --- Calcul du Hash "MD5"
    10. (!) --- Affichage des ADS
    11. (!) --- Informations supplémentaires
    12.
    13. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
    14.
    15. "c:\Windows\winsxs\x86_microsoft-windows-netbt_31bf3856ad364e35_6.0.6002.18005_none_6250416df465f2b1\netbt.sys" [ ----A---- | 185856 ]
    16. TC: 21/10/2009,12:39:59 | TM: 11/04/2009,06:45:37 | DA: 21/10/2009,12:39:59
    17. MD5: ecd64230a59cbd93c85f1cd1cab9f3f6
    18.
    19.
    20. CompagnyName: Microsoft Corporation
    21. ProductName: Microsoft® Windows® Operating System
    22. InternalName: netbt.sys
    23. OriginalFilename: netbt.sys
    24. LegalCopyright: © Microsoft Corporation. All rights reserved.
    25. ProductVersion: 6.0.6002.18005
    26. FileVersion: 6.0.6002.18005 (lh_sp2rtm.090410-1830)
    27.
    28. =========================
    29.
    30. "c:\Windows\winsxs\x86_microsoft-windows-netbt_31bf3856ad364e35_6.0.6001.18000_none_6064c861f7442765\netbt.sys" [ ----A---- | 184320 ]
    31. TC: 05/07/2009,11:38:44 | TM: 19/01/2008,07:55:35 | DA: 05/07/2009,11:38:44
    32. MD5: 7c5fee5b1c5728507cd96fb4a13e7a02
    33.
    34.
    35. CompagnyName: Microsoft Corporation
    36. ProductName: Microsoft® Windows® Operating System
    37. InternalName: netbt.sys
    38. OriginalFilename: netbt.sys
    39. LegalCopyright: © Microsoft Corporation. All rights reserved.
    40. ProductVersion: 6.0.6001.18000
    41. FileVersion: 6.0.6001.18000 (longhorn_rtm.080118-1840)
    42.
    43. =========================
    44.
    45. "c:\Windows\winsxs\x86_microsoft-windows-netbt_31bf3856ad364e35_6.0.6000.16386_none_5e2e0665fa591691\netbt.sys" [ ----A---- | 184320 ]
    46. TC: 02/11/2006,10:57:20 | TM: 02/11/2006,10:57:20 | DA: 02/11/2006,12:43:10
    47. MD5: e3a168912e7eefc3bd3b814720d68b41
    48.
    49.
    50. CompagnyName: Microsoft Corporation
    51. ProductName: Microsoft® Windows® Operating System
    52. InternalName: netbt.sys
    53. OriginalFilename: netbt.sys
    54. LegalCopyright: © Microsoft Corporation. All rights reserved.
    55. ProductVersion: 6.0.6000.16386
    56. FileVersion: 6.0.6000.16386 (vista_rtm.061101-2205)
    57.
    58. =========================
    59.
    60. "c:\Windows\winsxs\Backup\x86_microsoft-windows-netbt_31bf3856ad364e35_6.0.6002.18005_none_6250416df465f2b1_netbt.sys_9226f314" [ ----A---- | 185856 ]
    61. TC: 23/10/2009,19:55:32 | TM: 23/10/2009,18:38:53 | DA: 23/10/2009,18:38:53
    62. MD5: ecd64230a59cbd93c85f1cd1cab9f3f6
    63.
    64.
    65. CompagnyName: Microsoft Corporation
    66. ProductName: Microsoft® Windows® Operating System
    67. InternalName: netbt.sys
    68. OriginalFilename: netbt.sys
    69. LegalCopyright: © Microsoft Corporation. All rights reserved.
    70. ProductVersion: 6.0.6002.18005
    71. FileVersion: 6.0.6002.18005 (lh_sp2rtm.090410-1830)
    72.
    73. =========================
    74.
    75. "c:\Windows\System32\drivers\netbt.sys" [ ----A---- | 185856 ]
    76. TC: 21/10/2009,12:39:59 | TM: 11/04/2009,06:45:37 | DA: 21/10/2009,12:39:59
    77. MD5: ecd64230a59cbd93c85f1cd1cab9f3f6
    78.
    79.
    80. CompagnyName: Microsoft Corporation
    81. ProductName: Microsoft® Windows® Operating System
    82. InternalName: netbt.sys
    83. OriginalFilename: netbt.sys
    84. LegalCopyright: © Microsoft Corporation. All rights reserved.
    85. ProductVersion: 6.0.6002.18005
    86. FileVersion: 6.0.6002.18005 (lh_sp2rtm.090410-1830)
    87.
    88. =========================
    89.
    90. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
    91.
    92. Aucun dossier trouvé
    93.
    94. =========================
    95.
    96. Fin à: 17:36:47 le 24/06/2010 ( E.O.F )
    m
    0
    l
    24 Juin 2010 18:12:46

    bien ....




    fait ceci dans un premier temps :



    1- Créer un doc texte sur ton bureau :
  • Pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

  • Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :


    KillAll::

    File::
    c:\users\Niouki\AppData\Local\prvlcl.dat
    c:\windows\system32\RENDDB3.tmp
    c:\windows\system32\RENDDB2.tmp
    c:\windows\system32\RENDDB1.tmp
    C:\UsbFix_Upload_Me_PC-de-Niouki.zip

    Folder::
    c:\programdata\Spybot - Search & Destroy
    c:\program files\Spybot - Search & Destroy

    Fcopy::
    c:\Windows\winsxs\x86_microsoft-windows-netbt_31bf3856ad364e35_6.0.6002.18005_none_6250416df465f2b1\netbt.sys | c:\ske1.bak

    Mbr::



  • Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : CFScript puis valide ...



    2- Nettoyage :

    !! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

    --> Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

    Regarde ici :


    Cette manipulation va relancer Combofix !

    Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

    ! Ne touches à rien tant que le scan n'est pas terminé !

    Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    -> Une fois le scan achevé, un rapport va s'afficher : poste le via "Cijoint" pour analyse ...


    ( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

    m
    0
    l
    24 Juin 2010 19:19:22

    Je ne peux plus utiliser IE, FF, google chrome, quand je veux les lancer on me dit : tentative d'opération non autorisée sur une clé du registre marquée pour suppression

    Donc pas facile de poster le rapport :s
    m
    0
    l
    24 Juin 2010 20:34:33

    re,


    reboot le PC ... normalement cela devrait débloquer la situation ....


    puis poste moi le rapport ...
    m
    0
    l
    25 Juin 2010 12:57:07

    Hum j'ai rebooté et en effet ça fonctionne! Il me semble que c'était ce rapport le voici :

    ComboFix 10-06-21.03 - Niouki 24/06/2010 18:36:58.2.2 - x86
    Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.2046.1144 [GMT 2:00]
    Lancé depuis: c:\users\Niouki\Desktop\ske.exe
    Commutateurs utilisés :: c:\users\Niouki\Desktop\CFScript.txt
    SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
    * Un nouveau point de restauration a été créé

    FILE ::
    "C:\UsbFix_Upload_Me_PC-de-Niouki.zip"
    "c:\users\Niouki\AppData\Local\prvlcl.dat"
    "c:\windows\system32\RENDDB1.tmp"
    "c:\windows\system32\RENDDB2.tmp"
    "c:\windows\system32\RENDDB3.tmp"
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\program files\Spybot - Search & Destroy
    c:\program files\Spybot - Search & Destroy\advcheck.dll
    c:\program files\Spybot - Search & Destroy\SDWinSec.exe
    c:\program files\Spybot - Search & Destroy\TeaTimer.exe
    c:\programdata\Spybot - Search & Destroy
    c:\programdata\Spybot - Search & Destroy\Logs\Checks.100610-1347.log
    c:\programdata\Spybot - Search & Destroy\Logs\Checks.100610-1423.txt
    c:\programdata\Spybot - Search & Destroy\Logs\Checks.100610-1446.log
    c:\programdata\Spybot - Search & Destroy\Logs\Checks.100610-1446.txt
    c:\programdata\Spybot - Search & Destroy\Logs\Checks.100610-1455.log
    c:\programdata\Spybot - Search & Destroy\Logs\Checks.100610-1527.txt
    c:\programdata\Spybot - Search & Destroy\ProcCache.sbc
    C:\UsbFix_Upload_Me_PC-de-Niouki.zip
    c:\users\Niouki\AppData\Local\prvlcl.dat
    c:\windows\system32\RENDDB1.tmp
    c:\windows\system32\RENDDB2.tmp
    c:\windows\system32\RENDDB3.tmp

    Une copie infectée de c:\windows\system32\drivers\netbt.sys a été trouvée et désinfectée
    Copie restaurée à partir de - Kitty had a snack :p 
    .
    --------------- FCopy ---------------

    c:\windows\winsxs\x86_microsoft-windows-netbt_31bf3856ad364e35_6.0.6002.18005_none_6250416df465f2b1\netbt.sys --> c:\ske1.bak
    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-05-24 au 2010-06-24 ))))))))))))))))))))))))))))))))))))
    .

    2010-06-24 16:44 . 2010-06-24 16:45 -------- d-----w- c:\users\Niouki\AppData\Local\temp
    2010-06-24 16:44 . 2010-06-24 16:44 -------- d-----w- c:\users\Public\AppData\Local\temp
    2010-06-24 16:44 . 2010-06-24 16:44 -------- d-----w- c:\users\Default\AppData\Local\temp
    2010-06-24 15:36 . 2010-06-24 15:36 -------- d-----w- c:\program files\SEAF
    2010-06-17 14:02 . 2010-06-24 09:57 -------- d-----w- c:\program files\ZHPDiag
    2010-06-11 11:13 . 2010-06-11 11:13 95024 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
    2010-06-11 11:03 . 2010-06-16 11:45 -------- d-----w- c:\programdata\Lavasoft
    2010-05-29 09:22 . 2010-06-18 16:34 -------- d-----w- c:\users\Niouki\AppData\Roaming\vlc
    2010-05-26 15:55 . 2010-05-26 15:55 -------- d-----w- c:\program files\Common Files\Java
    2010-05-26 15:54 . 2010-04-12 15:29 411368 ----a-w- c:\windows\system32\deployJava1.dll
    2010-05-26 12:21 . 2010-04-23 14:13 2048 ----a-w- c:\windows\system32\tzres.dll

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-06-24 16:40 . 2006-11-02 15:48 669566 ----a-w- c:\windows\system32\perfh00C.dat
    2010-06-24 16:40 . 2006-11-02 15:48 123556 ----a-w- c:\windows\system32\perfc00C.dat
    2010-06-08 19:25 . 2009-12-20 17:50 -------- d-----w- c:\program files\Guitar Pro 5
    2010-06-05 10:55 . 2009-07-22 19:43 -------- d-----w- c:\program files\Microsoft Silverlight
    2010-06-04 13:47 . 2009-11-11 10:57 242896 ----a-w- c:\windows\system32\drivers\avgtdix.sys
    2010-06-04 13:47 . 2009-11-11 10:57 29584 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
    2010-05-26 15:54 . 2009-07-01 08:12 -------- d-----w- c:\program files\Java
    2010-05-23 19:51 . 2010-05-23 19:51 50354 ----a-w- c:\users\Niouki\AppData\Roaming\Facebook\uninstall.exe
    2010-05-23 19:51 . 2010-02-03 20:01 -------- d-----w- c:\users\Niouki\AppData\Roaming\Facebook
    2010-05-17 18:13 . 2009-06-30 20:51 -------- d-----w- c:\program files\Windows Live
    2010-05-13 09:46 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
    2010-05-09 12:40 . 2010-05-09 12:40 -------- d-----w- c:\program files\Microsoft Sync Framework
    2010-05-09 12:39 . 2010-05-09 12:39 -------- d-----w- c:\program files\Microsoft
    2010-05-09 12:38 . 2010-05-09 12:38 -------- d-----w- c:\program files\Common Files\Windows Live
    2010-04-28 14:47 . 2010-04-28 14:46 -------- d-----w- c:\program files\iTunes
    2010-04-28 14:46 . 2010-04-28 14:46 -------- d-----w- c:\program files\iPod
    2010-04-28 14:46 . 2009-07-23 11:05 -------- d-----w- c:\program files\Common Files\Apple
    2010-04-28 14:43 . 2009-07-23 11:08 -------- d-----w- c:\program files\Bonjour
    2010-04-24 16:33 . 2010-04-24 16:33 73000 ----a-w- c:\programdata\Apple Computer\Installer Cache\iTunes 9.1.1.11\SetupAdmin.exe
    2010-04-16 23:28 . 2010-04-16 23:28 307056 ----a-w- c:\windows\WLXPGSS.SCR
    2010-04-16 20:12 . 2010-04-16 20:12 48464 ----a-w- c:\windows\system32\sirenacm.dll
    2010-04-08 11:20 . 2010-04-08 11:20 91424 ----a-w- c:\windows\system32\dnssd.dll
    2010-04-08 11:20 . 2010-04-08 11:20 107808 ----a-w- c:\windows\system32\dns-sd.exe
    2010-04-06 09:33 . 2010-04-06 09:33 94208 ----a-w- c:\windows\amcap.exe
    2010-04-04 08:47 . 2009-07-10 21:17 1 ----a-w- c:\users\Niouki\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
    2010-03-29 22:46 . 2010-04-07 13:27 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-03-29 22:45 . 2010-04-07 13:27 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
    "ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
    "Google Update"="c:\users\Niouki\AppData\Local\Google\Update\GoogleUpdate.exe" [2009-12-21 135664]
    "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Smart Watch Dog"="-c:\program files\Compal Electronics" [X]
    "Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
    "RtHDVCpl"="RtHDVCpl.exe" [2007-04-10 4431872]
    "WLSS"="c:\program files\Compal\Wireless Select Switch\WLSS.exe" [2007-03-29 190000]
    "snp2uvc"="c:\windows\vsnp2uvc.exe" [2006-12-29 569344]
    "Wow Video&Audio"="c:\program files\Compal\Wow Video&Audio\WVAMain.exe" [2007-04-12 947760]
    "ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2004-08-09 81920]
    "SmtLauncher"="c:\program files\Compal\Smart Tracing\SmLaunch.exe" [2007-04-12 13312]
    "IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2006-04-23 174872]
    "SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe" [2009-05-05 1466368]
    "NvSvc"="c:\windows\system32\nvsvc.dll" [2008-01-11 92704]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-01-11 8534560]
    "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-01-11 88608]
    "AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-06-04 2065248]
    "SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
    "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]
    "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]
    "NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-04-24 142120]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "EnableLUA"= 0 (0x0)
    "EnableUIADesktopToggle"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
    "HonorAutoRunSetting"= 0 (0x0)

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
    "HonorAutoRunSetting"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=c:\windows\System32\avgrsstx.dll

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
    @="Service"

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
    "VistaSp2"=hex(b):c9,a7,46,dc,0a,54,ca,01

    R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\Drivers\avgldx86.sys [2010-03-13 216200]
    R2 ATE_PROCMON;ATE_PROCMON;c:\program files\Anti Trojan Elite\ATEPMon.sys [x]
    R2 avg9emc;AVG Free E-mail Scanner;c:\program files\AVG\AVG9\avgemc.exe [2010-03-13 916760]
    R3 ActionReplayDS;ActionReplayDS;c:\windows\system32\Drivers\ActionReplayDS.sys [2007-02-08 29184]
    R4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys [2009-12-20 691696]
    S0 EMSC;COMPAL Embedded System Control;c:\windows\system32\DRIVERS\EMSC.SYS [2007-02-13 11776]
    S1 AvgTdiX;AVG Free Network Redirector;c:\windows\system32\Drivers\avgtdix.sys [2010-06-04 242896]
    S2 avg9wd;AVG Free WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [2010-03-13 308064]
    S2 Smart Watchdog;Smart Watchdog Service;c:\program files\Compal Electronics, INC\Smart Watchdog\SWDsvc.exe [2007-04-19 114688]
    S3 b57nd60x;%SvcDispName%;c:\windows\system32\DRIVERS\b57nd60x.sys [2008-01-19 179712]
    S3 CamFilter;CamFilter;c:\windows\system32\Drivers\CamFilter.sys [2009-06-30 17408]
    S3 enecir;ENE CIR Receiver;c:\windows\system32\DRIVERS\enecir.sys [2007-03-07 32256]


    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
    HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
    .
    Contenu du dossier 'Tâches planifiées'

    2010-06-23 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4271400101-1776489150-3921235929-1000Core.job
    - c:\users\Niouki\AppData\Local\Google\Update\GoogleUpdate.exe [2009-12-21 18:19]

    2010-06-24 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4271400101-1776489150-3921235929-1000UA.job
    - c:\users\Niouki\AppData\Local\Google\Update\GoogleUpdate.exe [2009-12-21 18:19]
    .
    .
    ------- Examen supplémentaire -------
    .
    mWindow Title =
    uInternet Settings,ProxyOverride = *.local
    FF - ProfilePath - c:\users\Niouki\AppData\Roaming\Mozilla\Firefox\Profiles\x0dy2hkl.default\
    FF - prefs.js: browser.startup.homepage - www.google.fr
    FF - prefs.js: keyword.URL - hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navcli...
    FF - component: c:\program files\AVG\AVG9\Firefox\components\avgssff.dll
    FF - plugin: c:\program files\Java\jre6\bin\npdeployJava1.dll
    FF - plugin: c:\program files\Java\jre6\bin\npjpi160_20.dll
    FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
    FF - plugin: c:\programdata\id Software\QuakeLive\npquakezero.dll
    FF - plugin: c:\users\Niouki\AppData\Local\Google\Update\1.2.183.29\npGoogleOneClick8.dll
    FF - plugin: c:\users\Niouki\AppData\Roaming\Facebook\npfbplugin_1_0_1.dll
    FF - plugin: c:\users\Niouki\AppData\Roaming\Facebook\npfbplugin_1_0_3.dll
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

    ---- PARAMETRES FIREFOX ----
    FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 10);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-06-24 18:45
    Windows 6.0.6002 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    "MSCurrentCountry"=dword:000000b5
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\windows\system32\WLANExt.exe
    c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
    c:\program files\Bonjour\mDNSResponder.exe
    c:\program files\Intel\Wireless\Bin\EvtEng.exe
    c:\program files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
    c:\program files\Common Files\LightScribe\LSSrvc.exe
    c:\program files\AVG\AVG9\avgnsx.exe
    c:\windows\system32\PnkBstrA.exe
    c:\windows\system32\PnkBstrB.exe
    c:\program files\Intel\Wireless\Bin\RegSrvc.exe
    c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
    c:\windows\system32\conime.exe
    c:\windows\system32\WUDFHost.exe
    c:\program files\AVG\AVG9\avgchsvx.exe
    c:\windows\RtHDVCpl.exe
    c:\windows\System32\rundll32.exe
    c:\program files\AVG\AVG9\avgtray.exe
    c:\windows\ehome\ehmsas.exe
    c:\windows\System32\rundll32.exe
    c:\program files\Windows Media Player\wmpnetwk.exe
    c:\program files\iPod\bin\iPodService.exe
    c:\windows\servicing\TrustedInstaller.exe
    .
    **************************************************************************
    .
    Heure de fin: 2010-06-24 18:52:21 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-06-24 16:52
    ComboFix2.txt 2010-06-24 11:13

    Avant-CF: 12 451 962 880 octets libres
    Après-CF: 12 427 788 288 octets libres

    - - End Of File - - F985CEA4F0FD56745EFC596F0232AD14
    m
    0
    l
    25 Juin 2010 13:38:40

    Re,


    tient ... bisard ...

    Combo est arrivé sur ce deuxième passage à réparer le fichier infecté ...


    dis moi , l'outil a fait une mise à jour sur ce deuxieme passage non ?



    On va réutiliser GMER pour contrôler :

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe ( naviguateurs compris ) !!


    * Clique droit / "executer en tant qu'admin..." sur gmer.exe pour lancer l'outil.
    * Met toi bien sur l'onglet "rootkit".
    * Au niveau des options, coche uniquement " Files "
    * puis clique sur scan .

    > laisse travailler et ne touche à rien ! ( cela est relativement long, donc patience ... )

    * A la fin du scan, clique sur le bouton copy.
    * Puis va dans le menu "démarrer"> "programmes" > accessoires : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note.

    > poste le contenu du rapport stp ...
    m
    0
    l
    25 Juin 2010 18:28:38

    Il n'y a pas eut de mise à jour à ma connaissance, mais peut-être qu'un moment d'inatention a permis d'en faire une. Je n'ai rien eut à valider en tout cas!
    Là j'ai un soucis plutôt important, je n'ai plus accès à internet sur mon portable, et je l'ai sur le PC familial! Le soucis vient donc de mon portable...
    m
    0
    l
    25 Juin 2010 18:35:29

    re,

    le PC portabel , c'est celui qu'on traite actuellement ?
    m
    0
    l
    26 Juin 2010 10:54:40

    Oui effectivement!
    m
    0
    l
    30 Juin 2010 16:11:53

    Désolé, j'ai dû m'absenter quelques jours. Je reprends la désinfection aussitôt que possible, merci de tes conseil! Je te dirais si j'ai de nouveau accès à internet depuis mon portable, mais j'en doute, j'avais déjà rebooté l'autre jour pour voir, et ça n'avait rien donné...
    m
    0
    l
    1 Juillet 2010 10:56:26

    Me voici sur mon portable, celui que l'on désinfecte donc. Comme tu le vois j'ai récupéré la connexion sans rien faire.
    Vista s'est mis à jour au démarrage, avant ça il y avait un écran noir avec des noms de dossiers, je ne sais pas trop ce que c'était, je ne l'avais jamais vu. Peut-être que ça peut t'être utile, je le précise donc ;) 

    Je me lance de ce pas dans ce que tu m'as demandé!

    EDIT Gmer me dit qu'il n'a détecté aucune modification, dans le doute je demande confirmation, est-ce qu'il faut aussi décocher C:\, ADS et Show All ?

    Autre chose, puis-je :
    - utiliser iTunes pour écouter de la musique et changer de musiques sur mon ipod ?
    - consulter gmail et facebook ?
    Merci!
    m
    0
    l
    1 Juillet 2010 11:46:54

    hello,


    pour GMER , comme je te l'ai demandé , tu coches uniquement Files ... Et il me faut le rapport que tu obtiens ! ...Merci ...


    Pour Itune gmail et face de bouc , no problémo ...

    mais on n'a pas terminer ! ... reste encore du taf ! ... :o 


    j'attends donc le rapport de GMER ...


    m
    0
    l
    1 Juillet 2010 12:27:25

    Je n'ai aucun rapport quand je fais "copy" puis quand je colle dans le bloc note. Juste une petite fenêtre qui me dit : "GMER hasn't found any system modification" :) 
    m
    0
    l
    1 Juillet 2010 12:29:42

    oki ...



    dis moi si tu as encore des redirections lors des recherches sur Google ...



    Puis refais un scan ZHPDiag " en tant qu'admin...".

    * Coche bien toutes les options ( sauf les 045 et 061 )

    * Au niveau du bouton "calendrier" choisis > 30 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...
    m
    0
    l
    1 Juillet 2010 13:03:44

    Auparavant les recherches Google n'aboutissaient pas toujours à des ouvertures de pages, donc je ne peux pas te dire si il n'y en a plus avec certitude, peut-être que ça va arriver de nouveau. En tout cas je viens d'en faire une dizaine, avec des sujets qui pourraient titiller genre banques, sites de vente en ligne, et aucune redirection!

    Je m'occupe de suite de la procédure!
    m
    0
    l
    1 Juillet 2010 13:40:45

    Re,


    grrr ... quelque chose ne me plait pas dans ce rapport ....



    on va reprendre ... dans l'ordre :


    1- Utilisation de l'outil ZHPFix :

    * Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


    O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
    O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe




    > Puis Lance ZHPFix " en tant qu'admin..." depuis le raccouci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    * Puis clique sur le bouton [ OK ] .
    > à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


    * Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

    * Enfin clique sur le bouton [ Nettoyer ] .


    -> laisse travailler l'outil et ne touche à rien ...


    Une fois terminée , un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

    ( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )


    Important : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le de suite !


    Pense à réactiver tes défenses une fois la procédure terminée !...


    ( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )


    =============================

    2- Refait un san avec l'outil Combofix ( ske.exe ) comme indiqué ici ( étape 3 ) > http://www.infos-du-net.com/forum/293899-11-infections#...


    L'outil va surement te demander de se mettre à jour : accepte ! ...


    poste le nouveau rapport obtenu pour analyse ....
    m
    0
    l
    1 Juillet 2010 14:01:05

    ZHPFix v1.12.3108 by Nicolas Coolman - Rapport de suppression du 01/07/2010 13:54:59
    Fichier Registre :
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.ht...
    Contact : nicolascoolman@yahoo.fr

    Processus mémoire :
    (Néant)

    Module mémoire :
    (Néant)

    Clé du Registre :
    (Néant)

    Valeur du Registre :
    O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur supprimée avec succès
    O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente

    Elément de données du Registre :
    (Néant)

    Préférences navigateur :
    (Néant)

    Dossier :
    (Néant)

    Fichier :
    (Néant)

    Logiciel :
    (Néant)

    Script Registre :
    (Néant)

    Master Boot Record :
    (Néant)

    Autre :
    (Néant)


    Récapitulatif :
    Processus mémoire : 0
    Module mémoire : 0
    Clé du Registre : 0
    Valeur du Registre : 2
    Elément de données du Registre : 0
    Dossier : 0
    Fichier : 0
    Logiciel : 0
    Master Boot Record : 0
    Préférences navigateur : 0
    Autre : 0


    End of the scan
    ____________

    Je te fais passer la suite sous peu ;) 
    m
    0
    l
    1 Juillet 2010 14:49:53

    ComboFix 10-06-21.03 - Niouki 01/07/2010 14:11:58.3.2 - x86
    Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.2046.1152 [GMT 2:00]
    Lancé depuis: c:\users\Niouki\Desktop\ske.exe
    SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
    .
    - Mode FONCTIONNALITES REDUITES -
    .

    ((((((((((((((((((((((((((((( Fichiers créés du 2010-06-01 au 2010-07-01 ))))))))))))))))))))))))))))))))))))
    .

    2010-06-24 15:36 . 2010-06-24 15:36 -------- d-----w- c:\program files\SEAF
    2010-06-17 14:02 . 2010-07-01 11:09 -------- d-----w- c:\program files\ZHPDiag
    2010-06-11 11:13 . 2010-06-11 11:13 95024 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
    2010-06-11 11:03 . 2010-06-16 11:45 -------- d-----w- c:\programdata\Lavasoft
    2010-06-09 08:06 . 2010-06-09 08:06 976832 ----a-w- c:\programdata\Adobe\Reader\9.3\ARM\26022\AdobeARM.exe
    2010-06-09 08:06 . 2010-06-09 08:06 70584 ----a-w- c:\programdata\Adobe\Reader\9.3\ARM\26022\AdobeExtractFiles.dll
    2010-06-09 08:06 . 2010-06-09 08:06 331176 ----a-w- c:\programdata\Adobe\Reader\9.3\ARM\26022\ReaderUpdater.exe
    2010-06-09 08:06 . 2010-06-09 08:06 331176 ----a-w- c:\programdata\Adobe\Reader\9.3\ARM\26022\AcrobatUpdater.exe

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-07-01 08:52 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
    2010-06-29 08:18 . 2006-11-02 15:48 673938 ----a-w- c:\windows\system32\perfh00C.dat
    2010-06-29 08:18 . 2006-11-02 15:48 125636 ----a-w- c:\windows\system32\perfc00C.dat
    2010-06-18 16:34 . 2010-05-29 09:22 -------- d-----w- c:\users\Niouki\AppData\Roaming\vlc
    2010-06-08 19:25 . 2009-12-20 17:50 -------- d-----w- c:\program files\Guitar Pro 5
    2010-06-05 10:55 . 2009-07-22 19:43 -------- d-----w- c:\program files\Microsoft Silverlight
    2010-06-04 13:47 . 2009-11-11 10:57 242896 ----a-w- c:\windows\system32\drivers\avgtdix.sys
    2010-06-04 13:47 . 2009-11-11 10:57 29584 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
    2010-05-26 15:55 . 2010-05-26 15:55 -------- d-----w- c:\program files\Common Files\Java
    2010-04-08 11:20 . 2010-04-08 11:20 91424 ----a-w- c:\windows\system32\dnssd.dll
    2010-04-08 11:20 . 2010-04-08 11:20 107808 ----a-w- c:\windows\system32\dns-sd.exe
    2010-04-06 09:33 . 2010-04-06 09:33 94208 ----a-w- c:\windows\amcap.exe
    2010-04-04 08:47 . 2009-07-10 21:17 1 ----a-w- c:\users\Niouki\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
    "ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
    "Google Update"="c:\users\Niouki\AppData\Local\Google\Update\GoogleUpdate.exe" [2009-12-21 135664]
    "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Smart Watch Dog"="-c:\program files\Compal Electronics" [X]
    "Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
    "RtHDVCpl"="RtHDVCpl.exe" [2007-04-10 4431872]
    "WLSS"="c:\program files\Compal\Wireless Select Switch\WLSS.exe" [2007-03-29 190000]
    "snp2uvc"="c:\windows\vsnp2uvc.exe" [2006-12-29 569344]
    "Wow Video&Audio"="c:\program files\Compal\Wow Video&Audio\WVAMain.exe" [2007-04-12 947760]
    "ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2004-08-09 81920]
    "SmtLauncher"="c:\program files\Compal\Smart Tracing\SmLaunch.exe" [2007-04-12 13312]
    "IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2006-04-23 174872]
    "SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe" [2009-05-05 1466368]
    "NvSvc"="c:\windows\system32\nvsvc.dll" [2008-01-11 92704]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-01-11 8534560]
    "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-01-11 88608]
    "AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-06-04 2065248]
    "SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
    "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
    "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]
    "NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-04-24 142120]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "EnableLUA"= 0 (0x0)
    "EnableUIADesktopToggle"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
    "HonorAutoRunSetting"= 0 (0x0)

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
    "HonorAutoRunSetting"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=c:\windows\System32\avgrsstx.dll

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
    @="Service"

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
    "VistaSp2"=hex(b):c9,a7,46,dc,0a,54,ca,01

    R2 ATE_PROCMON;ATE_PROCMON;c:\program files\Anti Trojan Elite\ATEPMon.sys [x]
    R3 ActionReplayDS;ActionReplayDS;c:\windows\system32\Drivers\ActionReplayDS.sys [2007-02-08 29184]
    R4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys [2009-12-20 691696]
    S0 EMSC;COMPAL Embedded System Control;c:\windows\system32\DRIVERS\EMSC.SYS [2007-02-13 11776]
    S1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\Drivers\avgldx86.sys [2010-03-13 216200]
    S1 AvgTdiX;AVG Free Network Redirector;c:\windows\system32\Drivers\avgtdix.sys [2010-06-04 242896]
    S2 avg9emc;AVG Free E-mail Scanner;c:\program files\AVG\AVG9\avgemc.exe [2010-03-13 916760]
    S2 avg9wd;AVG Free WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [2010-03-13 308064]
    S2 Smart Watchdog;Smart Watchdog Service;c:\program files\Compal Electronics, INC\Smart Watchdog\SWDsvc.exe [2007-04-19 114688]
    S3 b57nd60x;%SvcDispName%;c:\windows\system32\DRIVERS\b57nd60x.sys [2008-01-19 179712]
    S3 CamFilter;CamFilter;c:\windows\system32\Drivers\CamFilter.sys [2009-06-30 17408]
    S3 enecir;ENE CIR Receiver;c:\windows\system32\DRIVERS\enecir.sys [2007-03-07 32256]


    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
    HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
    .
    Contenu du dossier 'Tâches planifiées'

    2010-06-24 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4271400101-1776489150-3921235929-1000Core.job
    - c:\users\Niouki\AppData\Local\Google\Update\GoogleUpdate.exe [2009-12-21 18:19]

    2010-07-01 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4271400101-1776489150-3921235929-1000UA.job
    - c:\users\Niouki\AppData\Local\Google\Update\GoogleUpdate.exe [2009-12-21 18:19]
    .
    .
    ------- Examen supplémentaire -------
    .
    mWindow Title =
    uInternet Settings,ProxyOverride = *.local
    FF - ProfilePath - c:\users\Niouki\AppData\Roaming\Mozilla\Firefox\Profiles\x0dy2hkl.default\
    FF - prefs.js: browser.startup.homepage - www.google.fr
    FF - prefs.js: keyword.URL - hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navcli...
    FF - component: c:\program files\AVG\AVG9\Firefox\components\avgssff.dll
    FF - plugin: c:\program files\Java\jre6\bin\npdeployJava1.dll
    FF - plugin: c:\program files\Java\jre6\bin\npjpi160_20.dll
    FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
    FF - plugin: c:\programdata\id Software\QuakeLive\npquakezero.dll
    FF - plugin: c:\users\Niouki\AppData\Local\Google\Update\1.2.183.29\npGoogleOneClick8.dll
    FF - plugin: c:\users\Niouki\AppData\Roaming\Facebook\npfbplugin_1_0_1.dll
    FF - plugin: c:\users\Niouki\AppData\Roaming\Facebook\npfbplugin_1_0_3.dll
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

    ---- PARAMETRES FIREFOX ----
    FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    AddRemove-Microsoft .NET Framework 4 Client Profile - c:\windows\Microsoft.NET\Framework\v4.0.30319\SetupCache\Client\Setup.exe



    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-07-01 14:13
    Windows 6.0.6002 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    "MSCurrentCountry"=dword:000000b5
    .
    Heure de fin: 2010-07-01 14:16:28
    ComboFix-quarantined-files.txt 2010-07-01 12:16
    ComboFix2.txt 2010-06-24 16:52
    ComboFix3.txt 2010-06-24 11:13

    Avant-CF: 9 768 787 968 octets libres
    Après-CF: 9 647 955 968 octets libres

    - - End Of File - - A35E5A9958CA483C14B2CC60EA416443
    m
    0
    l
    1 Juillet 2010 15:28:55

    bon ....




    fait ce qui suit dans l'ordre :



    1- 1- Créer un doc texte sur ton bureau :
  • Pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

  • Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :


    File::
    c:\ske1.bak

    RegLock::
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]



  • Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : CFScript puis valide ...



    2- Nettoyage :

    !! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

    --> Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

    Regarde ici :


    Cette manipulation va relancer Combofix !

    Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

    ! Ne touches à rien tant que le scan n'est pas terminé !

    Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    -> Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...


    ( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )


    =============================

    3- je voit que tu as le prg Malwarebytes , on va l'utiliser :

    mets le à jour ! ( onglet "mise à jour" ; recommence jusqu'à ce qu'il n'y est plus de maj disponible ).

    ! Déconnecte toi et ferme toutes applications en cours !

    * Fais un examen dit " RAPIDE " .

    --> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "résultat" .
    --> Vérifie que tous les objets infectés soient validés, puis clique sur "suppression".

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...


    =============================

    4- Refais un scan ZHPDiag .

    * Coche bien toutes les options ( sauf les 045 et 061 )

    * Au niveau du bouton "calendrier" choisis > 30 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

    m
    0
    l
        • 1 / 2
        • 2
        • Dernier
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS