Se connecter / S'enregistrer
Votre question

Security center alert virus

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
1 Juin 2010 22:04:14

Bonjour à tous,

J'ai une fenetre "security center" qui s'affiche constamment sur mon ordinateur avec des messages d'alertes virus et de demande" d'abonnement à un anti virus.

Je suis un peu perdu. j'ai essayé de télécharger 'malware bytes" il a trouvé 60 fichiers infectés mais je n'arrive ni a les voir ni a les enlever.

Voici le log file de RSIS : (aucun deuxième fichier texte n'est apparu apres le scan pour moi) :

Logfile of random's system information tool 1.07 (written by random/random)
Run by zoun at 2010-06-01 21:54:48
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 2 GB (3%) free of 50 GB
Total RAM: 2047 MB (63% free)

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 21:53:52, on 01/06/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\DOCUME~1\zoun\LOCALS~1\Temp\mscdexnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\DOCUME~1\zoun\LOCALS~1\Temp\wscsvc32.exe
E:\Logiciel\SMSTray.exe
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Documents and Settings\zoun\Application Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe
C:\Program Files\Brother\ControlCenter3\brccMCtl.exe
C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\shared files\wnks.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Protection Center\cntprot.exe
C:\Program Files\REALTEK RTL8185 Wireless LAN Driver and Utility\RtWLan.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Windows Live\Toolbar\wltuser.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Java\jre6\bin\jucheck.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\trend micro\hijackthis.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\zoun\Mes documents\Téléchargements\RSIT(2).exe
C:\Program Files\trend micro\zoun.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.live.com/sphome.aspx
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.live.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.files-ftp.com/~unicorni/phpBB2/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.live.com/sphome.aspx
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://y.lo.st
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: D - {2ACBFCB4-EFE1-3D6A-9CF2-9F200B9C5DDF} - C:\WINDOWS\system32\xwr69052.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Nero Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SMSTray] E:\Logiciel\SMSTray.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] "C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe"
O4 - HKLM\..\Run: [IndexSearch] "C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe"
O4 - HKLM\..\Run: [PPort11reminder] "C:\Program Files\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Documents and Settings\All Users.WINDOWS\Application Data\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini
O4 - HKLM\..\Run: [BrMfcWnd] C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [ControlCenter3] C:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [SoftwareHelper] C:\Documents and Settings\zoun\Application Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (rootkit-scan)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [est] C:\shared files\wnks.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Protection Center] "C:\Program Files\Protection Center\cntprot.exe" -noscan
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: REALTEK RTL8185 Wireless LAN Utility.lnk = ?
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Nuance\PDF Professional 5\bin\ZeonIEFavClient.dll/ZeonIEAppend.HTML
O8 - Extra context menu item: Ajouter le contenu des liens sélectionnés à un fichier PDF existant - res://C:\Program Files\Nuance\PDF Professional 5\bin\ZeonIEFavClient.dll/ZeonIEAppendSelLinks.HTML
O8 - Extra context menu item: Ajouter le contenu du lien à un fichier PDF existant - res://C:\Program Files\Nuance\PDF Professional 5\bin\ZeonIEFavClient.dll/ZeonIEAppend.HTML
O8 - Extra context menu item: Créer des fichiers PDF à partir des liens sélectionnés - res://C:\Program Files\Nuance\PDF Professional 5\bin\ZeonIEFavClient.dll/ZeonIECaptureSelLinks.HTML
O8 - Extra context menu item: Créer fichier PDF - res://C:\Program Files\Nuance\PDF Professional 5\bin\ZeonIEFavClient.dll/ZeonIECapture.HTML
O8 - Extra context menu item: Créer un fichier PDF depuis le contenu du lien - res://C:\Program Files\Nuance\PDF Professional 5\bin\ZeonIEFavClient.dll/ZeonIECapture.HTML
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
O20 - Winlogon Notify: cryptnet32 - cryptnet32.dll (file missing)
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 11751 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2008-06-11 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2ACBFCB4-EFE1-3D6A-9CF2-9F200B9C5DDF}]
D - C:\WINDOWS\system32\xwr69052.dll [2010-05-23 221184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B}]
Search Helper - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll [2009-01-14 92504]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Programme d'aide de l'Assistant de connexion Windows Live - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
Nero Toolbar - C:\Program Files\Ask.com\GenericAskToolbar.dll [2009-09-30 1182088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-09-01 41760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E15A8DC0-8516-42A1-81EA-DC94EC1ACF10}]
Windows Live Toolbar Helper - C:\Program Files\Windows Live\Toolbar\wltcore.dll [2009-02-06 1068904]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-09-01 73728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{21FA44EF-376D-4D53-9B0F-8A89D3229068} - &Windows Live Toolbar - C:\Program Files\Windows Live\Toolbar\wltcore.dll [2009-02-06 1068904]
{D4027C7F-154A-4066-A1AD-4243D8127440} - Nero Toolbar - C:\Program Files\Ask.com\GenericAskToolbar.dll [2009-09-30 1182088]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2008-10-07 13574144]
"nwiz"=nwiz.exe /install []
"NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2008-10-07 86016]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2009-04-10 17879552]
"Adobe Reader Speed Launcher"=C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe [2008-06-12 34672]
"SMSTray"=E:\Logiciel\SMSTray.exe [2007-12-14 132624]
"SSBkgdUpdate"=C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe [2006-10-25 210472]
"PaperPort PTD"=C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe [2007-01-29 30248]
"IndexSearch"=C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe [2007-01-29 46632]
"PPort11reminder"=C:\Program Files\ScanSoft\PaperPort\Ereg\Ereg.exe [2007-02-01 255528]
"BrMfcWnd"=C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe [2007-03-12 663552]
"ControlCenter3"=C:\Program Files\Brother\ControlCenter3\brctrcen.exe [2007-01-26 65536]
"SunJavaUpdateSched"=C:\Program Files\Java\jre6\bin\jusched.exe [2009-09-01 149280]
"EoEngine"= []
"SoftwareHelper"=C:\Documents and Settings\zoun\Application Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe [2008-12-09 368224]
"QuickTime Task"=C:\Program Files\QuickTime\QTTask.exe [2009-11-11 417792]
"iTunesHelper"=C:\Program Files\iTunes\iTunesHelper.exe [2009-11-12 141600]
"SpiderMessenger"= []
"eorezo"= []
"avast5"=C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe [2010-05-06 2815192]
"Malwarebytes Anti-Malware (rootkit-scan)"=C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe [2010-04-29 1090952]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Malwarebytes' Anti-Malware"=C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe [2010-04-29 437584]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"est"=C:\shared files\wnks.exe [2009-01-12 40960]
"msnmsgr"=C:\Program Files\Windows Live\Messenger\msnmsgr.exe [2009-07-26 3883856]
"MSMSGS"=C:\Program Files\Messenger\msmsgs.exe [2004-08-19 1667584]
"SpiderMessenger"= []
"Protection Center"=C:\Program Files\Protection Center\cntprot.exe [2010-06-01 1672192]

C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\Démarrage
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE
REALTEK RTL8185 Wireless LAN Utility.lnk - C:\Program Files\REALTEK RTL8185 Wireless LAN Driver and Utility\RtWLan.exe

C:\Documents and Settings\zoun\Menu Démarrer\Programmes\Démarrage
OpenOffice.org 3.1.lnk - C:\Program Files\OpenOffice.org 3\program\quickstart.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet32]
C:\WINDOWS\system32\cryptnet32.dll [2010-06-01 45056]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{88485281-8b4b-4f8d-9ede-82e29a064277}"=C:\PROGRA~1\MarkAny\CONTEN~1\MACSMA~1.DLL [2004-11-23 192512]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=1

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"DisableTaskMgr"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\WINDOWS\system32\muzapp.exe"="C:\WINDOWS\system32\muzapp.exe:*:Enabled:MUZ AOD APP player"
"C:\Program Files\uTorrent\uTorrent.exe"="C:\Program Files\uTorrent\uTorrent.exe:*:Enabled:µTorrent"
"E:\Logiciel\WLM Lite 8.5.exe"="E:\Logiciel\WLM Lite 8.5.exe:*:Enabled:Windows Live Messenger Lite"
"C:\Program Files\Bonjour\mDNSResponder.exe"="C:\Program Files\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"E:\Logiciel\Shareaza\Shareaza.exe"="E:\Logiciel\Shareaza\Shareaza.exe:*:Enabled:Shareaza"
"C:\Program Files\LimeWire\LimeWire.exe"="C:\Program Files\LimeWire\LimeWire.exe:*:Enabled:LimeWire"
"C:\Documents and Settings\zoun\Local Settings\Temp\Rar$EX00.703\WLM Lite 8.5.exe"="C:\Documents and Settings\zoun\Local Settings\Temp\Rar$EX00.703\WLM Lite 8.5.exe:*:Enabled:Windows Live Messenger Lite"
"C:\Documents and Settings\zoun\Bureau\WLM Lite 8.5.exe"="C:\Documents and Settings\zoun\Bureau\WLM Lite 8.5.exe:*:Enabled:Windows Live Messenger Lite"
"C:\Program Files\Java\jre6\bin\java.exe"="C:\Program Files\Java\jre6\bin\java.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\Documents and Settings\zoun\Local Settings\Temp\Rar$EX00.546\WLM Lite 8.5.exe"="C:\Documents and Settings\zoun\Local Settings\Temp\Rar$EX00.546\WLM Lite 8.5.exe:*:Enabled:Windows Live Messenger Lite"
"C:\Documents and Settings\zoun\Local Settings\Temp\Rar$EX00.015\WLM Lite 8.5.exe"="C:\Documents and Settings\zoun\Local Settings\Temp\Rar$EX00.015\WLM Lite 8.5.exe:*:Enabled:Windows Live Messenger Lite"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"="C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live FolderShare"
"C:\Program Files\iTunes\iTunes.exe"="C:\Program Files\iTunes\iTunes.exe:*:Enabled:iTunes"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"="C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live FolderShare"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0ffc3d41-3428-11de-945d-9a2a0b50fb94}]
shell\AutoRun\command - M:\LaunchU3.exe -a


======File associations======

.exe - open - "C:\DOCUME~1\zoun\LOCALS~1\Temp\mscdexnt.exe" /START "%1" %*

======List of files/folders created in the last 1 months======

2010-06-01 21:39:21 ----D---- C:\Documents and Settings\zoun\Application Data\Malwarebytes
2010-06-01 21:39:13 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2010-06-01 21:39:13 ----D---- C:\Documents and Settings\All Users.WINDOWS\Application Data\Malwarebytes
2010-06-01 21:37:32 ----D---- C:\Program Files\trend micro
2010-06-01 21:37:31 ----D---- C:\rsit
2010-06-01 20:19:48 ----D---- C:\Documents and Settings\All Users.WINDOWS\Application Data\Alwil Software
2010-06-01 19:59:25 ----D---- C:\Program Files\Protection Center
2010-06-01 19:57:28 ----A---- C:\WINDOWS\system32\shimg.dll
2010-06-01 19:57:28 ----A---- C:\WINDOWS\system32\cryptnet32.dll
2010-05-25 21:58:39 ----D---- C:\Program Files\EoRezo
2010-05-23 17:54:42 ----A---- C:\WINDOWS\system32\xwr69052.dll

======List of files/folders modified in the last 1 months======

2010-06-01 21:47:56 ----D---- C:\WINDOWS\system32\drivers
2010-06-01 21:42:49 ----D---- C:\WINDOWS\repair
2010-06-01 21:39:28 ----D---- C:\WINDOWS\Prefetch
2010-06-01 21:39:13 ----RD---- C:\Program Files
2010-06-01 21:34:50 ----D---- C:\WINDOWS\Temp
2010-06-01 21:33:54 ----D---- C:\WINDOWS\system32
2010-06-01 21:33:08 ----A---- C:\WINDOWS\SchedLgU.Txt
2010-06-01 20:25:57 ----D---- C:\WINDOWS\system32\CatRoot2
2010-06-01 20:21:13 ----D---- C:\Program Files\Alwil Software
2010-06-01 20:20:28 ----D---- C:\Documents and Settings\zoun\Application Data\uTorrent
2010-06-01 20:20:06 ----SHD---- C:\WINDOWS\Installer
2010-06-01 20:20:05 ----D---- C:\WINDOWS\WinSxS
2010-06-01 19:57:53 ----SHD---- C:\WINDOWS\system32\lowsec
2010-06-01 19:57:26 ----D---- C:\WINDOWS
2010-05-25 22:54:30 ----D---- C:\Program Files\SpiderMessenger
2010-05-23 13:42:26 ----D---- C:\Program Files\Oxin's Style!
2010-05-16 07:45:17 ----D---- C:\Program Files\uTorrent
2010-05-09 14:30:34 ----D---- C:\Documents and Settings\zoun\Application Data\LimeWire
2010-05-06 22:59:36 ----A---- C:\WINDOWS\system32\aswBoot.exe

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 Aavmker4;avast! Asynchronous Virus Monitor; C:\WINDOWS\system32\drivers\Aavmker4.sys [2010-05-06 28880]
R1 AmdK8;Pilote de processeur AMD; C:\WINDOWS\system32\DRIVERS\AmdK8.sys [2006-07-01 43520]
R1 aswSP;aswSP; C:\WINDOWS\system32\drivers\aswSP.sys [2010-05-06 164048]
R1 aswTdi;avast! Network Shield Support; C:\WINDOWS\system32\drivers\aswTdi.sys [2010-05-06 46672]
R2 AegisP;AEGIS Protocol (IEEE 802.1x) v3.5.2.0; C:\WINDOWS\system32\DRIVERS\AegisP.sys [2009-05-01 21419]
R2 aswFsBlk;aswFsBlk; C:\WINDOWS\system32\drivers\aswFsBlk.sys [2010-05-06 19024]
R2 aswMon2;avast! Standard Shield Support; C:\WINDOWS\system32\drivers\aswMon2.sys [2010-05-06 100432]
R2 fssfltr;FssFltr; C:\WINDOWS\system32\DRIVERS\fssfltr_tdi.sys [2009-08-05 54752]
R3 Arp1394;Protocole client ARP 1394; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2004-08-04 60800]
R3 aswRdr;aswRdr; C:\WINDOWS\system32\drivers\aswRdr.sys [2010-05-06 23376]
R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\WINDOWS\system32\DRIVERS\GEARAspiWDM.sys [2009-05-18 26600]
R3 HDAudBus;Microsoft UAA Bus Driver for High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2005-01-07 138752]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2009-04-14 5069312]
R3 NIC1394;Pilote réseau 1394; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2004-08-04 61824]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2008-10-07 6133856]
R3 usbehci;Pilote miniport de contrôleur d'hôte amélioré Microsoft USB 2.0; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-03 26624]
R3 usbhub;Concentrateur USB2; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-03 57600]
R3 usbohci;Pilote miniport de contrôleur hôte ouvert USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2004-08-03 17024]
R3 usbstor;Pilote de stockage de masse USB; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
R3 yukonwxp;NDIS5.1 Miniport Driver for Marvell Yukon Ethernet Controller; C:\WINDOWS\system32\DRIVERS\yk51x86.sys [2007-09-20 265856]
S3 Ambfilt;Ambfilt; C:\WINDOWS\system32\drivers\Ambfilt.sys [2008-08-05 1684736]
S3 BrScnUsb;Brother USB Still Image driver; C:\WINDOWS\system32\DRIVERS\BrScnUsb.sys [2004-10-15 15295]
S3 Monfilt;Monfilt; C:\WINDOWS\system32\drivers\Monfilt.sys [2006-01-04 1389056]
S3 USBAAPL;Apple Mobile USB Driver; C:\WINDOWS\System32\Drivers\usbaapl.sys [2009-08-28 40448]
S3 usbccgp;Pilote parent générique USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 31616]
S3 usbprint;Classe d'imprimantes USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2004-08-03 25856]
S3 usbscan;Pilote de scanneur USB; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]
S3 WpdUsb;WpdUsb; C:\WINDOWS\System32\Drivers\wpdusb.sys [2005-01-28 18944]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 Apple Mobile Device;Apple Mobile Device; C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2009-08-28 144672]
R2 avast! Antivirus;avast! Antivirus; C:\Program Files\Alwil Software\Avast5\AvastSvc.exe [2010-05-06 40384]
R2 Bonjour Service;Service Bonjour; C:\Program Files\Bonjour\mDNSResponder.exe [2008-12-12 238888]
R2 JavaQuickStarterService;Java Quick Starter; C:\Program Files\Java\jre6\bin\jqs.exe [2009-09-01 153376]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2008-10-07 163908]
R2 SeaPort;SeaPort; C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe [2009-01-14 226656]
R2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2005-01-28 38912]
R3 avast! Mail Scanner;avast! Mail Scanner; C:\Program Files\Alwil Software\Avast5\AvastSvc.exe [2010-05-06 40384]
R3 avast! Web Scanner;avast! Web Scanner; C:\Program Files\Alwil Software\Avast5\AvastSvc.exe [2010-05-06 40384]
R3 iPod Service;Service de l’iPod; C:\Program Files\iPod\bin\iPodService.exe [2009-11-12 545568]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240]
S3 fsssvc;Service Windows Live Contrôle parental; C:\Program Files\Windows Live\Family Safety\fsssvc.exe [2009-08-05 704864]
S3 gusvc;Google Updater Service; C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-11-20 136120]

-----------------EOF-----------------



Je compte sur votre aide car ce problème me bloque pas mal dans mon travail.

D'avance merci a tous

Autres pages sur : security center alert virus

1 Juin 2010 22:22:54

hello,


tu es très infecté ! ... beaucoup de travail ... :sweat: 


/!\ Pour le bon déroulement de la désinfection :
  • Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
  • N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
  • Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
  • Si tu as un quelconque problème, n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).

    =============================================================



    Commence par faire ceci dans l'ordre :



    1- Télécharge OTM (de Old_Timer) sur ton bureau :

    http://oldtimer.geekstogo.com/OTM.exe


    Double clique sur "OTM.exe" pour ouvrir le prg .

    Puis copie ce qui se trouve en citation ci-dessous,


    :processes
    wscsvc32.exe
    cntprot.exe

    :Services

    :Reg
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2ACBFCB4-EFE1-3D6A-9CF2-9F200B9C5DDF}]
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    "SpiderMessenger"=-
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    "SpiderMessenger"=-
    "Protection Center"=-
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet32]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "userinit"="C:\WINDOWS\system32\userinit.exe"

    :Files
    C:\WINDOWS\system32\cryptnet32.dll
    C:\WINDOWS\system32\sdra64.exe
    C:\WINDOWS\system32\xwr69052.dll
    C:\Program Files\Protection Center\cntprot.exe
    C:\DOCUME~1\zoun\LOCALS~1\Temp\wscsvc32.exe
    C:\WINDOWS\system32\lowsec
    C:\Program Files\SpiderMessenger
    C:\Program Files\Protection Center

    :Commands
    [purity]
    [emptytemp]
    [Reboot]



    et colle le dans le cadre de gauche de OTM (Paste Instructions for items to be moved ).
    Ne touche à rien d'autre !

    ! Déconnecte toi et ferme toutes tes applications en cours ( navigateurs compris ) !

    -> clique sur MoveIt! pour lancer le nettoyage .

    -> laisse travailler l'outil ...

    -> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

    Ton PC va redémarrer de lui même pour finir la suppression ...

    Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

    --> Poste le contenu du rapport qui se trouve dans le dossier " C:\_OTM\MovedFiles "
    ( c'est " xxxx2010_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).


    ===============================


    2- Tu vas réutiliser Malwarebytes ainsi :

    mets le à jour ! ( onglet " mise à jour " et recommence plusieur fois jusqu'à ce qu'il ny en est plus ) .



    * Potasse ce tuto pour te familiariser avec le prg :
    http://forum.pcastuces.com/sujet.asp?f=31&s=3
    ( cela dis, il est très simple d'utilisation ).

    ! Déconnecte toi et ferme toutes applications en cours !


    * Lance 'Malwarebytes' .

    Fais un examen dit " RAPIDE " .

    --> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "résultat" .
    --> Vérifie que tous les objets infectés soient validés, puis clique sur "suppression".

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ..


    =============================

    3- Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

    -> http://telechargement.zebulon.fr/zhpdiag.html

    !! déconnecte toi et ferme toutes tes applications en cours !!

  • Double-clique sur "ZHPDiag.exe" ( avec Vista/Seven faire clique droit / "executer en tant qu'admin..." ) pour lancer l'installation de l'outil et laisse toi guider. Ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" ( afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ).

  • A la fin de l'installe , laisse bien la case "executer ZHPDiag" cochée et clique sur "Terminer " > l'outil se lancera donc automatiquement .

  • Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite ( celui avec le tournevis ) :

    Une liste apparait dans l'encadré principal > coche toutes les lignes sauf les 045 et 061 ( important ! ) .

  • clique sur le bouton "calendrier" qui est en haut à droite : choisis 30 days

  • Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .

    > Laisses travailler l'outil ... ( cela peut-être relativement long )

  • Une fois terminé, le rapport obtenu ( ZHPDiag.txt ) est sauvegardé sur ton bureau.

    Puis ferme le programme ...


    > Pour me faire parvenir ce rapport, rends toi sur ce site : http://www.cijoint.fr/

  • Clique sur "parcourir" et va jusqu'au rapport ZHPDiag.txt qui est sauvegardé sur le bureau .
  • Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
  • Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....
    2 Juin 2010 10:15:33

    Salut sKe69

    Je t'écris du travail ;-)


    Je savais bien que mon pc était grave infecté vu comment il buguait !!!!!

    Merci beaucoup pour ton aide rapide mais j'ai bien l'impression qu'il va falloir que je formate mon windows.

    Après avoir posté ma question hier soir, mon pc s'est éteint. Quand je le rallume il ouvre windows puis un écran bleu avec des écritures dessus aparaît pendant une fraction de seconde et le pc redémarre tout seul puis un nouvel écran bleu etc.....

    Du coup peux tu me dire si il y a une autre solution à mon problème que le formattage et, sinon, si un formattage suffira a remettre mon PC d'aplomb? (à savoir que mon disque dur est compartimenté et que la part de disque avec windows est petite comparée au reste).

    J'attend de tes nouvelles,

    Merci bcp !!!!!
    Contenus similaires
    2 Juin 2010 10:36:25

    hello,



    Si ton PC plante toujours lorsque tu rentres ce soir , on va faire ainsi :



    A- Avant de penser au formatage, essaye de faire l'étape 1 de la manipe depuis le mode sans échec "avec prise en chage du réseau" :


    /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

    Comment aller en Mode sans échec :
    1) Redémarre ton ordi .
    2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
    3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
    4) Choisis l'option : Sans Échec " avec prise en charge du réseau " , et valide en tapant sur [Entrée] .
    5) Choisis ton compte habituel ( et pas Administrateur ).


    Donc si tu y accèdes , télécharge OTM comme demandé et fait la premier étape ... ( note : à la fin de cette étape , le PC doit rebooter > laisse le bien faire de façon à retourner en mode normal ... en espérant que celui-ci soit stable ... tu poste le rapport d'OTM et tu enchaines ... )


    ==============================
    ==============================



    B- Si le mode sans échec foire également , il y a encore la possibilité de ratraper le coup avec un CD Live ...

    Dans s ce cas là laisse tombé la première manipe et proccède ainsi :


    Je te conseille bien prendre connaissance de la procédure ( quitte à l'imprimer ) puisque tu vas démarrer à partir d'un CD spécial.
    Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
    Si un élément te paraît obscur, demande des explications avant de commencer .

    ( note : les étapes 1 et 2 peuvent être faite depuis un autre PC que celui qui est en traitement )



    1- Télécharge sur ton bureau le CD live OTPLE ( .iso d'environ 272 Mo ) de OldTimer :
    -> http://oldtimer.geekstogo.com/OTLPE.iso


    2- graver l'image OTLPE.iso sur un CD .

    Mais attention: quel que soit le logiciel utilisé, il ne faut pas créer un CD de données, mais "graver" une image ISO.

    Si tu ne sais pas faire une image ISO avec ton logiciel de gravure ( ou si tu n'as pas de logiciel de gravure ), fait ce qui suit :
  • Télécharge l'utilitaire IsoBurner ici > http://www.ntfs.com/iso-burning.htm
  • Installe IsoBurner.
  • Une fois fait , lance le . Clique sur la case en haut à doite et suivre le chemin afin de sélectionner OTLPE.iso
  • Clic BURN pour lancer la gravure ...


    3- utilisation du CD Live OTPLE :

    Une fois le CD gravé, il faut redémarrer le PC sur le lecteur CD-ROM afin de lancer le CD live directement au démarrage .
    Pour se faire, suivre ce qui est indiqué dans cette astuce : http://www.commentcamarche.net/faq/7322-booter-sur-cd-c...

    Une fois les modifes faite , bien laisser le CD Live dans le lecteur et redémarrer le PC.

  • le CD se lance, Windows se charge et tu arrives sur le bureau du CD live OTPLE > REATOGO-X-PE.
  • Double clique sur le raccourci OTLPE.
  • Une fenêtre s'ouvre : Do you wish to load the remote registry ; Clique sur YES,
  • Une seconde : Do you wish to load remote user profile(s) for scanning ; Cliquezsur YES,
  • Vérifie que la case Automatically Load All Remaining Users soit cochée et appuye sur OK.

    > l'outil OTL se lance.

  • Vérifier que les paramètres sont identiques à ceux de cette image > http://assiste.com.free.fr/m/nick/OTLPE-main.png>
  • Clique sur Run Scan pour démarrer le scanner, cela peut prendre quelques minutes.
  • Une fois fini le rapport s'ouvre : tu utilises l'icone d'internet explorer pour copier coller son contenu dans la réponse.

    Note : si tu n'as pas de connection Internet, sauvegarde le rapport sur un périphérique USB afin de le récuper sur un autre PC par exemple ...

    ( Le fichier rapport est en outre sauvegardé ici > C:\OTL.txt )
    2 Juin 2010 10:45:53

    Merci beaucoup pour ton aide,

    Salut,
    Je vais essayer en mode sans echec ce soir...Néanmoins, si le mode sans echec échoue, je ne pense pas que je pourrai graver un cd live vu que mon pc au bureau est un portable sans graveur et que de toute façon je ne pourrai pas télécharger quoique ce soit dessus.....

    J'essaie en mode sans echec et je te tiens au courant dès que je peux (ce soir si ca marche demain depuis mon bureau sinon).

    Merci énormément,
    2 Juin 2010 10:57:13

    bah si tu ne peut pas avoir un autre PC en près avec un lecteru CD , il y a encore la possibilité de mettre OTPLE sur une clé USB ... mais bon , on avisera après ...


    penser au formatage de ta partition systeme au pire ... tu as bien ton CD de Windows au moins ?


    A+
    2 Juin 2010 11:16:37

    Bah en fait non je ne l'ai plus mais j ai un ami qui peux me filer le sien au pire ....

    je te tiens au courant

    Merci encore
    2 Juin 2010 21:01:35

    Re,

    Ecoute je ne suis pas sur d'avoir bien suivi la manip car une fois rebooté je n'ai pas exécuté le fichier OTM mais en recliquant dessus il m'a affiché ca :

    All processes killed
    ========== PROCESSES ==========
    No active process named wscsvc32.exe was found!
    No active process named cntprot.exe was found!
    ========== SERVICES/DRIVERS ==========
    ========== REGISTRY ==========
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2ACBFCB4-EFE1-3D6A-9CF2-9F200B9C5DDF}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2ACBFCB4-EFE1-3D6A-9CF2-9F200B9C5DDF}\ deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\SpiderMessenger deleted successfully.
    Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\SpiderMessenger deleted successfully.
    Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Protection Center deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet32\ deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\"userinit"|"C:\WINDOWS\system32\userinit.exe" /E : value set successfully!
    ========== FILES ==========
    DllUnregisterServer procedure not found in C:\WINDOWS\system32\cryptnet32.dll
    C:\WINDOWS\system32\cryptnet32.dll moved successfully.
    File move failed. C:\WINDOWS\system32\sdra64.exe scheduled to be moved on reboot.
    LoadLibrary failed for C:\WINDOWS\system32\xwr69052.dll
    C:\WINDOWS\system32\xwr69052.dll moved successfully.
    C:\Program Files\Protection Center\cntprot.exe moved successfully.
    C:\DOCUME~1\zoun\LOCALS~1\Temp\wscsvc32.exe moved successfully.
    Folder move failed. C:\WINDOWS\system32\lowsec scheduled to be moved on reboot.
    C:\Program Files\SpiderMessenger\lang folder moved successfully.
    C:\Program Files\SpiderMessenger folder moved successfully.
    C:\Program Files\Protection Center folder moved successfully.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: admin
    ->Temp folder emptied: 70182765 bytes
    ->Temporary Internet Files folder emptied: 5767449 bytes
    ->Java cache emptied: 6843 bytes
    ->FireFox cache emptied: 43040427 bytes
    ->Flash cache emptied: 10920 bytes

    User: All Users

    User: All Users.WINDOWS

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: Default User.WINDOWS
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: LocalService
    ->Temp folder emptied: 65984 bytes
    ->Temporary Internet Files folder emptied: 60137 bytes

    User: LocalService.AUTORITE NT
    ->Temp folder emptied: 65984 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: NetworkService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: NetworkService.AUTORITE NT
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: zoun
    ->Temp folder emptied: 2141053004 bytes
    ->Temporary Internet Files folder emptied: 12089184 bytes
    ->Java cache emptied: 81212394 bytes
    ->FireFox cache emptied: 86512570 bytes
    ->Flash cache emptied: 1926260 bytes

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 2134465 bytes
    %systemroot%\System32 .tmp files removed: 3072 bytes
    %systemroot%\System32\dllcache .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 71380788 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
    RecycleBin emptied: 0 bytes

    Total Files Cleaned = 2 399,00 mb


    OTM by OldTimer - Version 3.1.12.2 log created on 06022010_204651

    Files moved on Reboot...
    File move failed. C:\WINDOWS\system32\sdra64.exe scheduled to be moved on reboot.
    Folder move failed. C:\WINDOWS\system32\lowsec scheduled to be moved on reboot.

    Registry entries deleted on Reboot...


    Je ne sais pas si j ai bien fait mais mon ordi a l air de tenir le coup en mode normal je vais essayer de poursuivre la manip....essaie de me tenir au courant de la suite et dis moi si j ai fait des conneries !!!

    Merci bcp !!!! j espere que ca va marcher !!!
    2 Juin 2010 21:14:38

    A priori ca fonctionne déja mieux : j'ai lancé malwarebytes voici le rapport final après reboot :

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4164

    Windows 5.1.2600 Service Pack 2
    Internet Explorer 6.0.2900.2180

    02/06/2010 21:08:35
    mbam-log-2010-06-02 (21-08-35).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 150212
    Temps écoulé: 3 minute(s), 29 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 20
    Valeur(s) du Registre infectée(s): 3
    Elément(s) de données du Registre infecté(s): 4
    Dossier(s) infecté(s): 11
    Fichier(s) infecté(s): 28

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pragmaivkrpqrncb (Trojan.DNSChanger) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Protection Center (Rogue.ProtectionCenter) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe (Trojan.Agent) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\D (Trojan.Agent) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\D.1 (Trojan.Agent) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\Malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Paladin Antivirus (Rogue.PaladinAntivirus) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\pragma (Rootkit.TDSS) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo (Rogue.Eorezo) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RapportMgmtService.exe (Security.Hijack) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RapportService.exe (Security.Hijack) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Paladin Antivirus (Rogue.PaladinAntivirus) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\PRAGMA (Rootkit.TDSS) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\softwarehelper (Rogue.Eorezo) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\w32id (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\.exe\(default) (Hijacked.exeFile) -> Bad: (secfile) Good: (exefile) -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    C:\Program Files\ThunMail (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\796525 (Trojan.BHO) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\lowsec (Stolen.data) -> Quarantined and deleted successfully.
    C:\WINDOWS\PRAGMAdbdeomkbfp (Trojan.DNSChanger) -> Quarantined and deleted successfully.
    C:\WINDOWS\PRAGMAhpfvnnsenv (Trojan.DNSChanger) -> Quarantined and deleted successfully.
    C:\WINDOWS\PRAGMAhqfnnemnbg (Trojan.DNSChanger) -> Quarantined and deleted successfully.
    C:\WINDOWS\PRAGMAivkrpqrncb (Trojan.DNSChanger) -> Quarantined and deleted successfully.
    C:\WINDOWS\PRAGMAphxvritiww (Trojan.DNSChanger) -> Quarantined and deleted successfully.
    C:\WINDOWS\PRAGMArtfdxvnpse (Trojan.DNSChanger) -> Quarantined and deleted successfully.
    C:\WINDOWS\PRAGMAuiqhpjkibi (Trojan.DNSChanger) -> Quarantined and deleted successfully.
    C:\WINDOWS\PRAGMAwpseqdmsti (Trojan.DNSChanger) -> Quarantined and deleted successfully.

    Fichier(s) infecté(s):
    C:\Documents and Settings\zoun\Application Data\EoRezo\SoftwareUpdate\SoftwareUpdateHP.exe (Rogue.Eorezo) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> Quarantined and deleted successfully.
    C:\WINDOWS\PRAGMAdbdeomkbfp\PRAGMAd.sys (Trojan.DNSChanger) -> Quarantined and deleted successfully.
    C:\WINDOWS\PRAGMAhpfvnnsenv\PRAGMAd.sys (Trojan.DNSChanger) -> Quarantined and deleted successfully.
    C:\WINDOWS\PRAGMAhqfnnemnbg\PRAGMAd.sys (Trojan.DNSChanger) -> Quarantined and deleted successfully.
    C:\WINDOWS\PRAGMAivkrpqrncb\PRAGMAc.dll (Trojan.DNSChanger) -> Quarantined and deleted successfully.
    C:\WINDOWS\PRAGMAivkrpqrncb\PRAGMAcfg.ini (Trojan.DNSChanger) -> Quarantined and deleted successfully.
    C:\WINDOWS\PRAGMAivkrpqrncb\PRAGMAd.sys (Trojan.DNSChanger) -> Quarantined and deleted successfully.
    C:\WINDOWS\PRAGMAivkrpqrncb\pragmaserf.dll (Trojan.DNSChanger) -> Quarantined and deleted successfully.
    C:\WINDOWS\PRAGMAivkrpqrncb\PRAGMAsrcr.dat (Trojan.DNSChanger) -> Quarantined and deleted successfully.
    C:\WINDOWS\PRAGMAphxvritiww\PRAGMAd.sys (Trojan.DNSChanger) -> Quarantined and deleted successfully.
    C:\WINDOWS\PRAGMArtfdxvnpse\PRAGMAd.sys (Trojan.DNSChanger) -> Quarantined and deleted successfully.
    C:\WINDOWS\PRAGMAuiqhpjkibi\PRAGMAd.sys (Trojan.DNSChanger) -> Quarantined and deleted successfully.
    C:\WINDOWS\PRAGMAwpseqdmsti\PRAGMAd.sys (Trojan.DNSChanger) -> Quarantined and deleted successfully.
    C:\Documents and Settings\zoun\Application Data\Microsoft\Internet Explorer\Quick Launch\Protection Center.LNK (Rogue.ProtectionCenter) -> Quarantined and deleted successfully.
    C:\Documents and Settings\All Users.WINDOWS\Application Data\pragmamfeklnmal.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
    C:\Documents and Settings\zoun\Bureau\nudetube.com.lnk (Rogue.Link) -> Quarantined and deleted successfully.
    C:\Documents and Settings\zoun\Bureau\pornotube.com.lnk (Rogue.Link) -> Quarantined and deleted successfully.
    C:\Documents and Settings\zoun\Bureau\spam001.exe (Malware.Trace) -> Quarantined and deleted successfully.
    C:\Documents and Settings\zoun\Bureau\spam003.exe (Malware.Trace) -> Quarantined and deleted successfully.
    C:\Documents and Settings\zoun\Bureau\troj000.exe (Malware.Trave) -> Quarantined and deleted successfully.
    C:\Documents and Settings\zoun\Bureau\youporn.com.lnk (Rogue.Link) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\crt.dat (Malware.Trace) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\ctfmon_pu.exe (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\shimg.dll (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\Documents and Settings\zoun\Local Settings\Temp\ie3.tmp (Trojan.Agent) -> Quarantined and deleted successfully.


    Je poursuit toujours la manip ca a l air de bien marcher

    tiens moi au courant,

    Merci encore
    2 Juin 2010 21:20:14

    yop,

    impec ... poursuit la première manipe donc ( ZHPDiag )




    2 Juin 2010 21:59:50

    re,


    J'attends de tes nouvelles mais ca a l air de pas mal fonctionner là !!!

    > on n'a pas finit ! ... reste encore pas mal de taf ... ;) 




    on continue dans l'ordre :



    1- Télécharge Ad-remover ( de C_XX ) sur ton bureau :

    ici http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
    ou ici http://forum-aide-contre-virus.be/download/C_XX/AD-R.ex...

    ! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !

    • Double clique sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .

    • Au menu principal, clique directement sur le bouton [Nettoyer] .

    • Le nettoyage débute > Laisse travailler l'outil et ne touche à rien !...

    Note : si il t'es demandé de redémarrer le PC pour finir la procédure , fais le .


    --> Poste le rapport qui apparait à la fin dans ta prochaine réponse pour analyse ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )


    ================================


    2- Utilisation de l'outil ZHPFix :

    * Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


    [MD5.2E48CEF293795B9E184D9DBB1CFB1411] - (.Pas de propriétaire - nova.) -- C:\shared files\wnks.exe [40960]
    O4 - HKCU\..\Run: [est] . (.Pas de propriétaire - nova.) -- C:\shared files\wnks.exe
    O20 - Winlogon Notify: cryptnet32 . (.Pas de propriétaire - Pas de description.) -- cryptnet32.dll
    C:\shared files
    O44 - LFC:[MD5.E6D35F3AA51A65EB35C1F2340154A25E] - 01/06/2010 - 20:47:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\drivers\gekfgpm.sys [54016]
    O44 - LFC:[MD5.E6D35F3AA51A65EB35C1F2340154A25E] - 01/06/2010 - 20:45:24 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\drivers\sfmtmny.sys [54016]
    O64 - Services: CurCS - C:\Windows\system32\drivers\gekfgpm.sys - dpjdndo (dpjdndo) .(.Pas de propriétaire - Pas de description.) - LEGACY_DPJDNDO
    O64 - Services: CurCS - C:\Windows\system32\drivers\sfmtmny.sys - ghgkqfpn (ghgkqfpn) .(.Pas de propriétaire - Pas de description.) - LEGACY_GHGKQFPN
    O64 - Services: CurCS - (.not file.) - jxqvelb (jxqvelb) .(.Pas de propriétaire - Pas de description.) - LEGACY_JXQVELB
    O64 - Services: CurCS - (.not file.) - PRAGMAivkrpqrncb (PRAGMAivkrpqrncb) .(.Pas de propriétaire - Pas de description.) - LEGACY_PRAGMAIVKRPQRNCB



    > Puis Lance ZHPFix depuis le raccouci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    * Puis clique sur le bouton [ OK ] .
    > à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


    * Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

    * Enfin clique sur le bouton [ Nettoyer ] .


    -> laisse travailler l'outil et ne touche à rien ...


    Une fois terminée , un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

    ( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )


    Important : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le de suite !


    Pense à réactiver tes défenses une fois la procédure terminée !...


    ( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )


    ====================================

    3- Télécharge CCleaner :
    ici http://www.infos-du-net.com/telecharger/CCleaner,0301-1...
    ou ici http://www.commentcamarche.net/telecharger/telecharger-...

    Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
    Lors de l'installation:
    -choisis bien "français" en langue .
    -avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.

    Un tuto ( aide ):
    http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.h...


    ---> Utilisation :
    *Décocher dans le menu Options - sous-menu Avancé :
    Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

    ! déconnecte toi et ferme toutes applications en cours !

    * va dans "nettoyeur" : fais -analyse- puis -nettoyage-
    * va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
    ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

    ( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )


    ============================

    4- Refais un scan ZHPDiag .

    * Coche bien toutes les options ( sauf les 045 et 061 )

    * Au niveau du bouton "calendrier" choisis > 30 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...




    2 Juin 2010 22:50:56

    Pour commencer voici le rapport de ad remover :

    .
    ======= RAPPORT D'AD-REMOVER 2.0.0.0,D | UNIQUEMENT XP/VISTA/7 =======
    .
    Mis à jour par C_XX le 19/05/10 à 19:20
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
    .
    Lancé à: 22:41:53 le 02/06/2010 | Mode normal | Option: CLEAN
    Exécuté de: C:\Ad-Remover\ADR.exe
    SE: Microsoft Windows XP Professionnel (Service Pack 2 - X86)
    Nom du PC: UNICORNI-37D363
    Utilisateur actuel: zoun
    .
    ============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
    .
    .
    C:\Documents and Settings\All Users.WINDOWS\Bureau\Poker 770.lnk
    C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\Poker 770
    C:\Documents and Settings\zoun\Application Data\AskToolbar
    C:\Documents and Settings\zoun\Application Data\EoRezo
    C:\Documents and Settings\zoun\Application Data\Mozilla\FireFox\Profiles\kprvlfve.default\extensions\toolbar@ask.com
    C:\Documents and Settings\zoun\Local Settings\Application Data\AskToolbar
    C:\Documents and Settings\zoun\Local Settings\Application Data\SpiderMessenger
    C:\Poker\Poker 770
    C:\Program Files\Ask.com
    C:\Program Files\EoRezo
    C:\WINDOWS\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
    C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job

    (!) -- Fichiers temporaires supprimés.
    .
    HKCU\Software\AppDataLow\AskToolbarInfo
    HKCU\Software\Ask.com
    HKCU\Software\AskToolbar
    HKCU\Software\EoRezo
    HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
    HKCU\Software\Poker 770
    HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
    HKLM\Software\Classes\AppID\GenericAskToolbar.DLL
    HKLM\Software\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
    HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
    HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd
    HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1
    HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
    HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
    HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
    HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
    HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
    HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
    HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
    HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
    HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Poker 770
    HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdate_is1
    HKLM\Software\Poker 770
    HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}
    HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}
    HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{00000000-6E41-4FD3-8538-502F5495E5FC}
    HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\post platform|AskTB5.5
    HKLM\Software\Microsoft\Internet Explorer\Toolbar|{D4027C7F-154A-4066-A1AD-4243D8127440}
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Eoengine
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Eorezo
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Ask.com\GenericAskToolbar.dll
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Ask.com\TaskScheduler.exe
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Ask.com\UpdateTask.exe
    .
    .
    ============== SCAN ADDITIONNEL ==============
    .
    * Mozilla FireFox Version 3.6.3 (fr) *
    .
    C:\Documents and Settings\zoun\..\kprvlfve.default\prefs.js - browser.download.lastDir: C:\\Documents and Settings\\zoun\\Bureau
    C:\Documents and Settings\zoun\..\kprvlfve.default\prefs.js - browser.search.defaultenginename: Bing
    C:\Documents and Settings\zoun\..\kprvlfve.default\prefs.js - browser.search.defaulturl: hxxp://www.bing.com/search?FORM=IEFM1&q=
    C:\Documents and Settings\zoun\..\kprvlfve.default\prefs.js - browser.search.selectedEngine: Google
    C:\Documents and Settings\zoun\..\kprvlfve.default\prefs.js - browser.startup.homepage: hxxp://www.google.fr/
    C:\Documents and Settings\zoun\..\kprvlfve.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2.3
    C:\Documents and Settings\zoun\..\kprvlfve.default\prefs.js - keyword.URL: hxxp://www.bing.com/search?FORM=IEFM1&q=
    C:\Documents and Settings\admin\..\85j7fynx.default\prefs.js - browser.download.lastDir: C:\\Documents and Settings\\admin\\Bureau
    C:\Documents and Settings\admin\..\85j7fynx.default\prefs.js - browser.startup.homepage: hxxp://www.google.fr/
    C:\Documents and Settings\admin\..\85j7fynx.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.0.9
    C:\Documents and Settings\admin\Bureau\WLM Lite\%AppData%\Mozilla\Firefox\Profiles\85j7fynx.default\prefs.js - browser.download.lastDir: C:\\Documents and Settings\\admin\\Bureau
    C:\Documents and Settings\admin\Bureau\WLM Lite\%AppData%\Mozilla\Firefox\Profiles\85j7fynx.default\prefs.js - browser.startup.homepage: hxxp://www.google.fr/
    C:\Documents and Settings\admin\Bureau\WLM Lite\%AppData%\Mozilla\Firefox\Profiles\85j7fynx.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.0.8
    .
    EFFACÉ: C:\Documents and Settings\zoun\..\kprvlfve.default\prefs.js - user_pref("extensions.asktb.cbid", "N9");
    EFFACÉ: C:\Documents and Settings\zoun\..\kprvlfve.default\prefs.js - user_pref("extensions.asktb.default-channel-url-mask", "hxxp://fr.ask.com/web?q={query}&qsrc={qsrc}&o={o}&l={l}&dm=lang");
    EFFACÉ: C:\Documents and Settings\zoun\..\kprvlfve.default\prefs.js - user_pref("extensions.asktb.fresh-install", false);
    EFFACÉ: C:\Documents and Settings\zoun\..\kprvlfve.default\prefs.js - user_pref("extensions.asktb.l", "dis");
    EFFACÉ: C:\Documents and Settings\zoun\..\kprvlfve.default\prefs.js - user_pref("extensions.asktb.last-config-req", "1275504191501");
    EFFACÉ: C:\Documents and Settings\zoun\..\kprvlfve.default\prefs.js - user_pref("extensions.asktb.locale", "fr_FR");
    EFFACÉ: C:\Documents and Settings\zoun\..\kprvlfve.default\prefs.js - user_pref("extensions.asktb.nero.userName", "");
    EFFACÉ: C:\Documents and Settings\zoun\..\kprvlfve.default\prefs.js - user_pref("extensions.asktb.o", "15418");
    EFFACÉ: C:\Documents and Settings\zoun\..\kprvlfve.default\prefs.js - user_pref("extensions.asktb.overlay-reloaded-using-restart", true);
    EFFACÉ: C:\Documents and Settings\zoun\..\kprvlfve.default\prefs.js - user_pref("extensions.asktb.qsrc", "2871");
    EFFACÉ: C:\Documents and Settings\zoun\..\kprvlfve.default\prefs.js - user_pref("extensions.asktb.r", "2");
    EFFACÉ: C:\Documents and Settings\zoun\..\kprvlfve.default\prefs.js - user_pref("extensions.enabledItems", "toolbar@ask.com:3.5.2.106,{CAFEEFAC-0016-0000-0010-ABCDEFFEDCBA}:6.0.10,{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}:6.0.16,jqs@sun.com:1.0,{71DBD2D0-2D8A-4C1B-8BDD-4430D7A9C362}:1.0,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.6.3");
    .
    * Internet Explorer Version 6.0.2900.2180 *
    .
    [HKCU\Software\Microsoft\Internet Explorer\Main]
    .
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/
    Use Custom Search URL: 1
    .
    [HKLM\Software\Microsoft\Internet Explorer\Main]
    .
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: %SystemRoot%\system32\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/
    .
    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    .
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm
    .
    ========================================
    .
    C:\Ad-Remover\Quarantine: 2 Fichier(s)
    C:\Ad-Remover\Backup: 13 Fichier(s)
    .
    C:\Ad-Report-CLEAN[1].txt - 8594 Octet(s)
    .
    Fin à: 22:45:20, 02/06/2010
    .
    ============== E.O.F - CLEAN[1] ==============


    je poursuit la manip

    a tt de suite
    2 Juin 2010 22:58:09

    deuxième rapport ZHPFix :

    ZHPFix v1.12.3104 by Nicolas Coolman - Rapport de suppression du 02/06/2010 22:53:56
    Fichier Registre : C:\ZHPExportRegistry-02-06-2010-22-53-55.txt
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.ht...
    Contact : nicolascoolman@yahoo.fr

    Processus mémoire :
    C:\shared files\wnks.exe [40960] => Fichier absent

    Module mémoire :
    (Néant)

    Clé du Registre :
    O20 - Winlogon Notify: cryptnet32 . (.Pas de propriétaire - Pas de description.) -- cryptnet32.dll => Clé absente
    O64 - Services: CurCS - C:\Windows\system32\drivers\gekfgpm.sys - dpjdndo (dpjdndo) .(.Pas de propriétaire - Pas de description.) - LEGACY_DPJDNDO => Clé supprimée avec succès
    O64 - Services: CurCS - C:\Windows\system32\drivers\sfmtmny.sys - ghgkqfpn (ghgkqfpn) .(.Pas de propriétaire - Pas de description.) - LEGACY_GHGKQFPN => Clé supprimée avec succès
    O64 - Services: CurCS - (.not file.) - jxqvelb (jxqvelb) .(.Pas de propriétaire - Pas de description.) - LEGACY_JXQVELB => Clé supprimée avec succès
    O64 - Services: CurCS - (.not file.) - PRAGMAivkrpqrncb (PRAGMAivkrpqrncb) .(.Pas de propriétaire - Pas de description.) - LEGACY_PRAGMAIVKRPQRNCB => Clé supprimée avec succès
    O64 - Services: CurCS - C:\Windows\system32\drivers\gekfgpm.sys - dpjdndo (dpjdndo) .(.Pas de propriétaire - Pas de description.) - LEGACY_DPJDNDO => Clé absente
    O64 - Services: CurCS - C:\Windows\system32\drivers\sfmtmny.sys - ghgkqfpn (ghgkqfpn) .(.Pas de propriétaire - Pas de description.) - LEGACY_GHGKQFPN => Clé absente
    O64 - Services: CurCS - (.not file.) - jxqvelb (jxqvelb) .(.Pas de propriétaire - Pas de description.) - LEGACY_JXQVELB => Clé absente
    O64 - Services: CurCS - (.not file.) - PRAGMAivkrpqrncb (PRAGMAivkrpqrncb) .(.Pas de propriétaire - Pas de description.) - LEGACY_PRAGMAIVKRPQRNCB => Clé absente

    Valeur du Registre :
    O4 - HKCU\..\Run: [est] . (.Pas de propriétaire - nova.) -- C:\shared files\wnks.exe => Valeur absente

    Elément de données du Registre :
    (Néant)

    Préférences navigateur :
    (Néant)

    Dossier :
    c:\shared files => Supprimé et mis en quarantaine

    Fichier :
    c:\shared files\wnks.exe => Fichier absent
    cryptnet32.dll => Fichier absent
    c:\windows\system32\drivers\gekfgpm.sys => Supprimé et mis en quarantaine
    c:\windows\system32\drivers\sfmtmny.sys => Supprimé et mis en quarantaine
    c:\windows\system32\drivers\gekfgpm.sys => Fichier absent
    c:\windows\system32\drivers\sfmtmny.sys => Fichier absent

    Logiciel :
    (Néant)

    Script Registre :
    (Néant)

    Master Boot Record :
    (Néant)

    Autre :
    (Néant)


    Récapitulatif :
    Processus mémoire : 1
    Module mémoire : 0
    Clé du Registre : 9
    Valeur du Registre : 1
    Elément de données du Registre : 0
    Dossier : 1
    Fichier : 6
    Logiciel : 0
    Master Boot Record : 0
    Préférences navigateur : 0
    Autre : 0


    End of the scan


    tout de suite la suite lol
    2 Juin 2010 23:20:56

    on avance ....



    Fait ceci maintenant :


    Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe


    >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
  • Ferme tes applications en cours ( ainsi que ton navigateur ) .
  • DESACTIVE TOUTES TES DEFENSES (anti-virus, garde anti spy-ware, pare-feu) le temps de la manipe.
    En effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !
    > Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
  • Tuto ( aide ) ici : http://www.bleepingcomputer.com/combofix/fr/comment-uti...
  • Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
    >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<


    Ensuite :
    > Double-clique sur l'icône "Combofix.exe" pour lancer l'outil .
    > A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...


    -- Pour XP, l' installation de la Console de Récupération sera demandé :
    * Laisse toi guider et fais l'installe de la "console de récupération" ( en anglais, "Windows Recovery Console" ) lorsque l'outil te le demandera ( important ! ).
    image > http://img.photobucket.com/albums/v706/ried7/RcAuto1.gi...
    *Une fois la console installée,
    image > http://img.photobucket.com/albums/v706/ried7/whatnext.p...
    Déconnecte toi si possible avant de cliquer sur "yes" pour lancer le scan --


    Notes importantes :
    -> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
    -> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
    -> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes .
    -> Si après un reboot éventuel , ton antivirus s'affole lorsque travail encore Combofix , ignore les alertes ! ( ne supprime rien et ne mets rien en quarantaine )

    Le rapport sera crée ici : C:\Combofix.txt

    Réactive bien tes défenses .


    > Poste le rapport Combofix pour analyse et attends la suite ...
    2 Juin 2010 23:33:50


    voici le rapport,

    ComboFix 10-06-02.01 - zoun 02/06/2010 23:25:54.1.2 - x86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.2047.1424 [GMT 2:00]
    Lancé depuis: c:\documents and settings\zoun\Mes documents\Téléchargements\ComboFix.exe
    AV: avast! Antivirus *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\documents and settings\All Users.WINDOWS\Application Data\Microsoft\Network\Downloader\qmgr0.dat
    c:\documents and settings\All Users.WINDOWS\Application Data\Microsoft\Network\Downloader\qmgr1.dat
    c:\program files\Mozilla Firefox\extensions\{71DBD2D0-2D8A-4C1B-8BDD-4430D7A9C362}
    c:\program files\Mozilla Firefox\extensions\{71DBD2D0-2D8A-4C1B-8BDD-4430D7A9C362}\chrome.manifest
    c:\program files\Mozilla Firefox\extensions\{71DBD2D0-2D8A-4C1B-8BDD-4430D7A9C362}\chrome\content\overlay.xul
    c:\program files\Mozilla Firefox\extensions\{71DBD2D0-2D8A-4C1B-8BDD-4430D7A9C362}\install.rdf
    c:\windows\system32\muzapp.exe
    c:\windows\system32\Vb40032.dll

    ----- BITS: Il y a peut-être des sites infectés -----

    hxxp://suchagreatname.com
    Une copie infectée de c:\windows\system32\userinit.exe a été trouvée et désinfectée
    Copie restaurée à partir de - c:\windows\ServicePackFiles\i386\userinit.exe

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-05-02 au 2010-06-02 ))))))))))))))))))))))))))))))))))))
    .

    2010-06-02 20:58 . 2010-06-02 20:58 -------- d-----w- c:\program files\CCleaner
    2010-06-02 20:41 . 2010-06-02 20:45 -------- d-----w- C:\Ad-Remover
    2010-06-02 19:13 . 2010-06-02 21:07 -------- d-----w- c:\program files\ZHPDiag
    2010-06-02 18:46 . 2010-06-02 18:46 -------- d-----w- C:\_OTM
    2010-06-01 20:08 . 2010-05-07 16:07 30536 ----a-w- c:\windows\system32\TURegOpt.exe
    2010-06-01 20:08 . 2010-05-07 16:01 30024 ----a-w- c:\windows\system32\uxtuneup.dll
    2010-06-01 20:08 . 2010-06-01 20:08 -------- d-----w- c:\documents and settings\zoun\Application Data\TuneUp Software
    2010-06-01 20:08 . 2010-06-01 20:09 -------- d-----w- c:\program files\TuneUp Utilities 2010
    2010-06-01 20:08 . 2010-06-01 20:08 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\TuneUp Software
    2010-06-01 20:08 . 2010-06-01 20:08 -------- d-sh--w- c:\documents and settings\All Users.WINDOWS\Application Data\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}
    2010-06-01 19:39 . 2010-06-01 19:39 -------- d-----w- c:\documents and settings\zoun\Application Data\Malwarebytes
    2010-06-01 19:39 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-06-01 19:39 . 2010-06-01 19:39 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-06-01 19:39 . 2010-06-01 19:39 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Malwarebytes
    2010-06-01 19:39 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-06-01 19:37 . 2010-06-01 19:54 -------- d-----w- c:\program files\trend micro
    2010-06-01 19:37 . 2010-06-01 19:37 -------- d-----w- C:\rsit
    2010-06-01 18:19 . 2010-06-01 18:19 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Alwil Software

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-06-02 18:20 . 2009-05-03 11:12 -------- d-----w- c:\documents and settings\zoun\Application Data\U3
    2010-06-01 18:21 . 2009-02-24 21:47 -------- d-----w- c:\program files\Alwil Software
    2010-06-01 18:20 . 2009-04-28 18:48 -------- d-----w- c:\documents and settings\zoun\Application Data\uTorrent
    2010-05-23 11:42 . 2009-05-08 02:54 -------- d-----w- c:\program files\Oxin's Style!
    2010-05-17 20:58 . 2009-09-01 10:12 1 ----a-w- c:\documents and settings\zoun\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
    2010-05-16 05:45 . 2008-11-20 22:51 -------- d-----w- c:\program files\uTorrent
    2010-05-09 12:30 . 2009-05-22 10:44 -------- d-----w- c:\documents and settings\zoun\Application Data\LimeWire
    2010-05-06 20:59 . 2010-01-03 08:29 38848 ----a-w- c:\windows\system32\avastSS.scr
    2010-05-06 20:59 . 2010-01-03 08:28 165032 ----a-w- c:\windows\system32\aswBoot.exe
    2010-05-06 20:39 . 2010-01-03 08:29 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
    2010-05-06 20:39 . 2010-01-03 08:29 164048 ----a-w- c:\windows\system32\drivers\aswSP.sys
    2010-05-06 20:34 . 2010-01-03 08:29 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys
    2010-05-06 20:33 . 2010-01-03 08:29 100432 ----a-w- c:\windows\system32\drivers\aswmon2.sys
    2010-05-06 20:33 . 2010-01-03 08:29 94800 ----a-w- c:\windows\system32\drivers\aswmon.sys
    2010-05-06 20:33 . 2010-01-03 08:29 19024 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
    2010-05-06 20:33 . 2010-01-03 08:29 28880 ----a-w- c:\windows\system32\drivers\aavmker4.sys
    2010-04-05 08:50 . 2001-08-24 12:00 71836 ----a-w- c:\windows\system32\perfc00C.dat
    2010-04-05 08:50 . 2001-08-24 12:00 458980 ----a-w- c:\windows\system32\perfh00C.dat
    2010-04-04 16:34 . 2010-02-10 22:52 -------- d-----w- c:\program files\PKR
    2010-03-07 18:49 . 2010-03-07 18:49 107888 ----a-w- c:\windows\system32\CmdLineExt.dll
    2009-04-28 19:09 . 2009-04-28 19:09 278528 ----a-w- c:\program files\Fichiers communs\FDEUnInstaller.exe
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-10-07 13574144]
    "nwiz"="nwiz.exe" [2008-10-07 1630208]
    "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-10-07 86016]
    "RTHDCPL"="RTHDCPL.EXE" [2009-04-10 17879552]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
    "SMSTray"="e:\logiciel\SMSTray.exe" [2007-12-14 132624]
    "SSBkgdUpdate"="c:\program files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
    "PaperPort PTD"="c:\program files\ScanSoft\PaperPort\pptd40nt.exe" [2007-01-29 30248]
    "IndexSearch"="c:\program files\ScanSoft\PaperPort\IndexSearch.exe" [2007-01-29 46632]
    "PPort11reminder"="c:\program files\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-02-01 255528]
    "BrMfcWnd"="c:\program files\Brother\Brmfcmon\BrMfcWnd.exe" [2007-03-12 663552]
    "ControlCenter3"="c:\program files\Brother\ControlCenter3\brctrcen.exe" [2007-01-26 65536]
    "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-09-01 149280]
    "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-11-10 417792]
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-11-12 141600]
    "avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-05-06 2815192]
    "Malwarebytes Anti-Malware (rootkit-scan)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]

    c:\documents and settings\zoun\Menu D‚marrer\Programmes\D‚marrage\
    OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]

    c:\documents and settings\All Users.WINDOWS\Menu D‚marrer\Programmes\D‚marrage\
    Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
    REALTEK RTL8185 Wireless LAN Utility.lnk - c:\program files\REALTEK RTL8185 Wireless LAN Driver and Utility\RtWLan.exe [2009-5-1 733184]

    [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\uTorrent\\uTorrent.exe"=
    "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "e:\\Logiciel\\Shareaza\\Shareaza.exe"=
    "c:\\Program Files\\LimeWire\\LimeWire.exe"=
    "c:\\Program Files\\Java\\jre6\\bin\\java.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
    "c:\\Program Files\\iTunes\\iTunes.exe"=

    R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [03/01/2010 10:29 164048]
    R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [03/01/2010 10:29 19024]
    S0 jxqvelb;jxqvelb;c:\windows\system32\drivers\hbpyxwg.sys --> c:\windows\system32\drivers\hbpyxwg.sys [?]
    S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [29/04/2009 20:29 1684736]
    S4 dpjdndo;dpjdndo;c:\windows\system32\drivers\gekfgpm.sys --> c:\windows\system32\drivers\gekfgpm.sys [?]
    S4 ghgkqfpn;ghgkqfpn;c:\windows\system32\drivers\sfmtmny.sys --> c:\windows\system32\drivers\sfmtmny.sys [?]
    S4 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\program files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [07/05/2010 18:05 1051976]
    S4 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\program files\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [24/02/2010 14:41 10064]

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    UxTuneUp
    .
    Contenu du dossier 'Tâches planifiées'

    2010-04-13 c:\windows\Tasks\AppleSoftwareUpdate.job
    - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
    .
    .
    ------- Examen supplémentaire -------
    .
    uInternet Settings,ProxyOverride = *.local
    IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
    IE: Ajouter au fichier PDF existant - c:\program files\Nuance\PDF Professional 5\bin\ZeonIEFavClient.dll/ZeonIEAppend.HTML
    IE: Ajouter le contenu des liens sélectionnés à un fichier PDF existant - c:\program files\Nuance\PDF Professional 5\bin\ZeonIEFavClient.dll/ZeonIEAppendSelLinks.HTML
    IE: Ajouter le contenu du lien à un fichier PDF existant - c:\program files\Nuance\PDF Professional 5\bin\ZeonIEFavClient.dll/ZeonIEAppend.HTML
    IE: Créer des fichiers PDF à partir des liens sélectionnés - c:\program files\Nuance\PDF Professional 5\bin\ZeonIEFavClient.dll/ZeonIECaptureSelLinks.HTML
    IE: Créer fichier PDF - c:\program files\Nuance\PDF Professional 5\bin\ZeonIEFavClient.dll/ZeonIECapture.HTML
    IE: Créer un fichier PDF depuis le contenu du lien - c:\program files\Nuance\PDF Professional 5\bin\ZeonIEFavClient.dll/ZeonIECapture.HTML
    IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
    FF - ProfilePath - c:\documents and settings\zoun\Application Data\Mozilla\Firefox\Profiles\kprvlfve.default\
    FF - prefs.js: browser.search.defaulturl - hxxp://www.bing.com/search?FORM=IEFM1&q=
    FF - prefs.js: browser.search.selectedEngine - Google
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
    FF - prefs.js: keyword.URL - hxxp://www.bing.com/search?FORM=IEFM1&q=
    FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll
    FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
    FF - plugin: c:\program files\Mozilla Firefox\plugins\npWebLaunch.dll
    FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll

    ---- PARAMETRES FIREFOX ----
    FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-06-02 23:29
    Windows 5.1.2600 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_USERS\S-1-5-21-484763869-776561741-682003330-1003\Software\SecuROM\License information*]
    "datasecu"=hex:53,ec,36,20,cd,b5,87,42,88,54,f5,8d,da,b3,2b,19,8b,31,a8,70,01,
    40,cb,4b,8a,b3,a1,98,e8,5e,8c,d8,23,83,a0,36,b6,77,ef,a2,40,10,b1,b3,f1,d9,\
    "rkeysecu"=hex:29,23,be,84,e1,6c,d6,ae,52,90,49,f1,f1,bb,e9,eb
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'explorer.exe'(1680)
    c:\windows\system32\browselc.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\program files\Alwil Software\Avast5\AvastSvc.exe
    c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    c:\program files\Bonjour\mDNSResponder.exe
    c:\program files\Java\jre6\bin\jqs.exe
    c:\windows\system32\nvsvc32.exe
    c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
    c:\windows\system32\wdfmgr.exe
    c:\windows\system32\wscntfy.exe
    c:\windows\system32\wbem\wmiapsrv.exe
    c:\windows\system32\RUNDLL32.EXE
    c:\windows\RTHDCPL.EXE
    c:\program files\Brother\ControlCenter3\brccMCtl.exe
    c:\program files\Brother\Brmfcmon\BrMfcmon.exe
    c:\program files\iPod\bin\iPodService.exe
    c:\program files\OpenOffice.org 3\program\soffice.exe
    c:\program files\OpenOffice.org 3\program\soffice.bin
    .
    **************************************************************************
    .
    Heure de fin: 2010-06-02 23:32:08 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-06-02 21:32

    Avant-CF: 4 032 720 896 octets libres
    Après-CF: 3 996 753 920 octets libres

    WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /usepmtimer /NoExecute=OptIn

    - - End Of File - - DB61A7EE75DEB2BB8D30DB350AC49308


    j'attends la suite !!!
    2 Juin 2010 23:39:09

    Bon ...


    quelques saltés s'accrochent ....



    fait ce qui suit :


    1- Créer un doc texte sur ton bureau :
  • Pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

  • Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :



    File::
    c:\windows\system32\drivers\hbpyxwg.sys
    c:\windows\system32\drivers\gekfgpm.sys
    c:\windows\system32\drivers\sfmtmny.sys

    Driver::
    jxqvelb
    dpjdndo
    ghgkqfpn




  • Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : CFScript puis valide ...



    2- Nettoyage :

    !! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

    --> Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

    Regarde ici :


    Cette manipulation va relancer Combofix !

    Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

    ! Ne touches à rien tant que le scan n'est pas terminé !

    Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    -> Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse et attends la suite ...


    ( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
    3 Juin 2010 00:03:04

    après plusieurs essais voici finallement le rapport :


    ComboFix 10-06-02.01 - zoun 02/06/2010 23:54:15.2.2 - x86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.2047.1541 [GMT 2:00]
    Lancé depuis: c:\documents and settings\zoun\Mes documents\Téléchargements\ComboFix.exe
    Commutateurs utilisés :: c:\documents and settings\zoun\Mes documents\Téléchargements\CFScript.txt
    AV: avast! Antivirus *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

    FILE ::
    "c:\windows\system32\drivers\gekfgpm.sys"
    "c:\windows\system32\drivers\hbpyxwg.sys"
    "c:\windows\system32\drivers\sfmtmny.sys"
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Service_dpjdndo
    -------\Service_ghgkqfpn
    -------\Service_jxqvelb


    ((((((((((((((((((((((((((((( Fichiers créés du 2010-05-02 au 2010-06-02 ))))))))))))))))))))))))))))))))))))
    .

    2010-06-02 20:58 . 2010-06-02 20:58 -------- d-----w- c:\program files\CCleaner
    2010-06-02 20:41 . 2010-06-02 20:45 -------- d-----w- C:\Ad-Remover
    2010-06-02 19:13 . 2010-06-02 21:07 -------- d-----w- c:\program files\ZHPDiag
    2010-06-02 18:46 . 2010-06-02 18:46 -------- d-----w- C:\_OTM
    2010-06-01 20:08 . 2010-05-07 16:07 30536 ----a-w- c:\windows\system32\TURegOpt.exe
    2010-06-01 20:08 . 2010-05-07 16:01 30024 ----a-w- c:\windows\system32\uxtuneup.dll
    2010-06-01 20:08 . 2010-06-01 20:08 -------- d-----w- c:\documents and settings\zoun\Application Data\TuneUp Software
    2010-06-01 20:08 . 2010-06-01 20:09 -------- d-----w- c:\program files\TuneUp Utilities 2010
    2010-06-01 20:08 . 2010-06-01 20:08 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\TuneUp Software
    2010-06-01 20:08 . 2010-06-01 20:08 -------- d-sh--w- c:\documents and settings\All Users.WINDOWS\Application Data\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}
    2010-06-01 19:39 . 2010-06-01 19:39 -------- d-----w- c:\documents and settings\zoun\Application Data\Malwarebytes
    2010-06-01 19:39 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-06-01 19:39 . 2010-06-01 19:39 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-06-01 19:39 . 2010-06-01 19:39 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Malwarebytes
    2010-06-01 19:39 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-06-01 19:37 . 2010-06-01 19:54 -------- d-----w- c:\program files\trend micro
    2010-06-01 19:37 . 2010-06-01 19:37 -------- d-----w- C:\rsit
    2010-06-01 18:19 . 2010-06-01 18:19 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Alwil Software

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-06-02 18:20 . 2009-05-03 11:12 -------- d-----w- c:\documents and settings\zoun\Application Data\U3
    2010-06-01 18:21 . 2009-02-24 21:47 -------- d-----w- c:\program files\Alwil Software
    2010-06-01 18:20 . 2009-04-28 18:48 -------- d-----w- c:\documents and settings\zoun\Application Data\uTorrent
    2010-05-23 11:42 . 2009-05-08 02:54 -------- d-----w- c:\program files\Oxin's Style!
    2010-05-17 20:58 . 2009-09-01 10:12 1 ----a-w- c:\documents and settings\zoun\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
    2010-05-16 05:45 . 2008-11-20 22:51 -------- d-----w- c:\program files\uTorrent
    2010-05-09 12:30 . 2009-05-22 10:44 -------- d-----w- c:\documents and settings\zoun\Application Data\LimeWire
    2010-05-06 20:59 . 2010-01-03 08:29 38848 ----a-w- c:\windows\system32\avastSS.scr
    2010-05-06 20:59 . 2010-01-03 08:28 165032 ----a-w- c:\windows\system32\aswBoot.exe
    2010-05-06 20:39 . 2010-01-03 08:29 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
    2010-05-06 20:39 . 2010-01-03 08:29 164048 ----a-w- c:\windows\system32\drivers\aswSP.sys
    2010-05-06 20:34 . 2010-01-03 08:29 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys
    2010-05-06 20:33 . 2010-01-03 08:29 100432 ----a-w- c:\windows\system32\drivers\aswmon2.sys
    2010-05-06 20:33 . 2010-01-03 08:29 94800 ----a-w- c:\windows\system32\drivers\aswmon.sys
    2010-05-06 20:33 . 2010-01-03 08:29 19024 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
    2010-05-06 20:33 . 2010-01-03 08:29 28880 ----a-w- c:\windows\system32\drivers\aavmker4.sys
    2010-04-05 08:50 . 2001-08-24 12:00 71836 ----a-w- c:\windows\system32\perfc00C.dat
    2010-04-05 08:50 . 2001-08-24 12:00 458980 ----a-w- c:\windows\system32\perfh00C.dat
    2010-04-04 16:34 . 2010-02-10 22:52 -------- d-----w- c:\program files\PKR
    2010-03-07 18:49 . 2010-03-07 18:49 107888 ----a-w- c:\windows\system32\CmdLineExt.dll
    2009-04-28 19:09 . 2009-04-28 19:09 278528 ----a-w- c:\program files\Fichiers communs\FDEUnInstaller.exe
    .

    ((((((((((((((((((((((((((((( SnapShot@2010-06-02_21.29.44 )))))))))))))))))))))))))))))))))))))))))
    .
    + 2010-06-02 21:57 . 2010-06-02 21:57 16384 c:\windows\Temp\Perflib_Perfdata_270.dat
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-10-07 13574144]
    "nwiz"="nwiz.exe" [2008-10-07 1630208]
    "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-10-07 86016]
    "RTHDCPL"="RTHDCPL.EXE" [2009-04-10 17879552]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
    "SMSTray"="e:\logiciel\SMSTray.exe" [2007-12-14 132624]
    "SSBkgdUpdate"="c:\program files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
    "PaperPort PTD"="c:\program files\ScanSoft\PaperPort\pptd40nt.exe" [2007-01-29 30248]
    "IndexSearch"="c:\program files\ScanSoft\PaperPort\IndexSearch.exe" [2007-01-29 46632]
    "PPort11reminder"="c:\program files\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-02-01 255528]
    "BrMfcWnd"="c:\program files\Brother\Brmfcmon\BrMfcWnd.exe" [2007-03-12 663552]
    "ControlCenter3"="c:\program files\Brother\ControlCenter3\brctrcen.exe" [2007-01-26 65536]
    "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-09-01 149280]
    "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-11-10 417792]
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-11-12 141600]
    "avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-05-06 2815192]
    "Malwarebytes Anti-Malware (rootkit-scan)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]

    c:\documents and settings\zoun\Menu D‚marrer\Programmes\D‚marrage\
    OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]

    c:\documents and settings\All Users.WINDOWS\Menu D‚marrer\Programmes\D‚marrage\
    Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
    REALTEK RTL8185 Wireless LAN Utility.lnk - c:\program files\REALTEK RTL8185 Wireless LAN Driver and Utility\RtWLan.exe [2009-5-1 733184]

    [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\uTorrent\\uTorrent.exe"=
    "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "e:\\Logiciel\\Shareaza\\Shareaza.exe"=
    "c:\\Program Files\\LimeWire\\LimeWire.exe"=
    "c:\\Program Files\\Java\\jre6\\bin\\java.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
    "c:\\Program Files\\iTunes\\iTunes.exe"=

    R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [03/01/2010 10:29 164048]
    R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [03/01/2010 10:29 19024]
    S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [29/04/2009 20:29 1684736]
    S4 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\program files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [07/05/2010 18:05 1051976]
    S4 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\program files\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [24/02/2010 14:41 10064]

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    UxTuneUp
    .
    Contenu du dossier 'Tâches planifiées'

    2010-04-13 c:\windows\Tasks\AppleSoftwareUpdate.job
    - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
    .
    .
    ------- Examen supplémentaire -------
    .
    uInternet Settings,ProxyOverride = *.local
    IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
    IE: Ajouter au fichier PDF existant - c:\program files\Nuance\PDF Professional 5\bin\ZeonIEFavClient.dll/ZeonIEAppend.HTML
    IE: Ajouter le contenu des liens sélectionnés à un fichier PDF existant - c:\program files\Nuance\PDF Professional 5\bin\ZeonIEFavClient.dll/ZeonIEAppendSelLinks.HTML
    IE: Ajouter le contenu du lien à un fichier PDF existant - c:\program files\Nuance\PDF Professional 5\bin\ZeonIEFavClient.dll/ZeonIEAppend.HTML
    IE: Créer des fichiers PDF à partir des liens sélectionnés - c:\program files\Nuance\PDF Professional 5\bin\ZeonIEFavClient.dll/ZeonIECaptureSelLinks.HTML
    IE: Créer fichier PDF - c:\program files\Nuance\PDF Professional 5\bin\ZeonIEFavClient.dll/ZeonIECapture.HTML
    IE: Créer un fichier PDF depuis le contenu du lien - c:\program files\Nuance\PDF Professional 5\bin\ZeonIEFavClient.dll/ZeonIECapture.HTML
    IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
    FF - ProfilePath - c:\documents and settings\zoun\Application Data\Mozilla\Firefox\Profiles\kprvlfve.default\
    FF - prefs.js: browser.search.defaulturl - hxxp://www.bing.com/search?FORM=IEFM1&q=
    FF - prefs.js: browser.search.selectedEngine - Google
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
    FF - prefs.js: keyword.URL - hxxp://www.bing.com/search?FORM=IEFM1&q=
    FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll
    FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
    FF - plugin: c:\program files\Mozilla Firefox\plugins\npWebLaunch.dll
    FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll

    ---- PARAMETRES FIREFOX ----
    FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-06-02 23:58
    Windows 5.1.2600 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_USERS\S-1-5-21-484763869-776561741-682003330-1003\Software\SecuROM\License information*]
    "datasecu"=hex:53,ec,36,20,cd,b5,87,42,88,54,f5,8d,da,b3,2b,19,8b,31,a8,70,01,
    40,cb,4b,8a,b3,a1,98,e8,5e,8c,d8,23,83,a0,36,b6,77,ef,a2,40,10,b1,b3,f1,d9,\
    "rkeysecu"=hex:29,23,be,84,e1,6c,d6,ae,52,90,49,f1,f1,bb,e9,eb
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'explorer.exe'(788)
    c:\windows\system32\browselc.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\program files\Alwil Software\Avast5\AvastSvc.exe
    c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    c:\program files\Bonjour\mDNSResponder.exe
    c:\program files\Java\jre6\bin\jqs.exe
    c:\windows\system32\nvsvc32.exe
    c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
    c:\windows\system32\wdfmgr.exe
    c:\windows\system32\wscntfy.exe
    c:\windows\system32\wbem\wmiapsrv.exe
    c:\windows\system32\RUNDLL32.EXE
    c:\windows\RTHDCPL.EXE
    c:\program files\Brother\ControlCenter3\brccMCtl.exe
    c:\program files\Brother\Brmfcmon\BrMfcmon.exe
    c:\program files\OpenOffice.org 3\program\soffice.exe
    c:\program files\OpenOffice.org 3\program\soffice.bin
    c:\program files\iPod\bin\iPodService.exe
    .
    **************************************************************************
    .
    Heure de fin: 2010-06-03 00:00:48 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-06-02 22:00
    ComboFix2.txt 2010-06-02 21:32

    Avant-CF: 4 001 542 144 octets libres
    Après-CF: 3 897 253 888 octets libres

    - - End Of File - - 3D0C61177588C382CC1870DBE83B651E

    J'attends la suite,


    3 Juin 2010 00:12:53

    Impec ....



    dis moi comment va le PC .... du mieux ? ...


    on va vérifier au niveau des unités externes ....


    Télécharge UsbFix ( de C_XX, Chimay8 & El desaparecido ) sur ton bureau :

    ici http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFi...
    ou ici http://chiquitine.changelog.fr/UsbFix.exe

    ! Déconnecte toi d'internet, désactive ton antivirus et ferme toutes applications en cours !


    Impératif :
    Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .


    # Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil.

    # Clique sur le bouton [ Recherche ] .

    -> Laisse travailler l'outil et ne touche à rien pendant le scan .

    # Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

    Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


    Note :
    "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


    Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html

    3 Juin 2010 00:17:23

    Je n'ai aucune unité externe avec moi là, j'ai juste une clé usb de 16 Go que je n ai pas avec moi en ce moment.

    Le pc va définitivement mieux.

    Je ne te remercierai jamais assez, heruesement qu'il y a des passionnés comme toi sur la toile qui prennent le temps !!!!

    Merci beaucoup sinèrement tu m as sauvi ma semaine de taf.

    Dis moi si ya d autres trucs a faire a part pour les unités externes....

    3 Juin 2010 00:21:41

    yop,


    passe le tool quand même ...


    parcontre il reste encore du travail ... ton PC , c'est un peu le bronx, et il est bourré de failles de sécurité ... Il va falloire s'occuper de cela si tu ne veux pas que les choses se reproduisent ...


    donc j'attends le rapport d'UsbFix déjà .... ( et je te donnerai la suite demain )
    3 Juin 2010 00:38:48

    ca marche pas il me dit que le logiciel ne peut être téléchargé car il ne peut pas être lu !!!!

    aucun des liens ne marche...

    Je fais quoi?
    3 Juin 2010 00:42:44

    c est bon j ai réussi a le prendre sur le site de l auteur. Voici le rapport :

    ############################## | UsbFix 7.003 |

    Utilisateur: zoun (Administrateur) # UNICORNI-37D363 [ ]
    Mis à jour le 01/06/10 par El Desaparecido & C_XX
    Lancé à 00:39:14 | 03/06/2010
    Site Web: http://pagesperso-orange.fr/NosTools/index.html
    Contact: FindyKill.Contact@gmail.com

    CPU: AMD Athlon(tm) 64 X2 Dual Core Processor 6000+
    CPU 2: AMD Athlon(tm) 64 X2 Dual Core Processor 6000+
    Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 2
    Internet Explorer 6.0.2900.2180

    Pare-feu Windows: Désactivé /!\
    Antivirus: avast! Antivirus 5.0.83886625 [(!) Disabled | Updated]

    RAM -> 2047 Mo
    C:\ (%systemdrive%) -> Disque fixe # 49 Go (4 Go libre(s) - 7%) [] # NTFS
    E:\ -> Disque fixe # 98 Go (2 Go libre(s) - 2%) [] # NTFS
    F:\ -> Disque fixe # 319 Go (4 Go libre(s) - 1%) [] # NTFS
    K:\ -> CD-ROM

    ################## | Éléments infectieux |

    Présent! E:\Recycler\S-1-5-21-1547161642-1383384898-682003330-1003
    Présent! E:\Recycler\S-1-5-21-484763869-776561741-682003330-1003
    Présent! E:\Recycler\S-1-5-21-527237240-725345543-839522115-1003
    Présent! E:\Recycler\S-1-5-21-606747145-117609710-839522115-1003
    Présent! F:\Recycler\S-1-5-21-1547161642-1383384898-682003330-1003
    Présent! F:\Recycler\S-1-5-21-484763869-776561741-682003330-1003
    Présent! F:\Recycler\S-1-5-21-527237240-725345543-839522115-1003
    Présent! F:\Recycler\S-1-5-21-606747145-117609710-839522115-1003
    Présent! C:\fgsd.exe
    Présent! C:\fgsdd.exe
    Présent! C:\fgsdz.exe
    Présent! C:\installx.exe
    Présent! C:\installz.exe
    Présent! C:\inx.exe
    Présent! C:\managers.exe
    Présent! C:\sys.exe
    Présent! C:\syss.exe
    Présent! C:\sysz.exe
    Présent! C:\syszx.exe

    ################## | Registre |

    Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
    Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
    Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

    ################## | Mountpoints2 |


    ################## | Vaccin |

    (!) Cet ordinateur n'est pas vacciné!

    ################## | E.O.F |


    Voila,

    j'attends de tes nouvelles demain pour la suite

    Merci encore et bonne nuit

    A demain
    3 Juin 2010 01:09:32

    re,


    et bien ... encore pas mal de salté à ce niveau là ....



    la suite :


    1- ! Déconnecte toi d'internet, désactive ton antivirus et ferme toutes applications en cours !


    Impératif :
    Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .


    # Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil .

    # Cette fois ci , tu cliques sur le bouton [ Suppression ] .

    -> Laisse travailler l'outil et ne touche à rien ...

    # Une fois terminé, poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .
    ( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).

    /!\ Important : une fois le rapport posté , redémarre le PC pour que l'outil puisse terminer le nettoyage .


    =============================

    2- Refais un scan ZHPDiag .

    * Coche bien toutes les options ( sauf les 045 et 061 )

    * Au niveau du bouton "calendrier" choisis > 30 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...



    A demain ... ;) 
    3 Juin 2010 20:52:51

    Salut mec,

    Désolé mais je vais pas pouvoir faire les manip tout de suite je suis encore au boulot :-(

    Je serai dispo vers 23heures a peu pres si t es encore connecté on s y met...

    tiens moi au courant

    merciiiii
    3 Juin 2010 20:55:38

    yop,

    pas de soucis ... A tout' ... ,)
    3 Juin 2010 23:04:16

    salut voici le rapport......

    je redémarre le pc et je continue....

    ############################## | UsbFix 7.003 |

    Utilisateur: zoun (Administrateur) # UNICORNI-37D363 [ ]
    Mis à jour le 01/06/10 par El Desaparecido & C_XX
    Lancé à 23:00:57 | 03/06/2010
    Site Web: http://pagesperso-orange.fr/NosTools/index.html
    Contact: FindyKill.Contact@gmail.com

    CPU: AMD Athlon(tm) 64 X2 Dual Core Processor 6000+
    CPU 2: AMD Athlon(tm) 64 X2 Dual Core Processor 6000+
    Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 2
    Internet Explorer 6.0.2900.2180

    Pare-feu Windows: Désactivé /!\
    Antivirus: avast! Antivirus 5.0.83886625 [(!) Disabled | Updated]

    RAM -> 2047 Mo
    C:\ (%systemdrive%) -> Disque fixe # 49 Go (4 Go libre(s) - 7%) [] # NTFS
    E:\ -> Disque fixe # 98 Go (2 Go libre(s) - 2%) [] # NTFS
    F:\ -> Disque fixe # 319 Go (5 Go libre(s) - 1%) [] # NTFS
    K:\ -> CD-ROM

    ################## | Éléments infectieux |

    Supprimé! C:\Recycler\S-1-5-21-484763869-776561741-682003330-1003
    Supprimé! E:\Recycler\S-1-5-21-1547161642-1383384898-682003330-1003
    Supprimé! E:\Recycler\S-1-5-21-484763869-776561741-682003330-1003
    Supprimé! E:\Recycler\S-1-5-21-527237240-725345543-839522115-1003
    Supprimé! E:\Recycler\S-1-5-21-606747145-117609710-839522115-1003
    Supprimé! F:\Recycler\S-1-5-21-1547161642-1383384898-682003330-1003
    Supprimé! F:\Recycler\S-1-5-21-484763869-776561741-682003330-1003
    Supprimé! F:\Recycler\S-1-5-21-527237240-725345543-839522115-1003
    Supprimé! F:\Recycler\S-1-5-21-606747145-117609710-839522115-1003
    Supprimé! C:\fgsd.exe
    Supprimé! C:\fgsdd.exe
    Supprimé! C:\fgsdz.exe
    Supprimé! C:\installx.exe
    Supprimé! C:\installz.exe
    Supprimé! C:\inx.exe
    Supprimé! C:\managers.exe
    Supprimé! C:\sys.exe
    Supprimé! C:\syss.exe
    Supprimé! C:\sysz.exe
    Supprimé! C:\syszx.exe

    ################## | Registre |

    Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
    Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
    Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

    ################## | Mountpoints2 |


    ################## | Listing |

    [27/04/2009 - 22:56:31 | A | 2] C:\807895717
    [02/06/2010 - 22:45:16 | D ] C:\Ad-Remover
    [02/06/2010 - 22:45:20 | A | 8720] C:\Ad-Report-CLEAN[1].txt
    [29/04/2009 - 20:27:45 | D ] C:\ATI
    [20/11/2008 - 22:00:35 | A | 0] C:\AUTOEXEC.BAT
    [29/04/2009 - 20:37:19 | A | 224] C:\Boot.bak
    [02/06/2010 - 23:25:26 | RASH | 294] C:\boot.ini
    [24/08/2001 - 14:00:00 | RASH | 4952] C:\Bootfont.bin
    [02/06/2010 - 23:25:26 | RASHD ] C:\cmdcons
    [03/08/2004 - 23:00:08 | A | 263488] C:\cmldr
    [03/06/2010 - 00:00:48 | A | 14277] C:\ComboFix.txt
    [20/11/2008 - 22:00:35 | A | 0] C:\CONFIG.SYS
    [28/04/2009 - 20:26:41 | D ] C:\Documents and Settings
    [20/01/2010 - 23:22:30 | D ] C:\HOTZIC
    [20/11/2008 - 22:00:35 | RASH | 0] C:\IO.SYS
    [20/11/2008 - 23:00:10 | A | 7] C:\ISACER.id
    [07/03/2010 - 20:04:22 | D ] C:\jeux
    [20/11/2008 - 22:00:35 | RASH | 0] C:\MSDOS.SYS
    [21/11/2008 - 00:32:21 | D ] C:\My Video
    [13/04/2009 - 12:34:25 | A | 28] C:\ngp.exe
    [30/06/2009 - 10:01:29 | D ] C:\Nouveau dossier
    [21/01/2009 - 18:20:37 | A | 22] C:\Nouveau Dossier compressé.zip
    [25/03/2009 - 22:41:25 | A | 0] C:\nowy.avi
    [03/08/2004 - 22:38:34 | RASH | 47564] C:\NTDETECT.COM
    [03/08/2004 - 22:59:44 | RASH | 251712] C:\ntldr
    [20/11/2008 - 22:58:13 | D ] C:\NVIDIA
    [29/02/2004 - 17:44:34 | A | 52576] C:\orange.bmp
    [03/06/2010 - 19:53:20 | ASH | 2145386496] C:\pagefile.sys
    [07/05/2009 - 16:54:19 | D ] C:\PDFPro5Trial
    [02/06/2010 - 22:45:14 | D ] C:\Poker
    [02/06/2010 - 22:58:29 | RD ] C:\Program Files
    [03/06/2010 - 00:00:50 | D ] C:\Qoobox
    [03/06/2010 - 23:02:23 | SHD ] C:\RECYCLER
    [01/06/2010 - 21:37:33 | D ] C:\rsit
    [21/11/2008 - 00:42:51 | A | 2096361] C:\samsung_firmware_serie_samsung_k3_1.04_4060.zip
    [28/04/2009 - 20:26:03 | SHD ] C:\System Volume Information
    [03/06/2010 - 23:02:22 | D ] C:\UsbFix
    [03/06/2010 - 23:02:25 | A | 3977] C:\Usbfix.txt
    [02/06/2010 - 23:58:19 | D ] C:\WINDOWS
    [02/06/2010 - 22:53:55 | A | 6034] C:\ZHPExportRegistry-02-06-2010-22-53-55.txt
    [02/06/2010 - 20:46:51 | D ] C:\_OTM
    [15/11/2008 - 22:51:43 | A | 125548672] E:\178.24_geforce_winxp_32bit_international_whql.exe
    [17/11/2008 - 22:34:32 | A | 7100537] E:\20080226150714125_YP_K3_3_09_MTP_FR.zip
    [24/02/2009 - 23:44:17 | D ] E:\avast
    [03/08/2008 - 23:46:47 | A | 67708176] E:\avg_avwt_stf_all_8_125a1325_square.exe
    [19/11/2008 - 21:16:27 | A | 53680880] E:\avg_free_stf_eu_8_175a1382.exe
    [01/05/2009 - 12:44:18 | D ] E:\drivers
    [03/05/2009 - 21:30:30 | D ] E:\game
    [18/07/2008 - 19:00:10 | A | 2027769] E:\hidownload.exe
    [16/11/2008 - 04:43:45 | D ] E:\Incomplete
    [08/11/2008 - 19:06:04 | D ] E:\LimeWire
    [22/12/2009 - 14:37:01 | D ] E:\Logiciel
    [24/03/2010 - 21:15:37 | D ] E:\Nouveau dossier (2)
    [03/06/2010 - 23:02:23 | SHD ] E:\RECYCLER
    [28/04/2009 - 20:26:54 | SHD ] E:\System Volume Information
    [16/11/2008 - 12:47:37 | A | 270128] E:\uTorrent.exe
    [25/02/2010 - 17:02:52 | D ] E:\walt disney
    [19/02/2009 - 15:34:58 | A | 16385515] E:\WLM.Lite.8.5.r7.rar
    [13/07/2008 - 18:38:32 | D ] E:\WordBiz
    [17/12/2009 - 22:27:46 | AD ] F:\cd
    [03/06/2010 - 21:15:07 | RD ] F:\divx
    [01/06/2010 - 20:03:27 | RD ] F:\FILMS
    [07/03/2010 - 20:31:35 | RD ] F:\jeux
    [03/06/2010 - 23:02:23 | SHD ] F:\RECYCLER
    [28/04/2009 - 20:26:54 | SHD ] F:\System Volume Information

    ################## | Vaccin |

    C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
    E:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
    F:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

    ################## | Upload |

    Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_UNICORNI-37D363.zip
    http://chiquitine.changelog.fr/Sample/Upload.php
    Merci de votre contribution.

    ################## | E.O.F |
    3 Juin 2010 23:17:32

    j ai posté le rapport sur cijoint...

    tiens moi au courant !!!!
    3 Juin 2010 23:22:32

    bien ...




    1- supprime manuellement ce fichier > C:\ngp.exe


    =========================

    2- Si ce n'est pas déjà fait, rends sur cette page :
    > http://chiquitine.changelog.fr/Sample/Upload.php

    * clique sur "parcourir" et va jusqu'au fichier C:\UsbFix_Upload_Me_UNICORNI-37D363.zip .

    * En dessous de "Sélectionnez l'outil que vous venez d'utiliser", choisis UsbFix .

    * puis clique sur "envoyer le fichier" ... patiente le temps du transfère ...

    * Une fois terminé , tu peux supprimer le fichier UsbFix_Upload_Me_UNICORNI-37D363.zip


    merci d'avoir fait cette remonté qui permettra aux auteurs de l'outil de travailler sur ce type d'infection et d'aider ainsi à ce que UsbFix soit de plus en plus performant ... :) 

    =========================

    3- Refais un scan ZHPDiag .

    * Coche bien toutes les options ( sauf les 045 et 061 )

    * Au niveau du bouton "calendrier" choisis > 30 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...


    Dis moi aussi comment se comporte le PC ....
    3 Juin 2010 23:35:01

    c est envoyé... le pc a l air très bien.....

    Merci pour tout sérieux je sais pas comment j aurai fais sans toi !!!!!!!

    On continue????
    3 Juin 2010 23:56:55

    Citation :
    On continue????



    bah oui ! ... j'attends le rapport ZHPDiag que j'ai demandé ...
    4 Juin 2010 00:01:30

    bah lol jte l ai envoyé normalement

    attend je le refais
    4 Juin 2010 00:04:11

    envoyé ou ça ?????


    copie/colle moi le lien "Cijoint" stp ...

    4 Juin 2010 00:04:27

    c est bon je viens de le réenvoyer !

    On continue????
    4 Juin 2010 00:08:30

    ah mais lol j avais oublié !!!!

    jle refais désolé sérieux j ai plus toute ma tete a cette heure
    4 Juin 2010 00:21:57

    Bien ....



    la suite dans l'ordre ( si le dernier rapport est clean , on pourra finaliser ) :



    ( ne saute pas d'étape ! si tu rencontres un soucis lors de cette manipe , tu stoppes et tu m'en fais part )


    1- Utilisation de l'outil ZHPFix :

    > Lance ZHPFix depuis le raccourci du bureau .

    * Une fois l'outil ZHPFix ouvert :

    !! ferme tes autres applications en cours !!


    A- Clique sur le bouton " Nettoyeur de tools " ( le grand A rouge ) . Des lignes pré-cochées apparaissent alors dans l'encadré principal .

    > Là tu décoches la case devant ZHPDiag !


    > Enfin clique en bas sur "Nettoyer" .


    Laisse travailler l'outil ... une fois terminé , un nouveau rapport apparait dans l'encadré principal .

    -> Copie/colle le contenu de ce rapport pour analyse ...

    ( il est également sauvegardé ici : C:\Program files\ZHPFix\ZHPFixReport.txt )

    Note : si il t'est demandé de redémarrer le PC pour finir le nettoyage, fait le !



    B- Clique sur le bouton en haut à droite " Vider la quarantaine " ( la poubelle vide ).

    Au message de confirmation , clique sur "Ok" .


    Puis ferme ZHPFix ...


    ======================================

    2- Refais un coup de CCleaner ( registre compris ) .


    ======================================

    3- Télécharge et installe le logiciel HijackThis :

    ici http://www.trendsecure.com/portal/en-US/_download/HJTIn...
    ou ici http://www.commentcamarche.net/telecharger/telecharger-...

    > Clique sur le setup pour lancer l'installe :
    * laisse toi guider et ne modifie pas les paramètres d'installation .
    * A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge .

    Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
    C:\program files\Trend Micro\HijackThis\HijackThis.exe .

    ( ne fais pas de scan pour le moment )


    ======================================

    4- Important :
    Purge de la restauration système
    *Désactive ta restauration :
    Clique droit sur poste de travail/propriétés/Restauration système/ coche la case désactiver la restauration, appliquer, OK
    ---> Redémarre ton PC ...

    *Réactive ta restauration :
    Clique droit sur poste de travail/propriétés/Restauration système/ décoche la case désactiver la restauration, appliquer, OK
    --->Redémarre ton PC ...

    ( Note : tu peux aussi y accéder via panneau de configuration->"systeme"->" restauration système " ).


    ======================================


    5- Fais ce scan en ligne pour vérifier :

    ( ne rien faire d'autre avec le PC durant le scan ! )

    Fais un scan en ligne avec " Panda " :

    > http://www.pandasecurity.com/homeusers/solutions/active...
    ( clique sur "scan your PC now" )

    tuto :
    http://www.malekal.com/scan_Av_en_ligne.php#mozTocId237...


    poste moi le rapport obtenu pour analyse ...


    4 Juin 2010 00:24:21

    1er rapport :

    ZHPFix v1.12.3104 by Nicolas Coolman - Rapport de suppression du 04/06/2010 00:23:31
    Fichier d'export Registre :
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.ht...
    Contact : nicolascoolman@yahoo.fr

    Processus mémoire :
    (Néant)

    Module mémoire :
    (Néant)

    Clé du Registre :
    (Néant)

    Valeur du Registre :
    (Néant)

    Elément de données du Registre :
    (Néant)

    Préférences navigateur :
    (Néant)

    Dossier :
    C:\UsbFix => Supprimé et mis en quarantaine
    C:\rsit => Supprimé et mis en quarantaine

    Fichier :
    (Néant)

    Logiciel :
    O63 - Logiciel: Ad-Remover By C_XX => Logiciel supprimé avec succès
    O63 - Logiciel: Usbfix By C_XX & El Desaparecido => Logiciel supprimé avec succès
    O63 - Logiciel: RSIT - (random/random) => Logiciel supprimé avec succès

    Script Registre :
    (Néant)

    Master Boot Record :
    (Néant)

    Autre :
    (Néant)


    Récapitulatif :
    Processus mémoire : 0
    Module mémoire : 0
    Clé du Registre : 0
    Valeur du Registre : 0
    Elément de données du Registre : 0
    Dossier : 2
    Fichier : 0
    Logiciel : 3
    Master Boot Record : 0
    Préférences navigateur : 0
    Autre : 0


    End of the scan
    4 Juin 2010 08:04:32

    voici le rapport panda :


    Exporter vers :
    Menaces avec désinfection gratuite (0)
    Menaces (16)
    Niveau de risque moyen (1)
    Trj/Downloader... Virus
    Latent(e)
    Masquer +Infos
    1. c:\program files\oxin's style!\3d sexvilla 2\binaries\fc3dsexvilla.dll
    Niveau de risque faible (15)
    Cookie/Xiti Cookie de surveillance
    Latent(e)
    Masquer +Infos
    1. c:\documents and settings\admin\cookies\admin@xiti[1].txt
    Cookie/Serving... Cookie de surveillance
    Latent(e)
    Masquer +Infos
    1. c:\documents and settings\admin\bureau\wlm li...cookies\admin@bs.serving-sys[3].txt
    Cookie/Mediapl... Cookie de surveillance
    Latent(e)
    Masquer +Infos
    1. c:\documents and settings\admin\cookies\admin@mediaplex[1].txt
    Cookie/Smartad... Cookie de surveillance
    Latent(e)
    Masquer +Infos
    1. c:\documents and settings\admin\bureau\wlm li...\cookies\admin@smartadserver[1].txt
    Adware/Protect... Adware (logiciel publicitaire)
    Latent(e)
    Masquer +Infos
    1. c:\_otm\movedfiles\06022010_204651\c_program files\protection center\cntprot.exe
    Cookie/Serving... Cookie de surveillance
    Latent(e)
    Masquer +Infos
    1. c:\documents and settings\admin\bureau\wlm li...e%\cookies\admin@serving-sys[1].txt
    Cookie/YieldMa... Cookie de surveillance
    Latent(e)
    Masquer +Infos
    1. c:\documents and settings\admin\cookies\admin@ad.yieldmanager[2].txt
    Cookie/Weboram... Cookie de surveillance
    Latent(e)
    Masquer +Infos
    1. c:\documents and settings\admin\bureau\wlm li...file%\cookies\admin@weborama[1].txt
    Cookie/Tradedo... Cookie de surveillance
    Latent(e)
    Masquer +Infos
    1. c:\documents and settings\admin\bureau\wlm li...%\cookies\admin@tradedoubler[3].txt
    Cookie/Atlas D... Cookie de surveillance
    Latent(e)
    Masquer +Infos
    1. c:\documents and settings\admin\bureau\wlm li...profile%\cookies\admin@atdmt[3].txt
    2. c:\documents and settings\admin\bureau\wlm li...profile%\cookies\admin@atdmt[1].txt
    3. c:\documents and settings\zoun\cookies\zoun@atdmt[2].txt
    Trj/CI.A Virus
    Latent(e)
    Masquer +Infos
    1. c:\_otm\movedfiles\06022010_204651\c_program files\protection center\cntext.dll
    2. c:\_otm\movedfiles\06022010_204651\c_windows\system32\cryptnet32.dll
    3. c:\qoobox\quarantine\c\windows\system32\userinit.exe.vir
    4. c:\_otm\movedfiles\06022010_204651\c_windows\system32\sdra64.exe
    5. c:\program files\oxin's style!\3d sexvilla 2\binaries\fc3dsexvillarun.de.exe
    6. c:\_otm\movedfiles\06022010_204651\c_program files\protection center\cnthook.dll
    7. c:\documents and settings\admin\bureau\wlm lite\4000004d00002i\firefox.exe
    8. c:\_otm\movedfiles\06022010_204651\c_docume~1\zoun\locals~1\temp\wscsvc32.exe
    9. c:\program files\oxin's style!\3d sexvilla 2\binaries\fc3dsexvillarun.en.exe
    Cookie/PointRo... Cookie de surveillance
    Latent(e)
    Masquer +Infos
    1. c:\documents and settings\admin\bureau\wlm li...\cookies\admin@ads.pointroll[1].txt
    Generic Trojan Virus
    Latent(e)
    Masquer +Infos
    1. c:\_otm\movedfiles\06022010_204651\c_windows\system32\xwr69052.dll
    Cookie/Doublec... Cookie de surveillance
    Latent(e)
    Masquer +Infos
    1. c:\documents and settings\admin\bureau\wlm li...e%\cookies\admin@doubleclick[1].txt
    Cookie/Bluestr... Cookie de surveillance
    Latent(e)
    Masquer +Infos
    1. c:\documents and settings\admin\cookies\admin@bluestreak[1].txt
    Fichiers suspects (3)
    f:\jeux\virtually_jenna_2.exe[wnks.exe]
    c:\documents and settings\zoun\mes documents\...échargements\usbfix.exe[usbfix.exe]
    c:\documents and settings\zoun\mes documents\téléchargements\usbfix.exe

    tiens moi au courant !
    4 Juin 2010 08:36:35

    hello,


    RAS ... des coockies et des quarantaines d'outil mal nettoyés ...



    Fais ceci pour désinstaller correctement ComboFix :

    Clique sur " Démarrer " -> " Executer "( ou combine la touche Windows + R ) -> copie/colle cette ligne :

    ComboFix /uninstall

    ( laisse l'espace entre "Combofix" et "/uninstall" )

    -> Valide .

    l'outil se relancera et se supprimera de lui-même ....





    Puis on on finalise .... dans l'ordre :


    1- Mets à jour ce qui suit, c'est important ( des versions pas à jours = failles de sécurité ) :

    Version Console Java à jour > 6 Update 20
    Version Adobe Reader à jour > v 9.3.2
    Version Internet Explorer à jour > v 8


    * pour la console Java :
    -> désinstalle toutes les versions antérieurs via le panneau de config./"Ajout et suppression de programmes" (pour XP) ou " Programmes et fonctionnalités " (pour Vista) .
    -> Puis télécharge et installe la dernière version ici :
    http://www.commentcamarche.net/telecharger/telecharger-...
    ou http://www.java.com/fr/

    ( Autre astuce pour faire cette maj ainsi que la suppression des anciennes versions
    avec l'outil Javara : http://www.commentcamarche.net/faq/sujet-15645-javara-i... )

    -> Enfin contrôle ceci :
    Démarrer > Panneau de configuration > Icône Java > onglet Mise à jour > cocher la case "Automatiser la détection des mises à jour".


    * Adobe Reader :
    -> désinstalle avant l'ancienne version via le panneau de config./"Ajout et suppression de programmes" (pour XP) ou " Programmes et fonctionnalités " (pour Vista) .
    -> télécharge et installe la dernière version ici :
    http://www.infos-du-net.com/telecharger/Reader-Adobe,03...


    * Internet Explorer :
    Même si tu utilises un autre Navigateur , il faut tenir IE à jour ! ( sinon faille de sécurité ) .
    ->Télécharge le ici : http://www.microsoft.com/france/windows/products/winfam...
    ou ici : http://www.infos-du-net.com/telecharger/Internet-Explor...

    ! Ferme toutes applications en cours ( navigateurs compris ), désactive toutes tes défenses ( antivirus , pare feu , guarde anti-spyware ...), et en restant connecté !

    > puis lance l'installe de IE8 et laisse toi guider ...( regarde bien le du tuto ci-dessous )

    ->Pourquoi mettre à jours IE et tuto ici :
    http://forum.malekal.com/viewtopic.php?f=45&t=12405


    ============================

    2- une fois tout ceci fait , utilise Hijackthis ainsi :

    tuto pour utilisation :
    Regarde ici, c'est parfaitement expliqué en images (merci balltrap34),
    http://perso.orange.fr/rginformatique/section%20virus/d...
    ( Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement )

    !! Déconnecte toi et ferme toutes tes applications en cours !!

    Clique sur le raccourci du bureau pour lancer le prg :
    fais un scan HijackThis en cliquant sur : "Do a system scan and save a logfile"

    ---> Poste le rapport généré pour analyse ...
    4 Juin 2010 09:26:33

    Salut,

    Je ferai tout ca dimanche soir en rentrant de week end car je ne repasse pas chez moi ce soir.....

    En tout cas merci sincèrement pour ton aide c est vraiment gentil de t'être pris la tête pour m'aider....

    Je te re dimanche soir en début de soirée pour finaliser...

    encore merci

    bon week end !
    4 Juin 2010 10:26:50

    Yop,


    bon week à toi et à dimanche ...


    ( PS : si ça me prenait la tête , je ne le ferais pas ... ;)  )
    6 Juin 2010 17:44:59

    Re mec,

    Voici le rapport Hijackthis : a noter que internet explorer 8 n a pas pu s installer car il n arrive pas a le mettre a jour a priori :


    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 17:41:42, on 06/06/2010
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\WINDOWS\RTHDCPL.EXE
    C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
    C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Brother\ControlCenter3\brccMCtl.exe
    C:\Program Files\REALTEK RTL8185 Wireless LAN Driver and Utility\RtWLan.exe
    C:\Program Files\OpenOffice.org 3\program\soffice.exe
    C:\Program Files\OpenOffice.org 3\program\soffice.bin
    C:\Program Files\Brother\Brmfcmon\BrMfcmon.exe
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\msiexec.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\WINDOWS\system32\wbem\wmiapsrv.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\trend micro\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.microsoft.com/fwlink/?linkid=54896
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [SMSTray] E:\Logiciel\SMSTray.exe
    O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
    O4 - HKLM\..\Run: [PaperPort PTD] "C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe"
    O4 - HKLM\..\Run: [IndexSearch] "C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe"
    O4 - HKLM\..\Run: [PPort11reminder] "C:\Program Files\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Documents and Settings\All Users.WINDOWS\Application Data\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini
    O4 - HKLM\..\Run: [BrMfcWnd] C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
    O4 - HKLM\..\Run: [ControlCenter3] C:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
    O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (rootkit-scan)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
    O4 - Startup: OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: REALTEK RTL8185 Wireless LAN Utility.lnk = ?
    O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
    O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Nuance\PDF Professional 5\bin\ZeonIEFavClient.dll/ZeonIEAppend.HTML
    O8 - Extra context menu item: Ajouter le contenu des liens sélectionnés à un fichier PDF existant - res://C:\Program Files\Nuance\PDF Professional 5\bin\ZeonIEFavClient.dll/ZeonIEAppendSelLinks.HTML
    O8 - Extra context menu item: Ajouter le contenu du lien à un fichier PDF existant - res://C:\Program Files\Nuance\PDF Professional 5\bin\ZeonIEFavClient.dll/ZeonIEAppend.HTML
    O8 - Extra context menu item: Créer des fichiers PDF à partir des liens sélectionnés - res://C:\Program Files\Nuance\PDF Professional 5\bin\ZeonIEFavClient.dll/ZeonIECaptureSelLinks.HTML
    O8 - Extra context menu item: Créer fichier PDF - res://C:\Program Files\Nuance\PDF Professional 5\bin\ZeonIEFavClient.dll/ZeonIECapture.HTML
    O8 - Extra context menu item: Créer un fichier PDF depuis le contenu du lien - res://C:\Program Files\Nuance\PDF Professional 5\bin\ZeonIEFavClient.dll/ZeonIECapture.HTML
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
    O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
    O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

    --
    End of file - 8225 bytes
    6 Juin 2010 18:57:06

    hello,


    pour Internet Explorer , il faut peut-être passer par la version 7 avant ...

    télécharge et installe IE 7 > http://www.microsoft.com/downloads/details.aspx?familyi...


    une fois cette version installée, redémarre le PC et cette fois , tente d'installer la version 8 ...

    Une fois fait , relance un scan Hijackthis et poste le nouveau rapport obtenu pour analyse ...





    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS