Votre question

[Résolu] Infecté par qq chose mais quoi ?

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
1 Juin 2010 09:34:01

Bonjour,
Cela fait maintenant presque une semaine que je suis apparement infecté par un virus (redirige les pages web, blocage des accés au réseau, message de fermeture windows...)mais je ne sais pas comment l'éradiquer sans devoir re formater. qqn pourrait il m'aider ?

Autres pages sur : resolu infecte chose

1 Juin 2010 11:00:05

hello,


cela ne sent pas bon effectivement ...


fait ceci afin d'avoir un diagnostique précis de la situation :


Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

-> http://telechargement.zebulon.fr/zhpdiag.html

!! déconnecte toi et ferme toutes tes applications en cours !!

  • Double-clique sur "ZHPDiag.exe" ( avec Vista/Seven faire clique droit / "executer en tant qu'admin..." ) pour lancer l'installation de l'outil et laisse toi guider. Ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" ( afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ).

  • A la fin de l'installe , laisse bien la case "executer ZHPDiag" cochée et clique sur "Terminer " > l'outil se lancera donc automatiquement .

  • Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite ( celui avec le tournevis ) :

    Une liste apparait dans l'encadré principal > coche toutes les lignes sauf les 045 et 061 ( important ! ) .

  • clique sur le bouton "calendrier" qui est en haut à droite : choisis 30 days

  • Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .

    > Laisses travailler l'outil ... ( cela peut-être relativement long )

  • Une fois terminé, le rapport obtenu ( ZHPDiag.txt ) est sauvegardé sur ton bureau.

    Puis ferme le programme ...


    > Pour me faire parvenir ce rapport, rends toi sur ce site : http://www.cijoint.fr/

  • Clique sur "parcourir" et va jusqu'au rapport ZHPDiag.txt qui est sauvegardé sur le bureau .
  • Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
  • Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....

    1 Juin 2010 14:47:13

    J'ai tout fait mais impossible de déposer le fichier txt sur cijoint.fr
    Que faire ?
    Contenus similaires
    1 Juin 2010 15:10:41

    Tjrs pas possible, que faire ?
    1 Juin 2010 15:37:36

    bon ...


    fait un copier/coller directe sur le forum ...


    si tu vois que le rapport n'est pas complet , mets le reste dans la réponse suivante ....
    1 Juin 2010 15:46:52

    Rapport de ZHPDiag v1.25.1427 par Nicolas Coolman, Update du 06/05/2010
    Run by PLI at 01/06/2010 14:18:23
    Web site : http://www.premiumorange.com/zeb-help-process/zhpdiag.h...
    Contact : nicolascoolman@yahoo.fr

    ---\\ Web Browser
    MSIE: Internet Explorer v7.0.5730.13

    ---\\ System Information
    Platform : Microsoft Windows XP (5.1.2600) Service Pack 3
    Processor: x86 Family 6 Model 13 Stepping 6, GenuineIntel
    Operating System: 32 Bits
    Boot mode: Normal (Normal boot)
    Total RAM: 510 MB (57% free)
    System drive C: has 17 GB (60%) free of 28 GB

    ---\\ Logged in mode
    Computer Name: PO-GDI-07
    User Name: PLI
    All Users Names: SUPPORT_388945a0, PLI, HelpAssistant, Administrateur,
    Unselected Option: O45,O61
    Logged in as Administrator

    ---\\ DOS/Devices
    C:\ Hard drive, Flash drive, Thumb drive (Free 17 Go of 28 Go)
    D:\ Hard drive, Flash drive, Thumb drive (Free 46 Go of 47 Go)
    E:\ Floppy drive, Flash card reader, USB Key (Not Inserted)
    F:\ CD-ROM drive (Not Inserted)


    ---\\ Security Center & Tools Informations
    [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: OK
    [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: OK
    [HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: OK
    [HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: OK
    [HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified
    [HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiSpywareOverride: OK
    [HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusOverride: OK
    [HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusDisableNotify: OK
    [HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallDisableNotify: OK
    [HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallOverride: OK
    [HKLM\SOFTWARE\Microsoft\Security Center\Svc] UpdatesDisableNotify: OK
    [HKLM\SOFTWARE\Microsoft\Security Center\Svc] UacDisableNotify: OK
    [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] DisableTaskMgr: OK
    [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] DisableRegistryTools: OK
    [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] NoDispScrSavPage: OK


    ---\\ Processus lancés
    [MD5.5EC6A3A27642F72A9D58BF6631D9F6DD] - (.Alps Electric Co., Ltd. - Alps Pointing-device Driver.) -- C:\Program Files\Apoint\Apoint.exe [114688]
    [MD5.C6FA9370324CDE99EC1C3F4A22A9BE56] - (.ATI Technologies, Inc. - ATI Desktop Control Panel.) -- C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe [339968]
    [MD5.CFF77822D14335E9912747C82B60462F] - (.Sony Corporation - Pas de description.) -- C:\Program Files\Sony\HotKey Utility\HKserv.exe [122880]
    [MD5.0C78D17952E9496A0690C45581FEB424] - (.Sony Corporation - SPM Module.) -- C:\Program Files\sony\vaio power management\SPMgr.exe [180224]
    [MD5.37AF08722B28CE50D4DFFB739B38C967] - (.Pas de propriétaire - HControl.) -- C:\WINDOWS\ATK0100\Hcontrol.exe [61440]
    [MD5.93EEFBC237ADFC406F52EE56D97F784B] - (.Sony Corporation - Pas de description.) -- C:\Program Files\Sony\ISB Utility\ISBMgr.exe [32768]
    [MD5.2849ED071A0D83406BDA342AA767F24E] - (.Easy Systems Japan Ltd. - ezSP_Px MFC Application.) -- C:\WINDOWS\system32\ezSP_Px.exe [40960]
    [MD5.B84873B030E66DDF3964A31793BB4211] - (.RealVNC Ltd. - VNC server for Win32.) -- C:\Program Files\RealVNC\WinVNC\WinVNC.exe [335872]
    [MD5.9567FC2A930321359ACA5C774F1310DB] - (.Symantec Corporation - Symantec AntiVirus.) -- C:\PROGRA~1\SYMANT~1\VPTray.exe [125536]
    [MD5.52DB6CDAC5BC7A1FC884E97C41C91213] - (.Sun Microsystems, Inc. - Java(TM) Update Scheduler.) -- C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe [248040]
    [MD5.ED7A6D40B20DC34BE06F4AE196AE7D50] - (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\qttask.exe [421888]
    [MD5.A244E67F073377DE0E53D3068932B040] - (.Apple Inc. - iTunesHelper.) -- C:\Program Files\iTunes\iTunesHelper.exe [142120]
    [MD5.59DC5BB82E4C8E0B3EADCFDBC44BA6E4] - (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe [15360]
    [MD5.49AD8709B96741F9C3C5A98CBBAB0777] - (.TomTom - System Tray application for TomTom HOME.) -- C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe [247144]
    [MD5.D503DF3ABA595F551B98B9BAE017A271] - (.Apple Inc. - Apple Mobile Device Service.) -- C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe [144672]
    [MD5.D24907C31A3004A560385E5048C72DD7] - (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\Ati2evxx.exe [385024]
    [MD5.E4BDF223CD75478BF44567B4D5C2634D] - (.Microsoft Corporation - Generic Host Process for Win32 Services.) -- C:\WINDOWS\System32\svchost.exe [14336]
    [MD5.EBAD0F51D8D4DADE7660B1851ADDBD07] - (.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe [345376]
    [MD5.3B4898CF051BB04FB76E94361E336A83] - (.Symantec Corporation - Symantec Settings Manager Service.) -- C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe [169632]
    [MD5.7A2A9792896F3736F283B00080A4A2D8] - (.Symantec Corporation - Virus Definition Daemon.) -- C:\Program Files\Symantec AntiVirus\DefWatch.exe [31840]
    [MD5.C3FB1D70CB88722267949694BA51759E] - (.Microsoft Corporation - Applications Services et Contrôleur.) -- C:\WINDOWS\system32\services.exe [111104]
    [MD5.1834C96FB1F9280BCF6DDFA6DE8338BF] - (.Sun Microsystems, Inc. - Java(TM) Quick Starter Service.) -- C:\Program Files\Java\jre6\bin\jqs.exe [153376]
    [MD5.91E6024D6D4DCDECDB36C43ECF9BBECB] - (.Microsoft Corporation - LSA Shell (Export Version).) -- C:\WINDOWS\System32\lsass.exe [13312]
    [MD5.D6656B24F07EEBF315A10E26221A5A8B] - (.symantec - SAVRoam.) -- C:\Program Files\Symantec AntiVirus\SavRoam.exe [119904]
    [MD5.C830007369E18A54AED23B5BB3AFA2BA] - (.Symantec Corporation - SPBBC Service.) -- C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe [1160848]
    [MD5.460E4CE148BD07218DA0B6A3D31885A9] - (.Microsoft Corporation - Spooler SubSystem App.) -- C:\WINDOWS\system32\spoolsv.exe [57856]
    [MD5.0719078DA9493A9C41938E20A3317E0F] - (.Symantec Corporation - Symantec AntiVirus.) -- C:\Program Files\Symantec AntiVirus\Rtvscan.exe [1835104]
    [MD5.FBD16717FD68B206C4CE3BB3C9EE5CB3] - (.TomTom - Windows Service for TomTom HOME.) -- C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe [92008]
    [MD5.025CEDE4860C91610DCBA8E700AB21D9] - (.Sony Corporation - VAIO Entertainment File Import Service.) -- C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment\VzCdb\VzFw.exe [118877]


    ---\\ Pages de recherche d'Internet Explorer (R1)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local


    ---\\ Internet Explorer URLSearchHook (R3)
    R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} . (.Microsoft Corporation - Internet Explorer.) (7.00.5730.13 (longhorn(wmbla).070711-1130)) -- C:\WINDOWS\system32\ieframe.dll

    1 Juin 2010 15:47:44

    ---\\ Browser Helper Objects de navigateur (O2)
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} . (.Adobe Systems Incorporated - Adobe Acrobat IE Helper Version 7.0 for Act.) -- C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {BBF0216D-9247-4BE6-A18F-AE327C73B1B5} . (.Intel Corporation - ISR Debug 32-bit Engine.) -- c:\windows\system32\ibquigi.dll
    O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} . (.Ask.com - Ask.com Toolbar.) -- C:\Program Files\Ask.com\GenericAskToolbar.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} . (.Sun Microsystems, Inc. - Java(TM) Platform SE binary.) -- C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} . (.Sun Microsystems, Inc. - Java(TM) Quick Starter binary.) -- C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O2 - BHO: (no name) - {E9B0FA80-BE8D-43BD-A241-D3EEFB9BD9D4} . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\clbcate.dll


    ---\\ Internet Explorer Toolbars (O3)
    O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} . (.Ask.com - Ask.com Toolbar.) -- C:\Program Files\Ask.com\GenericAskToolbar.dll


    ---\\ Applications démarrées automatiquement par le registre (O4)
    O4 - HKLM\..\Run: [Apoint] . (.Alps Electric Co., Ltd. - Alps Pointing-device Driver.) -- C:\Program Files\Apoint\Apoint.exe
    O4 - HKLM\..\Run: [ATIPTA] . (.ATI Technologies, Inc. - ATI Desktop Control Panel.) -- C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [HKSERV.EXE] . (.Sony Corporation - Pas de description.) -- C:\Program Files\Sony\HotKey Utility\HKserv.exe
    O4 - HKLM\..\Run: [SonyPowerCfg] . (.Sony Corporation - SPM Module.) -- C:\Program Files\sony\vaio power management\SPMgr.exe
    O4 - HKLM\..\Run: [Hcontrol] . (.Pas de propriétaire - HControl.) -- C:\WINDOWS\ATK0100\Hcontrol.exe
    O4 - HKLM\..\Run: [ISBMgr.exe] . (.Sony Corporation - Pas de description.) -- C:\Program Files\Sony\ISB Utility\ISBMgr.exe
    O4 - HKLM\..\Run: [ezShieldProtector for Px] . (.Easy Systems Japan Ltd. - ezSP_Px MFC Application.) -- C:\WINDOWS\system32\ezSP_Px.exe
    O4 - HKLM\..\Run: [WinVNC] . (.RealVNC Ltd. - VNC server for Win32.) -- C:\Program Files\RealVNC\WinVNC\WinVNC.exe
    O4 - HKLM\..\Run: [vptray] . (.Symantec Corporation - Symantec AntiVirus.) -- C:\PROGRA~1\SYMANT~1\VPTray.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java(TM) Update Scheduler.) -- C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
    O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\qttask.exe
    O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files\iTunes\iTunesHelper.exe
    O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [TomTomHOME.exe] . (.TomTom - System Tray application for TomTom HOME.) -- C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\System32\CTFMON.exe
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\System32\CTFMON.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe


    ---\\ Lignes supplémentaires dans le menu contextuel d'Internet Explorer (O8)
    O8 - Extra context menu item: E&xporter vers Microsoft Excel . (.Microsoft Corporation - Microsoft Office Excel.) -- C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.exe


    ---\\ Boutons situés sur la barre d'outils principale d'Internet Explorer (O9)
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} . (.Pas de propriétaire - Pas de description.) -- C:\PROGRA~1\MICROS~3\OFFICE11\REFBARH.ICO
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} . (.not file.) - (.not file.)
    O9 - Extra button: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} . (.Microsoft Corporation - Windows Messenger.) -- C:\Program Files\Messenger\msmsgs.exe


    ---\\ Winsock hijacker (Layered Service Provider) (O10)
    O10 - WLSP:\000000000001\Winsock LSP File . (.Microsoft Corporation - Fournisseur de service Sockets 2.0 de Microsoft Windows.) -- C:\WINDOWS\system32\mswsock.dll
    O10 - WLSP:\000000000002\Winsock LSP File . (.Microsoft Corporation - LDAP RnR Provider DLL.) -- C:\WINDOWS\system32\winrnr.dll
    O10 - WLSP:\000000000003\Winsock LSP File . (.Microsoft Corporation - Fournisseur de service Sockets 2.0 de Microsoft Windows.) -- C:\WINDOWS\system32\mswsock.dll
    O10 - WLSP:\000000000004\Winsock LSP File . (.Microsoft Corporation - Windows Sockets Helper DLL.) -- C:\WINDOWS\system32\wshbth.dll
    O10 - WLSP:\000000000005\Winsock LSP File . (.Apple Inc. - Bonjour Namespace Provider.) -- C:\Program Files\Bonjour\mdnsNSP.dll


    ---\\ Piratage de l'Option 'Rétablir les paramètres Web' (O14)
    O14 - IERESET.INF: START_PAGE_URL=START_PAGE_URL=http://www.club-vaio.sony-europe.com/


    ---\\ Site dans la Zone de confiance d'Internet Explorer (O15)
    O15 - Trusted Zone: [HKCU\...\Domains] *.sony-europe.com
    O15 - Trusted Zone: [HKCU\...\Domains\www] *.sony-europe.com
    O15 - Trusted Zone: [HKCU\...\Domains] *.sonystyle-europe.com
    O15 - Trusted Zone: [HKCU\...\Domains\www] *.sonystyle-europe.com
    O15 - Trusted Zone: [HKCU\...\Domains] *.vaio-link.com
    O15 - Trusted Zone: [HKCU\...\Domains\www] *.vaio-link.com


    ---\\ Modification Domaine/Adresses DNS (O17)
    O17 - HKLM\System\CCS\Services\Tcpip\..\{271AC382-BF47-4622-B740-31D2A71BE555}: NameServer = 192.168.59.5
    O17 - HKLM\System\CS1\Services\Tcpip\..\{271AC382-BF47-4622-B740-31D2A71BE555}: NameServer = 192.168.59.5
    O17 - HKLM\System\CS2\Services\Tcpip\..\{271AC382-BF47-4622-B740-31D2A71BE555}: NameServer = 192.168.59.5


    ---\\ Valeur de Registre AppInit_DLLs et sous-clés Winlogon Notify (autorun) (O20)
    O20 - Winlogon Notify: AtiExtEvent . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\Ati2evxx.dll
    O20 - Winlogon Notify: cryptnet32 . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\cryptnet32.dll
    O20 - Winlogon Notify: dimsntfy . (.Microsoft Corporation - DIMS Notification Handler.) -- C:\WINDOWS\System32\dimsntfy.dll
    O20 - Winlogon Notify: NavLogon . (.Symantec Corporation - Symantec AntiVirus Logon Notification.) -- C:\WINDOWS\system32\NavLogon.dll


    ---\\ Clé de Registre autorun ShellServiceObjectDelayLoad (SSODL) (O21)
    O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} . (.Microsoft Corporation - DLL commune du shell Windows.) -- C:\WINDOWS\system32\SHELL32.dll
    O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} . (.Microsoft Corporation - DLL commune du shell Windows.) -- C:\WINDOWS\system32\SHELL32.dll
    O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} . (.Microsoft Corporation - Web Site Monitor.) -- C:\WINDOWS\system32\webcheck.dll
    O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} . (.Microsoft Corporation - Objet du service d'environnement Systray.) -- C:\WINDOWS\System32\stobject.dll
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} . (.Microsoft Corporation - Windows Portable Device Shell Service Objec.) -- C:\WINDOWS\system32\WPDShServiceObj.dll


    ---\\ Clé de Registre autorun SharedTaskScheduler (STS) (O22)
    O22 - SharedTaskScheduler: (no name) - {8C7461EF-2B13-11d2-BE35-3078302C2030} . (.Microsoft Corporation - Bibliothèque de l'interface utilisateur du.) -- C:\WINDOWS\System32\browseui.dll
    1 Juin 2010 15:48:36

    ---\\ Liste des services NT non Microsoft et non désactivés (O23)
    O23 - Service: Apple Mobile Device (Apple Mobile Device) . (.Apple Inc. - Apple Mobile Device Service.) - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
    O23 - Service: (Ati HotKey Poller) . (.Pas de propriétaire - Pas de description.) - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: Service Bonjour (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) . (.Symantec Corporation - Symantec Settings Manager Service.) - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) . (.Symantec Corporation - Virus Definition Daemon.) - C:\Program Files\Symantec AntiVirus\DefWatch.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) . (.Sun Microsystems, Inc. - Java(TM) Quick Starter Service.) - C:\Program Files\Java\jre6\bin\jqs.exe
    O23 - Service: SAVRoam (SavRoam) . (.symantec - SAVRoam.) - C:\Program Files\Symantec AntiVirus\SavRoam.exe
    O23 - Service: Symantec SPBBCSvc (SPBBCSvc) . (.Symantec Corporation - SPBBC Service.) - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
    O23 - Service: Symantec AntiVirus (Symantec AntiVirus) . (.Symantec Corporation - Symantec AntiVirus.) - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
    O23 - Service: TomTomHOMEService (TomTomHOMEService) . (.TomTom - Windows Service for TomTom HOME.) - C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
    O23 - Service: VAIO Entertainment File Import Service (VAIO Entertainment File Import Service) . (.Sony Corporation - VAIO Entertainment File Import Service.) - C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment\VzCdb\VzFw.exe
    O23 - Service: VNC Server (winvnc) . (.RealVNC Ltd. - VNC server for Win32.) - C:\Program Files\RealVNC\WinVNC\WinVNC.exe


    ---\\ Tâches planifiées en automatique (O39)
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job


    ---\\ Composants installés (ActiveSetup Installed Components) (O40)
    O40 - ASIC: Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608500} . (.Sun Microsystems, Inc. - Java(TM) Platform SE binary.) -- C:\Program Files\Java\jre6\bin\regutils.dll
    O40 - ASIC: NetMeeting 3.01 - {44BBA842-CC51-11CF-AAFA-00AA00B6015B} . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\INF\msnetmtg.inf
    O40 - ASIC: Windows Messenger 4.7 - {5945c046-1e7d-11d1-bc44-00c04fd912be} . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\INF\msmsgs.inf
    O40 - ASIC: Microsoft Windows Media Player - {6BF52A52-394A-11d3-B153-00C04F79FAA6} . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\INF\wmp11.inf


    ---\\ Pilotes lancés au démarrage (O41)
    O41 - Driver: Sony DMI Call service (DMICall) . (.Sony Corporation - Windows 2000 DMI Call Kernel Driver.) - C:\Windows\system32\DRIVERS\DMICall.sys
    O41 - Driver: Symantec Eraser Control driver (eeCtrl) . (.Symantec Corporation - Symantec Eraser Control Driver.) - C:\Program Files\Fichiers communs\Symantec Shared\EENGINE\eeCtrl.sys
    O41 - Driver: SAVRTPEL (SAVRTPEL) . (.Symantec Corporation - SAVRTPEL.) - C:\Program Files\Symantec AntiVirus\Savrtpel.sys
    O41 - Driver: SPBBCDrv (SPBBCDrv) . (.Symantec Corporation - SPBBC Driver.) - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCDrv.sys


    ---\\ Logiciels installés (O42)
    O42 - Logiciel: 32 Bit HP CIO Components Installer - (.Hewlett-Packard.) [HKLM]
    O42 - Logiciel: ATI - Utilitaire de désinstallation du logiciel - (.Pas de propriétaire.) [HKLM]
    O42 - Logiciel: ATI Control Panel - (.Pas de propriétaire.) [HKLM]
    O42 - Logiciel: ATI Display Driver - (.Pas de propriétaire.) [HKLM]
    O42 - Logiciel: ATK0100 ACPI UTILITY - (.Pas de propriétaire.) [HKLM]
    O42 - Logiciel: Adobe Flash Player 10 ActiveX - (.Adobe Systems Incorporated.) [HKLM]
    O42 - Logiciel: Adobe Flash Player 10 Plugin - (.Adobe Systems, Inc..) [HKLM]
    O42 - Logiciel: Adobe Reader 7.0 - Français - (.Adobe Systems Incorporated.) [HKLM]
    O42 - Logiciel: Apple Application Support - (.Apple Inc..) [HKLM]
    O42 - Logiciel: Apple Mobile Device Support - (.Apple Inc..) [HKLM]
    O42 - Logiciel: Apple Software Update - (.Apple Inc..) [HKLM]
    O42 - Logiciel: Ask Toolbar - (.Ask.com.) [HKLM]
    O42 - Logiciel: Bonjour - (.Apple Inc..) [HKLM]
    O42 - Logiciel: Click to DVD 2.1.10 - (.Pas de propriétaire.) [HKLM]
    O42 - Logiciel: DVgate Plus - (.Pas de propriétaire.) [HKLM]
    O42 - Logiciel: Données de menu Click to DVD 2.0.01 - (.Pas de propriétaire.) [HKLM]
    O42 - Logiciel: Désinstallation du logiciel Lexmark - (.Lexmark International, Inc..) [HKLM]
    O42 - Logiciel: Enregistrement en ligne VAIO (Français) - (.Sony Corporation.) [HKLM]
    O42 - Logiciel: Free Internet Eraser 3.0 - (.PrivacyEraser Computing, Inc..) [HKLM]
    O42 - Logiciel: HotKey Utility - (.Pas de propriétaire.) [HKLM]
    O42 - Logiciel: Hotfix for Windows Media Format 11 SDK (KB929399) - (.Microsoft Corporation.) [HKLM]
    O42 - Logiciel: Intel(R) PRO Network Connections Drivers - (.Pas de propriétaire.) [HKLM]
    O42 - Logiciel: InterVideo WinDVD 5 for VAIO - (.InterVideo Inc..) [HKLM]
    O42 - Logiciel: InterVideo WinDVDX - (.InterVideo Inc..) [HKLM]
    O42 - Logiciel: Java 2 Runtime Environment, SE v1.4.2_05 - (.Sun Microsystems, Inc..) [HKLM]
    O42 - Logiciel: Java(TM) 6 Update 20 - (.Sun Microsystems, Inc..) [HKLM]
    O42 - Logiciel: Lecteur Windows Media 11 - (.Pas de propriétaire.) [HKLM]
    O42 - Logiciel: LiveUpdate 3.1 (Symantec Corporation) - (.Symantec Corporation.) [HKLM]
    O42 - Logiciel: Macromedia Flash Player - (.Macromedia, Inc..) [HKLM]
    O42 - Logiciel: Memory Stick Formatter - (.Pas de propriétaire.) [HKLM]
    O42 - Logiciel: Microsoft Compression Client Pack 1.0 for Windows XP - (.Microsoft Corporation.) [HKLM]
    O42 - Logiciel: Microsoft Internationalized Domain Names Mitigation APIs - (.Microsoft Corporation.) [HKLM]
    O42 - Logiciel: Microsoft Kernel-Mode Driver Framework Feature Pack 1.5 - (.Microsoft Corporation.) [HKLM]
    O42 - Logiciel: Microsoft National Language Support Downlevel APIs - (.Microsoft Corporation.) [HKLM]
    O42 - Logiciel: Microsoft Office Professional Edition 2003 - (.Microsoft Corporation.) [HKLM]
    O42 - Logiciel: Microsoft User-Mode Driver Framework Feature Pack 1.0 - (.Microsoft Corporation.) [HKLM]
    O42 - Logiciel: My Info Centre - (.Nom de votre société.) [HKLM]
    O42 - Logiciel: OpenMG Limited Patch 4.0-04-07-14-01 - (.Pas de propriétaire.) [HKLM]
    O42 - Logiciel: OpenMG Secure Module 4.0.00 - (.Sony Corporation.) [HKLM]
    O42 - Logiciel: OpenOffice.org 3.1 - (.OpenOffice.org.) [HKLM]
    O42 - Logiciel: PDFCreator - (.Frank Heindörfer, Philip Chinery.) [HKLM]
    O42 - Logiciel: PhotoFiltre - (.Pas de propriétaire.) [HKLM]
    O42 - Logiciel: QuickTime - (.Apple Inc..) [HKLM]
    O42 - Logiciel: Realtek AC'97 Audio - (.Pas de propriétaire.) [HKLM]
    O42 - Logiciel: SoftV92 Data Fax Modem - (.Pas de propriétaire.) [HKLM]
    O42 - Logiciel: Sonic RecordNow! - (.Sonic Solutions.) [HKLM]
    O42 - Logiciel: Sony MPEG2-TS Splitter 1.0 - (.Sony Corporation.) [HKLM]
    O42 - Logiciel: Sony Notebook Setup - (.Pas de propriétaire.) [HKLM]
    O42 - Logiciel: Sony USB Mouse - (.Pas de propriétaire.) [HKLM]
    O42 - Logiciel: Sony Utilities DLL - (.Pas de propriétaire.) [HKLM]
    O42 - Logiciel: Sony Video Shared Library - (.Pas de propriétaire.) [HKLM]
    O42 - Logiciel: Symantec AntiVirus - (.Symantec Corporation.) [HKLM]
    O42 - Logiciel: TomTom HOME 2.7.3.1894 - (.TomTom.) [HKLM]
    O42 - Logiciel: TomTom HOME Visual Studio Merge Modules - (.TomTom International B.V..) [HKLM]
    O42 - Logiciel: VAIO Entertainment Platform - (.Pas de propriétaire.) [HKLM]
    O42 - Logiciel: VAIO Launcher - (.Pas de propriétaire.) [HKLM]
    O42 - Logiciel: VAIO Media 3.1 - (.Pas de propriétaire.) [HKLM]
    O42 - Logiciel: VAIO Media Integrated Server 3.1 - (.Pas de propriétaire.) [HKLM]
    O42 - Logiciel: VAIO Media Redistribution 3.1 - (.Pas de propriétaire.) [HKLM]
    O42 - Logiciel: VAIO Power Management - (.Pas de propriétaire.) [HKLM]
    O42 - Logiciel: VAIO TV Tuner Library 1.1 - (.Pas de propriétaire.) [HKLM]
    O42 - Logiciel: VAIO Update 2 - (.Pas de propriétaire.) [HKLM]
    O42 - Logiciel: VAIO Update 4 - (.Sony Corporation.) [HKLM]
    O42 - Logiciel: VAIO Zone - (.Pas de propriétaire.) [HKLM]
    O42 - Logiciel: VNC 3.3.7 - (.RealVNC Ltd..) [HKLM]
    O42 - Logiciel: Windows Genuine Advantage Validation Tool (KB892130) - (.Microsoft Corporation.) [HKLM]
    O42 - Logiciel: Windows Internet Explorer 7 - (.Microsoft Corporation.) [HKLM]
    O42 - Logiciel: Windows Media Format 11 runtime - (.Microsoft Corporation.) [HKLM]
    O42 - Logiciel: Windows Media Format 11 runtime - (.Pas de propriétaire.) [HKLM]
    O42 - Logiciel: Windows Media Player 11 - (.Microsoft Corporation.) [HKLM]
    O42 - Logiciel: Windows XP Service Pack 2 - (.Microsoft Corporation.) [HKLM]
    O42 - Logiciel: Windows XP Service Pack 3 - (.Microsoft Corporation.) [HKLM]
    O42 - Logiciel: Wireless Switch Setting Utility - (.Pas de propriétaire.) [HKLM]
    O42 - Logiciel: iTunes - (.Apple Inc..) [HKLM]
    O42 - Logiciel: x-black LCD - (.Sony Corporation.) [HKLM]
    1 Juin 2010 16:00:23

    ---\\ HKCU & HKLM Software Keys
    [HKCU\Software\ACD Systems]
    [HKCU\Software\Acucorp]
    [HKCU\Software\Adobe]
    [HKCU\Software\Alps]
    [HKCU\Software\Apple Computer, Inc.]
    [HKCU\Software\Ask.com]
    [HKCU\Software\AskToolbar]
    [HKCU\Software\Classes]
    [HKCU\Software\DivXNetworks]
    [HKCU\Software\Google]
    [HKCU\Software\Hewlett-Packard]
    [HKCU\Software\Intel]
    [HKCU\Software\InterVideo]
    [HKCU\Software\JavaSoft]
    [HKCU\Software\Lake]
    [HKCU\Software\Lexmark]
    [HKCU\Software\Local AppWizard-Generated Applications]
    [HKCU\Software\Macromedia]
    [HKCU\Software\Magnet]
    [HKCU\Software\Mirage]
    [HKCU\Software\Netscape]
    [HKCU\Software\ODBC]
    [HKCU\Software\ORL]
    [HKCU\Software\OpenOffice.org]
    [HKCU\Software\PDFCreator]
    [HKCU\Software\Policies]
    [HKCU\Software\Primax]
    [HKCU\Software\PrivacyEraser Computing, Inc.]
    [HKCU\Software\RegisteredApplications]
    [HKCU\Software\Safer Networking Limited]
    [HKCU\Software\Sony Corporation]
    [HKCU\Software\SourceTec]
    [HKCU\Software\Symantec]
    [HKCU\Software\TomTom]
    [HKCU\Software\VB and VBA Program Settings]
    [HKCU\Software\YahooPartnerToolbar]
    [HKLM\Software\ACD Systems]
    [HKLM\Software\ATI Technologies Inc.]
    [HKLM\Software\ATI Technologies]
    [HKLM\Software\Adobe]
    [HKLM\Software\Alps]
    [HKLM\Software\Apple Computer, Inc.]
    [HKLM\Software\Apple Inc.]
    [HKLM\Software\C07ft5Y]
    [HKLM\Software\CDDB]
    [HKLM\Software\CXT]
    [HKLM\Software\Classes]
    [HKLM\Software\Clients]
    [HKLM\Software\Easy Systems Japan Ltd.]
    [HKLM\Software\GEAR Software]
    [HKLM\Software\Gemplus]
    [HKLM\Software\Google]
    [HKLM\Software\Hewlett-Packard]
    [HKLM\Software\Hwnfxerl]
    [HKLM\Software\InstallShield]
    [HKLM\Software\Intel]
    [HKLM\Software\InterVideo]
    [HKLM\Software\JavaSoft]
    [HKLM\Software\JreMetrics]
    [HKLM\Software\LEXMARK]
    [HKLM\Software\Lake]
    [HKLM\Software\Macromedia]
    [HKLM\Software\Mirage]
    [HKLM\Software\MozillaPlugins]
    [HKLM\Software\Mozilla]
    [HKLM\Software\ODBC]
    [HKLM\Software\ORL]
    [HKLM\Software\Policies]
    [HKLM\Software\Primax]
    [HKLM\Software\Program Groups]
    [HKLM\Software\Realtek Semiconductor Corp.]
    [HKLM\Software\Realtek]
    [HKLM\Software\Reminder]
    [HKLM\Software\Safer Networking Limited]
    [HKLM\Software\Schlumberger]
    [HKLM\Software\Secure]
    [HKLM\Software\Sonic]
    [HKLM\Software\Sony Corporation]
    [HKLM\Software\Sony]
    [HKLM\Software\SourceTec]
    [HKLM\Software\Symantec]
    [HKLM\Software\TomTom]
    [HKLM\Software\UIU]
    [HKLM\Software\WebTarot]
    [HKLM\Software\Windows 3.1 Migration Status]
    [HKLM\Software\Windows]
    [HKLM\Software\mozilla.org]
    1 Juin 2010 16:05:31

    vu


    continue ...

    mais essaye de faire des parties plus grosses ... sinon on est pas sorti de l'auberge ...
    1 Juin 2010 16:09:38

    Je n'y arrive pas j'ai à chaque fois un mess de pb de connexion.
    Si tu as un mail je peux t'envoyer le fichier txt je pense
    1 Juin 2010 16:11:33

    ---\\ Contenu des dossiers Fichiers Communs (O43)
    O43 - CFD:Common File Directory ----D- C:\Program Files\Adobe
    O43 - CFD:Common File Directory ----D- C:\Program Files\Apoint
    O43 - CFD:Common File Directory ----D- C:\Program Files\Apple Software Update
    O43 - CFD:Common File Directory ----D- C:\Program Files\Ask.com
    O43 - CFD:Common File Directory ----D- C:\Program Files\ATI Technologies
    O43 - CFD:Common File Directory ----D- C:\Program Files\Bonjour
    O43 - CFD:Common File Directory ----D- C:\Program Files\ComPlus Applications
    O43 - CFD:Common File Directory ----D- C:\Program Files\CONEXANT
    O43 - CFD:Common File Directory ----D- C:\Program Files\Fichiers communs
    O43 - CFD:Common File Directory ----D- C:\Program Files\Google
    O43 - CFD:Common File Directory --H-D- C:\Program Files\InstallShield Installation Information
    O43 - CFD:Common File Directory ----D- C:\Program Files\Intel
    O43 - CFD:Common File Directory ----D- C:\Program Files\Internet Explorer
    O43 - CFD:Common File Directory ----D- C:\Program Files\InterVideo
    O43 - CFD:Common File Directory ----D- C:\Program Files\iPod
    O43 - CFD:Common File Directory ----D- C:\Program Files\iTunes
    O43 - CFD:Common File Directory ----D- C:\Program Files\Java
    O43 - CFD:Common File Directory ----D- C:\Program Files\JRE
    O43 - CFD:Common File Directory ----D- C:\Program Files\Lexmark_HostCD
    O43 - CFD:Common File Directory ----D- C:\Program Files\Messenger
    O43 - CFD:Common File Directory ----D- C:\Program Files\microsoft frontpage
    O43 - CFD:Common File Directory ----D- C:\Program Files\Microsoft Office
    O43 - CFD:Common File Directory ----D- C:\Program Files\Microsoft Works
    O43 - CFD:Common File Directory ----D- C:\Program Files\MoodLogic
    O43 - CFD:Common File Directory ----D- C:\Program Files\Movie Maker
    O43 - CFD:Common File Directory ----D- C:\Program Files\MSN
    O43 - CFD:Common File Directory ----D- C:\Program Files\MSN Gaming Zone
    O43 - CFD:Common File Directory ----D- C:\Program Files\NetMeeting
    O43 - CFD:Common File Directory ----D- C:\Program Files\OpenOffice.org 3
    O43 - CFD:Common File Directory ----D- C:\Program Files\Outlook Express
    O43 - CFD:Common File Directory ----D- C:\Program Files\PDFCreator
    O43 - CFD:Common File Directory ----D- C:\Program Files\PhotoFiltre
    O43 - CFD:Common File Directory ----D- C:\Program Files\PrivacyEraser Computing
    O43 - CFD:Common File Directory ----D- C:\Program Files\QuickTime
    O43 - CFD:Common File Directory ----D- C:\Program Files\RealVNC
    O43 - CFD:Common File Directory ----D- C:\Program Files\Services en ligne
    O43 - CFD:Common File Directory ----D- C:\Program Files\Sonic
    O43 - CFD:Common File Directory ----D- C:\Program Files\sony
    O43 - CFD:Common File Directory ----D- C:\Program Files\Sony Corporation
    1 Juin 2010 16:21:58

    Je suis de +en+ limité...
    1 Juin 2010 16:58:38

    vu pour le rappport ...


    En attendant que je fasse l'analyse de ce dernier , fait ce qui suit juste pour fair un essais :

    > renomme le rapport ZHPDiag.txt en essai2.bak . Puis essais l'uplaod avec SendSapce ...


    poste le nouveau lien obtenu ....

    1 Juin 2010 17:06:44

    Impossible de faire cette action. Tjrs un message de pv de connexion !
    Au fait, merci de t'occuper de moi.
    1 Juin 2010 17:13:48

    Bon


    Bien infecté ... :whistle: 


    /!\ Pour le bon déroulement de la désinfection :
  • Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
  • N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
  • Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
  • Si tu as un quelconque problème, n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).

    =============================================================




    On attaque ... dans l'ordre :



    1- Utilisation de l'outil ZHPFix :

    * Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


    O2 - BHO: (no name) - {BBF0216D-9247-4BE6-A18F-AE327C73B1B5} . (.Intel Corporation - ISR Debug 32-bit Engine.) -- c:\windows\system32\ibquigi.dll
    O2 - BHO: (no name) - {E9B0FA80-BE8D-43BD-A241-D3EEFB9BD9D4} . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\clbcate.dll
    O20 - Winlogon Notify: cryptnet32 . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\cryptnet32.dll
    O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 01/06/2010 - 13:00:19 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\0.log [0]
    O44 - LFC:[MD5.2CA5315F58452CF015B08F06AEE3DB73] - 01/06/2010 - 13:00:16 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\shimg.dll [296501]
    O44 - LFC:[MD5.00000000000000000000000000000000] - 01/06/2010 - 13:00:16 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\WindowsUpdate.log [1238218]
    O44 - LFC:[MD5.00000000000000000000000000000000] - 01/06/2010 - 13:00:15 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\wiadebug.log [159]
    O44 - LFC:[MD5.00000000000000000000000000000000] - 01/06/2010 - 13:00:03 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\wiaservc.log [50]
    O44 - LFC:[MD5.9D1CE9645B4ACE458924B2E264E7A349] - 01/06/2010 - 12:59:43 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\crt.dat [12]
    [HKLM\Software\Hwnfxerl]



    > Puis Lance ZHPFix depuis le raccouci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    * Puis clique sur le bouton [ OK ] .
    > à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


    * Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

    * Enfin clique sur le bouton [ Nettoyer ] .


    -> laisse travailler l'outil et ne touche à rien ...


    Une fois terminée , un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

    ( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )


    Important : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le de suite !


    Pense à réactiver tes défenses une fois la procédure terminée !...


    ( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )


    ==============================

    2- Télécharge UsbFix ( de C_XX, Chimay8 & El desaparecido ) sur ton bureau :

    ici http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFi...
    ou ici http://chiquitine.changelog.fr/UsbFix.exe

    ! Déconnecte toi d'internet, désactive ton antivirus et ferme toutes applications en cours !


    Impératif :
    Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .


    # Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil.

    # Clique sur le bouton [ Recherche ] .

    -> Laisse travailler l'outil et ne touche à rien pendant le scan .

    # Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

    Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


    Note :
    "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


    Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html

    1 Juin 2010 17:42:42

    re,

    essaie de faire des copier/coller pour les autres rapports stp ... utilise SendSpace uniquement pour les rapports à ralonge ... ;) 


    fait la suite
    1 Juin 2010 17:48:51

    ############################## | UsbFix 7.002 |

    Utilisateur: PLI (Administrateur) # PO-GDI-07 [ ]
    Mis à jour le 31/05/10 par El Desaparecido & C_XX
    Lancé à 17:45:47 | 01/06/2010
    Site Web: http://pagesperso-orange.fr/NosTools/index.html
    Contact: FindyKill.Contact@gmail.com

    CPU: Intel(R) Pentium(R) M processor 1.60GHz
    Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
    Internet Explorer 7.0.5730.13

    Pare-feu Windows: Activé
    Antivirus: Symantec AntiVirus Corporate Edition 10.1.5.5000 [(!) Disabled | Updated]

    RAM -> 511 Mo
    C:\ (%systemdrive%) -> Disque fixe # 28 Go (17 Go libre(s) - 61%) [VAIO] # NTFS
    D:\ -> Disque fixe # 47 Go (46 Go libre(s) - 99%) [VAIO] # NTFS
    F:\ -> CD-ROM
    G:\ -> Disque fixe # 596 Go (8 Go libre(s) - 1%) [DATA] # NTFS

    ################## | Éléments infectieux |

    Présent! C:\Recycler\S-1-5-21-2218362004-3678583522-3854419102-1006
    Présent! D:\Recycler\S-1-5-21-2218362004-3678583522-3854419102-1006
    Présent! C:\Program Files\sony\MyInfoCentre\ISP\ISP021\Narrowband\Software\BT Yahoo!\Apps\MS Java\msjavx86.exe
    Présent! C:\Program Files\sony\MyInfoCentre\ISP\ISP021\Narrowband\Software\BT Yahoo!\Apps\NetHelp\Support\msjavx86.exe

    ################## | Registre |


    ################## | Mountpoints2 |

    HKCU\.\.\.\.\Explorer\MountPoints2\G
    Shell\AutoRun\Command = G:\ClickMe.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{08bdc145-43aa-11df-8e7b-080046dc87b5}
    Shell\AutoRun\Command = G:\chxnxyx.exe
    Shell\open\Command = G:\chxnxyx.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{45eafae0-c907-11de-8e03-080046dc87b5}
    Shell\AutoRun\Command = G:\InstallTomTomHOME.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{87ea228e-b960-11de-8df4-080046dc87b5}
    Shell\AutoRun\Command = G:\ClickMe.exe


    ################## | Vaccin |

    (!) Cet ordinateur n'est pas vacciné!

    ################## | E.O.F |
    1 Juin 2010 17:54:55

    re,


    on va laisser tomber usbFix pour le moment ... il semble qu'il est 2 FP dans la détection ....



    fait ce qui suit :



    1- Télécharge Malwarebytes :
    ici http://www.commentcamarche.net/telecharger/telecharger-...
    ou ici : http://www.malwarebytes.org/mbam.php
    ou ici : http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    * Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour .

    (NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : http://www.malekal.com/download/comctl32.ocx )

    * Potasse ce tuto pour te familiariser avec le prg :
    http://forum.pcastuces.com/sujet.asp?f=31&s=3
    ( cela dis, il est très simple d'utilisation ).

    ! Déconnecte toi et ferme toutes applications en cours !

    * Lance 'Malwarebytes' .

    Fais un examen dit " RAPIDE " .

    --> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "résultat" .
    --> Vérifie que tous les objets infectés soient validés, puis clique sur "suppression".

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...


    =================================

    2- Refais un scan ZHPDiag .

    * Coche bien toutes les options ( sauf les 045 et 061 )

    * Au niveau du bouton "calendrier" choisis > 30 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

    1 Juin 2010 18:18:32

    Ci joint

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4161

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 7.0.5730.13

    01/06/2010 18:16:28
    mbam-log-2010-06-01 (18-16-28).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 117095
    Temps écoulé: 7 minute(s), 22 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 1
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Documents and Settings\PLI\Bureau\explorer.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
    1 Juin 2010 20:25:59

    bien ....



    la suite :



    1- Télécharge CCleaner :
    ici http://www.infos-du-net.com/telecharger/CCleaner,0301-1...
    ou ici http://www.commentcamarche.net/telecharger/telecharger-...

    Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
    Lors de l'installation:
    -choisis bien "français" en langue .
    -avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.

    Un tuto ( aide ):
    http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.h...


    ---> Utilisation :
    *Décocher dans le menu Options - sous-menu Avancé :
    Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

    ! déconnecte toi et ferme toutes applications en cours !

    * va dans "nettoyeur" : fais -analyse- puis -nettoyage-
    * va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
    ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

    ( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )


    ================================

    2- Télécharge Ad-remover ( de C_XX ) sur ton bureau :

    ici http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
    ou ici http://forum-aide-contre-virus.be/download/C_XX/AD-R.ex...

    ! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !

    • Double clique sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .

    • Au menu principal, clique directement sur le bouton [Nettoyer] .

    • Le nettoyage débute > Laisse travailler l'outil et ne touche à rien !...

    Note : si il t'es demandé de redémarrer le PC pour finir la procédure , fais le .


    --> Poste le rapport qui apparait à la fin dans ta prochaine réponse pour analyse ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )


    =============================

    3- Refais un scan ZHPDiag .

    * Coche bien toutes les options ( sauf les 045 et 061 )

    * Au niveau du bouton "calendrier" choisis > 30 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...
    2 Juin 2010 08:01:29

    .
    ======= RAPPORT D'AD-REMOVER 2.0.0.0,D | UNIQUEMENT XP/VISTA/7 =======
    .
    Mis à jour par C_XX le 19/05/10 à 19:20
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
    .
    Lancé à: 07:47:37 le 02/06/2010 | Mode normal | Option: CLEAN
    Exécuté de: C:\Ad-Remover\ADR.exe
    SE: Microsoft Windows XP Édition familiale (Service Pack 3 - X86)
    Nom du PC: PO-GDI-07
    Utilisateur actuel: PLI
    .
    ============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
    .
    .
    C:\Documents and Settings\PLI\Local Settings\Application Data\AskToolbar
    C:\Program Files\Ask.com
    C:\WINDOWS\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
    C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job

    (!) -- Fichiers temporaires supprimés.
    .
    HKCU\Software\Ask.com
    HKCU\Software\AskToolbar
    HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
    HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
    HKLM\Software\Classes\AppID\GenericAskToolbar.DLL
    HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
    HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd
    HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1
    HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
    HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
    HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
    HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
    HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
    HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
    HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
    HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}
    HKLM\Software\Microsoft\Internet Explorer\Toolbar|{D4027C7F-154A-4066-A1AD-4243D8127440}
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Ask.com\GenericAskToolbar.dll
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Ask.com\UpdateTask.exe
    .
    .
    ============== SCAN ADDITIONNEL ==============
    .
    .
    * Internet Explorer Version 7.0.5730.13 *
    .
    [HKCU\Software\Microsoft\Internet Explorer\Main]
    .
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/
    Use Search Asst: no
    .
    [HKLM\Software\Microsoft\Internet Explorer\Main]
    .
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: %SystemRoot%\system32\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/
    .
    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    .
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm
    .
    ========================================
    .
    C:\Ad-Remover\Quarantine: 1 Fichier(s)
    C:\Ad-Remover\Backup: 12 Fichier(s)
    .
    C:\Ad-Report-CLEAN[1].txt - 3710 Octet(s)
    .
    Fin à: 07:55:33, 02/06/2010
    .
    ============== E.O.F - CLEAN[1] ==============
    2 Juin 2010 08:32:44

    hello,


    on avance ... mais il reste encore du job ...



    la suite dans l'ordre :


    1- Supprime la version de UsbFix que tu as , puis supprime ce dossier C:\UsbFix si présent .

    On va reprendre avec la dernière version en ligne qui a subit quelques correctifs :


    Télécharge UsbFix ( de C_XX, Chimay8 & El desaparecido ) sur ton bureau :

    ici http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFi...
    ou ici http://chiquitine.changelog.fr/UsbFix.exe

    ! Déconnecte toi d'internet, désactive ton antivirus et ferme toutes applications en cours !


    Impératif :
    Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .


    # Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil.

    # Clique directement sur le bouton [ Suppression ] .

    -> Laisse travailler l'outil et ne touche à rien pendant le scan .

    # Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

    Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


    Note :
    "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


    Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html


    ============================


    2- Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe


    >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
  • Ferme tes applications en cours ( ainsi que ton navigateur ) .
  • DESACTIVE TOUTES TES DEFENSES (anti-virus, garde anti spy-ware, pare-feu) le temps de la manipe.
    En effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !
    > Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
  • Tuto ( aide ) ici : http://www.bleepingcomputer.com/combofix/fr/comment-uti...
  • Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
    >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<


    Ensuite :
    > Double-clique sur l'icône "Combofix.exe" pour lancer l'outil .
    > A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...


    -- Pour XP, l' installation de la Console de Récupération sera demandé :
    * Laisse toi guider et fais l'installe de la "console de récupération" ( en anglais, "Windows Recovery Console" ) lorsque l'outil te le demandera ( important ! ).
    image > http://img.photobucket.com/albums/v706/ried7/RcAuto1.gi...
    *Une fois la console installée,
    image > http://img.photobucket.com/albums/v706/ried7/whatnext.p...
    Déconnecte toi si possible avant de cliquer sur "yes" pour lancer le scan --


    Notes importantes :
    -> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
    -> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
    -> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes .
    -> Si après un reboot éventuel , ton antivirus s'affole lorsque travail encore Combofix , ignore les alertes ! ( ne supprime rien et ne mets rien en quarantaine )

    Le rapport sera crée ici : C:\Combofix.txt

    Réactive bien tes défenses .


    > Poste le rapport Combofix pour analyse et attends la suite ...

    2 Juin 2010 09:59:53

    ############################## | UsbFix 7.003 |

    Utilisateur: PLI (Administrateur) # PO-GDI-07 [ ]
    Mis à jour le 01/06/10 par El Desaparecido & C_XX
    Lancé à 09:52:13 | 02/06/2010
    Site Web: http://pagesperso-orange.fr/NosTools/index.html
    Contact: FindyKill.Contact@gmail.com

    CPU: Intel(R) Pentium(R) M processor 1.60GHz
    Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
    Internet Explorer 7.0.5730.13

    Pare-feu Windows: Activé
    Antivirus: Symantec AntiVirus Corporate Edition 10.1.5.5000 [(!) Disabled | Updated]

    RAM -> 511 Mo
    C:\ (%systemdrive%) -> Disque fixe # 28 Go (17 Go libre(s) - 61%) [VAIO] # NTFS
    D:\ -> Disque fixe # 47 Go (46 Go libre(s) - 99%) [VAIO] # NTFS
    F:\ -> CD-ROM
    G:\ -> Disque fixe # 596 Go (8 Go libre(s) - 1%) [DATA] # NTFS

    ################## | Éléments infectieux |

    Supprimé! G:\Autorun.inf
    Supprimé! C:\Recycler\S-1-5-21-2218362004-3678583522-3854419102-1006
    Supprimé! D:\Recycler\S-1-5-21-2218362004-3678583522-3854419102-1006
    Supprimé! G:\Recycler\S-1-5-21-2218362004-3678583522-3854419102-1006

    ################## | Registre |


    ################## | Mountpoints2 |

    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\G
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{08bdc145-43aa-11df-8e7b-080046dc87b5}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{45eafae0-c907-11de-8e03-080046dc87b5}

    ################## | Listing |

    [02/06/2010 - 07:54:24 | D ] C:\Ad-Remover
    [02/06/2010 - 07:55:33 | A | 3836] C:\Ad-Report-CLEAN[1].txt
    [26/08/2004 - 14:49:27 | A | 0] C:\AUTOEXEC.BAT
    [13/10/2009 - 12:58:53 | RASH | 216] C:\boot.ini
    [24/04/2003 - 14:00:00 | RASH | 4952] C:\Bootfont.bin
    [07/05/2010 - 07:27:51 | SHD ] C:\Config.Msi
    [26/08/2004 - 14:49:27 | A | 0] C:\CONFIG.SYS
    [13/10/2009 - 14:52:47 | AD ] C:\Documentation
    [13/10/2009 - 12:59:16 | D ] C:\Documents and Settings
    [27/08/2004 - 09:37:11 | D ] C:\Drivers
    [26/08/2004 - 14:49:27 | RASH | 0] C:\IO.SYS
    [18/05/2010 - 11:08:08 | D ] C:\mistral
    [26/08/2004 - 14:49:27 | RASH | 0] C:\MSDOS.SYS
    [27/08/2004 - 09:57:18 | RASH | 47564] C:\NTDETECT.COM
    [13/10/2009 - 17:05:03 | RASH | 252240] C:\ntldr
    [02/06/2010 - 09:42:12 | ASH | 805306368] C:\pagefile.sys
    [02/06/2010 - 07:53:20 | RD ] C:\Program Files
    [02/06/2010 - 09:57:57 | SHD ] C:\RECYCLER
    [02/06/2010 - 09:52:32 | SHD ] C:\System Volume Information
    [13/10/2009 - 13:42:22 | D ] C:\Update
    [02/06/2010 - 09:57:54 | D ] C:\UsbFix
    [02/06/2010 - 09:59:32 | A | 2462] C:\Usbfix.txt
    [27/08/2004 - 12:10:20 | D ] C:\Utils
    [13/10/2009 - 16:42:18 | A | 0] C:\winamp.ini
    [02/06/2010 - 07:58:50 | D ] C:\WINDOWS
    [01/06/2010 - 17:30:09 | A | 1360] C:\ZHPExportRegistry-01-06-2010-17-30-09.txt
    [02/06/2010 - 09:25:36 | D ] D:\A
    [22/12/2009 - 08:20:53 | D ] D:\Contents
    [13/10/2009 - 19:07:50 | RHD ] D:\MSOCache
    [02/06/2010 - 09:57:57 | SHD ] D:\RECYCLER
    [02/06/2010 - 07:34:09 | SHD ] D:\System Volume Information
    [22/12/2009 - 08:21:08 | D ] D:\VAIO Entertainment
    [18/01/2010 - 15:22:59 | A | 1199616] G:\01Div Cim.xls
    [18/06/2009 - 18:45:07 | A | 974848] G:\01Div Cim1.xls
    [22/10/2007 - 18:15:21 | A | 832000] G:\1111.xls
    [28/05/2010 - 08:55:13 | D ] G:\A moi
    [13/10/2009 - 15:22:20 | D ] G:\AAA
    [02/07/2008 - 13:38:14 | A | 3470] G:\ClickMe MAC.htm
    [03/06/2008 - 13:55:34 | A | 173536] G:\ClickMe.exe
    [14/09/2001 - 09:19:14 | A | 405504] G:\CRC95.EXE
    [14/12/2005 - 16:09:00 | A | 5036] G:\crccheck.vbs
    [02/07/2008 - 14:35:04 | A | 102995] G:\crclog.dat
    [31/05/2010 - 13:13:32 | D ] G:\GESTION
    [28/05/2010 - 08:56:16 | D ] G:\Mes prog
    [14/07/2008 - 11:27:14 | AD ] G:\Packard Bell
    [03/08/2007 - 11:45:28 | A | 308736] G:\patch_webtarot.exe
    [28/05/2010 - 08:13:24 | D ] G:\Photos
    [15/10/2009 - 13:55:32 | A | 656] G:\Raccourci vers ACDSee32.lnk
    [02/06/2010 - 09:57:57 | SHD ] G:\RECYCLER
    [31/05/2010 - 18:45:28 | SHD ] G:\System Volume Information
    [13/10/2009 - 15:24:10 | D ] G:\Taroteam
    [28/05/2010 - 08:54:42 | D ] G:\TRSF
    [28/05/2010 - 07:34:52 | D ] G:\Vidéos
    [28/05/2010 - 08:36:17 | A | 253] G:\Zarafa WebAccess.url

    ################## | Vaccin |

    C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
    D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
    G:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

    ################## | Upload |

    Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PO-GDI-07.zip
    http://chiquitine.changelog.fr/Sample/Upload.php
    Merci de votre contribution.

    ################## | E.O.F |
    2 Juin 2010 10:00:25

    Concernant ComboFix, quand tu dis DESACTIVE TOUTES TES DEFENSES, comment je fais ?
    2 Juin 2010 10:26:25

    re,

    Citation :
    Concernant ComboFix, quand tu dis DESACTIVE TOUTES TES DEFENSES, comment je fais ?



    ? ... et bien comme de puis le début , tes défenses se résument à Norton ... Il faut donc que tu désactives la garde en temps réel de Norton ....




    2 Juin 2010 11:23:17

    ComboFix 10-06-01.01 - PLI 02/06/2010 11:04:17.1.1 - x86
    Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.511.82 [GMT 2:00]
    Lancé depuis: c:\documents and settings\PLI\Bureau\ComboFix.exe
    AV: Symantec AntiVirus Corporate Edition *On-access scanning disabled* (Updated) {FB06448E-52B8-493A-90F3-E43226D3305C}
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\windows\system32\drivers\pqhiaciq.sys
    c:\windows\system32\drivers\rdexkrxs.sys
    c:\windows\system32\ibquigi.dll
    c:\windows\system32\yxwoqkj.dll

    Une copie infectée de c:\windows\system32\drivers\compbatt.sys a été trouvée et désinfectée
    Copie restaurée à partir de - Kitty had a snack :p 
    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_GEHVCWAP
    -------\Legacy_RDEXKRXS
    -------\Service_gehvcwap
    -------\Service_rdexkrxs


    ((((((((((((((((((((((((((((( Fichiers créés du 2010-05-02 au 2010-06-02 ))))))))))))))))))))))))))))))))))))
    .

    2010-06-02 07:59 . 2010-06-02 07:59 6023 ----a-w- C:\UsbFix_Upload_Me_PO-GDI-07.zip
    2010-06-02 07:51 . 2010-06-02 07:59 -------- d-----w- C:\UsbFix
    2010-06-02 05:47 . 2010-06-02 05:54 -------- d-----w- C:\Ad-Remover
    2010-06-02 05:42 . 2010-06-02 05:42 -------- d-----w- c:\program files\CCleaner
    2010-06-01 16:06 . 2010-06-01 16:06 -------- d-----w- c:\documents and settings\PLI\Application Data\Malwarebytes
    2010-06-01 16:05 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-06-01 16:05 . 2010-06-01 16:05 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
    2010-06-01 16:05 . 2010-06-01 16:05 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-06-01 16:05 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-06-01 12:16 . 2010-06-02 06:10 -------- d-----w- c:\program files\ZHPDiag
    2010-05-28 07:39 . 2010-05-28 07:39 -------- d-----w- c:\documents and settings\All Users\Application Data\Hewlett-Packard
    2010-05-25 07:07 . 2010-05-25 07:07 503808 ----a-w- c:\documents and settings\PLI\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4309f7fe-n\msvcp71.dll
    2010-05-25 07:07 . 2010-05-25 07:07 499712 ----a-w- c:\documents and settings\PLI\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4309f7fe-n\jmc.dll
    2010-05-25 07:07 . 2010-05-25 07:07 348160 ----a-w- c:\documents and settings\PLI\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4309f7fe-n\msvcr71.dll
    2010-05-25 07:07 . 2010-05-25 07:07 61440 ----a-w- c:\documents and settings\PLI\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-131df958-n\decora-sse.dll
    2010-05-25 07:07 . 2010-05-25 07:07 12800 ----a-w- c:\documents and settings\PLI\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-131df958-n\decora-d3d.dll
    2010-05-06 13:48 . 2010-05-06 13:48 -------- d-----w- c:\program files\iPod
    2010-05-06 13:48 . 2010-05-06 13:49 -------- d-----w- c:\program files\iTunes
    2010-05-06 13:48 . 2010-05-06 13:49 -------- d-----w- c:\documents and settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
    2010-05-06 13:43 . 2010-05-06 13:43 -------- d-----w- c:\program files\QuickTime
    2010-05-06 13:38 . 2010-05-06 13:38 -------- d-----w- c:\program files\Bonjour
    2010-05-06 13:33 . 2010-05-06 13:33 73000 ----a-w- c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 9.1.1.12\SetupAdmin.exe

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-06-02 07:31 . 2009-10-15 10:22 1 ----a-w- c:\documents and settings\PLI\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
    2010-05-28 06:28 . 2010-04-12 14:10 -------- d-----w- c:\program files\Spybot - Search & Destroy
    2010-05-28 06:28 . 2010-04-12 14:10 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
    2010-05-27 14:56 . 2009-10-14 07:20 -------- d-----w- c:\program files\Symantec AntiVirus
    2010-05-06 13:48 . 2009-10-13 16:38 -------- d-----w- c:\program files\Fichiers communs\Apple
    2010-04-21 08:38 . 2004-08-27 08:26 -------- d-----w- c:\program files\Java
    2010-04-16 06:33 . 2009-10-13 16:39 41472 ----a-w- c:\windows\system32\drivers\usbaapl.sys
    2010-04-16 06:33 . 2009-10-13 16:39 3003680 ----a-w- c:\windows\system32\usbaaplrc.dll
    2010-04-12 15:29 . 2010-04-21 08:38 411368 ----a-w- c:\windows\system32\deployJava1.dll
    2010-04-08 11:20 . 2010-04-08 11:20 91424 ----a-w- c:\windows\system32\dnssd.dll
    2010-04-08 11:20 . 2010-04-08 11:20 107808 ----a-w- c:\windows\system32\dns-sd.exe
    2010-03-31 05:31 . 2010-03-31 05:31 503808 ----a-w- c:\documents and settings\PLI\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-732f55b7-n\msvcp71.dll
    2010-03-31 05:31 . 2010-03-31 05:31 499712 ----a-w- c:\documents and settings\PLI\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-732f55b7-n\jmc.dll
    2010-03-31 05:31 . 2010-03-31 05:31 348160 ----a-w- c:\documents and settings\PLI\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-732f55b7-n\msvcr71.dll
    2010-03-31 05:31 . 2010-03-31 05:31 61440 ----a-w- c:\documents and settings\PLI\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-3e24e1dd-n\decora-sse.dll
    2010-03-31 05:31 . 2010-03-31 05:31 12800 ----a-w- c:\documents and settings\PLI\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-3e24e1dd-n\decora-d3d.dll
    2010-03-31 05:29 . 2004-08-26 14:34 368314 ----a-w- c:\windows\system32\perfh00C.dat
    2010-03-31 05:29 . 2004-08-26 14:34 49054 ----a-w- c:\windows\system32\perfc00C.dat
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "TomTomHOME.exe"="c:\program files\TomTom HOME 2\TomTomHOMERunner.exe" [2009-11-13 247144]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ccApp"="-" [X]
    "Apoint"="c:\program files\Apoint\Apoint.exe" [2003-11-07 114688]
    "ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-07-10 339968]
    "HKSERV.EXE"="c:\program files\Sony\HotKey Utility\HKserv.exe" [2004-06-29 122880]
    "SonyPowerCfg"="c:\program files\sony\vaio power management\SPMgr.exe" [2004-06-29 180224]
    "Hcontrol"="c:\windows\ATK0100\Hcontrol.exe" [2003-09-19 61440]
    "Mouse Suite 98 Daemon"="ICO.EXE" [2002-03-14 45056]
    "BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-13 110592]
    "ISBMgr.exe"="c:\program files\Sony\ISB Utility\ISBMgr.exe" [2004-02-20 32768]
    "ezShieldProtector for Px"="c:\windows\system32\ezSP_Px.exe" [2002-08-20 40960]
    "WinVNC"="c:\program files\RealVNC\WinVNC\WinVNC.exe" [2003-03-05 335872]
    "vptray"="c:\progra~1\SYMANT~1\VPTray.exe" [2006-11-14 125536]
    "SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]
    "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-03-17 421888]
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-04-28 142120]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

    c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "c:\\Program Files\\RealVNC\\WinVNC\\winvnc.exe"=
    "c:\\WINDOWS\\system32\\sessmgr.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "c:\\Program Files\\iTunes\\iTunes.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "2967:TCP"= 2967:TCP:Symantec1
    "2968:TCP"= 2968:TCP:Symantec2

    R2 SavRoam;SAVRoam;c:\program files\Symantec AntiVirus\SavRoam.exe [14/11/2006 15:50 119904]
    R2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [13/11/2009 13:31 92008]
    R2 VAIO Entertainment File Import Service;VAIO Entertainment File Import Service;c:\program files\Fichiers communs\Sony Shared\VAIO Entertainment\VzCdb\VzFw.exe [27/08/2004 11:10 118877]
    R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [14/10/2009 09:31 102448]
    R3 SPI;Sony Programmable I/O Control Device;c:\windows\system32\drivers\SonyPI.sys [30/10/2002 17:10 71961]
    S3 VAIO Entertainment UPnP Client Adapter;VAIO Entertainment UPnP Client Adapter;c:\program files\Fichiers communs\Sony Shared\VAIO Entertainment\VCSW\VCSW.exe -RunBySCM --> c:\program files\Fichiers communs\Sony Shared\VAIO Entertainment\VCSW\VCSW.exe -RunBySCM [?]

    --- Autres Services/Pilotes en mémoire ---

    *NewlyCreated* - RDEXKRXS
    *Deregistered* - rdexkrxs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.fr/
    uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
    uInternet Connection Wizard,ShellNext = hxxp://www.vaio-link.com/vu/vu2x/index.asp?u=m&h=040C
    uInternet Settings,ProxyOverride = *.local
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    Trusted Zone: sony-europe.com
    Trusted Zone: sonystyle-europe.com
    Trusted Zone: vaio-link.com
    TCP: {271AC382-BF47-4622-B740-31D2A71BE555} = 192.168.59.5
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    ShellIconOverlayIdentifiers-{BBF0216D-9247-4BE6-A18F-AE327C73B1B5} - (no file)



    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-06-02 11:17
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x822EED01]<<
    kernel: MBR read successfully
    detected MBR rootkit hooks:
    \Driver\Disk -> CLASSPNP.SYS @ 0xf85aaf28
    \Driver\ACPI -> ACPI.sys @ 0xf84eccb8
    \Driver\atapi -> atapi.sys @ 0xf8486852
    IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a05a9
    ParseProcedure -> ntoskrnl.exe @ 0x8056ea15
    \Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a05a9
    ParseProcedure -> ntoskrnl.exe @ 0x8056ea15
    NDIS: Intel(R) PRO/1000 MT Network Connection -> SendCompleteHandler -> NDIS.sys @ 0xf8392bb0
    PacketIndicateHandler -> NDIS.sys @ 0xf839fa21
    SendHandler -> NDIS.sys @ 0xf837d87b
    user & kernel MBR OK

    **************************************************************************

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ccEvtMgr]
    "ImagePath"="-"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SAVRT]
    "ImagePath"="-"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SNDSrvc]
    "ImagePath"="-"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SYMTDI]
    "ImagePath"="-"
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'winlogon.exe'(684)
    c:\windows\system32\sxs.dll
    c:\windows\system32\Ati2evxx.dll

    - - - - - - - > 'explorer.exe'(208)
    c:\windows\system32\ieframe.dll
    c:\windows\system32\eappprxy.dll
    c:\windows\system32\WPDShServiceObj.dll
    c:\windows\system32\PortableDeviceTypes.dll
    c:\windows\system32\PortableDeviceApi.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\windows\System32\Ati2evxx.exe
    c:\program files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
    c:\program files\Bonjour\mDNSResponder.exe
    c:\program files\Symantec AntiVirus\DefWatch.exe
    c:\program files\Java\jre6\bin\jqs.exe
    c:\program files\Symantec AntiVirus\Rtvscan.exe
    c:\windows\system32\Ati2evxx.exe
    c:\windows\System32\wbem\wmiapsrv.exe
    c:\windows\system32\wscntfy.exe
    c:\windows\system32\ICO.EXE
    c:\windows\system32\rundll32.exe
    c:\program files\Apoint\Apntex.exe
    c:\windows\ATK0100\ATKOSD.exe
    c:\program files\Sony\HotKey Utility\HKWnd.exe
    c:\program files\iPod\bin\iPodService.exe
    .
    **************************************************************************
    .
    Heure de fin: 2010-06-02 11:24:01 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-06-02 09:23

    Avant-CF: 18 148 728 832 octets libres
    Après-CF: 18 040 471 552 octets libres

    WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect /NoExecute=OptIn

    - - End Of File - - B36DB8E8F932DEF1DD6FDA014CEA9058
    2 Juin 2010 11:53:35

    Bien ....


    la dernière bestiole est corriace ...


    il me faut d'autre info avant de poursuivre le nettoyage :


    1- Télécharge SEAF ( de C__XX ) sur ton bureau :

    ici http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe
    ou ici http://forum-aide-contre-virus.be/download/C_XX/SEAF.ex...

    ! Ferme toutes applications en cours !

  • Double clique sur "SEAF.exe" ( clique droit et "Exécuter en tant qu'administrateur" pour Vista / 7 ) pour lancer l'outil.
  • Dans l'encardré blanc " Entrez ci dessous...." copie/colle ceci :

    rdexkrxs,atapi.sys,NDIS.sys


  • Au niveau des "options des fichiers ", fait les réglages suivant :
    > A "Calculer le checksum" , choisis : MD5
    > Coche la case devant " Info. supplémentaire ".
    > Coche la case devant " Afficher les ADS "

  • Au niveau des " options du registre " :
    > coche " chercher également dans le registre "

    ( ne touche à aucun autre réglage )

  • Clique sur " Lancer la recherche " et laisse travailler l'outil ...

    ( cela peut-être plus ou moins long suivant les cas ).

    --> Une fois terminé, une fenêtre avec un log .txt va s'afficher. Enregistre ce rapport de façon à le retrouver facilement ( sur le bureau par exemple ). Sinon il sera en outre sauvegardé à la racine de ton disque dur ( ici > C:\SEAFLog.txt )

    --> Copie/colle le contenu de ce rapport dans ta prochaine réponse . Si le rapport est trop long, utilise le site d'uplaod "Cijoint" pour me le faire parvenir > http://www.cijoint.fr/


    ==========================================

    2- Télécharge gmer sur le bureau et dézippe-le (clic droit et "extraire ici") :

    http://www.gmer.net/gmer.zip

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe ( naviguateurs compris ) !!

    * Double-clique sur gmer.exe pour lancer l'outil.
    * Met toi bien sur l'onglet "rootkit".
    * A droite, au niveau des options vérifie que tout soit bien coché.
    * puis clique sur scan .

    > laisse travailler et ne touche à rien ! ( cela est relativement long, donc patience ... )

    * A la fin du scan, clique sur le bouton copy.
    * Puis va dans le menu "démarrer"> "programmes" > accessoires : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note.

    > poste le rapport via "cijoint" stp ...
    2 Juin 2010 12:16:41

    1. ========================= SEAF 1.0.0.7 - C_XX
    2.
    3. Commencé à: 12:12:09 le 02/06/2010
    4.
    5. Valeur(s) recherchée(s):
    6.
    7. rdexkrxs
    8. atapi.sys
    9. NDIS.sys
    10.
    11. (!) --- Calcul du Hash "MD5"
    12. (!) --- Affichage des ADS
    13. (!) --- Informations supplémentaires
    14. (!) --- Recherche registre
    15.
    16. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
    17.
    18. "c:\WINDOWS\system32\ReinstallBackups\0004\DriverFiles\i386\atapi.sys" [ ----A---- | 86912 ]
    19. TC: 26/08/2004,15:19:15 | TM: 24/04/2003,14:00:00 | DA: 26/08/2004,15:19:15
    20. MD5: 95b858761a00e1d4f81f79a0da019aca
    21.
    22.
    23. CompagnyName: Microsoft Corporation
    24. ProductName: Microsoft® Windows® Operating System
    25. InternalName: atapi.sys
    26. OriginalFilename: atapi.sys
    27. LegalCopyright: © Microsoft Corporation. All rights reserved.
    28. ProductVersion: 5.1.2600.1106
    29. FileVersion: 5.1.2600.1106 (xpsp1.020828-1920)
    30.
    31. =========================
    32.
    33. "c:\WINDOWS\system32\drivers\atapi.sys" [ ----A---- | 96512 ]
    34. TC: 26/08/2004,15:19:16 | TM: 13/04/2008,11:40:32 | DA: 02/06/2010,11:20:42
    35. MD5: 9f3a2f5aa6875c72bf062c712cfa2674
    36.
    37.
    38. CompagnyName: Microsoft Corporation
    39. ProductName: Microsoft® Windows® Operating System
    40. InternalName: atapi.sys
    41. OriginalFilename: atapi.sys
    42. LegalCopyright: © Microsoft Corporation. All rights reserved.
    43. ProductVersion: 5.1.2600.5512
    44. FileVersion: 5.1.2600.5512 (xpsp.080413-2108)
    45.
    46. =========================
    47.
    48. "c:\WINDOWS\system32\drivers\ndis.sys" [ ----A---- | 182656 ]
    49. TC: 26/08/2004,16:34:24 | TM: 13/04/2008,12:20:38 | DA: 02/06/2010,11:20:43
    50. MD5: 1df7f42665c94b825322fae71721130d
    51.
    52.
    53. CompagnyName: Microsoft Corporation
    54. ProductName: Microsoft® Windows® Operating System
    55. InternalName: NDIS.SYS
    56. OriginalFilename: NDIS.SYS
    57. LegalCopyright: © Microsoft Corporation. All rights reserved.
    58. ProductVersion: 5.1.2600.5512
    59. FileVersion: 5.1.2600.5512 (xpsp.080413-0852)
    60.
    61. =========================
    62.
    63. "c:\WINDOWS\system32\drivers\symndis.sys" [ ----A---- | 28352 ]
    64. TC: 07/08/2006,16:02:14 | TM: 07/08/2006,16:02:14 | DA: 02/06/2010,11:09:29
    65. MD5: b1f616c31575da1535c2a7823c112182
    66.
    67.
    68. CompagnyName: Symantec Corporation
    69. ProductName: Symantec Security Drivers
    70. InternalName: SYMNDIS
    71. OriginalFilename: SYMNDIS
    72. LegalCopyright: Copyright 2002 - 2006 Symantec Corporation
    73. ProductVersion: 6.0
    74. FileVersion: 6.0.4.402
    75.
    76. =========================
    77.
    78. "c:\WINDOWS\ServicePackFiles\i386\atapi.sys" [ ----A---- | 96512 ]
    79. TC: 27/08/2004,10:02:03 | TM: 13/04/2008,11:40:32 | DA: 13/10/2009,17:10:58
    80. MD5: 9f3a2f5aa6875c72bf062c712cfa2674
    81.
    82.
    83. CompagnyName: Microsoft Corporation
    84. ProductName: Microsoft® Windows® Operating System
    85. InternalName: atapi.sys
    86. OriginalFilename: atapi.sys
    87. LegalCopyright: © Microsoft Corporation. All rights reserved.
    88. ProductVersion: 5.1.2600.5512
    89. FileVersion: 5.1.2600.5512 (xpsp.080413-2108)
    90.
    91. =========================
    92.
    93. "c:\WINDOWS\ServicePackFiles\i386\ndis.sys" [ ----A---- | 182656 ]
    94. TC: 27/08/2004,10:02:00 | TM: 13/04/2008,12:20:38 | DA: 13/10/2009,17:10:52
    95. MD5: 1df7f42665c94b825322fae71721130d
    96.
    97.
    98. CompagnyName: Microsoft Corporation
    99. ProductName: Microsoft® Windows® Operating System
    100. InternalName: NDIS.SYS
    101. OriginalFilename: NDIS.SYS
    102. LegalCopyright: © Microsoft Corporation. All rights reserved.
    103. ProductVersion: 5.1.2600.5512
    104. FileVersion: 5.1.2600.5512 (xpsp.080413-0852)
    105.
    106. =========================
    107.
    108. "c:\WINDOWS\ERDNT\cache\atapi.sys" [ ----A---- | 96512 ]
    109. TC: 02/06/2010,11:20:54 | TM: 13/04/2008,11:40:32 | DA: 02/06/2010,11:20:54
    110. MD5: 9f3a2f5aa6875c72bf062c712cfa2674
    111.
    112.
    113. CompagnyName: Microsoft Corporation
    114. ProductName: Microsoft® Windows® Operating System
    115. InternalName: atapi.sys
    116. OriginalFilename: atapi.sys
    117. LegalCopyright: © Microsoft Corporation. All rights reserved.
    118. ProductVersion: 5.1.2600.5512
    119. FileVersion: 5.1.2600.5512 (xpsp.080413-2108)
    120.
    121. =========================
    122.
    123. "c:\WINDOWS\ERDNT\cache\ndis.sys" [ ----A---- | 182656 ]
    124. TC: 02/06/2010,11:20:55 | TM: 13/04/2008,12:20:38 | DA: 02/06/2010,11:20:55
    125. MD5: 1df7f42665c94b825322fae71721130d
    126.
    127.
    128. CompagnyName: Microsoft Corporation
    129. ProductName: Microsoft® Windows® Operating System
    130. InternalName: NDIS.SYS
    131. OriginalFilename: NDIS.SYS
    132. LegalCopyright: © Microsoft Corporation. All rights reserved.
    133. ProductVersion: 5.1.2600.5512
    134. FileVersion: 5.1.2600.5512 (xpsp.080413-0852)
    135.
    136. =========================
    137.
    138. "c:\WINDOWS\$NtServicePackUninstall$\atapi.sys" [ ----C---- | 95360 ]
    139. TC: 13/10/2009,17:00:27 | TM: 03/08/2004,22:59:44 | DA: 13/10/2009,17:00:27
    140. MD5: cdfe4411a69c224bd1d11b2da92dac51
    141.
    142.
    143. CompagnyName: Microsoft Corporation
    144. ProductName: Microsoft® Windows® Operating System
    145. InternalName: atapi.sys
    146. OriginalFilename: atapi.sys
    147. LegalCopyright: © Microsoft Corporation. All rights reserved.
    148. ProductVersion: 5.1.2600.2180
    149. FileVersion: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    150.
    151. =========================
    152.
    153. "c:\WINDOWS\$NtServicePackUninstall$\ndis.sys" [ ----C---- | 182912 ]
    154. TC: 13/10/2009,17:00:25 | TM: 03/08/2004,23:14:30 | DA: 13/10/2009,17:00:25
    155. MD5: 558635d3af1c7546d26067d5d9b6959e
    156.
    157.
    158. CompagnyName: Microsoft Corporation
    159. ProductName: Microsoft® Windows® Operating System
    160. InternalName: NDIS.SYS
    161. OriginalFilename: NDIS.SYS
    162. LegalCopyright: © Microsoft Corporation. All rights reserved.
    163. ProductVersion: 5.1.2600.2180
    164. FileVersion: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    165.
    166. =========================
    167.
    168. "c:\Qoobox\Quarantine\Registry_backups\Legacy_RDEXKRXS.reg.dat" [ ----A---- | 1276 ]
    169. TC: 02/06/2010,11:11:51 | TM: 02/06/2010,11:11:51 | DA: 02/06/2010,11:11:51
    170. MD5: 702e093c87fba9fdab8079c1948102bb
    171.
    172.
    173.
    174. =========================
    175.
    176. "c:\Qoobox\Quarantine\Registry_backups\Service_rdexkrxs.reg.dat" [ ----A---- | 5728 ]
    177. TC: 02/06/2010,11:11:53 | TM: 02/06/2010,11:11:53 | DA: 02/06/2010,11:11:53
    178. MD5: cbf5ed8f80483e9672b97ccb829a163f
    179.
    180.
    181.
    182. =========================
    183.
    184. "c:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\rdexkrxs.sys.vir" [ ----A---- | 23424 ]
    185. TC: 26/08/2004,16:34:26 | TM: 24/04/2003,14:00:00 | DA: 27/05/2010,16:00:38
    186. MD5: 81b8d354400a6b0df204264fece28687
    187.
    188.
    189.
    190. =========================
    191.
    192. "c:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\_rdexkrxs_.sys.zip" [ ----A---- | 11443 ]
    193. TC: 02/06/2010,11:13:18 | TM: 02/06/2010,11:13:18 | DA: 02/06/2010,11:13:18
    194. MD5: 62278d1974a62405a5c81900bdf76dd3
    195.
    196.
    197.
    198. =========================
    199.
    200. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
    201.
    202. Aucun dossier trouvé
    203.
    204.
    205. ====== Entrée(s) du registre ======
    206.
    207.
    208.
    209. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDEXKRXS\0000]
    210. "DeviceDesc"="rdexkrxs"
    211.
    212. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDEXKRXS\0000]
    213. "Service"="rdexkrxs"
    214.
    215. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDEXKRXS\0000\Control]
    216. "ActiveService"="rdexkrxs"
    217.
    218. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_BEEP\xx_rdexkrxs_xx]
    219. "Service"="rdexkrxs"
    220.
    221. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RDEXKRXS\0000]
    222. "DeviceDesc"="rdexkrxs"
    223.
    224. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RDEXKRXS\0000]
    225. "Service"="rdexkrxs"
    226.
    227. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDEXKRXS\0000]
    228. "DeviceDesc"="rdexkrxs"
    229.
    230. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDEXKRXS\0000]
    231. "Service"="rdexkrxs"
    232.
    233. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDEXKRXS\0000\Control]
    234. "ActiveService"="rdexkrxs"
    235.
    236.
    237.
    238. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\atapi]
    239. "ImagePath"="System32\DRIVERS\atapi.sys"
    240.
    241. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\atapi]
    242. "ImagePath"="System32\DRIVERS\atapi.sys"
    243.
    244. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\atapi]
    245. "ImagePath"="System32\DRIVERS\atapi.sys"
    246.
    247.
    248.
    249. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\182597B7975B362458E1A1DCD1EC1D73]
    250. "89FCFC336D8F94544B96F6245976D638"="C:\WINDOWS\system32\Drivers\symndis.sys"
    251.
    252. =========================
    253.
    254. Fin à: 12:18:24 le 02/06/2010 ( E.O.F )
    2 Juin 2010 13:38:30

    bien ...


    c'est ce qu'il me semblait ...

    reste des fichiers systèmes patchés ....


    il me des infos suplémantaire sur compbatt.sys


    refait ceci donc :


    ! Ferme toutes applications en cours !

  • Double clique sur "SEAF.exe" ( clique droit et "Exécuter en tant qu'administrateur" pour Vista / 7 ) pour lancer l'outil.
  • Dans l'encardré blanc " Entrez ci dessous...." copie/colle ceci :

    compbatt.sys


  • Au niveau des "options des fichiers ", fait les réglages suivant :
    > A "Calculer le checksum" , choisis : MD5
    > Coche la case devant " Info. supplémentaire ".
    > Coche la case devant " Afficher les ADS "

    ( ne touche à aucun autre réglage )

  • Clique sur " Lancer la recherche " et laisse travailler l'outil ...

    ( cela peut-être plus ou moins long suivant les cas ).

    --> Une fois terminé, une fenêtre avec un log .txt va s'afficher. Enregistre ce rapport de façon à le retrouver facilement ( sur le bureau par exemple ). Sinon il sera en outre sauvegardé à la racine de ton disque dur ( ici > C:\SEAFLog.txt )
    2 Juin 2010 13:55:50

    1. ========================= SEAF 1.0.0.7 - C_XX
    2.
    3. Commencé à: 13:53:07 le 02/06/2010
    4.
    5. Valeur(s) recherchée(s):
    6.
    7. compbatt.sys
    8.
    9. (!) --- Calcul du Hash "MD5"
    10. (!) --- Affichage des ADS
    11. (!) --- Informations supplémentaires
    12. (!) --- Recherche registre
    13.
    14. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
    15.
    16. "c:\WINDOWS\system32\drivers\compbatt.sys" [ ----A---- | 10240 ]
    17. TC: 26/08/2004,15:45:09 | TM: 13/04/2008,11:36:38 | DA: 02/06/2010,12:22:27
    18. MD5: 6e4c9f21f0fae8940661144f41b13203
    19.
    20.
    21. CompagnyName: Microsoft Corporation
    22. ProductName: Microsoft® Windows® Operating System
    23. InternalName: compbatt.sys
    24. OriginalFilename: compbatt.sys
    25. LegalCopyright: © Microsoft Corporation. All rights reserved.
    26. ProductVersion: 5.1.2600.5512
    27. FileVersion: 5.1.2600.5512 (xpsp.080413-2111)
    28.
    29. =========================
    30.
    31. "c:\WINDOWS\ServicePackFiles\i386\compbatt.sys" [ ----N---- | 10240 ]
    32. TC: 13/10/2009,17:09:39 | TM: 13/04/2008,11:36:38 | DA: 13/10/2009,17:09:39
    33. MD5: 6e4c9f21f0fae8940661144f41b13203
    34.
    35.
    36. CompagnyName: Microsoft Corporation
    37. ProductName: Microsoft® Windows® Operating System
    38. InternalName: compbatt.sys
    39. OriginalFilename: compbatt.sys
    40. LegalCopyright: © Microsoft Corporation. All rights reserved.
    41. ProductVersion: 5.1.2600.5512
    42. FileVersion: 5.1.2600.5512 (xpsp.080413-2111)
    43.
    44. =========================
    45.
    46. "c:\WINDOWS\$NtServicePackUninstall$\compbatt.sys" [ ----C---- | 9344 ]
    47. TC: 13/10/2009,17:00:26 | TM: 17/08/2001,22:58:00 | DA: 13/10/2009,17:00:26
    48. MD5: df1b1a24bf52d0ebc01ed4ece8979f50
    49.
    50.
    51. CompagnyName: Microsoft Corporation
    52. ProductName: Microsoft® Windows® Operating System
    53. InternalName: compbatt.sys
    54. OriginalFilename: compbatt.sys
    55. LegalCopyright: © Microsoft Corporation. All rights reserved.
    56. ProductVersion: 5.1.2600.0
    57. FileVersion: 5.1.2600.0 (xpclient.010817-1148)
    58.
    59. =========================
    60.
    61. "c:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\compbatt.sys.vir" [ ----A---- | 10240 ]
    62. TC: 26/08/2004,15:45:09 | TM: 13/04/2008,11:36:38 | DA: 02/06/2010,11:04:00
    63. MD5: b544197ffcefdabec6fc0e5ba2928e6a
    64.
    65.
    66.
    67. =========================
    68.
    69. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
    70.
    71. Aucun dossier trouvé
    72.
    73.
    74. ====== Entrée(s) du registre ======
    75.
    76.
    77.
    78. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Compbatt]
    79. "ImagePath"="System32\DRIVERS\compbatt.sys"
    80.
    81. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Compbatt]
    82. "ImagePath"="System32\DRIVERS\compbatt.sys"
    83.
    84. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Compbatt]
    85. "ImagePath"="System32\DRIVERS\compbatt.sys"
    86.
    87. =========================
    88.
    89. Fin à: 13:58:11 le 02/06/2010 ( E.O.F )
    2 Juin 2010 14:16:05

    bien ...



    voilà comment on va procéder dans un premier temps :



    1- Créer un doc texte sur ton bureau :
  • Pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

  • Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :


    Registry::
    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDEXKRXS]
    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_BEEP\xx_rdexkrxs_xx]
    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RDEXKRXS]
    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDEXKRXS]

    Driver::
    rdexkrxs

    Fcopy::
    c:\WINDOWS\ServicePackFiles\i386\compbatt.sys | C:\skeC.bak
    c:\WINDOWS\ServicePackFiles\i386\atapi.sys | C:\skeA.bak



  • Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : CFScript puis valide ...



    2- Nettoyage :

    !! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

    --> Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

    Regarde ici :


    Cette manipulation va relancer Combofix !

    Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

    ! Ne touches à rien tant que le scan n'est pas terminé !

    Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    -> Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse et attends la suite ...


    ( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )


    ================================

    PS : je dois partir ... donc poste le rapport obtenu et je te dis à ce soir pour la suite ... ;) 


    2 Juin 2010 15:01:01

    ComboFix 10-06-01.03 - PLI 02/06/2010 14:44:34.2.1 - x86
    Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.511.227 [GMT 2:00]
    Lancé depuis: c:\documents and settings\PLI\Bureau\ComboFix.exe
    Commutateurs utilisés :: c:\documents and settings\PLI\Bureau\CFScript.txt
    AV: Symantec AntiVirus Corporate Edition *On-access scanning disabled* (Updated) {FB06448E-52B8-493A-90F3-E43226D3305C}
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    Une copie infectée de c:\windows\system32\drivers\compbatt.sys a été trouvée et désinfectée
    Copie restaurée à partir de - Kitty had a snack :p 
    .
    --------------- FCopy ---------------

    c:\windows\ServicePackFiles\i386\compbatt.sys --> C:\skeC.bak
    c:\windows\ServicePackFiles\i386\atapi.sys --> C:\skeA.bak
    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_RDEXKRXS


    ((((((((((((((((((((((((((((( Fichiers créés du 2010-05-02 au 2010-06-02 ))))))))))))))))))))))))))))))))))))
    .

    2010-06-02 10:11 . 2010-06-02 11:58 -------- d-----w- c:\program files\SEAF
    2010-06-02 07:59 . 2010-06-02 07:59 6023 ----a-w- C:\UsbFix_Upload_Me_PO-GDI-07.zip
    2010-06-02 07:51 . 2010-06-02 07:59 -------- d-----w- C:\UsbFix
    2010-06-02 05:47 . 2010-06-02 05:54 -------- d-----w- C:\Ad-Remover
    2010-06-02 05:42 . 2010-06-02 05:42 -------- d-----w- c:\program files\CCleaner
    2010-06-01 16:06 . 2010-06-01 16:06 -------- d-----w- c:\documents and settings\PLI\Application Data\Malwarebytes
    2010-06-01 16:05 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-06-01 16:05 . 2010-06-01 16:05 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
    2010-06-01 16:05 . 2010-06-01 16:05 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-06-01 16:05 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-06-01 12:16 . 2010-06-02 06:10 -------- d-----w- c:\program files\ZHPDiag
    2010-05-28 07:39 . 2010-05-28 07:39 -------- d-----w- c:\documents and settings\All Users\Application Data\Hewlett-Packard
    2010-05-25 07:07 . 2010-05-25 07:07 503808 ----a-w- c:\documents and settings\PLI\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4309f7fe-n\msvcp71.dll
    2010-05-25 07:07 . 2010-05-25 07:07 499712 ----a-w- c:\documents and settings\PLI\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4309f7fe-n\jmc.dll
    2010-05-25 07:07 . 2010-05-25 07:07 348160 ----a-w- c:\documents and settings\PLI\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4309f7fe-n\msvcr71.dll
    2010-05-25 07:07 . 2010-05-25 07:07 61440 ----a-w- c:\documents and settings\PLI\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-131df958-n\decora-sse.dll
    2010-05-25 07:07 . 2010-05-25 07:07 12800 ----a-w- c:\documents and settings\PLI\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-131df958-n\decora-d3d.dll
    2010-05-06 13:48 . 2010-05-06 13:48 -------- d-----w- c:\program files\iPod
    2010-05-06 13:48 . 2010-05-06 13:49 -------- d-----w- c:\program files\iTunes
    2010-05-06 13:48 . 2010-05-06 13:49 -------- d-----w- c:\documents and settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
    2010-05-06 13:43 . 2010-05-06 13:43 -------- d-----w- c:\program files\QuickTime
    2010-05-06 13:38 . 2010-05-06 13:38 -------- d-----w- c:\program files\Bonjour
    2010-05-06 13:33 . 2010-05-06 13:33 73000 ----a-w- c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 9.1.1.12\SetupAdmin.exe

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-06-02 07:31 . 2009-10-15 10:22 1 ----a-w- c:\documents and settings\PLI\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
    2010-05-28 06:28 . 2010-04-12 14:10 -------- d-----w- c:\program files\Spybot - Search & Destroy
    2010-05-28 06:28 . 2010-04-12 14:10 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
    2010-05-27 14:56 . 2009-10-14 07:20 -------- d-----w- c:\program files\Symantec AntiVirus
    2010-05-06 13:48 . 2009-10-13 16:38 -------- d-----w- c:\program files\Fichiers communs\Apple
    2010-04-21 08:38 . 2004-08-27 08:26 -------- d-----w- c:\program files\Java
    2010-04-16 06:33 . 2009-10-13 16:39 41472 ----a-w- c:\windows\system32\drivers\usbaapl.sys
    2010-04-16 06:33 . 2009-10-13 16:39 3003680 ----a-w- c:\windows\system32\usbaaplrc.dll
    2010-04-12 15:29 . 2010-04-21 08:38 411368 ----a-w- c:\windows\system32\deployJava1.dll
    2010-04-08 11:20 . 2010-04-08 11:20 91424 ----a-w- c:\windows\system32\dnssd.dll
    2010-04-08 11:20 . 2010-04-08 11:20 107808 ----a-w- c:\windows\system32\dns-sd.exe
    2010-03-31 05:31 . 2010-03-31 05:31 503808 ----a-w- c:\documents and settings\PLI\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-732f55b7-n\msvcp71.dll
    2010-03-31 05:31 . 2010-03-31 05:31 499712 ----a-w- c:\documents and settings\PLI\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-732f55b7-n\jmc.dll
    2010-03-31 05:31 . 2010-03-31 05:31 348160 ----a-w- c:\documents and settings\PLI\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-732f55b7-n\msvcr71.dll
    2010-03-31 05:31 . 2010-03-31 05:31 61440 ----a-w- c:\documents and settings\PLI\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-3e24e1dd-n\decora-sse.dll
    2010-03-31 05:31 . 2010-03-31 05:31 12800 ----a-w- c:\documents and settings\PLI\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-3e24e1dd-n\decora-d3d.dll
    2010-03-31 05:29 . 2004-08-26 14:34 368314 ----a-w- c:\windows\system32\perfh00C.dat
    2010-03-31 05:29 . 2004-08-26 14:34 49054 ----a-w- c:\windows\system32\perfc00C.dat
    .

    ((((((((((((((((((((((((((((( SnapShot@2010-06-02_09.18.11 )))))))))))))))))))))))))))))))))))))))))
    .
    + 2010-06-02 12:54 . 2010-06-02 12:54 16384 c:\windows\Temp\Perflib_Perfdata_450.dat
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "TomTomHOME.exe"="c:\program files\TomTom HOME 2\TomTomHOMERunner.exe" [2009-11-13 247144]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ccApp"="-" [X]
    "Apoint"="c:\program files\Apoint\Apoint.exe" [2003-11-07 114688]
    "ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-07-10 339968]
    "HKSERV.EXE"="c:\program files\Sony\HotKey Utility\HKserv.exe" [2004-06-29 122880]
    "SonyPowerCfg"="c:\program files\sony\vaio power management\SPMgr.exe" [2004-06-29 180224]
    "Hcontrol"="c:\windows\ATK0100\Hcontrol.exe" [2003-09-19 61440]
    "Mouse Suite 98 Daemon"="ICO.EXE" [2002-03-14 45056]
    "BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-13 110592]
    "ISBMgr.exe"="c:\program files\Sony\ISB Utility\ISBMgr.exe" [2004-02-20 32768]
    "ezShieldProtector for Px"="c:\windows\system32\ezSP_Px.exe" [2002-08-20 40960]
    "WinVNC"="c:\program files\RealVNC\WinVNC\WinVNC.exe" [2003-03-05 335872]
    "vptray"="c:\progra~1\SYMANT~1\VPTray.exe" [2006-11-14 125536]
    "SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]
    "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-03-17 421888]
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-04-28 142120]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

    c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "c:\\Program Files\\RealVNC\\WinVNC\\winvnc.exe"=
    "c:\\WINDOWS\\system32\\sessmgr.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "c:\\Program Files\\iTunes\\iTunes.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "2967:TCP"= 2967:TCP:Symantec1
    "2968:TCP"= 2968:TCP:Symantec2

    R2 SavRoam;SAVRoam;c:\program files\Symantec AntiVirus\SavRoam.exe [14/11/2006 15:50 119904]
    R2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [13/11/2009 13:31 92008]
    R2 VAIO Entertainment File Import Service;VAIO Entertainment File Import Service;c:\program files\Fichiers communs\Sony Shared\VAIO Entertainment\VzCdb\VzFw.exe [27/08/2004 11:10 118877]
    R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [14/10/2009 09:31 102448]
    R3 SPI;Sony Programmable I/O Control Device;c:\windows\system32\drivers\SonyPI.sys [30/10/2002 17:10 71961]
    S3 VAIO Entertainment UPnP Client Adapter;VAIO Entertainment UPnP Client Adapter;c:\program files\Fichiers communs\Sony Shared\VAIO Entertainment\VCSW\VCSW.exe -RunBySCM --> c:\program files\Fichiers communs\Sony Shared\VAIO Entertainment\VCSW\VCSW.exe -RunBySCM [?]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.fr/
    uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
    uInternet Connection Wizard,ShellNext = hxxp://www.vaio-link.com/vu/vu2x/index.asp?u=m&h=040C
    uInternet Settings,ProxyOverride = *.local
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    Trusted Zone: sony-europe.com
    Trusted Zone: sonystyle-europe.com
    Trusted Zone: vaio-link.com
    TCP: {271AC382-BF47-4622-B740-31D2A71BE555} = 192.168.59.5
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-06-02 14:55
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x822DFD01]<<
    kernel: MBR read successfully
    detected MBR rootkit hooks:
    \Driver\Disk -> CLASSPNP.SYS @ 0xf859af28
    \Driver\ACPI -> ACPI.sys @ 0xf84eccb8
    \Driver\atapi -> atapi.sys @ 0xf8486852
    IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a05a9
    ParseProcedure -> ntoskrnl.exe @ 0x8056ea15
    \Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a05a9
    ParseProcedure -> ntoskrnl.exe @ 0x8056ea15
    NDIS: Intel(R) PRO/1000 MT Network Connection -> SendCompleteHandler -> NDIS.sys @ 0xf8392bb0
    PacketIndicateHandler -> NDIS.sys @ 0xf839fa21
    SendHandler -> NDIS.sys @ 0xf837d87b
    user & kernel MBR OK

    **************************************************************************

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ccEvtMgr]
    "ImagePath"="-"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SAVRT]
    "ImagePath"="-"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SNDSrvc]
    "ImagePath"="-"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SYMTDI]
    "ImagePath"="-"
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'winlogon.exe'(688)
    c:\windows\system32\sxs.dll
    c:\windows\system32\Ati2evxx.dll

    - - - - - - - > 'explorer.exe'(3784)
    c:\windows\system32\ieframe.dll
    c:\windows\system32\eappprxy.dll
    c:\windows\system32\WPDShServiceObj.dll
    c:\windows\system32\PortableDeviceTypes.dll
    c:\windows\system32\PortableDeviceApi.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\windows\System32\Ati2evxx.exe
    c:\program files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    c:\windows\system32\Ati2evxx.exe
    c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
    c:\program files\Bonjour\mDNSResponder.exe
    c:\program files\Symantec AntiVirus\DefWatch.exe
    c:\program files\Java\jre6\bin\jqs.exe
    c:\program files\Symantec AntiVirus\Rtvscan.exe
    c:\windows\System32\wbem\wmiapsrv.exe
    c:\windows\system32\wscntfy.exe
    c:\windows\system32\ICO.EXE
    c:\windows\system32\rundll32.exe
    c:\windows\ATK0100\ATKOSD.exe
    c:\program files\Sony\HotKey Utility\HKWnd.exe
    c:\program files\Apoint\Apntex.exe
    c:\program files\iPod\bin\iPodService.exe
    .
    **************************************************************************
    .
    Heure de fin: 2010-06-02 15:02:49 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-06-02 13:02
    ComboFix2.txt 2010-06-02 09:24

    Avant-CF: 18 024 312 832 octets libres
    Après-CF: 17 993 977 856 octets libres

    - - End Of File - - D3219D8E77F7A249644E1B36267C7645
    2 Juin 2010 15:02:13

    C'est apparement très grave, j'espère que ce sera bientot la fin et je te remercie de me consacrer du temps. Chapeau !
    2 Juin 2010 16:16:04

    Je ne serai pas dispo ce soir mais je serai dispo demain matin...Bonne soirée
    2 Juin 2010 19:59:35

    re,


    la suite dans l'ordre :



    1- Créer un doc texte sur ton bureau :
    pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

  • Rends toi sur cette page > http://www.cijoint.fr/cj201006/cijQrqeeSs.txt

  • copie/colle tout le texte qui s'y trouve ( et rien d'autre!) dans le fichier texte que tu viens de créer :

  • Pour sauvegarder, va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : Remove puis valide ... ( sauvegarde le bien sur le bureau )



    2- Télécharge The Avenger (de Swandog46) :
    > http://swandog46.geekstogo.com/avenger2/download.php

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe !!

  • Dézippe le sur ton Bureau.
  • Double clique sur l’exécutable puis fais "ok".
  • Sélectionne Load Script from File et clique sur l'cône en forme de dossier à droite.
  • Sélectionne ton fichier Remove.txt se trouvant sur le Bureau.
  • Clique sur le feu vert puis sur oui pour lancer le scan ...
  • Le programme va te demander de redémarrer ton pc, accepte.

    -> Une fois termniné, poste le rapport C:\avenger.txt pour analyse et attends la suite ...


    ( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

    3 Juin 2010 07:32:09

    Bjr
    Il n'y a pas de feu vert et de "oui" mais seulement un "execute" dans avenger
    De plus ds le texte à copier, faut il laisser "Files to move :"
    3 Juin 2010 08:20:04

    hello,

    l'outil à changer récemment ... faut que je modifie mes manipe .... ;) 


    alors :
    * clique sur l'cône en forme de dossier à gauche ( "Load Script from File" )
    * Sélectionne ton fichier Remove.txt se trouvant sur le Bureau.
    * cohce les deux case en bas ( "scan for rootkit" et "automatically disable..." )

    -> Puis clique sur [execute] pour lancer le nettoyage . Touche à rien et laisse faire .
    Le programme va te demander de redémarrer ton pc, accepte.

    -> Une fois termniné, poste le rapport C:\avenger.txt pour analyse et attends la suite ...
    3 Juin 2010 09:04:14

    Petit précision, depuis le début mon autoprotect de symantec ne démarre plus. Il ne démarrait dailleurs plus avant que je te contacte.

    Ci-joint rapport avenger

    Logfile of The Avenger Version 2.0, (c) by Swandog46
    http://swandog46.geekstogo.com

    Platform: Windows XP

    *******************

    Script file opened successfully.
    Script file read successfully.

    Backups directory opened successfully at C:\Avenger

    *******************

    Beginning to process script file:

    Rootkit scan active.
    No rootkits found!

    File move operation "C:\skeC.bak|C:\WINDOWS\system32\drivers\compbatt.sys" completed successfully.
    File move operation "C:\skeA.bak|C:\WINDOWS\system32\drivers\atapi.sys" completed successfully.

    Completed script processing.

    *******************

    Finished! Terminate.
    3 Juin 2010 11:49:19

    re,


    il y a un prb effectivement avec Norton ... on verra ce la après ... ^^


    le rapport de the Avenger est encourageant ...


    Redémarre une nouvelle fois le PC et fait ce qui suit pour contrôle :



    1- !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe ( naviguateurs compris ) !!

    * Double-clique sur gmer.exe pour lancer l'outil.
    * Met toi bien sur l'onglet "rootkit".
    * vérifie que toutes les options à droite soient cochées .
    * puis clique sur scan .

    > laisse travailler et ne touche à rien ! ( cela est relativement long, donc patience ... )

    * A la fin du scan, clique sur le bouton copy.
    * Puis va dans le menu "démarrer"> "programmes" > accessoires : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note.

    > poste le contenu du rapport stp ...


    =============================

    2- Refais un scan ZHPDiag .

    * Coche bien toutes les options ( sauf les 045 et 061 )

    * Au niveau du bouton "calendrier" choisis > 30 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...
    3 Juin 2010 13:49:05

    bon,


    Citation :
    -on le bout du tunnel ?


    je crois qu'on y est ... :D 


    dis moi comment va le PC maintenant ?... du mieux ?

    Et Norton , toujours bloqué ou pas ? ....


    J'attends quelques infos de la part des confrères sur le dernier rapport GMER, dont j'ai quelques doute sur certaines parties du rapport ... Ensuite je te donnerai la suite des opérations ... ;) 
    3 Juin 2010 14:01:30

    Norton toujours bloqué, oui.
    Le PC va apparement mieux.
    Il faut que je te précise que je suis sur un portable relié à un réseau sur lequel il doit y avoir Norton. Je ne suis qu'utilisateur de ce réseau (je suis en entreprise).

    Pour le reste, pourras tu me préciser ce qu'il faut faire à l'avenir pour éviter ce genre de désagrément ! (sachant que j'ai du chopé ce ou ces virus alors que j'étais semble-t-il "protégé" par Norton).

    Que faudra t il faire des programmes que j'ai téléchargé : Malwarebytes, ZHPDiag, ZHPFix, CCleaner, USBFix, ComboFix, SEAF, GMER, Avenger...et comment les supprimer proprement si il le faut.

    Encore merci pour l'énorme travail que tu fais et heureusement qu'il existe des gens comme toi pour aider les "basics" comme moi.
        • 1 / 2
        • 2
        • Dernier
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS