Se connecter / S'enregistrer
Votre question

[Résolu] VIRUS TR/Vundo.Gen' [trojan] /'TR/Trash.Gen' [trojan]

Tags :
  • Trojan
  • Sécurité
Dernière réponse : dans Sécurité et virus
6 Décembre 2009 07:28:24

Bonsoir

Antivir a détecté les virus 'TR/Trash.Gen' [trojan] et TR/Vundo.Gen' [trojan] mais il ne peut les éradiquer.
J'ai aussi scanné l'ordinateur avec superantispyware, malwarebytes et bit defender en ligne
J'ai vu qu'il fallait installer certains logiciels comme COMBO FIX mais il faut les utiliser avec précautions.
Quelqu'un pourrait m'aider SVP ?

Voici le rapport hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 01:49:27, on 06/12/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Program Files\Intel\WiFi\bin\S24EvMon.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\ActivIdentity\ActivClient\accrdsub.exe
C:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Program Files\Fichiers communs\Intel\WirelessCommon\iFrmewrk.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\HPQ\HP Connection Manager\WaHelper.exe
C:\WINDOWS\SMINST\Scheduler.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
c:\Program Files\ActivIdentity\ActivClient\acevents.exe
c:\Program Files\ActivIdentity\ActivClient\accoca.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\WINDOWS\system32\agrsmsvc.exe
C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S40RP7.EXE
C:\Program Files\Intel\WiFi\bin\EvtEng.exe
C:\Program Files\Borland\InterBase\bin\IBGUARD.EXE
C:\Program Files\Borland\InterBase\bin\IBSERVER.EXE
C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Hewlett-Packard\IAM\bin\asghost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Intel\WirelessCommon\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\HPQ\Shared\Sierra Wireless\Win32\Unicode\SWIHPWMI.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Documents and Settings\Manager\Mes documents\divers\hijack\batman.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.search.yahoo.com/search?fr=mcafee&p=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Credential Manager for HP ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Program Files\Hewlett-Packard\IAM\Bin\ItIEAddIn.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [accrdsub] "c:\Program Files\ActivIdentity\ActivClient\accrdsub.exe"
O4 - HKLM\..\Run: [PTHOSTTR] c:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
O4 - HKLM\..\Run: [AT&T Communication Manager] "c:\Program Files\AT&T\Communication Manager\ATTCM.exe" -a
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\HEWLET~1\IAM\Bin\ASTSVCC.dll,RegisterModule
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY.exe
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Fichiers communs\Intel\WirelessCommon\iFrmewrk.exe" /tf Intel Wireless Tray
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [WatcherHelper] "C:\Program Files\HPQ\HP Connection Manager\WaHelper.exe"
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe
O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Windows Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {73ECB3AA-4717-450C-A2AB-D00DAD9EE203} (GMNRev Class) - http://h20270.www2.hp.com/ediags/gmn2/install/HPProduct...
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - AppInit_DLLs: APSHook.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: ackpbsc - c:\WINDOWS\system32\ackpbsc.dll
O20 - Winlogon Notify: acunlock - c:\Program Files\ActivIdentity\ActivClient\acunlock.dll
O20 - Winlogon Notify: DeviceNP - C:\WINDOWS\SYSTEM32\DeviceNP.dll
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: OneCard - C:\Program Files\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: ActivClient Middleware Service (accoca) - ActivIdentity - c:\Program Files\ActivIdentity\ActivClient\accoca.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S40RP7.EXE
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe
O23 - Service: Verrouillage des périphériques / Audition HP ProtectTools (FLCDLOCK) - Hewlett-Packard Ltd - C:\WINDOWS\system32\flcdlock.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: Interbase Guardian (InterBaseGuardian) - Inprise Corporation - C:\Program Files\Borland\InterBase\bin\IBGUARD.EXE
O23 - Service: Interbase Server (InterBaseServer) - Inprise Corporation - C:\Program Files\Borland\InterBase\bin\IBSERVER.EXE
O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Program Files\Fichiers communs\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: Intel® PROSet/Wireless WiFi Service (S24EventMonitor) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\S24EvMon.exe
O23 - Service: SWIHPWMI - Sierra Wireless Inc. - C:\Program Files\HPQ\Shared\Sierra Wireless\Win32\Unicode\SWIHPWMI.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

le rapport antivir



Avira AntiVir Personal
Date de création du fichier de rapport : dimanche 6 décembre 2009 01:14

La recherche porte sur 1417608 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : MAGUY

Informations de version :
BUILD.DAT : 9.0.0.72 21606 Bytes 08/11/2009 10:58:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 23/11/2009 19:48:39
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 15:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 16:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 15:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 19:48:38
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 19:48:38
VBASE002.VDF : 7.10.1.1 2048 Bytes 19/11/2009 19:48:38
VBASE003.VDF : 7.10.1.2 2048 Bytes 19/11/2009 19:48:38
VBASE004.VDF : 7.10.1.3 2048 Bytes 19/11/2009 19:48:38
VBASE005.VDF : 7.10.1.4 2048 Bytes 19/11/2009 19:48:38
VBASE006.VDF : 7.10.1.5 2048 Bytes 19/11/2009 19:48:38
VBASE007.VDF : 7.10.1.6 2048 Bytes 19/11/2009 19:48:38
VBASE008.VDF : 7.10.1.7 2048 Bytes 19/11/2009 19:48:38
VBASE009.VDF : 7.10.1.8 2048 Bytes 19/11/2009 19:48:38
VBASE010.VDF : 7.10.1.9 2048 Bytes 19/11/2009 19:48:38
VBASE011.VDF : 7.10.1.10 2048 Bytes 19/11/2009 19:48:38
VBASE012.VDF : 7.10.1.11 2048 Bytes 19/11/2009 19:48:38
VBASE013.VDF : 7.10.1.79 209920 Bytes 25/11/2009 19:46:25
VBASE014.VDF : 7.10.1.128 197632 Bytes 30/11/2009 16:46:17
VBASE015.VDF : 7.10.1.129 2048 Bytes 30/11/2009 16:46:17
VBASE016.VDF : 7.10.1.130 2048 Bytes 30/11/2009 16:46:18
VBASE017.VDF : 7.10.1.131 2048 Bytes 30/11/2009 16:46:18
VBASE018.VDF : 7.10.1.132 2048 Bytes 30/11/2009 16:46:18
VBASE019.VDF : 7.10.1.133 2048 Bytes 30/11/2009 16:46:18
VBASE020.VDF : 7.10.1.134 2048 Bytes 30/11/2009 16:46:18
VBASE021.VDF : 7.10.1.135 2048 Bytes 30/11/2009 16:46:18
VBASE022.VDF : 7.10.1.136 2048 Bytes 30/11/2009 16:46:18
VBASE023.VDF : 7.10.1.137 2048 Bytes 30/11/2009 16:46:18
VBASE024.VDF : 7.10.1.138 2048 Bytes 30/11/2009 16:46:19
VBASE025.VDF : 7.10.1.139 2048 Bytes 30/11/2009 16:46:19
VBASE026.VDF : 7.10.1.140 2048 Bytes 30/11/2009 16:46:19
VBASE027.VDF : 7.10.1.141 2048 Bytes 30/11/2009 16:46:19
VBASE028.VDF : 7.10.1.142 2048 Bytes 30/11/2009 16:46:19
VBASE029.VDF : 7.10.1.143 2048 Bytes 30/11/2009 16:46:19
VBASE030.VDF : 7.10.1.144 2048 Bytes 30/11/2009 16:46:19
VBASE031.VDF : 7.10.1.170 150528 Bytes 05/12/2009 21:40:46
Version du moteur : 8.2.1.92
AEVDF.DLL : 8.1.1.2 106867 Bytes 01/11/2009 06:53:32
AESCRIPT.DLL : 8.1.2.45 586108 Bytes 23/11/2009 19:48:39
AESCN.DLL : 8.1.2.5 127346 Bytes 01/11/2009 06:53:32
AESBX.DLL : 8.1.1.1 246132 Bytes 23/11/2009 19:48:39
AERDL.DLL : 8.1.3.4 479605 Bytes 01/12/2009 16:46:23
AEPACK.DLL : 8.2.0.3 422261 Bytes 16/11/2009 05:24:04
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 01/11/2009 06:53:32
AEHEUR.DLL : 8.1.0.184 2146681 Bytes 01/12/2009 16:46:22
AEHELP.DLL : 8.1.7.5 237942 Bytes 27/11/2009 19:46:31
AEGEN.DLL : 8.1.1.78 364917 Bytes 27/11/2009 19:46:31
AEEMU.DLL : 8.1.1.0 393587 Bytes 01/11/2009 06:53:32
AECORE.DLL : 8.1.8.5 180598 Bytes 03/12/2009 13:25:05
AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 19:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 13:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 01/11/2009 06:53:32
AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 19:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 20:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 20:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 15:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 20:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 13:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 20:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 01/11/2009 06:53:32
RCTEXT.DLL : 9.0.73.0 88321 Bytes 23/11/2009 19:48:38

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:, E:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Recherche optimisée...........................: marche
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+SPR,

Début de la recherche : dimanche 6 décembre 2009 01:14

La recherche d'objets cachés commence.
'26646' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WgaTray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'HpqToaster.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiprvse.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'unsecapp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Com4QLBEx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqwmiex.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiprvse.exe' - '1' module(s) sont contrôlés
Processus de recherche 'searchindexer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SWIHPWMI.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RegSrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'asghost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LSSrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iviRegMgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'IBSERVER.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'IBGUARD.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'EvtEng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'E_S40RP7.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'agrsmsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'BTStackServer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'accoca.exe' - '1' module(s) sont contrôlés
Processus de recherche 'acevents.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WindowsSearch.exe' - '1' module(s) sont contrôlés
Processus de recherche 'BTTray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SUPERAntiSpyware.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msmsgs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LightScribeControlPanel.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxsrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpwuschd2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Scheduler.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WaHelper.exe' - '1' module(s) sont contrôlés
Processus de recherche 'HPWAMain.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iFrmewrk.exe' - '1' module(s) sont contrôlés
Processus de recherche 'QLBCTRL.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WLTRAY.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SynTPEnh.exe' - '1' module(s) sont contrôlés
Processus de recherche 'pthosttr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'accrdsub.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxpers.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hkcmd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxtray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smax4pnp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'scardsvr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'BCMWLTRY.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'WLTRYSVC.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'S24EvMon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'acevents.exe' - '1' module(s) sont contrôlés
Processus de recherche 'btwdins.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'74' processus ont été contrôlés avec '74' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'E:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '77' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\hiberfil.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
Recherche débutant dans 'D:\' <HP_RECOVERY>
Recherche débutant dans 'E:\' <OS_TOOLS>


Fin de la recherche : dimanche 6 décembre 2009 01:34
Temps nécessaire: 19:44 Minute(s)

La recherche a été effectuée intégralement

6158 Les répertoires ont été contrôlés
267379 Des fichiers ont été contrôlés
0 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
0 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
267377 Fichiers non infectés
2324 Les archives ont été contrôlées
2 Avertissements
2 Consignes
26646 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés

le rapport malwarebytes

Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3289
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

05/12/2009 21:01:50
mbam-log-2009-12-05 (21-01-50).txt

Type de recherche: Examen complet (C:\|D:\|E:\|)
Eléments examinés: 167999
Temps écoulé: 33 minute(s), 15 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
C:\WINDOWS\system32\qtplugin.exe (Trojan.Dropper) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\registrymonitor1 (Trojan.Dropper) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\qtplugin.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\fgqd.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\UAC7edf.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\UACotmoteppjw.db (Rootkit.TDSS) -> Quarantined and deleted successfully.

Autres pages sur : resolu virus vundo gen trojan trash gen trojan

6 Décembre 2009 09:15:18

hello,


bien infecté ... tu n'as pas le rapport de bitdefender on line par hazard ?


/!\ Pour le bon déroulement de la désinfection :
* Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
* N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
* Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
* Si tu as un quelconque problème n'hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).



Fais ceci dans un premier temps afin d'avoir un diagnostique précis du PC :


1- Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

-> http://telechargement.zebulon.fr/zhpdiag.html


!! déconnecte toi et ferme toutes tes applications en cours !!

> double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ) .

> Lance ZHPDiag depuis le raccourci du bureau .

> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite .
( celui avec le tournevis )

Une liste apparait dans l'encadré principal > vérifie que toutes les lignes soient bien cochées sauf les 045 et 061 ( important ! ) .

> Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .


Laisses travailler l'outil ...


> Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

( Sinon le rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag)

Puis ferme le programme ...


> rends toi ensuite sur ce site : http://www.cijoint.fr/

Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....


====================


2- Lance de nouveau ZHPDiag ,

!! déconnecte toi et ferme toutes tes applications en cours !!

* Tu vas faire une " analyse détaillée/MD5 " en procédant ainsi :

> tu cliques cette fois ci sur le bouton " dossier+loupe " ( en haut à droite ) pour lancer le scan.


Laisse travailler l'outil et ne touche à rien ( cela peut-être relativement long ) .


* Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

Enregistre le de façon à le retrouver facilement ( sur le bureau par exemple ).

* Fais moi parvenir ce rapport via " Cijoint " dans ta prochaine réponse pour analyse ...

6 Décembre 2009 20:59:55


SALUT

Merci pour ton aide. Voici le rapport de bit defender :

BitDefender QuickScan Beta 32-bit v0.9.8.2
------------------------------------------

Date de l'analyse : Sun Dec 06 00:54:14 2009
ID de la machine : 5C97442E

D:\autorun.inf exécute D:\info.exe


Aucune infection détectée.
----------------------------


Processus
---------
<non signé> Antivirus System Tray Tool 1868 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
<non signé> Antivirus On-Access Service 756 C:\Program Files\Avira\AntiVir Desktop\avguard.exe
<non signé> Antivirus Scheduler 684 C:\Program Files\Avira\AntiVir Desktop\sched.exe
<non signé> InterBase Server 3084 C:\Program Files\Borland\InterBase\bin\IBGUARD.EXE
<non signé> InterBase Server 3140 C:\Program Files\Borland\InterBase\bin\IBSERVER.EXE
<non signé> Intel(R) PROSet/Wireless Framework 1624 C:\Program Files\Fichiers communs\Intel\WirelessCommon\iFrmewrk.exe
<non signé> Intel(R) PROSet/Wireless Registry Service 528 C:\Program Files\Fichiers communs\Intel\WirelessCommon\RegSrvc.exe
<non signé> Global Virtual Card Host 4020 C:\Program Files\Hewlett-Packard\IAM\bin\asghost.exe
<non signé> Intel(R) PROSet/Wireless Event Log Service 2920 C:\Program Files\Intel\WiFi\bin\EvtEng.exe
<non signé> Intel(R) Wireless Management Service 1596 C:\Program Files\Intel\WiFi\bin\S24EvMon.exe
<non signé> Bluetooth Support Server 1488 C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
<non signé> Bluetooth Stack COM Server 2668 C:\Program Files\WIDCOMM\Bluetooth Software\BTStackServer.exe
<non signé> Bluetooth Tray Application 2300 C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
<non signé> Broadcom 802.11 Wireless Network Controller 416 C:\WINDOWS\System32\bcmwltry.exe
<non signé> Windows Genuine Advantage Notification 244 C:\WINDOWS\system32\WgaTray.exe
<non signé> Broadcom 802.11 Wireless Network Tray Applet 1608 C:\WINDOWS\system32\WLTRAY.exe
<non signé> WLTRYSVC.EXE 260 C:\WINDOWS\System32\WLTRYSVC.EXE

<verifié> EPSON Status Monitor 3 2768 C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S40RP7.EXE
<verifié> ActivIdentity Cache Server 2576 C:\Program Files\ActivIdentity\ActivClient\accoca.exe
<verifié> ActivIdentity card event handler 1424 C:\Program Files\ActivIdentity\ActivClient\accrdsub.exe
<verifié> ActivIdentity Event Service 2448 C:\Program Files\ActivIdentity\ActivClient\acevents.exe
<verifié> ActivIdentity Event Service 1536 C:\Program Files\ActivIdentity\ActivClient\acevents.exe
<verifié> SMax4PNP 1260 C:\Program Files\Analog Devices\Core\smax4pnp.exe
<verifié> RegMgr Module 3224 C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
<verifié> LightScribeControlPanel.exe 480 C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe
<verifié> LightScribe Service 3384 C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
<verifié> HP ProtectTools Security Manager 1432 C:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE
<verifié> Com for QLB application 340 C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
<verifié> Quick Launch Buttons 1616 C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
<verifié> HPWAMain Module 1632 C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
<verifié> HpqToaster Module 272 C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
<verifié> hpqwmiex Module 3508 C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
<verifié> hpwuSchd Application 228 C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
<verifié> WatcherHelper Application 1640 C:\Program Files\HPQ\HP Connection Manager\WaHelper.exe
<verifié> SWIHPWMI Module 2832 C:\Program Files\HPQ\Shared\Sierra Wireless\Win32\Unicode\SWIHPWMI.exe
<verifié> Windows Messenger 612 C:\Program Files\Messenger\msmsgs.exe
<verifié> Firefox 2944 C:\Program Files\Mozilla Firefox\firefox.exe
<verifié> SUPERAntiSpyware Application 440 C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
<verifié> Synaptics TouchPad Enhancements 1564 C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
<verifié> Windows Search System Tray 2424 C:\Program Files\Windows Desktop Search\WindowsSearch.exe
<verifié> Explorateur Windows 600 C:\WINDOWS\Explorer.EXE
<verifié> Scheduler 1664 C:\WINDOWS\SMINST\Scheduler.exe
<verifié> Agere Soft Modem Call Progress Service 2700 C:\WINDOWS\system32\agrsmsvc.exe
<verifié> Application Layer Gateway Service 1832 C:\WINDOWS\System32\alg.exe
<verifié> Client Server Runtime Process 868 C:\WINDOWS\system32\csrss.exe
<verifié> CTF Loader 384 C:\WINDOWS\system32\ctfmon.exe
<verifié> hkcmd Module 1400 C:\WINDOWS\system32\hkcmd.exe
<verifié> persistence Module 1408 C:\WINDOWS\system32\igfxpers.exe
<verifié> igfxsrvc Module 348 C:\WINDOWS\system32\igfxsrvc.exe
<verifié> igfxTray Module 1388 C:\WINDOWS\system32\igfxtray.exe
<verifié> LSA Shell (Export Version) 948 C:\WINDOWS\system32\lsass.exe
<verifié> Serveur de gestion de ressources des cartes à puce 656 C:\WINDOWS\System32\SCardSvr.exe
<verifié> Microsoft Windows Search Indexer 2852 C:\WINDOWS\system32\SearchIndexer.exe
<verifié> Applications Services et Contrôleur 936 C:\WINDOWS\system32\services.exe
<verifié> Gestionnaire de session Windows NT 812 C:\WINDOWS\System32\smss.exe
<verifié> Spooler SubSystem App 576 C:\WINDOWS\system32\spoolsv.exe
<verifié> Generic Host Process for Win32 Services 1224 C:\WINDOWS\system32\svchost.exe
<verifié> Generic Host Process for Win32 Services 1948 C:\WINDOWS\system32\svchost.exe
<verifié> Generic Host Process for Win32 Services 1976 C:\WINDOWS\system32\svchost.exe
<verifié> Generic Host Process for Win32 Services 2060 C:\WINDOWS\System32\svchost.exe
<verifié> Generic Host Process for Win32 Services 1168 C:\WINDOWS\System32\svchost.exe
<verifié> Generic Host Process for Win32 Services 2520 C:\WINDOWS\system32\svchost.exe
<verifié> Generic Host Process for Win32 Services 112 C:\WINDOWS\system32\svchost.exe
<verifié> Generic Host Process for Win32 Services 1276 C:\WINDOWS\system32\svchost.exe
<verifié> Generic Host Process for Win32 Services 368 C:\WINDOWS\System32\svchost.exe
<verifié> Generic Host Process for Win32 Services 1440 C:\WINDOWS\System32\svchost.exe
<verifié> Generic Host Process for Win32 Services 1720 C:\WINDOWS\system32\svchost.exe
<verifié> WMI 1604 C:\WINDOWS\system32\wbem\unsecapp.exe
<verifié> WMI 2140 C:\WINDOWS\system32\wbem\wmiprvse.exe
<verifié> WMI 2968 C:\WINDOWS\system32\wbem\wmiprvse.exe
<verifié> Application d'ouverture de session Windows NT 892 C:\WINDOWS\system32\winlogon.exe
<verifié> Windows Update 3204 C:\WINDOWS\system32\wuauclt.exe


Activité du réseau
------------------
Processus firefox.exe (2944) connecté sur le port 80 (HTTP) - 208.43.87.2
Processus firefox.exe (2944) connecté sur le port 80 (HTTP) - www.bleepingcomputer.com
Processus firefox.exe (2944) connecté sur le port 80 (HTTP) - ww-in-f155.1e100.net
Processus firefox.exe (2944) connecté sur le port 80 (HTTP) - www.bleepingcomputer.com
Processus firefox.exe (2944) connecté sur le port 80 (HTTP) - 193.159.160.16
Processus firefox.exe (2944) connecté sur le port 80 (HTTP) - 93.188.128.48
Processus firefox.exe (2944) connecté sur le port 80 (HTTP) - a92-123-144-20.deploy.akamaitechnologies.com
Processus firefox.exe (2944) connecté sur le port 80 (HTTP) - wy-in-f148.1e100.net
Processus firefox.exe (2944) connecté sur le port 80 (HTTP) - a92-123-144-20.deploy.akamaitechnologies.com
Processus firefox.exe (2944) connecté sur le port 80 (HTTP) - wy-in-f148.1e100.net
Processus firefox.exe (2944) connecté sur le port 80 (HTTP) - *.122.2o7.net
Processus firefox.exe (2944) connecté sur le port 80 (HTTP) - wy-in-f139.1e100.net
Processus firefox.exe (2944) connecté sur le port 80 (HTTP) - 81.52.160.185
Processus firefox.exe (2944) connecté sur le port 80 (HTTP) - 193.159.160.26
Processus firefox.exe (2944) connecté sur le port 80 (HTTP) - 204.11.109.22
Processus firefox.exe (2944) connecté sur le port 80 (HTTP) - 91.103.136.102
Processus firefox.exe (2944) connecté sur le port 80 (HTTP) - 212.73.209.9
Processus firefox.exe (2944) connecté sur le port 80 (HTTP) - 193.159.160.24
Processus firefox.exe (2944) connecté sur le port 80 (HTTP) - 81.52.160.160
Processus firefox.exe (2944) connecté sur le port 80 (HTTP) - 62.32.97.18
Processus firefox.exe (2944) connecté sur le port 80 (HTTP) - 81.52.160.185
Processus firefox.exe (2944) connecté sur le port 80 (HTTP) - 193.159.160.33
Processus firefox.exe (2944) connecté sur le port 80 (HTTP) - 81.52.160.185
Processus firefox.exe (2944) connecté sur le port 80 (HTTP) - 93.188.128.48

Processus svchost.exe (1276) écoute sur les ports: 135 (RPC)
Processus IBSERVER.EXE (3140) écoute sur les ports: 3050 (Interbase DB)


Fichiers critiques et Autorun
-----------------------------
<non signé> acunlock DLL C:\Program Files\ActivIdentity\ActivClient\acunlock.dll
<non signé> Audio Control Panel C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
<non signé> ATTCM.EXE c:\Program Files\AT&T\Communication Manager\ATTCM.exe
<non signé> Antivirus System Tray Tool C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
<non signé> Intel(R) PROSet/Wireless Framework C:\Program Files\Fichiers communs\Intel\WirelessCommon\iFrmewrk.exe
<non signé> cpqset.exe C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe
<non signé> Terminal Services Virtual Channel Client C:\Program Files\Hewlett-Packard\IAM\Bin\ASTSVCC.dll
<non signé> Winlogon notification handler C:\Program Files\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll
<non signé> ShellExecuteHook C:\Program Files\SUPERAntiSpyware\SASSEH.DLL
<non signé> SUPERAntiSpyware WinLogon Processor C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
<non signé> Windows Search Namespace Manager C:\Program Files\Windows Desktop Search\MsnlNamespaceMgr.dll
<non signé> Application MFC Reminder_XP C:\WINDOWS\Creator\Remind_XP.exe
<non signé> Recguard Application C:\WINDOWS\Sminst\Recguard.exe
<non signé> ackpbsc C:\WINDOWS\system32\ackpbsc.dll
<non signé> Application Protection Hook C:\WINDOWS\system32\APSHook.dll
<non signé> DeviceNP.dll C:\WINDOWS\system32\DeviceNP.dll
<non signé> Windows Genuine Advantage Notification C:\WINDOWS\system32\WgaLogon.dll
<non signé> Broadcom 802.11 Wireless Network Tray Applet C:\WINDOWS\system32\WLTRAY.exe

<verifié> ActivIdentity card event handler C:\Program Files\ActivIdentity\ActivClient\accrdsub.exe
<verifié> Adobe Acrobat SpeedLauncher C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
<verifié> SMax4PNP C:\Program Files\Analog Devices\Core\smax4pnp.exe
<verifié> LightScribeControlPanel.exe C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe
<verifié> HP ProtectTools Security Manager C:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE
<verifié> Quick Launch Buttons C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
<verifié> HPWAMain Module C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
<verifié> hpwuSchd Application C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
<verifié> WatcherHelper Application C:\Program Files\HPQ\HP Connection Manager\WaHelper.exe
<verifié> Windows Messenger C:\Program Files\Messenger\msmsgs.exe
<verifié> SUPERAntiSpyware Application C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
<verifié> Synaptics TouchPad Enhancements C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
<verifié> Windows Search System Tray C:\Program Files\Windows Desktop Search\WindowsSearch.exe
<verifié> Scheduler C:\WINDOWS\SMINST\Scheduler.exe
<verifié> Bibliothèque de l'interface utilisateur du navigat C:\WINDOWS\system32\browseui.dll
<verifié> Crypto API32 C:\WINDOWS\system32\crypt32.dll
<verifié> Crypto Network Related API C:\WINDOWS\system32\cryptnet.dll
<verifié> Agent réseau hors connexion C:\WINDOWS\system32\cscdll.dll
<verifié> CTF Loader C:\WINDOWS\system32\ctfmon.exe
<verifié> DIMS Notification Handler C:\WINDOWS\system32\dimsntfy.dll
<verifié> hkcmd Module C:\WINDOWS\system32\hkcmd.exe
<verifié> igfxdev Module C:\WINDOWS\system32\igfxdev.dll
<verifié> persistence Module C:\WINDOWS\system32\igfxpers.exe
<verifié> igfxTray Module C:\WINDOWS\system32\igfxtray.exe
<verifié> Windows Logon UI C:\WINDOWS\system32\logonui.exe
<verifié> DLL secondaire de notification de service d'ouvert C:\WINDOWS\system32\sclgntfy.dll
<verifié> DLL commune du shell Windows C:\WINDOWS\system32\shell32.dll
<verifié> Objet du service d'environnement Systray C:\WINDOWS\system32\stobject.dll
<verifié> Application d'ouverture de session Userinit c:\windows\system32\userinit.exe
<verifié> Contrôleur de site Web C:\WINDOWS\system32\webcheck.dll
<verifié> DLL commune de réception des notifications Winlogo C:\WINDOWS\system32\wlnotify.dll
<verifié> Windows Portable Device Shell Service Object C:\WINDOWS\system32\WPDShServiceObj.dll


Plugins du navigateur
---------------------
<non signé> EPSON Web-To-Page c:\program files\epson\epson web-to-page\epson web-to-page.dll
<non signé> InstallShield Update Service Setup Player Module C:\WINDOWS\Downloaded Program Files\dwusplay.dll
<non signé> InstallShield Update Service Setup Player C:\WINDOWS\Downloaded Program Files\dwusplay.exe
<non signé> InstallShield Update Service Web Agent C:\WINDOWS\Downloaded Program Files\isusweb.dll

<verifié> Adobe PDF Helper for Internet Explorer c:\program files\fichiers communs\adobe\acrobat\activex\acroiehelpershim.dll
<verifié> SSO IE Listener c:\program files\hewlett-packard\iam\bin\itieaddin.dll
<verifié> Windows Messenger C:\Program Files\Messenger\msmsgs.exe
<verifié> Default Plug-in C:\Program Files\Mozilla Firefox\plugins\npnul32.dll
<verifié> Yahoo! Toolbar c:\program files\yahoo!\companion\installs\cpn\yt.dll
<verifié> Yahoo! Single Instance for Mail c:\program files\yahoo!\companion\installs\cpn\ytsingleinstance.dll
<verifié> Adobe® Flash® Player ActiveX Installer C:\WINDOWS\Downloaded Program Files\FP_AX_CAB_INSTALLER.exe
<verifié> Network Diagnostic for Windows XP C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
<verifié> NPSWF32.dll C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll
<verifié> Fournisseur de service Sockets 2.0 de Microsoft Wi C:\WINDOWS\system32\mswsock.dll
<verifié> Microsoft Windows Rsvp 1.0 Service Provider C:\WINDOWS\system32\rsvpsp.dll
<verifié> Bibliothèque d'objets et de contrôles de documents C:\WINDOWS\system32\shdocvw.dll
<verifié> LDAP RnR Provider DLL C:\WINDOWS\system32\winrnr.dll


Analyse
-------

Aucun fichier téléchargé vers le serveur.

Analyse terminée - la communication a duré 6 secondes
Trafic total - 0.07 Mo envoyés, 3.36 Ko reçus
1349 fichiers et modules analysés - 93 seconds
Contenus similaires
6 Décembre 2009 23:18:09

Bien ...


fais ceci dans l'ordre :


1- Télécharge UsbFix ( de C_XX, Chimay8 & Chiquitine29 ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFi...
ou ici http://chiquitine.changelog.fr/UsbFix.exe

! Déconnecte toi d'internet et ferme toutes applications en cours !


Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .


# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil.

# Tu choisis directement l' option 2 ( Suppression ) .

> Ton bureau disparaitra et le pc redémarrera ( c'est normal ).

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .

# Une fois terminé, poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .


( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).

/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr pour ouvrir le Gestionnaire des Tâches > Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide ) /!\


Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html


===================


2- Télécharge ComboFix (de sUBs) sur ton bureau (et pas ailleurs !) :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe <--- clique droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape CFix et valide .

- le renommage au téléchargement est primordial pour contrer l'infection, sinon l'outil sera inutilisable -

[ ! ATTENTION ! ]
!! Ferme tes applications en cours ( ainsi que ton navigateur ) et DESACTIVE TOUTES TES DEFENSES (anti-virus, guarde anti spy-ware, pare-feu) le temps de la manipe : en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !! ---> Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : http://www.bleepingcomputer.com/combofix/fr/comment-uti...
Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
[ ! ATTENTION ! ]

Ensuite :
> Double-clique sur l'icône "CFix.exe" ( = ComboFix ) pour lancer l'outil .
> A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...


-- Pour XP, l' installation de la Console de Récupération sera demandé :
* Laisse toi guider et fais l'installe de la "console de récupération" ( en anglais, "Windows Recovery Console" ) lorsque l'outil te le demandera ( important ! ).
image > http://img.photobucket.com/albums/v706/ried7/RcAuto1.gi...
*Une fois la console installée,
image > http://img.photobucket.com/albums/v706/ried7/whatnext.p...
Déconnecte toi si possible avant de cliquer sur "yes" pour lancer le scan --


Notes importantes :
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un momment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

Le rapport sera crée ici : C:\Combofix.txt

Réactive bien tes défenses .


Poste le rapport Combofix pour analyse et attends la suite ...
7 Décembre 2009 05:23:40

SALUT

Voici les rapports suite à l'utilisation d'USB FIX et COMBO FIX :


############################## | UsbFix V6.059 |

User : Manager () # MAGUY
Update on 01/12/2009 by Chiquitine29, C_XX & Chimay8
Start at: 23:16:23 | 06/12/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Duo CPU T7300 @ 2.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 6.0.2900.5512
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.26 [ (!) Disabled | (!) Outdated ]

C:\ -> Disque fixe local # 102,67 Go (90,12 Go free) # NTFS
D:\ -> Disque fixe local # 7,56 Go (762,11 Mo free) [HP_RECOVERY] # NTFS
E:\ -> Disque fixe local # 1,55 Go (1,32 Go free) [OS_TOOLS] # NTFS
F:\ -> Disque CD-ROM
G:\ -> Disque amovible # 1,97 Go (1,65 Go free) # FAT
H:\ -> Disque amovible # 967,22 Mo (892,94 Mo free) [PATCHAC] # FAT

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 744
C:\WINDOWS\system32\csrss.exe 864
C:\WINDOWS\system32\winlogon.exe 888
C:\WINDOWS\system32\services.exe 932
C:\WINDOWS\system32\lsass.exe 944
C:\WINDOWS\System32\svchost.exe 1168
C:\WINDOWS\system32\svchost.exe 1224
C:\WINDOWS\system32\svchost.exe 1276
C:\WINDOWS\system32\logonui.exe 1292
C:\WINDOWS\System32\svchost.exe 1440
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe 1488
c:\Program Files\ActivIdentity\ActivClient\acevents.exe 1564
C:\Program Files\Intel\WiFi\bin\S24EvMon.exe 1568
C:\WINDOWS\system32\svchost.exe 1736
C:\WINDOWS\system32\svchost.exe 1968
C:\WINDOWS\System32\WLTRYSVC.EXE 268
C:\WINDOWS\System32\bcmwltry.exe 500
C:\WINDOWS\Explorer.EXE 540
C:\WINDOWS\system32\spoolsv.exe 576
C:\WINDOWS\System32\SCardSvr.exe 648
C:\Program Files\Avira\AntiVir Desktop\sched.exe 672
C:\Program Files\Avira\AntiVir Desktop\avguard.exe 432
C:\WINDOWS\system32\svchost.exe 856
c:\Program Files\ActivIdentity\ActivClient\accoca.exe 472
C:\WINDOWS\system32\agrsmsvc.exe 532
C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S40RP7.EXE 708
C:\Program Files\Intel\WiFi\bin\EvtEng.exe 488
C:\Program Files\Borland\InterBase\bin\IBGUARD.EXE 1368
C:\Program Files\Borland\InterBase\bin\IBSERVER.EXE 1412
C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe 1620
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe 1640
C:\WINDOWS\System32\svchost.exe 1304
C:\WINDOWS\System32\svchost.exe 2224
C:\Program Files\Fichiers communs\Intel\WirelessCommon\RegSrvc.exe 2256
C:\WINDOWS\system32\svchost.exe 2424
C:\WINDOWS\system32\svchost.exe 2508
C:\Program Files\Hewlett-Packard\IAM\bin\asghost.exe 2604
C:\WINDOWS\system32\SearchIndexer.exe 2612
C:\WINDOWS\system32\WgaTray.exe 2680
C:\Program Files\HPQ\Shared\Sierra Wireless\Win32\Unicode\SWIHPWMI.exe 2784
C:\WINDOWS\system32\wuauclt.exe 2824
C:\WINDOWS\system32\wbem\wmiprvse.exe 3068
C:\WINDOWS\System32\alg.exe 3368
C:\WINDOWS\system32\wbem\wmiprvse.exe 3392

################## | Fichiers # Dossiers infectieux |

Supprimé ! C:\WINDOWS\System32\3Planesoft_Screensaver_Manager.scr
Supprimé ! D:\autorun.inf
G:\autorun.inf -> fichier appelé : "G:\pbudsara.exe" ( Absent ! )
Supprimé ! G:\autorun.inf
H:\autorun.inf -> fichier appelé : "H:\q3kku.exe" ( Absent ! )
Supprimé ! H:\autorun.inf

################## | Spyware.OnlineGames |


################## | Registre # Clés infectieuses |


################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{455aa13a-de98-11de-bb29-0017a4e81f00}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{45aee29c-b772-11de-bb04-0017a4e81f00}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{9d6ff541-d2b4-11de-bb20-001a6b802237}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{cb198458-ba6c-11de-bb0a-001a6b802237}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[17/05/2009 17:44|--a------|0] C:\AUTOEXEC.BAT
[18/05/2009 00:28|--a------|86] C:\bcmwl5.log
[17/05/2009 17:39|---hs----|212] C:\boot.ini
[14/04/2008 08:00|-rahs----|4952] C:\Bootfont.bin
[18/05/2009 00:51|--a------|258106] C:\ciam_install.log
[17/05/2009 17:44|--a------|0] C:\CONFIG.SYS
[?|?|?] C:\hiberfil.sys
[18/05/2009 00:23|--a------|873918] C:\instlog.txt
[17/05/2009 17:44|-rahs----|0] C:\IO.SYS
[17/05/2009 17:44|-rahs----|0] C:\MSDOS.SYS
[05/12/2009 16:58|--a------|178] C:\NONAME.LOG
[14/04/2008 08:00|-rahs----|47564] C:\NTDETECT.COM
[14/04/2008 08:00|-rahs----|252240] C:\ntldr
[?|?|?] C:\pagefile.sys
[18/05/2009 00:44|--a------|1970044] C:\Test.log
[06/12/2009 23:20|--a------|4639] C:\UsbFix.txt
[06/12/2009 15:45|--a------|540] C:\VundoFix.txt
[30/08/2006 04:38|---hs----|435752] D:\BOOTMGR
[29/05/2006 05:30|---hs----|778] D:\CSP.DAT
[01/07/2005 08:16|---hs----|102] D:\Desktop.ini
[22/11/2004 12:28|---hs----|8130] D:\Folder.htt
[09/03/2007 10:24|---hs----|76936] D:\Info.exe
[18/05/2009 00:49|--ahs----|1228] D:\MASTER.LOG
[12/05/2006 09:07|---hs----|0] D:\NTFS
[10/09/2002 06:58|---hs----|181616] D:\protect.ed
[21/10/2005 06:12|---hs----|42] D:\st_log.ini
[08/02/2002 13:44|---hs----|88038] D:\Warning.bmp
[11/09/2007 17:37|--a------|50] E:\HP_WINRE
[09/07/2009 16:47|--a------|41472] G:\Amour cach‚.doc
[21/11/2009 08:56|--a------|14890721] G:\klcodec544f.exe
[18/09/2009 09:02|--a------|8] G:\LOTUS.TXT
[17/08/2009 14:26|--a------|46592] G:\GRIPPE PORCINE[1].doc
[04/12/2009 20:40|--a------|3326576] G:\ccsetup226.exe
[11/01/2009 20:23|--a------|7617568] G:\Firefox Setup 3.0.5.exe
[17/02/2006 15:56|--a------|9407598] G:\vlc-0.8.4-win32.exe
[20/10/2009 20:42|--a------|63103] G:\MAILADESIO14BdcON.pdf
[20/09/2009 01:22|--a------|23754284] G:\kenedy cours toujours.flv.wav
[20/09/2009 01:21|--a------|20231468] G:\TEEYAH Malgr‚ toi 1.flv.wav
[02/11/2005 18:08|--a------|9336520] G:\Install_MSN_Messenger.EXE
[29/06/2009 08:57|--a------|550426] G:\Ah_les_apparences.wmv
[29/06/2009 08:56|--a------|1367586] G:\Apparences_trompeuses.wmv
[05/07/2009 14:52|--a------|109640] G:\Memo_Voyage.pdf
[20/10/2009 20:31|--a------|24576] G:\HS 2006.xls
[29/10/2009 10:46|--a------|7280672] G:\SUPERAntiSpyware.exe
[01/03/2007 13:58|--a------|213137] G:\hijackthis.zip
[05/12/2009 18:40|--a------|119808] G:\VundoFix.exe
[05/12/2009 20:18|--a------|4844296] G:\malwarebytes-anti-malware_malwarebytes_anti-malware_1.42_francais_215092.exe
[05/12/2009 19:43|--a------|455680] G:\ToolsCleaner2.exe
[06/12/2009 01:11|--a------|13423] G:\D‚sactiver la restauration du systŠme.docx
[06/12/2009 03:02|--a------|74516] G:\s‚curit‚ ordinateur.docx
[04/12/2007 14:35|--a------|930485] G:\secuXPPro.pdf
[06/12/2009 03:22|--a------|118] G:\Nouveau Document texte.txt
[06/12/2009 02:47|--a------|30909992] G:\avira_antivir_personal_en.exe
[06/12/2009 16:10|--a------|1384979] G:\ZHPDiag 1.24.36.exe
[06/12/2009 22:20|--a------|14263] G:\SUITE DESINFECTION ORDI.docx
[26/02/2009 08:52|--a------|62464] G:\liste inventeurs noirs.doc
[09/03/2009 10:38|--a------|1574912] G:\steam_steam_v007_francais_242592.msi
[16/02/2009 09:23|--a------|713232] G:\20090216082432231.pdf
[21/12/2008 20:50|--a------|22528] H:\pate porc.doc
[04/08/2008 00:02|--a------|956162] H:\Image25.jpeg
[02/06/2003 17:22|--a------|80896] H:\bulletin de salaire.doc
[05/03/2009 22:34|--a------|265728] H:\calculs pour fiche de paie.xls
[26/06/1999 17:32|--a------|5067770] H:\PERFECTA.MP3
[17/10/2008 22:27|--a------|143897] H:\conditions ventes ldlc.pdf
[14/10/2008 19:11|--ahs----|20480] H:\Thumbs.db
[18/10/2008 01:28|--a------|507392] H:\monter un pc.doc
[16/06/2008 09:27|--a------|1882276] H:\Oeufs2007.pdf
[28/05/2009 23:00|--a------|20480] H:\livre pompier.doc
[05/06/2009 10:50|--a------|18197050] H:\internet-video-converter_internet_video_converter_1.53_anglais_35836.exe
[17/02/2006 15:56|--a------|9407598] H:\vlc-0.8.4-win32.exe
[06/04/2006 01:26|--a------|24064] H:\Bulletin de paie du.doc
[30/06/2008 20:16|--a------|388501] H:\CN_cours_de_sorcellerie.pdf
[12/08/2007 12:53|--a------|13043226] H:\klcodec330f.exe
[18/01/2009 15:59|--a------|10351564] H:\03 - Marvin - Je t'ai dans la peau.mp3
[01/08/2009 13:45|--a------|11556853] H:\09 - si ou renmen'm feat nickenson prudhomme.mp3
[06/04/2009 11:37|--a------|2086400] H:\Vies de couples.pps
[16/04/2009 13:46|--a------|120] H:\Nouveau Document texte.txt
[08/02/2006 03:53|--a------|3586035] H:\(Funny Videos) - The Matrix Ping Pong.wmv
[03/01/2009 09:21|--a------|264] H:\hotellerie resto.txt

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.
# D:\autorun.inf -> Dossier créé par UsbFix.
# E:\autorun.inf -> Dossier créé par UsbFix.
# G:\autorun.inf -> Dossier créé par UsbFix.
# H:\autorun.inf -> Dossier créé par UsbFix.

################## | Cracks / Keygens / Serials |


rapport combo fix :

ComboFix 09-12-06.09 - Manager 07/12/2009 0:05.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1015.642 [GMT -4:00]
Lancé depuis: c:\documents and settings\Manager\Bureau\CFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Manager\Application Data\EurekaLog

Une copie infectée de c:\windows\system32\DRIVERS\atapi.sys a été trouvée et désinfectée
Copie restaurée à partir de - Kitty ate it :p 
.
((((((((((((((((((((((((((((( Fichiers créés du 2009-11-07 au 2009-12-07 ))))))))))))))))))))))))))))))))))))
.

2009-12-07 03:11 . 2009-12-07 03:20 -------- d-----w- C:\UsbFix
2009-12-06 20:15 . 2009-12-06 20:20 -------- d-----w- c:\program files\ZHPDiag
2009-12-06 05:45 . 2009-12-06 05:48 -------- d-----r- c:\documents and settings\LocalService\Mes documents
2009-12-06 04:54 . 2009-12-06 04:55 -------- d-----w- c:\documents and settings\Manager\Application Data\QuickScan
2009-12-06 04:53 . 2009-11-26 21:39 678912 ----a-w- c:\documents and settings\Manager\Application Data\Mozilla\Firefox\Profiles\n9yu03ds.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\bdqscan.dll
2009-12-06 04:53 . 2009-11-26 21:37 768512 ----a-w- c:\documents and settings\Manager\Application Data\Mozilla\Firefox\Profiles\n9yu03ds.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
2009-12-06 00:24 . 2009-12-06 00:24 -------- d-----w- c:\documents and settings\Manager\Application Data\Malwarebytes
2009-12-06 00:24 . 2009-12-03 20:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-06 00:24 . 2009-12-06 00:24 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-12-06 00:24 . 2009-12-06 00:24 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-12-06 00:24 . 2009-12-03 20:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-05 22:41 . 2009-12-05 22:41 -------- d-----w- C:\VundoFix Backups
2009-12-05 03:31 . 2009-12-05 03:31 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Identities
2009-12-05 03:31 . 2009-12-05 03:31 -------- d-----w- c:\documents and settings\Administrateur\Bluetooth Software
2009-12-05 03:31 . 2009-12-05 03:31 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Windows Desktop Search
2009-12-05 03:31 . 2009-12-05 03:31 -------- d-----w- c:\documents and settings\Administrateur\Application Data\AT&T
2009-12-05 03:31 . 2009-12-05 03:31 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Sierra Wireless
2009-12-05 02:21 . 2009-12-05 02:21 0 ----a-w- c:\windows\nsreg.dat
2009-12-05 02:21 . 2009-12-05 02:21 -------- d-----w- c:\documents and settings\Manager\Local Settings\Application Data\Mozilla
2009-12-05 02:15 . 2009-12-05 02:15 -------- d-----w- c:\program files\CCleaner
2009-12-05 01:44 . 2009-12-05 01:44 117760 ----a-w- c:\documents and settings\Manager\Application Data\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2009-12-05 01:44 . 2009-12-05 01:44 -------- d-----w- c:\documents and settings\All Users\Application Data\SUPERAntiSpyware.com
2009-12-05 01:44 . 2009-12-06 18:10 -------- d-----w- c:\program files\SUPERAntiSpyware
2009-12-05 01:44 . 2009-12-05 01:44 -------- d-----w- c:\documents and settings\Manager\Application Data\SUPERAntiSpyware.com
2009-12-05 01:44 . 2009-12-05 01:44 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-05 20:27 . 2009-05-18 03:53 -------- d-----w- c:\program files\Hewlett-Packard
2009-11-01 06:53 . 2009-10-16 16:01 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-10-29 19:35 . 2009-10-29 19:34 -------- d-----w- c:\documents and settings\Manager\Application Data\HpUpdate
2009-10-16 16:01 . 2009-10-16 16:01 -------- d-----w- c:\program files\Avira
2009-10-16 16:01 . 2009-10-16 16:01 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2009-09-25 05:36 . 2008-04-14 12:00 671232 ----a-w- c:\windows\system32\wininet.dll
2009-09-25 05:36 . 2008-04-14 12:00 671232 ----a-w- c:\windows\system32\wininet(3).dll
2009-09-25 05:36 . 2008-04-14 12:00 628736 ----a-w- c:\windows\system32\urlmon(3).dll
2009-09-25 05:36 . 2008-04-14 12:00 81920 ----a-w- c:\windows\system32\ieencode.dll
2009-09-11 14:18 . 2008-04-14 12:00 136192 ----a-w- c:\windows\system32\msv1_0.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LightScribe Control Panel"="c:\program files\Fichiers communs\LightScribe\LightScribeControlPanel.exe" [2007-10-18 455968]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-13 1695232]
"SUPERAntiSpyware"="c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-12-06 2001648]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2007-01-05 872448]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-03-13 141336]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-03-13 173592]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-03-13 142360]
"Cpqset"="c:\program files\Hewlett-Packard\Default Settings\cpqset.exe" [2007-01-02 40960]
"accrdsub"="c:\program files\ActivIdentity\ActivClient\accrdsub.exe" [2007-05-03 293168]
"PTHOSTTR"="c:\program files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE" [2007-01-09 145184]
"AT&T Communication Manager"="c:\program files\AT&T\Communication Manager\ATTCM.exe" [2007-05-26 22528]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-01-18 1028096]
"CognizanceTS"="c:\progra~1\HEWLET~1\IAM\Bin\ASTSVCC.dll" [2003-12-22 17920]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY.exe" [2009-05-18 1945600]
"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-06-03 177456]
"IntelWireless"="c:\program files\Fichiers communs\Intel\WirelessCommon\iFrmewrk.exe" [2008-10-02 1191936]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2008-04-15 488752]
"WatcherHelper"="c:\program files\HPQ\HP Connection Manager\WaHelper.exe" [2007-07-24 120352]
"Recguard"="c:\windows\Sminst\Recguard.exe" [2005-12-20 1187840]
"Reminder"="c:\windows\Creator\Remind_XP.exe" [2006-03-09 806912]
"Scheduler"="c:\windows\SMINST\Scheduler.exe" [2006-10-09 697976]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-2-6 561213]
Windows Search.lnk - c:\program files\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-25 304128]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 19:21 548352 ----a-w- c:\program files\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ackpbsc]
2007-05-03 22:51 112640 ----a-w- c:\windows\system32\ackpbsc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\acunlock]
2007-05-03 22:51 281088 ----a-w- c:\program files\ActivIdentity\ActivClient\acunlock.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OneCard]
2008-05-13 19:39 85504 ----a-r- c:\program files\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\DeviceNP]
2007-06-08 13:04 49152 ----a-r- c:\windows\system32\DeviceNP.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\APSHook.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\HPQ\\HP Connection Manager\\SwiApiMux.exe"=
"c:\\WINDOWS\\SMINST\\Scheduler.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\EXCEL.EXE"=
"c:\\Program Files\\CCleaner\\CCleaner.exe"=
"c:\\Program Files\\SUPERAntiSpyware\\RUNSAS.EXE"=
"c:\\Program Files\\SUPERAntiSpyware\\SUPERAntiSpyware.exe"=

R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [12/10/2009 21:24 9968]
R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [12/10/2009 21:24 74480]
R2 accoca;ActivClient Middleware Service;c:\program files\ActivIdentity\ActivClient\accoca.exe [03/05/2007 18:51 182576]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [16/10/2009 12:01 108289]
R2 ASBroker;Courtier de session de connexion;c:\windows\System32\svchost.exe -k Cognizance [14/04/2008 08:00 14336]
R2 ASChannel;Canal de communication local;c:\windows\System32\svchost.exe -k Cognizance [14/04/2008 08:00 14336]
R2 SWIHPWMI;SWIHPWMI;c:\program files\HPQ\Shared\Sierra Wireless\Win32\Unicode\SWIHPWMI.exe [04/12/2006 16:13 292384]
R3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [18/05/2009 00:27 193840]
R3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [12/10/2009 21:24 7408]
S3 DAMDrv;DAMDrv;c:\windows\system32\drivers\DAMDrv.sys [18/05/2009 00:43 30008]
S3 FLCDLOCK;Verrouillage des périphériques / Audition HP ProtectTools;c:\windows\system32\flcdlock.exe [08/06/2007 09:06 172131]
S3 HP24X;HP PC Card Smart Card Reader;c:\windows\system32\drivers\HP24X.sys [17/07/2007 01:24 35072]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Cognizance REG_MULTI_SZ ASBroker ASChannel
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-10-18 19:25 451872 ----a-w- c:\program files\Fichiers communs\LightScribe\LSRunOnce.exe
.
------- Examen supplémentaire -------
.
uSearchURL,(Default) = hxxp://fr.search.yahoo.com/search?fr=mcafee&p=%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
FF - ProfilePath - c:\documents and settings\Manager\Application Data\Mozilla\Firefox\Profiles\n9yu03ds.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr
FF - component: c:\documents and settings\Manager\Application Data\Mozilla\Firefox\Profiles\n9yu03ds.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\bdqscan.dll
FF - plugin: c:\documents and settings\Manager\Application Data\Mozilla\Firefox\Profiles\n9yu03ds.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-AirCardEnabler - (no file)
AddRemove-Broadcom 802.11 Application - c:\program files\Broadcom\Broadcom 802.11\bcmwlu00.exe verbose
AddRemove-Broadcom 802.11b Network Adapter - c:\program files\Broadcom\Broadcom 802.11\Driver\bcmwlu00.exe verbose
AddRemove-HijackThis - c:\docume~1\Manager\LOCALS~1\Temp\Rar$EX00.172\HijackThis.exe
AddRemove-{91810AFC-A4F8-4EBA-A5AA-B198BBC81144} - c:\program files\InstallShield Installation Information\{91810AFC-A4F8-4EBA-A5AA-B198BBC81144}\setup.exe REMOVEALL



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-07 00:13
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = c:\program files\Hewlett-Packard\Default Settings\cpqset.exe??????????????@? ???hG????????@???????@

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(888)
c:\program files\SUPERAntiSpyware\SASWINLO.dll
c:\windows\system32\ackpbsc.dll
c:\windows\system32\aclog.dll
c:\windows\system32\ACLIBEAY.dll
c:\windows\system32\acevtsub.dll
c:\windows\system32\asphat32.dll
c:\windows\system32\acerrmes.dll
c:\windows\system32\aspcom.dll
c:\program files\ActivIdentity\ActivClient\Resources\Merged\acerrmrc.dll
c:\program files\ActivIdentity\ActivClient\Resources\Merged\asphatrc.dll
c:\program files\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll
c:\program files\Hewlett-Packard\IAM\bin\ItMsg.dll
c:\windows\System32\BCMLogon.dll
c:\program files\ActivIdentity\ActivClient\acunlock.dll
c:\windows\system32\aipingui.dll
c:\program files\ActivIdentity\ActivClient\Resources\Merged\aipinguirc.dll
c:\program files\ActivIdentity\ActivClient\resources\acCobAPIrc.dll
c:\program files\ActivIdentity\ActivClient\Resources\Merged\acunlockrc.dll
c:\windows\system32\DeviceNP.dll
c:\program files\Hewlett-Packard\IAM\Bin\TrayIcon.dll
c:\program files\Hewlett-Packard\IAM\bin\HPBrand.dll
c:\program files\Hewlett-Packard\IAM\bin\FRA\HPBrand.dll
c:\program files\Hewlett-Packard\IAM\bin\FRA\ItMsg.dll
c:\program files\Hewlett-Packard\IAM\Bin\ASChnl.dll

- - - - - - - > 'explorer.exe'(3712)
c:\windows\system32\APSHook.dll
c:\program files\Windows Desktop Search\deskbar.dll
c:\program files\Windows Desktop Search\fr-fr\dbres.dll.mui
c:\program files\Windows Desktop Search\dbres.dll
c:\program files\Windows Desktop Search\wordwheel.dll
c:\program files\Windows Desktop Search\fr-fr\msnlExtRes.dll.mui
c:\program files\Windows Desktop Search\msnlExtRes.dll
c:\windows\system32\btmmhook.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\program files\Roxio\Drag-to-Disc\Shellex.dll
c:\program files\Fichiers communs\Roxio Shared\9.0\DLLShared\DLAAPI_W.DLL
c:\program files\Roxio\Drag-to-Disc\ShellRes.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\program files\Intel\WiFi\bin\S24EvMon.exe
c:\program files\ActivIdentity\ActivClient\acevents.exe
c:\windows\System32\bcmwltry.exe
c:\windows\System32\SCardSvr.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\windows\system32\agrsmsvc.exe
c:\documents and settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S40RP7.EXE
c:\program files\Intel\WiFi\bin\EvtEng.exe
c:\program files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
c:\program files\Fichiers communs\LightScribe\LSSrvc.exe
c:\program files\Fichiers communs\Intel\WirelessCommon\RegSrvc.exe
c:\windows\system32\SearchIndexer.exe
c:\program files\Hewlett-Packard\IAM\bin\asghost.exe
c:\windows\system32\igfxsrvc.exe
c:\windows\system32\WgaTray.exe
c:\program files\ActivIdentity\ActivClient\acevents.exe
c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe
c:\progra~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
c:\windows\system32\wbem\unsecapp.exe
c:\program files\Hewlett-Packard\Shared\HpqToaster.exe
.
**************************************************************************
.
Heure de fin: 2009-12-07 00:15 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-12-07 04:15

Avant-CF: 96 699 248 640 octets libres
Après-CF: 96 622 841 856 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

- - End Of File - - E794C9564D022C73DC6E416E234FC083

Merci !
7 Décembre 2009 17:22:15

hello,


on continue ... dans l'ordre :


1- Télécharge CCleaner :
ici http://www.infos-du-net.com/telecharger/CCleaner,0301-1...
ou ici http://www.commentcamarche.net/telecharger/telecharger-...

Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
Lors de l'installation:
-choisis bien "français" en langue .
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.

Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.h...


---> Utilisation :
*Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage-
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )


===============

2- Télécharge gmer sur le bureau et dézippe-le (clic droit et "extraire ici") :
http://www.gmer.net/gmer.zip

* Double-clique sur gmer.exe sur le bureau. Si ton antivirus réagit, ne t'inquiète pas et ignore l'alerte.
* Clique sur l'onglet "rootkit", puis clique sur scan.
* A la fin du scan, clique sur le bouton copy.
* Puis va dans le menu "démarrer"> "programmes" > accessoires : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note.
* poste le contenu du rapport stp ...

===========================

3- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...


8 Décembre 2009 05:42:41

SALUT


Voici le rapport de gmer :

GMER 1.0.15.15272 - http://www.gmer.net
Rootkit scan 2009-12-08 00:28:11
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOCUME~1\Manager\LOCALS~1\Temp\fxtdypog.sys


---- System - GMER 1.0.15 ----

SSDT F7C8B526 ZwCreateKey
SSDT F7C8B51C ZwCreateThread
SSDT F7C8B52B ZwDeleteKey
SSDT F7C8B535 ZwDeleteValueKey
SSDT F7C8B53A ZwLoadKey
SSDT F7C8B508 ZwOpenProcess
SSDT F7C8B50D ZwOpenThread
SSDT F7C8B544 ZwReplaceKey
SSDT F7C8B53F ZwRestoreKey
SSDT F7C8B530 ZwSetValueKey
SSDT \??\C:\Program Files\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xAA3290B0]

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\SMINST\Scheduler.exe[204] USER32.dll!GetSysColor 7E398E78 5 Bytes JMP 0041C110 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[204] USER32.dll!GetSysColorBrush 7E398EAB 5 Bytes JMP 0041C180 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[204] USER32.dll!SetScrollInfo 7E399056 7 Bytes JMP 0041C000 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[204] USER32.dll!GetScrollInfo 7E3ADFE2 7 Bytes JMP 0041BF50 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[204] USER32.dll!ShowScrollBar 7E3AF2F2 5 Bytes JMP 0041C0D0 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[204] USER32.dll!GetScrollPos 7E3AF704 5 Bytes JMP 0041BF90 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[204] USER32.dll!SetScrollPos 7E3AF750 5 Bytes JMP 0041C040 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[204] USER32.dll!GetScrollRange 7E3AF787 5 Bytes JMP 0041BFC0 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[204] USER32.dll!SetScrollRange 7E3AF99B 5 Bytes JMP 0041C080 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[204] USER32.dll!EnableScrollBar 7E3E8005 7 Bytes JMP 0041BF10 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\Program Files\Microsoft Office\Office12\WINWORD.EXE[3924] kernel32.dll!SetUnhandledExceptionFilter 7C84495D 5 Bytes JMP 32605629 C:\Program Files\Fichiers communs\Microsoft Shared\office12\mso.dll (2007 Microsoft Office component/Microsoft Corporation)
.text C:\WINDOWS\system32\WgaTray.exe[3968] WININET.dll!InternetErrorDlg 77B1DEF9 5 Bytes JMP 0101211B C:\WINDOWS\system32\WgaTray.exe (Windows Genuine Advantage Notification/Microsoft Corporation)
.text C:\WINDOWS\system32\SearchIndexer.exe[3980] kernel32.dll!WriteFile 7C810E27 7 Bytes JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

Device \FileSystem\Cdfs \Cdfs DLAIFS_M.SYS (Drive Letter Access Component/Roxio)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys@start 1
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys@type 1
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys@imagepath \systemroot\system32\drivers\UACurqhtpbqxw.sys
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys@group file system
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys\modules (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys\modules@UACd \\?\globalroot\systemroot\system32\drivers\UACurqhtpbqxw.sys
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys\modules@UACc \\?\globalroot\systemroot\system32\UACnoxubqjkvr.dll
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys\modules@uacbbr \\?\globalroot\systemroot\system32\UACndyigqhapu.dll
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys\modules@uacsr \\?\globalroot\systemroot\system32\UACedqmvkalms.dat
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys\modules@uacmal \\?\globalroot\systemroot\system32\UACotmoteppjw.db
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys\modules@uacrem \\?\globalroot\systemroot\system32\UACpyabixsmrs.dll
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys\modules@uacmask \\?\globalroot\systemroot\system32\UACyijnhxdlns.dll
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys\modules@uacserf \\?\globalroot\systemroot\system32\UACymeajbqpkc.dll

---- EOF - GMER 1.0.15 ----


et le lien pour le rapport de ZHPDIAG :

http://www.cijoint.fr/cjlink.php?file=cj200912/cijvNcOr... (3ème rapport)

Encore merci pour ton aide, le virus semble éradiqué car ANTIVIR ne m'indique plus sa présence.

8 Décembre 2009 20:20:02

hello,

Citation :
Encore merci pour ton aide, le virus semble éradiqué car ANTIVIR ne m'indique plus sa présence.


et ben non ... le rootKit est encore là ....


Fais ce qui suit :


1- Créer un doc texte sur ton bureau :
pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

* Rends toi sur cette page > http://cjoint.com/?miutNDZCJQ

* copie/colle tout le texte qui s'y trouve ( et rien d'autre!) dans le fichier texte que tu viens de créer :

* Pour sauvegarder, va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ... ( sauvegarde le bien sur le bureau )


2- Nettoyage :

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

--->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gi... )

Cette manipulation va relancer combofix .

Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

! Ne touches à rien tant que le scan n'est pas terminé !

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
9 Décembre 2009 02:18:44

Salut.
Ok j'ai inséré le fichier dans combo fix et voici le rapport :

ComboFix 09-12-06.09 - Manager 08/12/2009 20:49.2.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1015.566 [GMT -4:00]
Lancé depuis: c:\documents and settings\Manager\Bureau\CFix.exe
Commutateurs utilisés :: c:\documents and settings\Manager\Bureau\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

FILE ::
"c:\windows\system32\drivers\UACurqhtpbqxw.sys"
"c:\windows\system32\UACedqmvkalms.dat"
"c:\windows\system32\UACndyigqhapu.dll"
"c:\windows\system32\UACnoxubqjkvr.dll"
"c:\windows\system32\UACotmoteppjw.db"
"c:\windows\system32\UACpyabixsmrs.dll"
"c:\windows\system32\UACyijnhxdlns.dll"
"c:\windows\system32\UACymeajbqpkc.dll"
.

((((((((((((((((((((((((((((( Fichiers créés du 2009-11-09 au 2009-12-09 ))))))))))))))))))))))))))))))))))))
.

2009-12-09 00:15 . 2009-12-09 00:15 -------- d-----w- c:\windows\LastGood
2009-12-07 03:55 . 2009-12-07 04:15 -------- d-----w- C:\CFix
2009-12-07 03:11 . 2009-12-07 03:20 -------- d-----w- C:\UsbFix
2009-12-06 20:15 . 2009-12-06 20:20 -------- d-----w- c:\program files\ZHPDiag
2009-12-06 05:45 . 2009-12-06 05:48 -------- d-----r- c:\documents and settings\LocalService\Mes documents
2009-12-06 04:54 . 2009-12-06 04:55 -------- d-----w- c:\documents and settings\Manager\Application Data\QuickScan
2009-12-06 04:53 . 2009-11-26 21:39 678912 ----a-w- c:\documents and settings\Manager\Application Data\Mozilla\Firefox\Profiles\n9yu03ds.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\bdqscan.dll
2009-12-06 04:53 . 2009-11-26 21:37 768512 ----a-w- c:\documents and settings\Manager\Application Data\Mozilla\Firefox\Profiles\n9yu03ds.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
2009-12-06 00:24 . 2009-12-06 00:24 -------- d-----w- c:\documents and settings\Manager\Application Data\Malwarebytes
2009-12-06 00:24 . 2009-12-03 20:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-06 00:24 . 2009-12-06 00:24 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-12-06 00:24 . 2009-12-06 00:24 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-12-06 00:24 . 2009-12-03 20:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-05 22:41 . 2009-12-05 22:41 -------- d-----w- C:\VundoFix Backups
2009-12-05 03:31 . 2009-12-05 03:31 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Identities
2009-12-05 03:31 . 2009-12-05 03:31 -------- d-----w- c:\documents and settings\Administrateur\Bluetooth Software
2009-12-05 03:31 . 2009-12-05 03:31 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Windows Desktop Search
2009-12-05 03:31 . 2009-12-05 03:31 -------- d-----w- c:\documents and settings\Administrateur\Application Data\AT&T
2009-12-05 03:31 . 2009-12-05 03:31 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Sierra Wireless
2009-12-05 02:21 . 2009-12-05 02:21 0 ----a-w- c:\windows\nsreg.dat
2009-12-05 02:21 . 2009-12-05 02:21 -------- d-----w- c:\documents and settings\Manager\Local Settings\Application Data\Mozilla
2009-12-05 02:15 . 2009-12-05 02:15 -------- d-----w- c:\program files\CCleaner
2009-12-05 01:44 . 2009-12-05 01:44 117760 ----a-w- c:\documents and settings\Manager\Application Data\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2009-12-05 01:44 . 2009-12-05 01:44 -------- d-----w- c:\documents and settings\All Users\Application Data\SUPERAntiSpyware.com
2009-12-05 01:44 . 2009-12-06 18:10 -------- d-----w- c:\program files\SUPERAntiSpyware
2009-12-05 01:44 . 2009-12-05 01:44 -------- d-----w- c:\documents and settings\Manager\Application Data\SUPERAntiSpyware.com
2009-12-05 01:44 . 2009-12-05 01:44 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-05 20:27 . 2009-05-18 03:53 -------- d-----w- c:\program files\Hewlett-Packard
2009-11-01 06:53 . 2009-10-16 16:01 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-10-29 19:35 . 2009-10-29 19:34 -------- d-----w- c:\documents and settings\Manager\Application Data\HpUpdate
2009-10-16 16:01 . 2009-10-16 16:01 -------- d-----w- c:\program files\Avira
2009-10-16 16:01 . 2009-10-16 16:01 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2009-09-25 05:36 . 2008-04-14 12:00 671232 ----a-w- c:\windows\system32\wininet(3).dll
2009-09-25 05:36 . 2008-04-14 12:00 671232 ------w- c:\windows\system32\wininet.dll
2009-09-25 05:36 . 2008-04-14 12:00 628736 ----a-w- c:\windows\system32\urlmon(3).dll
2009-09-25 05:36 . 2008-04-14 12:00 81920 ----a-w- c:\windows\system32\ieencode.dll
2009-09-11 14:18 . 2008-04-14 12:00 136192 ----a-w- c:\windows\system32\msv1_0.dll
.

((((((((((((((((((((((((((((( SnapShot@2009-12-07_04.12.35 )))))))))))))))))))))))))))))))))))))))))
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LightScribe Control Panel"="c:\program files\Fichiers communs\LightScribe\LightScribeControlPanel.exe" [2007-10-18 455968]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-13 1695232]
"SUPERAntiSpyware"="c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-12-06 2001648]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2007-01-05 872448]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-03-13 141336]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-03-13 173592]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-03-13 142360]
"Cpqset"="c:\program files\Hewlett-Packard\Default Settings\cpqset.exe" [2007-01-02 40960]
"accrdsub"="c:\program files\ActivIdentity\ActivClient\accrdsub.exe" [2007-05-03 293168]
"PTHOSTTR"="c:\program files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE" [2007-01-09 145184]
"AT&T Communication Manager"="c:\program files\AT&T\Communication Manager\ATTCM.exe" [2007-05-26 22528]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-01-18 1028096]
"CognizanceTS"="c:\progra~1\HEWLET~1\IAM\Bin\ASTSVCC.dll" [2003-12-22 17920]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY.exe" [2009-05-18 1945600]
"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-06-03 177456]
"IntelWireless"="c:\program files\Fichiers communs\Intel\WirelessCommon\iFrmewrk.exe" [2008-10-02 1191936]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2008-04-15 488752]
"WatcherHelper"="c:\program files\HPQ\HP Connection Manager\WaHelper.exe" [2007-07-24 120352]
"Recguard"="c:\windows\Sminst\Recguard.exe" [2005-12-20 1187840]
"Reminder"="c:\windows\Creator\Remind_XP.exe" [2006-03-09 806912]
"Scheduler"="c:\windows\SMINST\Scheduler.exe" [2006-10-09 697976]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-2-6 561213]
Windows Search.lnk - c:\program files\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-25 304128]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 19:21 548352 ----a-w- c:\program files\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ackpbsc]
2007-05-03 22:51 112640 ----a-w- c:\windows\system32\ackpbsc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\acunlock]
2007-05-03 22:51 281088 ----a-w- c:\program files\ActivIdentity\ActivClient\acunlock.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OneCard]
2008-05-13 19:39 85504 ----a-r- c:\program files\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\DeviceNP]
2007-06-08 13:04 49152 ----a-r- c:\windows\system32\DeviceNP.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\APSHook.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\HPQ\\HP Connection Manager\\SwiApiMux.exe"=
"c:\\WINDOWS\\SMINST\\Scheduler.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\EXCEL.EXE"=
"c:\\Program Files\\CCleaner\\CCleaner.exe"=
"c:\\Program Files\\SUPERAntiSpyware\\RUNSAS.EXE"=
"c:\\Program Files\\SUPERAntiSpyware\\SUPERAntiSpyware.exe"=

R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [12/10/2009 21:24 9968]
R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [12/10/2009 21:24 74480]
R2 accoca;ActivClient Middleware Service;c:\program files\ActivIdentity\ActivClient\accoca.exe [03/05/2007 18:51 182576]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [16/10/2009 12:01 108289]
R2 ASBroker;Courtier de session de connexion;c:\windows\System32\svchost.exe -k Cognizance [14/04/2008 08:00 14336]
R2 ASChannel;Canal de communication local;c:\windows\System32\svchost.exe -k Cognizance [14/04/2008 08:00 14336]
R2 SWIHPWMI;SWIHPWMI;c:\program files\HPQ\Shared\Sierra Wireless\Win32\Unicode\SWIHPWMI.exe [04/12/2006 16:13 292384]
R3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [18/05/2009 00:27 193840]
R3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [12/10/2009 21:24 7408]
S3 DAMDrv;DAMDrv;c:\windows\system32\drivers\DAMDrv.sys [18/05/2009 00:43 30008]
S3 FLCDLOCK;Verrouillage des périphériques / Audition HP ProtectTools;c:\windows\system32\flcdlock.exe [08/06/2007 09:06 172131]
S3 HP24X;HP PC Card Smart Card Reader;c:\windows\system32\drivers\HP24X.sys [17/07/2007 01:24 35072]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Cognizance REG_MULTI_SZ ASBroker ASChannel
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-10-18 19:25 451872 ----a-w- c:\program files\Fichiers communs\LightScribe\LSRunOnce.exe
.
------- Examen supplémentaire -------
.
uSearchURL,(Default) = hxxp://fr.search.yahoo.com/search?fr=mcafee&p=%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
FF - ProfilePath - c:\documents and settings\Manager\Application Data\Mozilla\Firefox\Profiles\n9yu03ds.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr
FF - component: c:\documents and settings\Manager\Application Data\Mozilla\Firefox\Profiles\n9yu03ds.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\bdqscan.dll
FF - plugin: c:\documents and settings\Manager\Application Data\Mozilla\Firefox\Profiles\n9yu03ds.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-08 20:55
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = c:\program files\Hewlett-Packard\Default Settings\cpqset.exe??????????????@? ????`????????@???????@

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(888)
c:\windows\system32\APSHook.dll
c:\program files\SUPERAntiSpyware\SASWINLO.dll
c:\windows\system32\ackpbsc.dll
c:\windows\system32\aclog.dll
c:\windows\system32\ACLIBEAY.dll
c:\windows\system32\acevtsub.dll
c:\windows\system32\asphat32.dll
c:\windows\system32\acerrmes.dll
c:\windows\system32\aspcom.dll
c:\program files\ActivIdentity\ActivClient\Resources\Merged\acerrmrc.dll
c:\program files\ActivIdentity\ActivClient\Resources\Merged\asphatrc.dll
c:\program files\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll
c:\program files\Hewlett-Packard\IAM\bin\ItMsg.dll
c:\windows\System32\BCMLogon.dll
c:\program files\ActivIdentity\ActivClient\acunlock.dll
c:\windows\system32\aipingui.dll
c:\program files\ActivIdentity\ActivClient\Resources\Merged\aipinguirc.dll
c:\program files\ActivIdentity\ActivClient\resources\acCobAPIrc.dll
c:\program files\ActivIdentity\ActivClient\Resources\Merged\acunlockrc.dll
c:\windows\system32\DeviceNP.dll
c:\program files\Hewlett-Packard\IAM\Bin\TrayIcon.dll
c:\program files\Hewlett-Packard\IAM\bin\HPBrand.dll
c:\program files\Hewlett-Packard\IAM\bin\FRA\HPBrand.dll
c:\program files\Hewlett-Packard\IAM\bin\FRA\ItMsg.dll
c:\program files\Hewlett-Packard\IAM\Bin\ASChnl.dll

- - - - - - - > 'lsass.exe'(944)
c:\windows\system32\APSHook.dll

- - - - - - - > 'explorer.exe'(2488)
c:\windows\system32\APSHook.dll
c:\program files\Windows Desktop Search\deskbar.dll
c:\program files\Windows Desktop Search\fr-fr\dbres.dll.mui
c:\program files\Windows Desktop Search\dbres.dll
c:\program files\Windows Desktop Search\wordwheel.dll
c:\program files\Windows Desktop Search\fr-fr\msnlExtRes.dll.mui
c:\program files\Windows Desktop Search\msnlExtRes.dll
c:\windows\system32\btmmhook.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Heure de fin: 2009-12-08 20:56
ComboFix-quarantined-files.txt 2009-12-09 00:56
ComboFix2.txt 2009-12-07 04:15

Avant-CF: 96 602 464 256 octets libres
Après-CF: 96 570 638 336 octets libres

- - End Of File - - 21ECE0639B23043423D72ABE3D32B247

Merci et @ +
9 Décembre 2009 19:44:01

Salut,

Bien ...


Refait scan Gmer et copie/colle le nouveau rapport obtenu stp ...
10 Décembre 2009 06:56:27

Salut

Voici le rapport gmer :

GMER 1.0.15.15272 - http://www.gmer.net
Rootkit scan 2009-12-10 01:52:00
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOCUME~1\Manager\LOCALS~1\Temp\fxtdypog.sys


---- System - GMER 1.0.15 ----

SSDT F7D0D476 ZwCreateKey
SSDT F7D0D46C ZwCreateThread
SSDT F7D0D47B ZwDeleteKey
SSDT F7D0D485 ZwDeleteValueKey
SSDT F7D0D48A ZwLoadKey
SSDT F7D0D458 ZwOpenProcess
SSDT F7D0D45D ZwOpenThread
SSDT F7D0D494 ZwReplaceKey
SSDT F7D0D48F ZwRestoreKey
SSDT F7D0D480 ZwSetValueKey
SSDT \??\C:\Program Files\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xAA3290B0]

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\SMINST\Scheduler.exe[208] USER32.dll!GetSysColor 7E398E78 5 Bytes JMP 0041C110 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[208] USER32.dll!GetSysColorBrush 7E398EAB 5 Bytes JMP 0041C180 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[208] USER32.dll!SetScrollInfo 7E399056 7 Bytes JMP 0041C000 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[208] USER32.dll!GetScrollInfo 7E3ADFE2 7 Bytes JMP 0041BF50 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[208] USER32.dll!ShowScrollBar 7E3AF2F2 5 Bytes JMP 0041C0D0 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[208] USER32.dll!GetScrollPos 7E3AF704 5 Bytes JMP 0041BF90 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[208] USER32.dll!SetScrollPos 7E3AF750 5 Bytes JMP 0041C040 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[208] USER32.dll!GetScrollRange 7E3AF787 5 Bytes JMP 0041BFC0 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[208] USER32.dll!SetScrollRange 7E3AF99B 5 Bytes JMP 0041C080 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[208] USER32.dll!EnableScrollBar 7E3E8005 7 Bytes JMP 0041BF10 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\system32\SearchIndexer.exe[2312] kernel32.dll!WriteFile 7C810E27 7 Bytes JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation)
.text C:\WINDOWS\system32\WgaTray.exe[3764] WININET.dll!InternetErrorDlg 77B1DEF9 5 Bytes JMP 0101211B C:\WINDOWS\system32\WgaTray.exe (Windows Genuine Advantage Notification/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

Device \FileSystem\Cdfs \Cdfs DLAIFS_M.SYS (Drive Letter Access Component/Roxio)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys@start 1
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys@type 1
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys@imagepath \systemroot\system32\drivers\UACurqhtpbqxw.sys
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys@group file system
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys\modules (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys\modules@UACd \\?\globalroot\systemroot\system32\drivers\UACurqhtpbqxw.sys
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys\modules@UACc \\?\globalroot\systemroot\system32\UACnoxubqjkvr.dll
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys\modules@uacbbr \\?\globalroot\systemroot\system32\UACndyigqhapu.dll
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys\modules@uacsr \\?\globalroot\systemroot\system32\UACedqmvkalms.dat
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys\modules@uacmal \\?\globalroot\systemroot\system32\UACotmoteppjw.db
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys\modules@uacrem \\?\globalroot\systemroot\system32\UACpyabixsmrs.dll
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys\modules@uacmask \\?\globalroot\systemroot\system32\UACyijnhxdlns.dll
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys\modules@uacserf \\?\globalroot\systemroot\system32\UACymeajbqpkc.dll

---- EOF - GMER 1.0.15 ----

@ plus tard
11 Décembre 2009 19:29:02

Hello,


l'infection est encore là ...


Supprime Combofix ( CFix ) et on va reprendre avec la dernière version disponnible :


Télécharge ComboFix (de sUBs) sur ton bureau (et pas ailleurs !) :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe <--- clique droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape CFix et valide .

- le renommage au téléchargement est primordial pour contrer l'infection, sinon l'outil sera inutilisable -

[ ! ATTENTION ! ]
!! Ferme tes applications en cours ( ainsi que ton navigateur ) et DESACTIVE TOUTES TES DEFENSES (anti-virus, guarde anti spy-ware, pare-feu) le temps de la manipe : en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !! ---> Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : http://www.bleepingcomputer.com/combofix/fr/comment-uti...
Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
[ ! ATTENTION ! ]

Ensuite :
> Double-clique sur l'icône "CFix.exe" ( = ComboFix ) pour lancer l'outil .
> A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...


Notes importantes :
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un momment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

Le rapport sera crée ici : C:\Combofix.txt

Réactive bien tes défenses .


Poste le rapport Combofix pour analyse ...
12 Décembre 2009 00:27:20

Salut,

On dirait que l'ordi... est séropositif. Voici le 2ème rapport de COMBO FIX :

ComboFix 09-12-11.01 - Manager 11/12/2009 18:28:21.3.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1015.480 [GMT -4:00]
Lancé depuis: c:\documents and settings\Manager\Bureau\CFHIXX.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\trueprint.exe

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-11-11 au 2009-12-11 ))))))))))))))))))))))))))))))))))))
.

2009-12-07 03:55 . 2009-12-07 04:15 -------- d-----w- C:\CFix
2009-12-07 03:11 . 2009-12-07 03:20 -------- d-----w- C:\UsbFix
2009-12-06 20:15 . 2009-12-06 20:20 -------- d-----w- c:\program files\ZHPDiag
2009-12-06 05:45 . 2009-12-06 05:48 -------- d-----r- c:\documents and settings\LocalService\Mes documents
2009-12-06 04:54 . 2009-12-06 04:55 -------- d-----w- c:\documents and settings\Manager\Application Data\QuickScan
2009-12-06 04:53 . 2009-11-26 21:39 678912 ----a-w- c:\documents and settings\Manager\Application Data\Mozilla\Firefox\Profiles\n9yu03ds.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\bdqscan.dll
2009-12-06 04:53 . 2009-11-26 21:37 768512 ----a-w- c:\documents and settings\Manager\Application Data\Mozilla\Firefox\Profiles\n9yu03ds.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
2009-12-06 00:24 . 2009-12-06 00:24 -------- d-----w- c:\documents and settings\Manager\Application Data\Malwarebytes
2009-12-06 00:24 . 2009-12-03 20:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-06 00:24 . 2009-12-06 00:24 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-12-06 00:24 . 2009-12-06 00:24 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-12-06 00:24 . 2009-12-03 20:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-05 22:41 . 2009-12-05 22:41 -------- d-----w- C:\VundoFix Backups
2009-12-05 03:31 . 2009-12-05 03:31 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Identities
2009-12-05 03:31 . 2009-12-05 03:31 -------- d-----w- c:\documents and settings\Administrateur\Bluetooth Software
2009-12-05 03:31 . 2009-12-05 03:31 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Windows Desktop Search
2009-12-05 03:31 . 2009-12-05 03:31 -------- d-----w- c:\documents and settings\Administrateur\Application Data\AT&T
2009-12-05 03:31 . 2009-12-05 03:31 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Sierra Wireless
2009-12-05 02:21 . 2009-12-05 02:21 0 ----a-w- c:\windows\nsreg.dat
2009-12-05 02:21 . 2009-12-05 02:21 -------- d-----w- c:\documents and settings\Manager\Local Settings\Application Data\Mozilla
2009-12-05 02:15 . 2009-12-05 02:15 -------- d-----w- c:\program files\CCleaner
2009-12-05 01:44 . 2009-12-05 01:44 117760 ----a-w- c:\documents and settings\Manager\Application Data\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2009-12-05 01:44 . 2009-12-05 01:44 -------- d-----w- c:\documents and settings\All Users\Application Data\SUPERAntiSpyware.com
2009-12-05 01:44 . 2009-12-06 18:10 -------- d-----w- c:\program files\SUPERAntiSpyware
2009-12-05 01:44 . 2009-12-05 01:44 -------- d-----w- c:\documents and settings\Manager\Application Data\SUPERAntiSpyware.com
2009-12-05 01:44 . 2009-12-05 01:44 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-11 01:28 . 2009-10-16 16:01 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-10 03:03 . 2008-04-14 12:00 58814 ----a-w- c:\windows\system32\perfc00C.dat
2009-12-10 03:03 . 2008-04-14 12:00 393574 ----a-w- c:\windows\system32\perfh00C.dat
2009-11-05 20:27 . 2009-05-18 03:53 -------- d-----w- c:\program files\Hewlett-Packard
2009-10-29 19:35 . 2009-10-29 19:34 -------- d-----w- c:\documents and settings\Manager\Application Data\HpUpdate
2009-10-29 05:25 . 2008-04-14 12:00 671232 ----a-w- c:\windows\system32\wininet.dll
2009-10-21 05:39 . 2008-04-14 12:00 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-21 05:39 . 2008-04-14 12:00 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2008-04-14 12:00 265728 ----a-w- c:\windows\system32\drivers\http.sys
2009-10-16 16:01 . 2009-10-16 16:01 -------- d-----w- c:\program files\Avira
2009-10-16 16:01 . 2009-10-16 16:01 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2009-10-13 10:33 . 2008-04-14 12:00 271360 ----a-w- c:\windows\system32\oakley.dll
2009-10-12 13:39 . 2008-04-14 12:00 79872 ----a-w- c:\windows\system32\raschap.dll
2009-10-12 13:39 . 2008-04-14 12:00 150528 ----a-w- c:\windows\system32\rastls.dll
2009-09-25 05:36 . 2008-04-14 12:00 671232 ----a-w- c:\windows\system32\wininet(3).dll
2009-09-25 05:36 . 2008-04-14 12:00 628736 ----a-w- c:\windows\system32\urlmon(3).dll
2009-09-25 05:36 . 2008-04-14 12:00 81920 ----a-w- c:\windows\system32\ieencode.dll
.

((((((((((((((((((((((((((((( SnapShot@2009-12-07_04.12.35 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-04-14 12:00 . 2009-12-10 03:03 41170 c:\windows\system32\perfc009.dat
- 2008-04-14 12:00 . 2009-06-01 03:58 41170 c:\windows\system32\perfc009.dat
- 2008-04-14 12:00 . 2008-04-14 12:00 75776 c:\windows\system32\dllcache\strmfilt.dll
+ 2008-04-14 12:00 . 2009-10-21 05:39 75776 c:\windows\system32\dllcache\strmfilt.dll
- 2008-04-14 12:00 . 2008-04-14 12:00 79872 c:\windows\system32\dllcache\raschap.dll
+ 2008-04-14 12:00 . 2009-10-12 13:39 79872 c:\windows\system32\dllcache\raschap.dll
+ 2008-04-14 12:00 . 2009-10-21 05:39 25088 c:\windows\system32\dllcache\httpapi.dll
+ 2008-04-14 12:00 . 2009-08-25 09:18 354816 c:\windows\system32\winhttp.dll
- 2008-04-14 12:00 . 2009-09-25 05:36 628736 c:\windows\system32\urlmon.dll
+ 2008-04-14 12:00 . 2009-10-29 05:25 628736 c:\windows\system32\urlmon.dll
+ 2008-04-14 12:00 . 2009-12-10 03:03 314842 c:\windows\system32\perfh009.dat
- 2008-04-14 12:00 . 2009-06-01 03:58 314842 c:\windows\system32\perfh009.dat
+ 2008-04-14 12:00 . 2009-10-29 05:25 671232 c:\windows\system32\dllcache\wininet.dll
- 2008-04-14 12:00 . 2009-09-25 05:36 671232 c:\windows\system32\dllcache\wininet.dll
+ 2008-04-14 12:00 . 2009-08-25 09:18 354816 c:\windows\system32\dllcache\winhttp.dll
- 2008-04-14 12:00 . 2009-09-25 05:36 628736 c:\windows\system32\dllcache\urlmon.dll
+ 2008-04-14 12:00 . 2009-10-29 05:25 628736 c:\windows\system32\dllcache\urlmon.dll
+ 2008-04-14 12:00 . 2009-10-12 13:39 150528 c:\windows\system32\dllcache\rastls.dll
+ 2008-04-14 12:00 . 2009-10-13 10:33 271360 c:\windows\system32\dllcache\oakley.dll
- 2008-04-14 12:00 . 2008-04-14 12:00 271360 c:\windows\system32\dllcache\oakley.dll
+ 2009-10-20 16:20 . 2009-10-20 16:20 265728 c:\windows\system32\dllcache\http.sys
+ 2009-10-20 16:20 . 2009-10-20 16:20 265728 c:\windows\Driver Cache\i386\http.sys
+ 2008-04-14 12:00 . 2009-10-29 05:25 1510400 c:\windows\system32\shdocvw.dll
- 2008-04-14 12:00 . 2009-09-25 05:36 1510400 c:\windows\system32\shdocvw.dll
+ 2008-04-14 12:00 . 2009-10-29 18:55 3091968 c:\windows\system32\mshtml.dll
- 2008-04-14 12:00 . 2009-10-19 23:52 3091968 c:\windows\system32\mshtml.dll
+ 2008-04-14 12:00 . 2009-10-29 05:25 1510400 c:\windows\system32\dllcache\shdocvw.dll
- 2008-04-14 12:00 . 2009-09-25 05:36 1510400 c:\windows\system32\dllcache\shdocvw.dll
- 2008-04-14 12:00 . 2009-10-19 23:52 3091968 c:\windows\system32\dllcache\mshtml.dll
+ 2008-04-14 12:00 . 2009-10-29 18:55 3091968 c:\windows\system32\dllcache\mshtml.dll
+ 2009-07-26 21:35 . 2009-12-01 20:06 25966024 c:\windows\system32\MRT.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LightScribe Control Panel"="c:\program files\Fichiers communs\LightScribe\LightScribeControlPanel.exe" [2007-10-18 455968]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-13 1695232]
"SUPERAntiSpyware"="c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-12-06 2001648]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2007-01-05 872448]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-03-13 141336]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-03-13 173592]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-03-13 142360]
"Cpqset"="c:\program files\Hewlett-Packard\Default Settings\cpqset.exe" [2007-01-02 40960]
"accrdsub"="c:\program files\ActivIdentity\ActivClient\accrdsub.exe" [2007-05-03 293168]
"PTHOSTTR"="c:\program files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE" [2007-01-09 145184]
"AT&T Communication Manager"="c:\program files\AT&T\Communication Manager\ATTCM.exe" [2007-05-26 22528]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-01-18 1028096]
"CognizanceTS"="c:\progra~1\HEWLET~1\IAM\Bin\ASTSVCC.dll" [2003-12-22 17920]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY.exe" [2009-05-18 1945600]
"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-06-03 177456]
"IntelWireless"="c:\program files\Fichiers communs\Intel\WirelessCommon\iFrmewrk.exe" [2008-10-02 1191936]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2008-04-15 488752]
"WatcherHelper"="c:\program files\HPQ\HP Connection Manager\WaHelper.exe" [2007-07-24 120352]
"Recguard"="c:\windows\Sminst\Recguard.exe" [2005-12-20 1187840]
"Reminder"="c:\windows\Creator\Remind_XP.exe" [2006-03-09 806912]
"Scheduler"="c:\windows\SMINST\Scheduler.exe" [2006-10-09 697976]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-2-6 561213]
Windows Search.lnk - c:\program files\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-25 304128]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 19:21 548352 ----a-w- c:\program files\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ackpbsc]
2007-05-03 22:51 112640 ----a-w- c:\windows\system32\ackpbsc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\acunlock]
2007-05-03 22:51 281088 ----a-w- c:\program files\ActivIdentity\ActivClient\acunlock.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\DeviceNP]
2007-06-08 13:04 49152 ----a-r- c:\windows\system32\DeviceNP.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OneCard]
2008-05-13 19:39 85504 ----a-r- c:\program files\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\APSHook.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\HPQ\\HP Connection Manager\\SwiApiMux.exe"=
"c:\\WINDOWS\\SMINST\\Scheduler.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\EXCEL.EXE"=
"c:\\Program Files\\CCleaner\\CCleaner.exe"=
"c:\\Program Files\\SUPERAntiSpyware\\RUNSAS.EXE"=
"c:\\Program Files\\SUPERAntiSpyware\\SUPERAntiSpyware.exe"=

R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [12/10/2009 21:24 9968]
R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [12/10/2009 21:24 74480]
R2 accoca;ActivClient Middleware Service;c:\program files\ActivIdentity\ActivClient\accoca.exe [03/05/2007 18:51 182576]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [16/10/2009 12:01 108289]
R2 ASBroker;Courtier de session de connexion;c:\windows\System32\svchost.exe -k Cognizance [14/04/2008 08:00 14336]
R2 ASChannel;Canal de communication local;c:\windows\System32\svchost.exe -k Cognizance [14/04/2008 08:00 14336]
R2 SWIHPWMI;SWIHPWMI;c:\program files\HPQ\Shared\Sierra Wireless\Win32\Unicode\SWIHPWMI.exe [04/12/2006 16:13 292384]
R3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [18/05/2009 00:27 193840]
R3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [12/10/2009 21:24 7408]
S3 DAMDrv;DAMDrv;c:\windows\system32\drivers\DAMDrv.sys [18/05/2009 00:43 30008]
S3 FLCDLOCK;Verrouillage des périphériques / Audition HP ProtectTools;c:\windows\system32\flcdlock.exe [08/06/2007 09:06 172131]
S3 HP24X;HP PC Card Smart Card Reader;c:\windows\system32\drivers\HP24X.sys [17/07/2007 01:24 35072]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Cognizance REG_MULTI_SZ ASBroker ASChannel
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-10-18 19:25 451872 ----a-w- c:\program files\Fichiers communs\LightScribe\LSRunOnce.exe
.
------- Examen supplémentaire -------
.
uSearchURL,(Default) = hxxp://fr.search.yahoo.com/search?fr=mcafee&p=%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
FF - ProfilePath - c:\documents and settings\Manager\Application Data\Mozilla\Firefox\Profiles\n9yu03ds.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr
FF - component: c:\documents and settings\Manager\Application Data\Mozilla\Firefox\Profiles\n9yu03ds.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\bdqscan.dll
FF - plugin: c:\documents and settings\Manager\Application Data\Mozilla\Firefox\Profiles\n9yu03ds.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-11 18:31
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = c:\program files\Hewlett-Packard\Default Settings\cpqset.exe??????????????@? ????`????????@???????@

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(896)
c:\windows\system32\APSHook.dll
c:\program files\SUPERAntiSpyware\SASWINLO.dll
c:\windows\system32\ackpbsc.dll
c:\windows\system32\aclog.dll
c:\windows\system32\ACLIBEAY.dll
c:\windows\system32\acevtsub.dll
c:\windows\system32\asphat32.dll
c:\windows\system32\acerrmes.dll
c:\windows\system32\aspcom.dll
c:\program files\ActivIdentity\ActivClient\Resources\Merged\acerrmrc.dll
c:\program files\ActivIdentity\ActivClient\Resources\Merged\asphatrc.dll
c:\program files\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll
c:\program files\Hewlett-Packard\IAM\bin\ItMsg.dll
c:\windows\System32\BCMLogon.dll
c:\program files\ActivIdentity\ActivClient\acunlock.dll
c:\windows\system32\aipingui.dll
c:\program files\ActivIdentity\ActivClient\Resources\Merged\aipinguirc.dll
c:\program files\ActivIdentity\ActivClient\resources\acCobAPIrc.dll
c:\program files\ActivIdentity\ActivClient\Resources\Merged\acunlockrc.dll
c:\windows\system32\DeviceNP.dll
c:\program files\Hewlett-Packard\IAM\Bin\TrayIcon.dll
c:\program files\Hewlett-Packard\IAM\bin\HPBrand.dll
c:\program files\Hewlett-Packard\IAM\bin\FRA\HPBrand.dll
c:\program files\Hewlett-Packard\IAM\bin\FRA\ItMsg.dll
c:\program files\Hewlett-Packard\IAM\Bin\ASChnl.dll

- - - - - - - > 'lsass.exe'(952)
c:\windows\system32\APSHook.dll
.
Heure de fin: 2009-12-11 18:32:16
ComboFix-quarantined-files.txt 2009-12-11 22:32
ComboFix2.txt 2009-12-09 00:56
ComboFix3.txt 2009-12-07 04:15

Avant-CF: 96 467 025 920 octets libres
Après-CF: 96 432 758 784 octets libres

- - End Of File - - C155DBEFB4463765BDC83FC7F63E71FA

@ plus tard
12 Décembre 2009 08:50:22

Salut,


fait ceci pour contrôler :


Télécharge SysProt ( de swatkat ) sur ton bureau :

http://homepages.slingshot.co.nz/~crutches/SysProt/SysP...


!! Déconnecte toi, ferme toutes tes applications et désactives tes défenses( anti-virus ,anti-spyware,...) le temps de la manipe !!


* double clique sur "SysProt.exe" pour lancer l'outil .

* clique sur l'onglet "log" :

> coche toutes les cases présentes dans l'encadré "Write to log" .

* Puis clique sur le bouton en bas à droite [Create Log] .

* le scan démarre , laisse travailler l'outil ( même si il semble avoir planté ...)

> Au bout d'un moment, une fenêtre va apparaitre : laisse bien "Scan all drives " coché et clique sur [Start] .

> patiente de nouveau ... attends le message de fin indiquant la creation du rapport et clique sur "OK"


* ferme SysProt et poste le rapport "SysProtLog.txt" qui a été sauvegardé sur ton bureau via "Cijoint" ...
12 Décembre 2009 22:29:24

Re,

RAS du côté de sysprot ... :heink: 



sûr que le rootkit est encore là ...


refais tourné Gmer et poste le nouveau rapport obtenu stp ....
12 Décembre 2009 23:43:20

Voici le rapport gmer :

GMER 1.0.15.15272 - http://www.gmer.net
Rootkit scan 2009-12-12 18:39:40
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOCUME~1\Manager\LOCALS~1\Temp\fxtdypog.sys


---- System - GMER 1.0.15 ----

SSDT F7C393CE ZwCreateKey
SSDT F7C393C4 ZwCreateThread
SSDT F7C393D3 ZwDeleteKey
SSDT F7C393DD ZwDeleteValueKey
SSDT F7C393E2 ZwLoadKey
SSDT F7C393B0 ZwOpenProcess
SSDT F7C393B5 ZwOpenThread
SSDT F7C393EC ZwReplaceKey
SSDT F7C393E7 ZwRestoreKey
SSDT F7C393D8 ZwSetValueKey
SSDT \??\C:\Program Files\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xAA3290B0]

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\SMINST\Scheduler.exe[460] USER32.dll!GetSysColor 7E398E78 5 Bytes JMP 0041C110 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[460] USER32.dll!GetSysColorBrush 7E398EAB 5 Bytes JMP 0041C180 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[460] USER32.dll!SetScrollInfo 7E399056 7 Bytes JMP 0041C000 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[460] USER32.dll!GetScrollInfo 7E3ADFE2 7 Bytes JMP 0041BF50 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[460] USER32.dll!ShowScrollBar 7E3AF2F2 5 Bytes JMP 0041C0D0 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[460] USER32.dll!GetScrollPos 7E3AF704 5 Bytes JMP 0041BF90 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[460] USER32.dll!SetScrollPos 7E3AF750 5 Bytes JMP 0041C040 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[460] USER32.dll!GetScrollRange 7E3AF787 5 Bytes JMP 0041BFC0 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[460] USER32.dll!SetScrollRange 7E3AF99B 5 Bytes JMP 0041C080 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[460] USER32.dll!EnableScrollBar 7E3E8005 7 Bytes JMP 0041BF10 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\system32\SearchIndexer.exe[708] kernel32.dll!WriteFile 7C810E27 7 Bytes JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation)
.text C:\WINDOWS\system32\WgaTray.exe[2128] WININET.dll!InternetErrorDlg 77B1DEF9 5 Bytes JMP 0101211B C:\WINDOWS\system32\WgaTray.exe (Windows Genuine Advantage Notification/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

Device \FileSystem\Cdfs \Cdfs DLAIFS_M.SYS (Drive Letter Access Component/Roxio)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys@start 1
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys@type 1
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys@imagepath \systemroot\system32\drivers\UACurqhtpbqxw.sys
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys@group file system
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys\modules (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys\modules@UACd \\?\globalroot\systemroot\system32\drivers\UACurqhtpbqxw.sys
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys\modules@UACc \\?\globalroot\systemroot\system32\UACnoxubqjkvr.dll
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys\modules@uacbbr \\?\globalroot\systemroot\system32\UACndyigqhapu.dll
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys\modules@uacsr \\?\globalroot\systemroot\system32\UACedqmvkalms.dat
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys\modules@uacmal \\?\globalroot\systemroot\system32\UACotmoteppjw.db
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys\modules@uacrem \\?\globalroot\systemroot\system32\UACpyabixsmrs.dll
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys\modules@uacmask \\?\globalroot\systemroot\system32\UACyijnhxdlns.dll
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys\modules@uacserf \\?\globalroot\systemroot\system32\UACymeajbqpkc.dll

---- EOF - GMER 1.0.15 ----

13 Décembre 2009 00:54:49

re,


on va reprendre avec un nouveau script Combo ....


1- Créer un doc texte sur ton bureau :
pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

* Rends toi sur cette page > http://cjoint.com/?mna2imwC1V

* copie/colle tout le texte qui s'y trouve ( et rien d'autre!) dans le fichier texte que tu viens de créer :

* Pour sauvegarder, va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ... ( sauvegarde le bien sur le bureau )


2- Nettoyage :

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

--->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gi... )

Cette manipulation va relancer combofix .

Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

! Ne touches à rien tant que le scan n'est pas terminé !

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

13 Décembre 2009 01:56:25

OK voici le nouveau rapport de COMBO FIX.

Lors du lancement du programme, une mise à jour m'a été proposé et j'ai accepté.

ComboFix 09-12-11.05 - Manager 12/12/2009 20:37:14.4.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1015.470 [GMT -4:00]
Lancé depuis: c:\documents and settings\Manager\Bureau\CFHIXX.exe
Commutateurs utilisés :: c:\documents and settings\Manager\Bureau\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

FILE ::
"c:\windows\system32\drivers\UACd.sys"
"c:\windows\system32\drivers\UACurqhtpbqxw.sys"
"c:\windows\system32\UACedqmvkalms.dat"
"c:\windows\system32\UACndyigqhapu.dll"
"c:\windows\system32\UACnoxubqjkvr.dll"
"c:\windows\system32\UACotmoteppjw.db"
"c:\windows\system32\UACpyabixsmrs.dll"
"c:\windows\system32\UACyijnhxdlns.dll"
"c:\windows\system32\UACymeajbqpkc.dll"
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\VundoFix Backups

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-11-13 au 2009-12-13 ))))))))))))))))))))))))))))))))))))
.

2009-12-07 03:55 . 2009-12-07 04:15 -------- d-----w- C:\CFix
2009-12-07 03:11 . 2009-12-07 03:20 -------- d-----w- C:\UsbFix
2009-12-06 20:15 . 2009-12-06 20:20 -------- d-----w- c:\program files\ZHPDiag
2009-12-06 05:45 . 2009-12-06 05:48 -------- d-----r- c:\documents and settings\LocalService\Mes documents
2009-12-06 04:54 . 2009-12-06 04:55 -------- d-----w- c:\documents and settings\Manager\Application Data\QuickScan
2009-12-06 04:53 . 2009-11-26 21:39 678912 ----a-w- c:\documents and settings\Manager\Application Data\Mozilla\Firefox\Profiles\n9yu03ds.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\bdqscan.dll
2009-12-06 04:53 . 2009-11-26 21:37 768512 ----a-w- c:\documents and settings\Manager\Application Data\Mozilla\Firefox\Profiles\n9yu03ds.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
2009-12-06 00:24 . 2009-12-06 00:24 -------- d-----w- c:\documents and settings\Manager\Application Data\Malwarebytes
2009-12-06 00:24 . 2009-12-03 20:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-06 00:24 . 2009-12-06 00:24 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-12-06 00:24 . 2009-12-06 00:24 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-12-06 00:24 . 2009-12-03 20:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-05 03:31 . 2009-12-05 03:31 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Identities
2009-12-05 03:31 . 2009-12-05 03:31 -------- d-----w- c:\documents and settings\Administrateur\Bluetooth Software
2009-12-05 03:31 . 2009-12-05 03:31 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Windows Desktop Search
2009-12-05 03:31 . 2009-12-05 03:31 -------- d-----w- c:\documents and settings\Administrateur\Application Data\AT&T
2009-12-05 03:31 . 2009-12-05 03:31 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Sierra Wireless
2009-12-05 02:21 . 2009-12-05 02:21 0 ----a-w- c:\windows\nsreg.dat
2009-12-05 02:21 . 2009-12-05 02:21 -------- d-----w- c:\documents and settings\Manager\Local Settings\Application Data\Mozilla
2009-12-05 02:15 . 2009-12-05 02:15 -------- d-----w- c:\program files\CCleaner
2009-12-05 01:44 . 2009-12-05 01:44 117760 ----a-w- c:\documents and settings\Manager\Application Data\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2009-12-05 01:44 . 2009-12-05 01:44 -------- d-----w- c:\documents and settings\All Users\Application Data\SUPERAntiSpyware.com
2009-12-05 01:44 . 2009-12-06 18:10 -------- d-----w- c:\program files\SUPERAntiSpyware
2009-12-05 01:44 . 2009-12-05 01:44 -------- d-----w- c:\documents and settings\Manager\Application Data\SUPERAntiSpyware.com
2009-12-05 01:44 . 2009-12-05 01:44 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-11 01:28 . 2009-10-16 16:01 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-10 03:03 . 2008-04-14 12:00 58814 ----a-w- c:\windows\system32\perfc00C.dat
2009-12-10 03:03 . 2008-04-14 12:00 393574 ----a-w- c:\windows\system32\perfh00C.dat
2009-11-05 20:27 . 2009-05-18 03:53 -------- d-----w- c:\program files\Hewlett-Packard
2009-10-29 19:35 . 2009-10-29 19:34 -------- d-----w- c:\documents and settings\Manager\Application Data\HpUpdate
2009-10-29 05:25 . 2008-04-14 12:00 671232 ------w- c:\windows\system32\wininet.dll
2009-10-21 05:39 . 2008-04-14 12:00 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-21 05:39 . 2008-04-14 12:00 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2008-04-14 12:00 265728 ----a-w- c:\windows\system32\drivers\http.sys
2009-10-16 16:01 . 2009-10-16 16:01 -------- d-----w- c:\program files\Avira
2009-10-16 16:01 . 2009-10-16 16:01 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2009-10-13 10:33 . 2008-04-14 12:00 271360 ----a-w- c:\windows\system32\oakley.dll
2009-10-12 13:39 . 2008-04-14 12:00 79872 ----a-w- c:\windows\system32\raschap.dll
2009-10-12 13:39 . 2008-04-14 12:00 150528 ----a-w- c:\windows\system32\rastls.dll
2009-09-25 05:36 . 2008-04-14 12:00 671232 ----a-w- c:\windows\system32\wininet(3).dll
2009-09-25 05:36 . 2008-04-14 12:00 628736 ----a-w- c:\windows\system32\urlmon(3).dll
2009-09-25 05:36 . 2008-04-14 12:00 81920 ----a-w- c:\windows\system32\ieencode.dll
.

((((((((((((((((((((((((((((( SnapShot@2009-12-07_04.12.35 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-04-14 12:00 . 2009-12-10 03:03 41170 c:\windows\system32\perfc009.dat
- 2008-04-14 12:00 . 2009-06-01 03:58 41170 c:\windows\system32\perfc009.dat
- 2008-04-14 12:00 . 2008-04-14 12:00 75776 c:\windows\system32\dllcache\strmfilt.dll
+ 2008-04-14 12:00 . 2009-10-21 05:39 75776 c:\windows\system32\dllcache\strmfilt.dll
- 2008-04-14 12:00 . 2008-04-14 12:00 79872 c:\windows\system32\dllcache\raschap.dll
+ 2008-04-14 12:00 . 2009-10-12 13:39 79872 c:\windows\system32\dllcache\raschap.dll
+ 2008-04-14 12:00 . 2009-10-21 05:39 25088 c:\windows\system32\dllcache\httpapi.dll
+ 2008-04-14 12:00 . 2009-08-25 09:18 354816 c:\windows\system32\winhttp.dll
- 2008-04-14 12:00 . 2009-09-25 05:36 628736 c:\windows\system32\urlmon.dll
+ 2008-04-14 12:00 . 2009-10-29 05:25 628736 c:\windows\system32\urlmon.dll
+ 2008-04-14 12:00 . 2009-12-10 03:03 314842 c:\windows\system32\perfh009.dat
- 2008-04-14 12:00 . 2009-06-01 03:58 314842 c:\windows\system32\perfh009.dat
+ 2008-04-14 12:00 . 2009-10-29 05:25 671232 c:\windows\system32\dllcache\wininet.dll
- 2008-04-14 12:00 . 2009-09-25 05:36 671232 c:\windows\system32\dllcache\wininet.dll
+ 2008-04-14 12:00 . 2009-08-25 09:18 354816 c:\windows\system32\dllcache\winhttp.dll
- 2008-04-14 12:00 . 2009-09-25 05:36 628736 c:\windows\system32\dllcache\urlmon.dll
+ 2008-04-14 12:00 . 2009-10-29 05:25 628736 c:\windows\system32\dllcache\urlmon.dll
+ 2008-04-14 12:00 . 2009-10-12 13:39 150528 c:\windows\system32\dllcache\rastls.dll
+ 2008-04-14 12:00 . 2009-10-13 10:33 271360 c:\windows\system32\dllcache\oakley.dll
- 2008-04-14 12:00 . 2008-04-14 12:00 271360 c:\windows\system32\dllcache\oakley.dll
+ 2009-10-20 16:20 . 2009-10-20 16:20 265728 c:\windows\system32\dllcache\http.sys
+ 2009-10-20 16:20 . 2009-10-20 16:20 265728 c:\windows\Driver Cache\i386\http.sys
+ 2008-04-14 12:00 . 2009-10-29 05:25 1510400 c:\windows\system32\shdocvw.dll
- 2008-04-14 12:00 . 2009-09-25 05:36 1510400 c:\windows\system32\shdocvw.dll
+ 2008-04-14 12:00 . 2009-10-29 18:55 3091968 c:\windows\system32\mshtml.dll
- 2008-04-14 12:00 . 2009-10-19 23:52 3091968 c:\windows\system32\mshtml.dll
+ 2008-04-14 12:00 . 2009-10-29 05:25 1510400 c:\windows\system32\dllcache\shdocvw.dll
- 2008-04-14 12:00 . 2009-09-25 05:36 1510400 c:\windows\system32\dllcache\shdocvw.dll
- 2008-04-14 12:00 . 2009-10-19 23:52 3091968 c:\windows\system32\dllcache\mshtml.dll
+ 2008-04-14 12:00 . 2009-10-29 18:55 3091968 c:\windows\system32\dllcache\mshtml.dll
+ 2009-07-26 21:35 . 2009-12-01 20:06 25966024 c:\windows\system32\MRT.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LightScribe Control Panel"="c:\program files\Fichiers communs\LightScribe\LightScribeControlPanel.exe" [2007-10-18 455968]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-13 1695232]
"SUPERAntiSpyware"="c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-12-06 2001648]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2007-01-05 872448]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-03-13 141336]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-03-13 173592]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-03-13 142360]
"Cpqset"="c:\program files\Hewlett-Packard\Default Settings\cpqset.exe" [2007-01-02 40960]
"accrdsub"="c:\program files\ActivIdentity\ActivClient\accrdsub.exe" [2007-05-03 293168]
"PTHOSTTR"="c:\program files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE" [2007-01-09 145184]
"AT&T Communication Manager"="c:\program files\AT&T\Communication Manager\ATTCM.exe" [2007-05-26 22528]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-01-18 1028096]
"CognizanceTS"="c:\progra~1\HEWLET~1\IAM\Bin\ASTSVCC.dll" [2003-12-22 17920]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY.exe" [2009-05-18 1945600]
"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-06-03 177456]
"IntelWireless"="c:\program files\Fichiers communs\Intel\WirelessCommon\iFrmewrk.exe" [2008-10-02 1191936]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2008-04-15 488752]
"WatcherHelper"="c:\program files\HPQ\HP Connection Manager\WaHelper.exe" [2007-07-24 120352]
"Recguard"="c:\windows\Sminst\Recguard.exe" [2005-12-20 1187840]
"Reminder"="c:\windows\Creator\Remind_XP.exe" [2006-03-09 806912]
"Scheduler"="c:\windows\SMINST\Scheduler.exe" [2006-10-09 697976]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-2-6 561213]
Windows Search.lnk - c:\program files\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-25 304128]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 19:21 548352 ----a-w- c:\program files\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ackpbsc]
2007-05-03 22:51 112640 ----a-w- c:\windows\system32\ackpbsc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\acunlock]
2007-05-03 22:51 281088 ----a-w- c:\program files\ActivIdentity\ActivClient\acunlock.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\DeviceNP]
2007-06-08 13:04 49152 ----a-r- c:\windows\system32\DeviceNP.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OneCard]
2008-05-13 19:39 85504 ----a-r- c:\program files\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\APSHook.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\HPQ\\HP Connection Manager\\SwiApiMux.exe"=
"c:\\WINDOWS\\SMINST\\Scheduler.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\EXCEL.EXE"=
"c:\\Program Files\\CCleaner\\CCleaner.exe"=
"c:\\Program Files\\SUPERAntiSpyware\\RUNSAS.EXE"=
"c:\\Program Files\\SUPERAntiSpyware\\SUPERAntiSpyware.exe"=

R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [12/10/2009 21:24 9968]
R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [12/10/2009 21:24 74480]
R2 accoca;ActivClient Middleware Service;c:\program files\ActivIdentity\ActivClient\accoca.exe [03/05/2007 18:51 182576]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [16/10/2009 12:01 108289]
R2 ASBroker;Courtier de session de connexion;c:\windows\System32\svchost.exe -k Cognizance [14/04/2008 08:00 14336]
R2 ASChannel;Canal de communication local;c:\windows\System32\svchost.exe -k Cognizance [14/04/2008 08:00 14336]
R2 SWIHPWMI;SWIHPWMI;c:\program files\HPQ\Shared\Sierra Wireless\Win32\Unicode\SWIHPWMI.exe [04/12/2006 16:13 292384]
R3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [18/05/2009 00:27 193840]
R3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [12/10/2009 21:24 7408]
S3 DAMDrv;DAMDrv;c:\windows\system32\drivers\DAMDrv.sys [18/05/2009 00:43 30008]
S3 FLCDLOCK;Verrouillage des périphériques / Audition HP ProtectTools;c:\windows\system32\flcdlock.exe [08/06/2007 09:06 172131]
S3 HP24X;HP PC Card Smart Card Reader;c:\windows\system32\drivers\HP24X.sys [17/07/2007 01:24 35072]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Cognizance REG_MULTI_SZ ASBroker ASChannel
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-10-18 19:25 451872 ----a-w- c:\program files\Fichiers communs\LightScribe\LSRunOnce.exe
.
------- Examen supplémentaire -------
.
uSearchURL,(Default) = hxxp://fr.search.yahoo.com/search?fr=mcafee&p=%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
FF - ProfilePath - c:\documents and settings\Manager\Application Data\Mozilla\Firefox\Profiles\n9yu03ds.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr
FF - component: c:\documents and settings\Manager\Application Data\Mozilla\Firefox\Profiles\n9yu03ds.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\bdqscan.dll
FF - plugin: c:\documents and settings\Manager\Application Data\Mozilla\Firefox\Profiles\n9yu03ds.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-12 20:43
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = c:\program files\Hewlett-Packard\Default Settings\cpqset.exe??????????????@? ???hG????????@???????@

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(892)
c:\program files\SUPERAntiSpyware\SASWINLO.dll
c:\windows\system32\ackpbsc.dll
c:\windows\system32\aclog.dll
c:\windows\system32\ACLIBEAY.dll
c:\windows\system32\acevtsub.dll
c:\windows\system32\asphat32.dll
c:\windows\system32\acerrmes.dll
c:\windows\system32\aspcom.dll
c:\program files\ActivIdentity\ActivClient\Resources\Merged\acerrmrc.dll
c:\program files\ActivIdentity\ActivClient\Resources\Merged\asphatrc.dll
c:\program files\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll
c:\program files\Hewlett-Packard\IAM\bin\ItMsg.dll
c:\windows\System32\BCMLogon.dll
c:\program files\ActivIdentity\ActivClient\acunlock.dll
c:\windows\system32\aipingui.dll
c:\program files\ActivIdentity\ActivClient\Resources\Merged\aipinguirc.dll
c:\program files\ActivIdentity\ActivClient\resources\acCobAPIrc.dll
c:\program files\ActivIdentity\ActivClient\Resources\Merged\acunlockrc.dll
c:\windows\system32\DeviceNP.dll
c:\program files\Hewlett-Packard\IAM\Bin\TrayIcon.dll
c:\program files\Hewlett-Packard\IAM\bin\HPBrand.dll
c:\program files\Hewlett-Packard\IAM\bin\FRA\HPBrand.dll
c:\program files\Hewlett-Packard\IAM\bin\FRA\ItMsg.dll
c:\program files\Hewlett-Packard\IAM\Bin\ASChnl.dll

- - - - - - - > 'explorer.exe'(3148)
c:\windows\system32\APSHook.dll
c:\program files\Windows Desktop Search\deskbar.dll
c:\program files\Windows Desktop Search\fr-fr\dbres.dll.mui
c:\program files\Windows Desktop Search\dbres.dll
c:\program files\Windows Desktop Search\wordwheel.dll
c:\program files\Windows Desktop Search\fr-fr\msnlExtRes.dll.mui
c:\program files\Windows Desktop Search\msnlExtRes.dll
c:\windows\system32\btmmhook.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\program files\Roxio\Drag-to-Disc\Shellex.dll
c:\program files\Fichiers communs\Roxio Shared\9.0\DLLShared\DLAAPI_W.DLL
c:\program files\Roxio\Drag-to-Disc\ShellRes.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\program files\Intel\WiFi\bin\S24EvMon.exe
c:\program files\ActivIdentity\ActivClient\acevents.exe
c:\windows\System32\WLTRYSVC.EXE
c:\windows\System32\bcmwltry.exe
c:\windows\System32\SCardSvr.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\windows\system32\agrsmsvc.exe
c:\documents and settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S40RP7.EXE
c:\program files\Intel\WiFi\bin\EvtEng.exe
c:\program files\Borland\InterBase\bin\IBGUARD.EXE
c:\program files\Borland\InterBase\bin\IBSERVER.EXE
c:\program files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
c:\program files\Fichiers communs\LightScribe\LSSrvc.exe
c:\program files\Fichiers communs\Intel\WirelessCommon\RegSrvc.exe
c:\windows\system32\SearchIndexer.exe
c:\windows\system32\WgaTray.exe
c:\program files\Hewlett-Packard\IAM\bin\asghost.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\ActivIdentity\ActivClient\acevents.exe
c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\Hewlett-Packard\Shared\HpqToaster.exe
c:\progra~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2009-12-12 20:45:41 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-12-13 00:45
ComboFix2.txt 2009-12-11 22:32
ComboFix3.txt 2009-12-09 00:56
ComboFix4.txt 2009-12-07 04:15

Avant-CF: 96 441 659 392 octets libres
Après-CF: 96 408 670 208 octets libres

- - End Of File - - E4923C2077D01AFD998674800426F852
13 Décembre 2009 08:57:29

re,

décidement , il s'accroche ... :fou: 


on va faire autrement :



Telecharge AVZ > http://z-oleg.com/avz4.zip
*extrait le contenu de l'archive sur ton sur ton bureau

! ferme toutes applications en cours !

*ouvre le dossier AVZ4
*double clique sur "avz.exe"
*clique sur file (en haut à gauche)
*dans la liste choisis Custom scripts
*dans le carré qui apparait colle ce qui est en gras ci-dessous


var
service, driverfile, AvzDir : string;

begin
AvzDir:=GetAVZDirectory;
service:=('UACd.sys');
driverfile:=('UACurqhtpbqxw.sys');
ShowMessage('Wichtig! Beende alle Programme, bevor du auf Okay klickst und das Skript startest! Windows wird automatisch neustarten.');
SearchRootKit(true,true);
SetAVZGuardStatus(true);
DeleteFile('\\?\globalroot\systemroot\system32\UACurqhtpbqxw.sys');
DeleteFile('\\?\globalroot\systemroot\system32\UACnoxubqjkvr.dll');
DeleteFile('\\?\globalroot\systemroot\system32\UACndyigqhapu.dll');
DeleteFile('\\?\globalroot\systemroot\system32\UACedqmvkalms.dat');
DeleteFile('\\?\globalroot\systemroot\system32\UACotmoteppjw.db');
DeleteFile('\\?\globalroot\systemroot\system32\UACpyabixsmrs.dll');
DeleteFile('\\?\globalroot\systemroot\system32\UACyijnhxdlns.dll');
DeleteFile('\\?\globalroot\systemroot\system32\UACymeajbqpkc.dll');
BC_QrFile('%System32%\Drivers\'+driverfile);
BC_DeleteSvc(service);
BC_LogFile(AvzDir + 'AvzBootCleaner.log');
BC_Activate;
RebootWindows(true);
end.



*puis clique sur Run
> valide le message ... ton PC va redémarrer !

> une fois redémarrer ouvre le dossier AVZ4
poste le contenu de AvzBootCleaner.log

13 Décembre 2009 16:36:43

Hello

L'opération avec AVZ4 a été faite. Je ne sais pas si l'infection est toujours là, mais maintenant le pointeur de la souris se déplace normalement. Voici le rapport :

Quarantine path: \??\C:\Documents and Settings\Manager\Bureau\avz4\Quarantine\2009-12-13\
QuarantineFile \??\C:\WINDOWS\system32\Drivers\UACurqhtpbqxw.sys - failed (0xC0000034)
Delete Service & File UACd.sys - succeeded
-- End --

@ plus tard
13 Décembre 2009 17:40:44

re,

Citation :
Delete Service & File UACd.sys - succeeded


c'est plutôt bon signe ...


1- refait un coup de CCleaner ( registre compris )

==========

2- refait tourné Gmer et poste le nouveau rapport obtenu ...
13 Décembre 2009 18:56:46

OK pour CCLEANER ET GMER, voici le rapport :

GMER 1.0.15.15272 - http://www.gmer.net
Rootkit scan 2009-12-13 13:53:41
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOCUME~1\Manager\LOCALS~1\Temp\fxtdypog.sys


---- System - GMER 1.0.15 ----

SSDT F7D0CDB6 ZwCreateKey
SSDT F7D0CDAC ZwCreateThread
SSDT F7D0CDBB ZwDeleteKey
SSDT F7D0CDC5 ZwDeleteValueKey
SSDT F7D0CDCA ZwLoadKey
SSDT F7D0CD98 ZwOpenProcess
SSDT F7D0CD9D ZwOpenThread
SSDT F7D0CDD4 ZwReplaceKey
SSDT F7D0CDCF ZwRestoreKey
SSDT F7D0CDC0 ZwSetValueKey
SSDT \??\C:\Program Files\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xAA30B0B0]

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\SMINST\Scheduler.exe[756] USER32.dll!GetSysColor 7E398E78 5 Bytes JMP 0041C110 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[756] USER32.dll!GetSysColorBrush 7E398EAB 5 Bytes JMP 0041C180 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[756] USER32.dll!SetScrollInfo 7E399056 7 Bytes JMP 0041C000 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[756] USER32.dll!GetScrollInfo 7E3ADFE2 7 Bytes JMP 0041BF50 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[756] USER32.dll!ShowScrollBar 7E3AF2F2 5 Bytes JMP 0041C0D0 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[756] USER32.dll!GetScrollPos 7E3AF704 5 Bytes JMP 0041BF90 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[756] USER32.dll!SetScrollPos 7E3AF750 5 Bytes JMP 0041C040 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[756] USER32.dll!GetScrollRange 7E3AF787 5 Bytes JMP 0041BFC0 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[756] USER32.dll!SetScrollRange 7E3AF99B 5 Bytes JMP 0041C080 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\SMINST\Scheduler.exe[756] USER32.dll!EnableScrollBar 7E3E8005 7 Bytes JMP 0041BF10 C:\WINDOWS\SMINST\Scheduler.exe
.text C:\WINDOWS\system32\WgaTray.exe[1304] WININET.dll!InternetErrorDlg 77B1DEF9 5 Bytes JMP 0101211B C:\WINDOWS\system32\WgaTray.exe (Windows Genuine Advantage Notification/Microsoft Corporation)
.text C:\WINDOWS\system32\SearchIndexer.exe[2076] kernel32.dll!WriteFile 7C810E27 7 Bytes JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

Device \FileSystem\Cdfs \Cdfs DLAIFS_M.SYS (Drive Letter Access Component/Roxio)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys@start 1
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys@type 1
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys@imagepath \systemroot\system32\drivers\UACurqhtpbqxw.sys
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys@group file system
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys\modules (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys\modules@UACd \\?\globalroot\systemroot\system32\drivers\UACurqhtpbqxw.sys
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys\modules@UACc \\?\globalroot\systemroot\system32\UACnoxubqjkvr.dll
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys\modules@uacbbr \\?\globalroot\systemroot\system32\UACndyigqhapu.dll
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys\modules@uacsr \\?\globalroot\systemroot\system32\UACedqmvkalms.dat
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys\modules@uacmal \\?\globalroot\systemroot\system32\UACotmoteppjw.db
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys\modules@uacrem \\?\globalroot\systemroot\system32\UACpyabixsmrs.dll
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys\modules@uacmask \\?\globalroot\systemroot\system32\UACyijnhxdlns.dll
Reg HKLM\SYSTEM\ControlSet001\Services\UACd.sys\modules@uacserf \\?\globalroot\systemroot\system32\UACymeajbqpkc.dll

---- EOF - GMER 1.0.15 ----
13 Décembre 2009 19:31:50

arg ... !!!


toujours là !.... :cry: 



Télécharge OAD ( de !aur3n7) : http://sosvirus.changelog.fr/OAD.exe
--> Enregistre le sur ton bureau .

Double clique sur l'icone OAD pour le lancer

- nom du fichier à rechercher :
--> tape ou fais un copier coller de :

UACd puis tape sur [entrée]

- Type de recherche : sélectionne l' option 6 puis valide ["entrée"]

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ait terminé.
Le rapport de recherche s'affichera automatiquement à l’écran dès qu'il aura terminé.

Note : suivant la taille des disques durs cette recherche peut prendre plusieurs minutes. Sois patient ...

-> Sauvegarde ce rapport sur ton bureau et fais un copier / coller de celui-ci dans ta prochaine réponse ...


Puis recommence avec :

UACurqhtpbqxw


poste donc les deux rapports obtenu ...


13 Décembre 2009 20:03:19

:(  Coriace ce truc. Ci joint les résultats OAD :

13/12/2009 ---- 14:53:46,57

----------------------------------
§§§§§§ [UACd] §§§§§§
----------------------------------
[X] Registre
[ ] Fichier (rapide)
[ ] Fichier (disque systeme)
[X] Fichier (complete)




********************
[Registre]
********************


[HKEY_LOCAL_MACHINE\SOFTWARE\SUPERAntiSpyware.com\SUPERAntiSpyware\InUseRegistry\RegItem0]
"SubKey"="SYSTEM\\CurrentControlSet\\Services\\uacd.sys"

[HKEY_LOCAL_MACHINE\SOFTWARE\SUPERAntiSpyware.com\SUPERAntiSpyware\InUseRegistry\RegItem1]
"SubKey"="SYSTEM\\CurrentControlSet\\Services\\uacd.sys"

[HKEY_LOCAL_MACHINE\SOFTWARE\SUPERAntiSpyware.com\SUPERAntiSpyware\InUseRegistry\RegItem10]
"SubKey"="SYSTEM\\CurrentControlSet\\Services\\uacd.sys\\modules"

[HKEY_LOCAL_MACHINE\SOFTWARE\SUPERAntiSpyware.com\SUPERAntiSpyware\InUseRegistry\RegItem11]
"SubKey"="SYSTEM\\CurrentControlSet\\Services\\uacd.sys\\modules"

[HKEY_LOCAL_MACHINE\SOFTWARE\SUPERAntiSpyware.com\SUPERAntiSpyware\InUseRegistry\RegItem12]
"SubKey"="SYSTEM\\CurrentControlSet\\Services\\uacd.sys\\modules"

[HKEY_LOCAL_MACHINE\SOFTWARE\SUPERAntiSpyware.com\SUPERAntiSpyware\InUseRegistry\RegItem13]
"SubKey"="SYSTEM\\CurrentControlSet\\Services\\uacd.sys\\modules"

[HKEY_LOCAL_MACHINE\SOFTWARE\SUPERAntiSpyware.com\SUPERAntiSpyware\InUseRegistry\RegItem2]
"SubKey"="SYSTEM\\CurrentControlSet\\Services\\uacd.sys"

[HKEY_LOCAL_MACHINE\SOFTWARE\SUPERAntiSpyware.com\SUPERAntiSpyware\InUseRegistry\RegItem3]
"SubKey"="SYSTEM\\CurrentControlSet\\Services\\uacd.sys"

[HKEY_LOCAL_MACHINE\SOFTWARE\SUPERAntiSpyware.com\SUPERAntiSpyware\InUseRegistry\RegItem4]
"SubKey"="SYSTEM\\CurrentControlSet\\Services\\uacd.sys"

[HKEY_LOCAL_MACHINE\SOFTWARE\SUPERAntiSpyware.com\SUPERAntiSpyware\InUseRegistry\RegItem5]
"SubKey"="SYSTEM\\CurrentControlSet\\Services\\uacd.sys\\modules"

[HKEY_LOCAL_MACHINE\SOFTWARE\SUPERAntiSpyware.com\SUPERAntiSpyware\InUseRegistry\RegItem6]
"SubKey"="SYSTEM\\CurrentControlSet\\Services\\uacd.sys\\modules"

[HKEY_LOCAL_MACHINE\SOFTWARE\SUPERAntiSpyware.com\SUPERAntiSpyware\InUseRegistry\RegItem6]
"Value"="UACd"

[HKEY_LOCAL_MACHINE\SOFTWARE\SUPERAntiSpyware.com\SUPERAntiSpyware\InUseRegistry\RegItem7]
"SubKey"="SYSTEM\\CurrentControlSet\\Services\\uacd.sys\\modules"

[HKEY_LOCAL_MACHINE\SOFTWARE\SUPERAntiSpyware.com\SUPERAntiSpyware\InUseRegistry\RegItem8]
"SubKey"="SYSTEM\\CurrentControlSet\\Services\\uacd.sys\\modules"

[HKEY_LOCAL_MACHINE\SOFTWARE\SUPERAntiSpyware.com\SUPERAntiSpyware\InUseRegistry\RegItem9]
"SubKey"="SYSTEM\\CurrentControlSet\\Services\\uacd.sys\\modules"

*******************
[Fichier]
*******************



*********************
[Même date]
*********************

Aucun fichier créé à la même date détecté


----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------


et le 2ème rapport :

13/12/2009 ---- 14:56:58,39

----------------------------------
§§§§§§ [UACurqhtpbqxw] §§§§§§
----------------------------------
[X] Registre
[ ] Fichier (rapide)
[ ] Fichier (disque systeme)
[X] Fichier (complete)




********************
[Registre]
********************

Aucune entrée détectée

*******************
[Fichier]
*******************



*********************
[Même date]
*********************

Aucun fichier créé à la même date détecté


----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------


13 Décembre 2009 20:26:21

bien ...


on va essayer ainsi :


Télécharge OTM (de Old_Timer) sur ton bureau :

http://oldtimer.geekstogo.com/OTM.exe


Double clique sur "OTM.exe" pour ouvrir le prg .

* Ensuite rends toi sur cette page > http://cjoint.com/?mnuAiZxcRy

* Puis copie tout le texte qui s' y trouve et colle le dans le cadre de gauche de OTM ( Paste Instructions for items to be moved ).
Ne touche à rien d'autre !

! Déconnecte toi et ferme toutes tes applications en cours ( navigateurs compris ) !

-> clique sur MoveIt! pour lancer le nettoyage .

-> laisse travailler l'outil ...

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

Ton PC va redémarrer de lui même pour finir la suppression ...

Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

--> Poste le contenu du rapport qui se trouve dans le dossier " C:\_OTM\<gras>MovedFiles "
( c'est " xxxx2009_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).


13 Décembre 2009 21:14:57

J'ai exécuté tes instructions..ça fait maintenant 10 minutes et l'ordinateur n'arrête pas de redémarrer. On voit le logo windows puis un fond d'écran bleu avec quelques lignes et ça redémarre.
C'est normal ?
13 Décembre 2009 23:22:21

re,

la bête ne se laisse pas faire ... [:choupinettelover:3]



essaye de redémarrarer en mode sans échec avec prise en charge du réseau .


/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

Comment aller en Mode sans échec :
1) Redémarre ton ordi .
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
4) Choisis la première option : sans Échec avec prise en charge du réseau , et valide en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ).



dis moi si tu es arrivé dans ce mode et si le PC est stable ....


13 Décembre 2009 23:43:26

Non, j'ai essayé 2 fois ce mode sans échec avec prise en charge réseau mais le PC a redémarré et ça continue. Lors du choix du système d'exploitation il me propose Windows XP Pro ou Windows RECOVERY CONSOLE. J'ai choisi windows XP PRO.

13 Décembre 2009 23:58:00

re,

on va réparrer cela en consôle de récupe ... donc au prochain démarrage tu choisis "Windows RECOVERY CONSOLE"

suis cette manipe > http://www.pcastuces.com/pratique/windows/xp/console_re...

dis moi ci cela à fonctionner et si tu es arrivé au bureau de Windows normalement ...



A demain ... ;) 
14 Décembre 2009 01:00:48

Tes instructions ont été appliquées mais j’ai certainement fait de fausses manipulations …
J’ai eu comme message après avoir tapé attrib etc… :
Nombre d’installations de windows reconnues : 2
[1] : C:\WINDOWS
Ajouter l’installation à la liste des options de démarrage ? (Oui/Non /Tout) :
J’ai mis T
Et j’ai eu le message suivant :
Entrez l’identificateur de chargement :
J’ai tapé exit
Et une autre question est apparue mais je ne m’en souviens plus
La même question m’a été reposée et la même réponse a été faite ensuite j’ai vu [1] : C:\WINDOWS
Exit de nouveau et quand l’ordi a redémarré j’avais le choix pour les systèmes d’exploitation entre :
Exit
Exit
Windows Recovery console
Windows XP PRO
Le redémarrage s’est fait sur exit du coup j’ai recommence la manip avec attrib etc…
Et j’ai répondu non 2 fois à la question Ajouter l’installation à la liste des options de démarrage
Maintenant lorsque je choisis l’option mode sans échec avec prise en charge réseau, l’ordi me propose Windows <par défaut>
Et ça redémarre comme tout à l’heure incessamment
Si tu peux me sauver… l’ordinateur devra être disponible au plus tard le 15 décembre 09
@ plus tard
14 Décembre 2009 01:30:42

Citation :
l'ordinateur devra être disponible au plus tard le 15 décembre 09


Plus exactement s'il était réparé à cette date ce serait bien sinon tant pis.

Merci pour ton aide... car cette infection semble complexe.

@ +
14 Décembre 2009 19:42:06

hello,


recommence la manipe du départ ,

au moment ou tu as cette question : Nombre d’installations de windows reconnues : 2 , qu'y a t il d'autre d'indiqué ?



14 Décembre 2009 23:44:51

Salut

Je ne peux pas recommencer cette manip car windows recovery console n'apparait plus dans le menu.
Je vois seulement windows par défaut
15 Décembre 2009 19:24:41

hello,


As tu le cd original de Windows ?
15 Décembre 2009 21:31:15

Salut,

Je ne l'ai pas. A l'origine VISTA était installé sur cet ordi et on a mis à la place win xp pro pack office 3 afin de pouvoir utiliser un logiciel. J'ai seulement le cd pour installer win xp pro pack office 2
15 Décembre 2009 21:39:49

re,

Citation :
J'ai seulement le cd pour installer win xp pro pack office 2



arf ... ces OS modifiés ...

on va tenter une réparration avec ce CD ...

suit cette astuce > http://www.informatruc.com/reparer.php




A demain en espérant que cela est fonctionné ....
16 Décembre 2009 07:13:00

Salut

J’ai suivi le tutoriel en insérant un cd contenant windows xp SP3 (créé avec le logiciel nlite et le windows xp sp3 téléchargé)

Cependant par rapport à la 2ème partie du tuto les choix proposés étaient différents :
Installer Windows en appuyant sur ENTREE
Réparer ou récupérer une installation de windows XP
Quitter le programme d’installation.en appuyant sur F3
Lorsque j’ai choisi l’installer windows, il m’a été proposé ensuite de l’installer sur l’une des partitions C : WINDOWS XP D : WINDOWS RECOVERY ou E :( j’ai oublié ce qui était écrit)
Ou de créer une partition ou en supprimer une. Alors j’ai quitté l’installation pour recommencer cette manip et là…
J’ai choisi la réparation et…voici ce qui s’est passé
La console de récupération m’a demandé sur quelle installation de windows XP je voulais ouvrir une session :
1 : C:\WINDOWS
2 : D:\Windows (Windows RECOVERY, il faut un mot de passe administrateur pour cette session et je ne l’ai pas)

J’ai recommencé la manip et j’ai eu comme message :

Nombre d’installations de windows reconnues : 2
[1] : C:\WINDOWS
Ajouter l’installation à la liste des options de démarrage ? (Oui/Non /Tout) :
Si je réponds oui, l’ordi me demande :
Entrez l’identificateur de chargement :
J’ai tapé WINDOWS XP
Le message suivant est apparu :
Entrez les options de chargement du système d’exploitation :
J’ai appuyé sur ENTREE
Ensuite l’ordi a affiché :
[1] : D:\WINDOWS
Ajouter l’installation à la liste des options de démarrage ? (Oui/Non /Tout) :
Oui
Entrez l’identificateur de chargement :
WINDOWS RECOVERY
Entrez les options de chargement du système d’exploitation :
J’ai appuyé sur ENTREE

Ensuite il m’a fallu choisir le système d’exploitation
Avec WINDOWS RECOVERY l’ordi me dit :
Windows n’a pas pu démarrer car le fichier suivant est manquant ou endommagé : <Racine Windows>\system32\hal.dll.
Veuillez réinstaller une copie du fichier ci-dessus.
Avec WINDOWS XP, c’est le même problème qu’au départ.
Je vois le logo WINDOWS ensuite écran bleu avec quelques lignes inscrites que je n’ai pas le temps de lire et l’ordinateur redémarre

J’ai recommencé la manip pour réparer XP et cette fois ci j’ai choisi installer windows XP.
L’ordi m’a proposé alors de d’installer windows XP sur le C : WINDOWS WINDOWS XP ou de le réparer ce que j’ai choisi de faire. Les 2 autres partitions n’ont pas été proposées
Mais même après la réparation le problème demeure :cry: 

@ plus tard
16 Décembre 2009 14:40:50

Salut

Y a t'il un moyen pour récupérer les fichiers word et excel du dossier mes documents ?

Peut on démarrer le portable à partir d'un disque dur externe contenant win xp ?

@ plus
16 Décembre 2009 21:32:19

salut,


Citation :
Y a t'il un moyen pour récupérer les fichiers word et excel du dossier mes documents ?



oui c'est possible ... car le formatage semble inévitable ...


pour récupéré tes doc perso , il faut utilisé un CD Live Linux ... voici deux tutos pour te guider dans cette opération ( choisis l'un ou l'autre ) :

> http://www.commentcamarche.net/faq/sujet-4883-knoppix-u...
> http://www.malekal.com/RecuperationDonnees.php


si tu recontres des difficultés , n'hésite pas à m'en faire part ...


tiens moi au courant ....


bon courage et à demain .... :D 


16 Décembre 2009 23:16:32

Salut
Finalement j'ai enlevé le disque dur du portable pour le brancher en externe sur l'unité centrale. Toutes les données dont j'avais besoin ont pu être récupérées.
Au passage la commande CHKDSK /R a été exécutée sur les deux partitions principales et l'antivirus MICROSOFT SECURITY ESSENTIALS a supprimé le virus WIN32/Alureon.A qui était dans un dossier Qoobox.
Faudra t'il que je formate le disque dur ou peut-on encore récupérer WIN XP ?

@ PLUS TARD
17 Décembre 2009 21:21:11

Salut,


Citation :
Faudra t'il que je formate le disque dur ou peut-on encore récupérer WIN XP ?


le formatage est plus que conseillé , surtout si tu as pu récupérer tes données perso ...


le probleme avec ce type d'infection ,c'est qu'elle peut se propager par les port USB ...

il se serait donc judicieux de contrôler cette unité centrale avec un rapport ZHPDiag et un rapport GMER ...



18 Décembre 2009 06:22:12

Salut

OK pour le formatage je le ferai ce week end.
Voici les liens pour les rapports Zphdiag effectués sur l'unité centrale

1er rapport :

http://www.cijoint.fr/cjlink.php?file=cj200912/cijeXkEQ...

et le 2ème :

http://www.cijoint.fr/cjlink.php?file=cj200912/cijdmorl...

Lorsque j'ai voulu lancer gmer.exe l'application s'est ouverte puis s'est refermée, et l'ordinateur semblait bloqué. Il a été éteint en appuyant sur le bouton de mise sous tension.

@ plus tard

18 Décembre 2009 09:51:43

salut,


pas normal que GMER ne passe pas ... :( 

je vois que tu as utilisé UsbFix sur ce PC , poste moi ce rapport stp > C:\UsbFix.txt


commence par ceci dans l'ordre :


1- Important :
Désactive le "tea timer" de Spybot S&D en t'aidant de ce tuto animé (merci Balltrap ;)  ) :
http://perso.orange.fr/rginformatique/section%20virus/d...
( sur la 1er image , clique sur "tea timer" pour lancer l'animation ).

ou de celui-ci > http://www.genproc.com/spybot/spybot.html

En effet , il risque de géner dans le bon déroulement des outils de désinfections et dans la répartion du registre ...

Tu le réactiveras une fois qu'on aura finit de désinfecter ( et pas avant ! ) .
/!\ Mais attention :
à ce moment là, le " TeaTimer " de Spybot proposera, par le biais de plusieurs pop-up, d'accepter ou non des modifications de registre ( survenuent lors de la désinfection )
-> il faudra alors les accepter toutes sans exeptions !

Puis part la suite , il faudra rester vigilant lorsque le "TeaTimer" donnera des alertes : accepter une modification uniquement si on en connait la provenance .

Une fois ceci fait ( et pas avant ) , tu enchaines ...

==============

2- Supprime GMER et recommence la manipe en le téléchargent ici > http://cjoint.com/?msjXXCz47h

( il est préalablement renomé en "gske_.....exe" )

désactive COMODO le temps de la manipe .

=============

3- Utilise Malwarebytes ainsi :

mets le à jour ! ( onglet "mise à jour" ).


! Déconnecte toi et ferme toutes applications en cours !

* Lance 'Malwarebytes' .

Fais un examen dit " RAPIDE " .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur "suppression".

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...

18 Décembre 2009 21:12:29

Salut,

OK Je t'enverrai le rapport USBFIX.
Pour infos lors du scan il est resté bloqué un moment sur un processus nommé yong.exe.

J'aimerais savoir, si lors du formatage du disque dur de l'ordi portable à partir de l'unité centrale, le virus peut l'infecter.

@ plus tard
18 Décembre 2009 22:01:00

Salut,


Citation :
J'aimerais savoir, si lors du formatage du disque dur de l'ordi portable à partir de l'unité centrale, le virus peut l'infecter.


possible ...


on va d'abors nettoyer l'unité centrale ... poste le rapport UsbFix que tu as obtenu et fais le reste pour le moment.

:) 
19 Décembre 2009 01:03:39

Re salut

Voici le rapport USBFix :


############################## | UsbFix V6.060 |

User : patrice (Administrateurs) # PATOU
Update on 09/12/2009 by Chiquitine29, C_XX & Chimay8
Start at: 20:22:11 | 09/12/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Processeur Intel Pentium III Xeon
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]
FW : COMODO Firewall[ (!) Disabled ]3.5

C:\ -> Disque fixe local # 232,88 Go (85,34 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque fixe local # 38,29 Go (18,78 Go free) # NTFS
F:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM
H:\ -> Disque CD-ROM
I:\ -> Disque fixe local # 149,01 Go (40,31 Go free) [160GO] # FAT32
J:\ -> Disque fixe local # 149,05 Go (7,88 Go free) # NTFS

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 748
C:\WINDOWS\system32\csrss.exe 980
C:\WINDOWS\system32\winlogon.exe 1004
C:\WINDOWS\system32\services.exe 1052
C:\WINDOWS\system32\lsass.exe 1064
C:\WINDOWS\system32\svchost.exe 1252
C:\WINDOWS\system32\logonui.exe 1320
C:\WINDOWS\system32\svchost.exe 1372
C:\Program Files\COMODO\Firewall\cmdagent.exe 1428
C:\WINDOWS\system32\svchost.exe 1452
C:\WINDOWS\System32\svchost.exe 1536
C:\WINDOWS\System32\svchost.exe 1676
C:\WINDOWS\system32\spoolsv.exe 1868
C:\Program Files\Avira\AntiVir Desktop\sched.exe 1916
C:\Program Files\Avira\AntiVir Desktop\avguard.exe 1932
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe 572
C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe 608
C:\Program Files\Java\jre6\bin\jqs.exe 640
C:\WINDOWS\system32\nvsvc32.exe 632
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe 740
C:\WINDOWS\system32\wdfmgr.exe 800
C:\WINDOWS\System32\alg.exe 1616
C:\WINDOWS\System32\wbem\wmiapsrv.exe 2180
C:\WINDOWS\System32\wbem\wmiprvse.exe 2204
C:\WINDOWS\System32\wbem\wmiprvse.exe 2244
C:\WINDOWS\system32\userinit.exe 2484
C:\WINDOWS\Explorer.EXE 2604
C:\WINDOWS\system32\wscntfy.exe 2820

################## | Fichiers # Dossiers infectieux |

C:\autorun.inf -> fichier appelé : "C:\hjvjte.exe" ( Absent ! )
Supprimé ! C:\autorun.inf
Supprimé ! C:\Recycler\S-1-5-21-1644491937-725345543-839522115-1003
E:\autorun.inf -> fichier appelé : "E:\hjvjte.exe" ( Absent ! )
Supprimé ! E:\autorun.inf
Supprimé ! E:\Recycler\S-1-5-21-1644491937-725345543-839522115-1003
Supprimé ! J:\$Recycle.Bin\S-1-5-21-1779953184-3997509836-3201044975-1000
Supprimé ! J:\$Recycle.Bin\S-1-5-21-1899455402-2524791646-3151743700-1000
Non supprimé ! J:\Recycler\S-1-5-21-1177238915-1547161642-839522115-1003
Supprimé ! J:\Recycler\S-1-5-21-2025429265-1644491937-682003330-500
Supprimé ! J:\Recycler\S-1-5-21-299502267-2025429265-725345543-1003
Supprimé ! J:\Recycler\S-1-5-21-410642671-2484168915-3620261101-1006
Supprimé ! J:\Recycler\S-1-5-21-448539723-1592454029-725345543-1003
Supprimé ! J:\Recycler\S-1-5-21-583907252-527237240-725345543-1395
Supprimé ! J:\Recycler\S-1-5-21-583907252-789336058-839522115-1003
Supprimé ! J:\Recycler\S-1-5-21-634643714-4248067262-1032276755-500
Supprimé ! J:\Recycler\S-1-5-21-746137067-854245398-839522115-1003
Supprimé ! J:\Recycler\S-1-5-21-815701325-2200097017-264849860-1006
Supprimé ! J:\Recycler\S-1-5-21-823518204-1801674531-725345543-1003

################## | Spyware.OnlineGames |


################## | Registre # Clés infectieuses |


################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{3f070858-f985-11dd-8078-0019700cac13}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{631f2b5c-d163-11dd-803a-0019700cac13}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{a372df9a-ba4d-11de-af2c-0019700cac13}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{b037dd93-4faa-11dd-b99f-c24ae682606a}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[10/10/2009 12:20|--a------|36676] C:\astrocyc.log
[11/07/2008 20:32|--a------|0] C:\AUTOEXEC.BAT
[07/03/2009 15:53|-rahs----|212] C:\boot.ini
[28/08/2001 06:00|-rahs----|4952] C:\Bootfont.bin
[11/07/2008 20:32|--a------|0] C:\CONFIG.SYS
[12/07/2008 20:49|--a------|1230] C:\install_comp.txt
[11/07/2008 20:32|-rahs----|0] C:\IO.SYS
[11/07/2008 20:32|-rahs----|0] C:\MSDOS.SYS
[11/07/2008 21:10|-rahs----|47564] C:\NTDETECT.COM
[11/07/2008 21:10|-rahs----|251712] C:\ntldr
[?|?|?] C:\pagefile.sys
[10/10/2009 12:21|--a------|13030] C:\PDOXUSRS.NET
[11/07/2008 21:31|--a------|581] C:\RHDSetup.log
[09/12/2009 20:19|--a------|530] C:\RTHDCPL_Dump.txt
[09/12/2009 20:26|--a------|4786] C:\UsbFix.txt
[15/09/2004 01:37|--a------|731658240] I:\In Hell.avi
[28/04/2008 10:03|--a------|3858312] I:\MSFMTINST250.exe
[28/04/2008 10:22|--a------|2168832] I:\DVshared_lib_2301_06221.exe
[23/01/2000 15:03|--a------|2046309] I:\kuduro - chilili.mp3
[07/03/2009 15:11|--ahs----|29696] I:\Thumbs.db
[21/08/2008 10:53|--a------|10921588] I:\Inconnu-Accorde moi.mp3
[08/10/2009 18:06|--a------|4750681] I:\Nathalie Perroni - Emmene moi.mp3
[18/09/2008 22:41|--a------|733587456] I:\No Country For Old Men.avi
[22/08/2009 23:02|--a------|754933760] I:\Notorious B.I.G.avi
[03/06/2007 09:44|--a------|733943808] I:\2h37 PM.avi
[20/03/2002 08:12|--a------|706494464] I:\100 Girls.avi
[16/11/2005 05:33|--a------|613987170] I:\Biguine.avi
[08/10/2007 01:12|--a------|311296] I:\Les plus anciens Psaumes ont 3 000 ans.doc
[16/11/2009 01:48|--a------|734400512] I:\2012.THE.MOVIE.FRENCH.TS.MD.XviD.REPACK.1CD-BOWSER.avi
[16/12/2007 00:45|--a------|734285824] I:\Am‚rican Pie 6.avi
[02/04/2007 08:45|--a------|733974528] I:\Bachelor Party Vegas.avi
[23/03/2009 02:33|--a------|734179856] I:\Banlieue 13 Ultimatum.avi
[15/11/2008 23:20|--a------|733497344] I:\G.A.L.avi
[21/02/2007 07:42|--a------|734128128] I:\Ghost.Rider.FRENCH.TS.XViD-VCDFRV-ANGE.avi
[30/11/2007 10:42|--a------|733566976] I:\Gomez Vs Tavares.avi
[14/10/2007 19:18|--a------|705613614] I:\High School Musical 2.avi
[20/04/2008 15:03|--a------|731975680] I:\How She Move.avi
[25/01/2009 12:13|--a------|720789504] I:\Indiana Jones 4 et le Royaume du Crane de Cristal.avi
[13/02/2009 13:45|--a------|914303852] I:\Infernal Affairs 2.avi
[18/01/2009 15:00|--a------|734453760] I:\Infernal Affairs 3 CD1.avi
[04/05/2009 08:11|--a------|733288448] I:\Infernal Affairs 3 CD2.avi
[28/06/2002 04:33|--a------|732987392] I:\La Machine a Remonter le Temps.avi
[06/02/2009 05:11|--a------|732323152] I:\La.Recrue.french.dvdrip.(miragetorrent.com).avi
[01/10/2009 06:19|--a------|735270912] I:\L'Attaque du Metro 123.avi
[11/10/2009 15:45|--a------|732817408] I:\L'attaque Du M‚tro 123.avi
[15/01/2006 05:29|--a------|1473679360] I:\Le Seigneur de Guerre.avi
[29/07/2002 09:33|--a------|714850304] I:\Tomcat.avi
[02/04/2000 20:31|--a------|479746048] I:\Un Tueur pour Cible.avi
[14/05/2007 15:53|--a------|735985664] I:\Save The Last Dance 2.avi
[12/11/2008 10:32|--a------|1119600] I:\ActiveSetupN.exe
[30/09/2007 18:08|--ah-----|0] I:\cmsstorage.lst
[28/01/2005 12:54|--a------|717619200] I:\Save The Last Dance.avi
[07/03/2009 15:09|--a------|2048] I:\Backup.bkf
[10/03/2009 00:29|--a------|730015744] I:\Les.Desastreuses.Aventures.Des.Orphelins.Baudelaire.FRENCH.DVDRiP Jim Carrey Meryl Streep Jude Law comedie fantastique -Excellent.avi
[12/02/2009 08:12|--a------|698046464] I:\Underworld Rise of the Lycans DVDscr FRENCH MD XVID-KiNG.avi
[14/10/2005 06:13|--a------|660150272] I:\Sexe Intention 2.avi
[11/09/2005 06:33|--a------|716742656] I:\Sexe Intention 3.avi
[12/01/2005 13:34|--a------|730038272] I:\Shall We Dance.avi
[15/08/2007 21:55|--a------|733108224] I:\Steppin.avi
[15/01/2007 19:11|--a------|734072832] I:\The Good Shepherd.avi
[30/12/2005 15:23|--a------|733566976] I:\The Island.avi
[22/01/2007 16:03|--a------|732661760] I:\The Prestige.avi
[29/01/2009 02:34|--a------|755048448] I:\The secret life of Bees (2008) DVDRIP VOSTFR.avi
[12/05/2008 06:12|--a------|731377730] J:\A Very British Gangster Fs Vostfr Dvdrip Xvid-Ghost.avi
[23/02/2005 00:28|--a------|736966656] J:\allone.in.the.darka.avi
[22/12/2004 03:37|--a------|734085120] J:\ANCHORMAN.avi
[19/12/2006 10:07|--a------|728127488] J:\Arthur et les Minimoys.avi
[09/11/2005 17:39|--a------|710604800] J:\BASKET ACADEMY.avi
[31/03/2003 18:05|--a------|734357504] J:\Black Mask 2.avi
[21/02/2005 03:04|--a------|733026304] J:\Caught.In.The.Headlights.avi
[16/04/2008 03:09|--a------|733804544] J:\Cloverfield.DVDrip.Repack.FRENCH.PirateyesTEAM.avi
[28/05/2004 21:35|--a------|734713856] J:\Club.Dread.FRENCH.DVDRiP.XViD-RMT-GGT.test‚.www.divxonweb.fr.st.Avi
[23/10/2004 03:06|--a------|734332928] J:\Comment.Tuer.Le.Chien.De.Son.Voisin.READNFO.FRENCH.DVDRiP.XViD-NTK-teste.DivXovore.com-.avi
[28/06/2006 18:13|--a------|734412800] J:\death tunnel.avi
[27/03/2006 18:59|--a------|681504768] J:\ECORCHE.avi
[15/10/2004 15:24|--a------|730667008] J:\Eternal Sunshine Of The Spotless Mind.avi
[27/10/2004 11:32|--a------|720347136] J:\Farenheit 9-11 - TS.avi
[18/06/2005 05:27|--a------|734287872] J:\FILM 2004 - La prisionniere du lac (DEVIL'S POND) - Fr ( fin 2004-debut 2005)@.avi
[26/04/2006 15:25|--a------|707284992] J:\Fresh.avi
[17/05/2005 16:28|--a------|732129280] J:\Hair Show.avi
[01/03/2007 19:58|--a------|213137] J:\hijackthis.zip
[27/12/2005 07:09|--a------|732100608] J:\HorlogeBiologiqueDvdRipFRENCHMpa-n2oxvid.lte.avi
[11/03/2006 00:48|--a------|733939712] J:\Hunt.For.The.Eagle.One.STV.FRENCH.DVDRip.XviD-CRiMETiME.avi
[30/11/2004 06:43|--a------|732026880] J:\Hypnotic.avi
[20/01/2008 23:31|--a------|4676485276] J:\Image ratatouille.nrg
[06/03/2007 23:38|--a------|735143936] J:\Je Vais Bien Ne T'En Fais Pas - Fr.avi
[17/04/2006 10:36|--a------|733517824] J:\L'AFFAIRE JOSEY AIMES.avi
[05/08/2005 18:58|--a------|734251008] J:\L'Execution.-.FRENCH.DVDRiP.KIShara.avi
[15/12/2005 18:50|--a------|716120064] J:\L'Homme Parfait.avi
[18/05/2005 14:11|--a------|725854208] J:\LA PASSION DU CHRIST.avi
[11/04/2007 11:32|--a------|726925312] J:\Little.Man.FRENCH.DVDRiP.XviD-LITTLEMAN.LinK.By.LeDivX.Com.avi
[03/05/2007 12:12|--a------|731602944] J:\MADEA GRAND MERE JUSTICIERE.avi
[21/03/2005 22:16|--a------|735629312] J:\Mr_3000 [Fr.DvdRip].avi
[18/01/2007 20:40|--ahs----|348160] J:\msvcr71.dll
[14/03/2006 15:07|--a------|733855744] J:\ONE LOVE prochainement.avi
[22/02/2006 21:13|--a------|734810112] J:\Patient 14.avi
[31/12/2003 06:34|--a------|286583564] J:\Pawol pou ri spectacle 2.AVI
[20/03/2006 07:32|--a------|714065920] J:\PLAYBOY A SAISIR.avi
[12/08/2004 13:20|--a------|739779288] J:\Pour l'amour du fric.avi
[27/02/2008 04:55|--a------|732635136] J:\Rambo.IV.2008.FRENCH.R5.DivX-LTT.avi
[26/12/2005 03:44|--a------|729722880] J:\Red Eye.avi
[24/03/2004 15:49|--a------|725468276] J:\RED WATER....FRODON.FR.AVI
[30/04/2003 03:39|--a------|743325696] J:\Revelations.avi
[13/07/2004 22:00|--a------|606920704] J:\Rien.a.perdre.Teste.www.DivXovore.Com.avi
[12/11/2005 06:23|--a------|729290752] J:\Rize Divx FRENCH.avi
[08/10/2006 10:07|--a------|733736960] J:\ruppert-2006.avi
[23/05/2006 06:29|--a------|729659392] J:\SECRETS DE FAMILLES.avi
[17/05/2006 19:50|--a------|734846976] J:\Sexy Movie DVDRIP.avi
[04/05/2006 03:20|--a------|734144512] J:\Terreur Sur La Ligne.avi
[12/10/2005 21:58|--a------|733511680] J:\The harder they come.avi
[14/12/2004 16:29|--a------|725239808] J:\The Hot Chick.avi
[13/01/2006 02:27|--a------|732106752] J:\The Man.avi
[19/11/2004 16:45|--a------|726584844] J:\The Terminal.avi
[02/12/2008 23:47|--ahs----|93696] J:\Thumbs.db
[11/05/2008 23:19|--a------|729094144] J:\Un.Jour.Sur.Terre.FRENCH.DVDRiP.XViD-PROD.avi
[26/04/2006 01:22|--a------|731611136] J:\WALK THE LINE part 1.avi
[26/04/2006 17:38|--a------|732444672] J:\WALK THE LINE part 2.avi
[13/06/2006 17:32|--a------|723354774] J:\You're under arrest - Le film.avi
[06/10/2007 18:40|--a------|734730240] J:\You.Kill.Me.FRENCH.DVDRiP.XviD-iD.avi
[08/08/2005 19:33|--a------|671709184] J:\Zebre.AVI

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.
# E:\autorun.inf -> Dossier créé par UsbFix.
# I:\autorun.inf -> Dossier créé par UsbFix.
# J:\autorun.inf -> Dossier créé par UsbFix.

################## | Cracks / Keygens / Serials |

"C:\Documents and Settings\patrice\Mes documents\Pro.Evolution.Soccer.6.[PCDVD].[MULTI5].[www.tensiontorrent.com]\Pro.Evolution.Soccer.6.CRACK.ONLY-RELOADED\rld-pes6c\pes6.exe"
26/10/2006 17:58 |Size 21880832 |Crc32 1e20b06a |Md5 bf39628cef60df46d0c8e1b4e220ffe6

"C:\Documents and Settings\patrice\Mes documents\utilitaires\anydvd\Crack\AnyDVDtray.exe"
11/04/2008 07:42 |Size 2075584 |Crc32 d00076e5 |Md5 fa7cb5f561079feb42c32dbccd275c54

"C:\Documents and Settings\patrice\Mes documents\utilitaires\virtual dj new\Virtual Dj 4.2 Full Crack Skins Samples Plugins Effects Vdjtimecode\DJ Decks Plugin\djDecksVDJPlugin.exe"
28/05/2005 04:43 |Size 959738 |Crc32 9f840547 |Md5 654487b252c2f2ed5622817c0c2bdbbb

"C:\Documents and Settings\patrice\Mes documents\utilitaires\virtual dj new\Virtual Dj 4.2 Full Crack Skins Samples Plugins Effects Vdjtimecode\Virtual.DJ.Pro.v4.2.R1-YAG\install_virtualdj_v4.2r1.exe"
28/12/2006 17:51 |Size 37943614 |Crc32 7f76dd70 |Md5 22ff65217a6be5137b83f5a2c03e2f85

"C:\Documents and Settings\patrice\Mes documents\utilitaires\WinDVD4\win dvd\Intervideo.WinDVD.4.x.keygen.exe"
04/06/2002 22:24 |Size 58880 |Crc32 4a149c15 |Md5 a9993ff02993c747bd2d0907deca599e

"I:\utilitaires\WinDVD4\win dvd\Intervideo.WinDVD.4.x.keygen.exe"
04/06/2002 22:24 |Size 58880 |Crc32 4a149c15 |Md5 a9993ff02993c747bd2d0907deca599e

"I:\utilitaires\virtual dj new\Virtual Dj 4.2 Full Crack Skins Samples Plugins Effects Vdjtimecode\Virtual.DJ.Pro.v4.2.R1-YAG\install_virtualdj_v4.2r1.exe"
28/12/2006 17:51 |Size 37943614 |Crc32 7f76dd70 |Md5 22ff65217a6be5137b83f5a2c03e2f85

"I:\utilitaires\virtual dj new\Virtual Dj 4.2 Full Crack Skins Samples Plugins Effects Vdjtimecode\DJ Decks Plugin\djDecksVDJPlugin.exe"
28/05/2005 04:43 |Size 959738 |Crc32 9f840547 |Md5 654487b252c2f2ed5622817c0c2bdbbb

"C:\Documents and Settings\patrice\Mes documents\utilitaires\virtual dj new\Crack.zip"
-> Contain : virtualdj.exe

"C:\Documents and Settings\patrice\Mes documents\utilitaires\virtual dj new\Crack.zip"
-> Contain : install_virtualdj_v4.0.exe

"I:\utilitaires\virtual dj new\Crack.zip"
-> Contain : virtualdj.exe

"I:\utilitaires\virtual dj new\Crack.zip"
-> Contain : install_virtualdj_v4.0.exe

"J:\utilitaires\Crack.zip"
-> Contain : virtualdj.exe

"J:\utilitaires\Crack.zip"
-> Contain : install_virtualdj_v4.0.exe

"C:\Documents and Settings\patrice\Mes documents\Pro.Evolution.Soccer.6.[PCDVD].[MULTI5].[www.tensiontorrent.com]\Pro.Evolution.Soccer.6.CRACK.ONLY-RELOADED\rld-pes6c.rar"
-> contain : pes6.exe

"C:\Documents and Settings\patrice\Mes documents\utilitaires\Virtual DJ 3.2 + Crack.rar"
-> contain : VDJ.3.2(www.FlowDJ.com)\install_virtualdj_v3.2.exe

"C:\Documents and Settings\patrice\Mes documents\utilitaires\Virtual DJ 3.2 + Crack.rar"
-> contain : VDJ.3.2(www.FlowDJ.com)\virtualdj.exe

"C:\Documents and Settings\patrice\Mes documents\utilitaires\anydvd\SlySoftAnyDVDHDv6.4.1.2MultilangagesIncl-Crack.rar"
-> contain : AnyDVD HD 6.4.1.2.exe

"C:\Documents and Settings\patrice\Mes documents\utilitaires\anydvd\SlySoftAnyDVDHDv6.4.1.2MultilangagesIncl-Crack.rar"
-> contain : Crack\AnyDVDtray.exe

"C:\Documents and Settings\patrice\Mes documents\utilitaires\virtual dj new\virtual dj\Virtual Dj 4.2 Full Crack Skins Samples Plugins Effects Vdjtimecode.rar"
-> contain : Virtual Dj 4.2 Full Crack Skins Samples Plugins Effects Vdjtimecode\DJ Decks Plugin\djDecksVDJPlugin.exe

"C:\Documents and Settings\patrice\Mes documents\utilitaires\virtual dj new\virtual dj\Virtual Dj 4.2 Full Crack Skins Samples Plugins Effects Vdjtimecode.rar"
-> contain : Virtual Dj 4.2 Full Crack Skins Samples Plugins Effects Vdjtimecode\Virtual.DJ.Pro.v4.2.R1-YAG\install_virtualdj_v4.2r1.exe

"C:\Documents and Settings\patrice\Mes documents\utilitaires\WinDVD4\keygenwindvd.rar"
-> contain : Intervideo.WinDVD.4.x.keygen.exe

"I:\utilitaires\Virtual DJ 3.2 + Crack.rar"
-> contain : VDJ.3.2(www.FlowDJ.com)\install_virtualdj_v3.2.exe

"I:\utilitaires\Virtual DJ 3.2 + Crack.rar"
-> contain : VDJ.3.2(www.FlowDJ.com)\virtualdj.exe

"I:\utilitaires\WinDVD4\keygenwindvd.rar"
-> contain : Intervideo.WinDVD.4.x.keygen.exe

"I:\utilitaires\virtual dj new\virtual dj\Virtual Dj 4.2 Full Crack Skins Samples Plugins Effects Vdjtimecode.rar"
-> contain : Virtual Dj 4.2 Full Crack Skins Samples Plugins Effects Vdjtimecode\DJ Decks Plugin\djDecksVDJPlugin.exe

"I:\utilitaires\virtual dj new\virtual dj\Virtual Dj 4.2 Full Crack Skins Samples Plugins Effects Vdjtimecode.rar"
-> contain : Virtual Dj 4.2 Full Crack Skins Samples Plugins Effects Vdjtimecode\Virtual.DJ.Pro.v4.2.R1-YAG\install_virtualdj_v4.2r1.exe


################## | Upload |

Veuillez envoyer le fichier : C:\DOCUME~1\patrice\Bureau\UsbFix_Upload_Me_PATOU.zip : http://chiquitine.changelog.fr/Sample/Upload.php
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.060 ! |

19 Décembre 2009 07:51:31

re,

vire tes cracks et tes keygens ! l'infection qui a flingué ton autre PC est parti de là ! :o 




fait ce que je t'ai demandé ici maintenant ...
19 Décembre 2009 14:07:43

Salut,

Tous les cracks et keygens ont été supprimés de l'ordinateur y compris les logiciels installés afférents
Le tea timer de spybot a été désactivé.
Mais l'application Gmer téléchargée à partir du lien indiqué ne fonctionne pas sur mon ordi. Elle s'ouvre et se referme quelques secondes après.
Comment faire ?
@ +
      • 1 / 3
      • 2
      • 3
      • Dernier
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS