Se connecter / S'enregistrer
Votre question

[Résolu] Rootkit

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
17 Mai 2010 21:38:16

Salut les gens,

On vient de me confier un PC qui a un souci. Je viens d'effectuer un scan avec MBAM et il m'a trouvé un Rootkit.

Je préfère vous confier la tâche de le supprimer proprement.

Voilà le rapport MBAM :


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4097

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

01/01/2003 01:50:51
mbam-log-2003-01-01 (01-50-51).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 156432
Temps écoulé: 16 minute(s), 40 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\drivers\adytvsry.sys (Rootkit.Agent) -> No action taken.
C:\Documents and Settings\Aud\Application Data\avdrn.dat (Malware.Trace) -> No action taken.


---------------------------------------------------------

Et voici un log HJT tout chaud :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:00:54, on 01/01/2003
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\IntelDH\Intel(R) Quick Resume Technology Drivers\Elservice.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\RALINK\RT2500 USB Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
C:\Program Files\RALINK\Common\RaUI.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Documents and Settings\Aud\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O4 - HKLM\..\Run: [LXCGCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCGtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - .DEFAULT User Startup: Philips Media Manager.lnk = C:\Program Files\Philips\Media Manager\Philips Media Manager.exe (User 'Default user')
O4 - Global Startup: FreeventsSchedule.lnk = C:\Philips\FreeventsSchedule.exe
O4 - Global Startup: RaConfig2500.lnk = C:\Program Files\RALINK\RT2500 USB Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Program Files\RALINK\Common\RaUI.exe
O8 - Extra context menu item: Ajouter la cible du lien à un fichier PDF existant - res://C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Ajouter à un fichier PDF existant - res://C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir au format Adobe PDF - res://C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien au format Adobe PDF - res://C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {8354F0FE-550E-4E14-AFE1-E5CEF9009311} - (no file)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/F...
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.fr/s/v/36.24/uploader2.cab
O16 - DPF: {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0} (Facebook Photo Uploader 4 Control) - http://upload.facebook.com/controls/FacebookPhotoUpload...
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.new2.foto.com/ImageUploader5.cab
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1...
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-03.sun.com/s/ESD5/JSCDL/jre/6u10-b92-b/j...
O16 - DPF: {E1FFA9C5-7F7F-4E80-B5C8-667D8C81DC5E} - http://fpdownload2.macromedia.com/get/shockwave/cabs/fl...
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Intel(R) Quick Resume technology (ELService) - Intel Corporation - C:\Program Files\Intel\IntelDH\Intel(R) Quick Resume Technology Drivers\Elservice.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: lxcg_device - - C:\WINDOWS\system32\lxcgcoms.exe

--
End of file - 9871 bytes



Merci d'avance. :jap: 

PS : un rootkit peut-il être responsable d'un redémarrage en boucle du PC ? (j'arrive à le faire démarrer une fois sur 10 en procédant à un reset du BIOS).

PPS : Je n'ai le PC que pour moins de 48h.... :D 

Autres pages sur : resolu rootkit

17 Mai 2010 22:30:03

Le redemarrage c'est au chargement de l'OS ou c'est independant?

Si tu testes un LiveCD Linux ca donne quoi?
17 Mai 2010 22:33:57

Alors, le reboot, c'est juste après le début du chargement du bootscreen Windows. Le logo apparait 1/2 secondes et hop reboot.... J'ai vu avec Maxgix tout l'AM, il m'a fait tester pas mal de truc, mais le problème persiste (changement de l'alim', en débranchant les trucs inutiles), avec une seule barrette sur les deux, etc.

Et avec un LiveCD, ça passe bien. (Ubuntu 6.10)
Contenus similaires
17 Mai 2010 22:45:16

Bonsoir! Déjà as-tu supprimé les éléments détectés par MBAM? Si non, fait le!

Ensuite, on va vérifier s'il n'y a pas d'autres rootkits:

Télécharge sur le bureau « Gmer »
  • Se rendre sur la page et choisir Download EXE.
  • Désactive tes logiciels de protection (antivirus, antispyware etc) et ferme tous les programmes ouverts.
  • Lance le.
  • Note: Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
  • Clic sur l'onglet Rootkit/Malware,
  • À droite => coche toutes les cases.
  • Clique sur scan.
  • Lorsque le scan est terminé, clique sur copy,
  • Le coller dans la réponse.
    17 Mai 2010 22:58:38

    Je n'avais rien supprimé. J'attendais vos avis.

    Je l'ai fait mais le PC devait redémarrer et là, il refuse de relancer Windows (pas à cause de ça mais du problème d'origine).... Donc le temps qu'il se décide et je fais le scan avec Gmer.

    Merci d'avance pour ton aide. ;) 
    17 Mai 2010 22:59:23

    Tu peux le faire en mode sans échec si il a plus de faciliter à y démarrer. ;) 
    17 Mai 2010 23:02:04

    Non, aucun mode ne marche dans ce cas là... :/ 

    Un rootkit peut être à l'origine de ce problème ou mon seul espoir n'est qu'illusoire ? :D 

    Edit : et là, après reset du BIOS, le PC fait vachement de bruit (ventilo à fond) donc à cette heure-ci, ça devient délicat... :/ 
    17 Mai 2010 23:46:48

    Donc plus d'accès au bureau?

    Fait ça si tu ne peux pas y accéder:

    Ce fichier est assez volumineux, on utilisera donc votre lecteur CD/DVD et un CD vierge sur votre machine.
    Un Périphérique USB serait pratique également.


    Télécharger et installer IsoBurner afin de graver OTLPE sur un CD.

    Puis télécharger OTLPE.

  • Installer IsoBurner
  • Cliquer sur la case en haut a doite et suivre le chemin afin de sélectionner OTLPE.iso
  • Clic BURN

    Note : Votre CD gravé, vous devez maintenant redémarrer votre machine sur le lecteur CDROM
    Pour se faire je vous invite sur ce lien : Booter sur un CD.

  • Une fois le CD lancé Windows se charge vous arrivez sur le bureau REATOGO-X-PE.
  • Double cliquer sur OTLPE.
  • Une fenêtre s'ouvre : Do you wish to load the remote registry ; Cliquez sur YES,
  • Une seconde : Do you wish to load remote user profile(s) for scanning ; Cliquez sur YES,
  • Veillez à ce que la case Automatically Load All Remaining Users soit cochée et appuyez sur OK.

    OTL se lance.

  • Cliquez sur Run Scan pour démarrer le scanner, cela peut prendre quelques minutes.
  • Un fois fini le rapport s'ouvre, utilisez l'icone d'internet explorer pour copier coller son contenu dans la réponse.

    Note : si vous n'avez pas de connection Internet, sauvegardez le rapport sur un périphérique USB
    18 Mai 2010 12:53:44

    J'ai réussi à faire démarrer le PC et à arriver sur le bureau. A priori, MBAM n'a pas pu supprimer le rootkit au reboot...

    Gmer a scanné le PC pendant 3h (réellement 3h), et à la fin, impossible de sauvegarder le rapport sur ma clé... Tout a planté....
    Mais il a trouvé le même rootkit que MBAM a priori.

    Je vais tester avec ton iso. Ce sera plus efficace je pense...
    a c 267 8 Sécurité
    18 Mai 2010 12:55:06

    Bonjour,

    On peut dégager le rootkit avec ComboFix.

    [#ff0000]/!\ Désactive tes protections résidentes (Antivirus, etc...) /!\[/#f]

  • Télécharge ComboFix ([#ff0000]sUBs[/#f]) sur ton Bureau.
  • Double-clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
  • Il va te demander d'installer la console de récupération : accepte.
  • Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

    Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix
    18 Mai 2010 13:02:03

    L'iso se lance sans souci mais une fois sur le bureau, lorsque je double clic sur OTLPE, j'ai une fenêtre "Browse For folder". Et là, que je choisisse n'importe quoi, ça me met un message d'erreur : "RunScanner Error - Target is not windows 2000 or later".
    Edit 2 : ne pas tenir compte de ça.... Comme un con, j'ai débrancher le disque dur pour brancher le lecteur CD et j'ai oublié de rebranché le disque... quel con...

    Edit : ok, je teste ça.

    Merci ;) 
    18 Mai 2010 13:45:32

    Voilà le log ComboFix (on retrouve bien le fichier qui semble d'emmerder depuis le début) :

    ComboFix 10-05-16.05 - Aud 18/05/2010 13:18:48.2.2 - x86
    Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2047.1490 [GMT 2:00]
    Lancé depuis: c:\documents and settings\Aud\Bureau\ComboFix.exe
    AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\windows\system32\muzapp.exe

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_WINSVC


    ((((((((((((((((((((((((((((( Fichiers créés du 2010-04-18 au 2010-05-18 ))))))))))))))))))))))))))))))))))))
    .

    2010-05-04 12:12 . 2010-05-18 12:36 859648 ----a-w- c:\windows\system32\drivers\adytvsry.sys

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-05-16 12:47 . 2007-02-14 16:20 -------- d-----w- c:\program files\Lx_cats
    2010-05-14 16:32 . 2010-05-14 16:30 21304816 ----a-w- c:\documents and settings\Aud\Application Data\Real\Update\setup3.10\rp\RealPlayerSPGold_fr.exe
    2010-05-13 17:32 . 2010-01-27 16:59 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-05-13 16:50 . 2006-04-04 14:25 84526 ----a-w- c:\windows\system32\perfc00C.dat
    2010-05-13 16:50 . 2006-04-04 14:25 510324 ----a-w- c:\windows\system32\perfh00C.dat
    2010-05-10 14:22 . 2009-05-27 21:02 -------- d-----w- c:\program files\Unlocker
    2010-05-10 10:51 . 2006-11-01 09:28 -------- d-----w- c:\program files\Fichiers communs\Adobe
    2010-05-08 16:55 . 2010-04-12 16:55 443912 ----a-w- c:\documents and settings\Aud\Application Data\Real\Update\setup3.10\setup.exe
    2010-05-04 12:12 . 2010-05-04 12:12 16 ----a-w- c:\windows\system32\config\systemprofile\Application Data\qvjsge.dat
    2010-04-29 13:39 . 2010-01-27 16:59 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-04-29 13:39 . 2010-01-27 16:59 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-04-28 18:25 . 2010-04-28 18:25 8405312 ----a-w- c:\documents and settings\Aud\Application Data\Real\Update\setup3.10\gtb\GOOGLE_TOOLBAR\GoogleToolbarInstaller.exe
    2010-04-28 18:25 . 2010-04-28 18:25 149000 ----a-w- c:\documents and settings\Aud\Application Data\Real\Update\setup3.10\chr_helper\LaunchHelper.exe
    2010-04-28 18:25 . 2010-04-28 18:24 10309448 ----a-w- c:\documents and settings\Aud\Application Data\Real\Update\setup3.10\chr\ChromeInstaller.exe
    2010-04-28 18:24 . 2010-04-28 18:24 79368 ----a-w- c:\documents and settings\Aud\Application Data\Real\Update\setup3.10\RUP\vista.exe
    2010-04-28 18:24 . 2010-04-28 18:24 64000 ----a-w- c:\documents and settings\Aud\Application Data\Real\Update\setup3.10\RUP\inst_config\gcapi_dll.dll
    2010-04-28 18:24 . 2010-04-28 18:24 52288 ----a-w- c:\documents and settings\Aud\Application Data\Real\Update\setup3.10\RUP\inst_config\gtapi.dll
    2010-04-28 18:24 . 2010-04-28 18:24 50688 ----a-w- c:\documents and settings\Aud\Application Data\Real\Update\setup3.10\RUP\inst_config\fftbapi.dll
    2010-04-28 18:24 . 2010-04-28 18:24 49152 ----a-w- c:\documents and settings\Aud\Application Data\Real\Update\setup3.10\RUP\inst_config\CarboniteCompatibility.dll
    2010-04-28 18:24 . 2010-04-28 18:24 118784 ----a-w- c:\documents and settings\Aud\Application Data\Real\Update\setup3.10\RUP\inst_config\compat.dll
    2008-05-25 13:11 . 2007-12-16 12:26 67696 ----a-w- c:\program files\mozilla firefox\components\jar50.dll
    2008-05-25 13:11 . 2007-12-16 12:26 54376 ----a-w- c:\program files\mozilla firefox\components\jsd3250.dll
    2008-05-25 13:11 . 2007-12-16 12:26 34952 ----a-w- c:\program files\mozilla firefox\components\myspell.dll
    2008-05-25 13:11 . 2007-12-16 12:26 46720 ----a-w- c:\program files\mozilla firefox\components\spellchk.dll
    2008-05-25 13:11 . 2007-12-16 12:26 172144 ----a-w- c:\program files\mozilla firefox\components\xpinstal.dll
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "MsnMsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
    "RocketDock"="c:\program files\RocketDock\RocketDock.exe" [2007-09-02 495616]
    "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "LXCGCATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\LXCGtime.dll" [2005-07-20 73728]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
    "TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-08-31 185896]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

    c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    FreeventsSchedule.lnk - c:\philips\FreeventsSchedule.exe [2006-10-31 16384]
    RaConfig2500.lnk - c:\program files\RALINK\RT2500 USB Wireless LAN Card\Installer\WINXP\RaConfig2500.exe [2007-2-24 528384]
    Ralink Wireless Utility.lnk - c:\program files\RALINK\Common\RaUI.exe [2006-10-31 593920]

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^FreeventsSchedule.lnk]
    path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\FreeventsSchedule.lnk
    backup=c:\windows\pss\FreeventsSchedule.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
    path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
    backup=c:\windows\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^Aud^Menu Démarrer^Programmes^Démarrage^Philips Media Manager.lnk]
    path=c:\documents and settings\Aud\Menu Démarrer\Programmes\Démarrage\Philips Media Manager.lnk
    backup=c:\windows\pss\Philips Media Manager.lnkStartup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0]
    2008-06-11 21:43 640376 ----a-w- c:\program files\Adobe\Acrobat 9.0\Acrobat\acrotray.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Acrobat Speed Launcher]
    2008-06-12 01:25 37232 ----a-w- c:\program files\Adobe\Acrobat 9.0\Acrobat\acrobat_sl.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]
    2006-05-10 10:12 90112 ----a-w- c:\program files\ATI Technologies\ATI.ACE\CLIStart.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
    2008-04-14 02:33 15360 ----a-w- c:\windows\system32\ctfmon.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray]
    2005-09-29 13:01 67584 ----a-w- c:\windows\ehome\ehtray.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EzPrint]
    2005-08-01 12:05 94208 ----a-w- c:\program files\Lexmark 2300 Series\ezprint.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FaxCenterServer]
    2005-07-12 13:36 299008 ----a-w- c:\program files\Lexmark Fax Solutions\fm3032.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IAAnotif]
    2006-05-11 10:47 151552 ----a-w- c:\program files\Intel\Intel Matrix Storage Manager\IAAnotif.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]
    2005-01-19 09:45 458752 ----a-w- c:\program files\Logitech\Video\ISStart.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]
    2005-01-19 09:39 217088 ----a-w- c:\program files\Logitech\Video\LogiTray.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LVCOMSX]
    2005-01-19 09:05 221184 ----a-w- c:\windows\system32\LVCOMSX.EXE

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\lxcgmon.exe]
    2005-07-21 06:07 200704 ----a-w- c:\program files\Lexmark 2300 Series\lxcgmon.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MAAgent]
    2006-06-02 12:39 57344 ----a-w- c:\program files\MarkAny\ContentSafer\MaAgent.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsgCenterExe]
    2008-08-31 11:06 69632 ----a-w- c:\program files\Fichiers communs\Real\Update_OB\RealOneMessageCenter.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Power2GoExpress]
    2005-07-08 15:01 1953887 ----a-w- c:\program files\CyberLink\Power2Go\Power2GoExpress.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Recguard]
    2002-09-13 12:42 212992 ----a-w- c:\windows\SMINST\Recguard.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
    2006-06-01 08:48 16208384 ----a-r- c:\windows\RTHDCPL.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
    2006-05-16 10:04 2879488 ----a-r- c:\windows\SkyTel.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SMSTray]
    2006-07-21 06:32 126976 ----a-w- c:\program files\Samsung\Samsung Media Studio 5\SMSTray.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
    2008-11-30 17:06 136600 ----a-w- c:\program files\Java\jre6\bin\jusched.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
    2008-08-31 11:06 185896 ----a-w- c:\program files\Fichiers communs\Real\Update_OB\realsched.exe

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "c:\\Program Files\\eMule\\emule.exe"=
    "c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
    "c:\\Program Files\\Skype\\Phone\\Skype.exe"=

    R1 CXAVSAUD;Prolink 2388x Audio Capture;c:\windows\system32\drivers\pvavsaud.sys [31/10/2006 11:36 9984]
    R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [27/05/2009 23:28 108289]
    R2 PVTUNE;Prolink 2388x Tuner;c:\windows\system32\drivers\pv88tune.sys [31/10/2006 11:36 32256]
    R3 pvavSTS;Prolink 2388x AVStream TS Capture;c:\windows\system32\drivers\pvavsts.sys [31/10/2006 11:36 16768]
    R3 pvavXBAR;Prolink 2388x AVStream Crossbar;c:\windows\system32\drivers\pvavxbar.sys [31/10/2006 11:36 11520]
    R3 PVBDATUNE;Prolink BDA DVB Tuner/Demod;c:\windows\system32\drivers\PVBDAtun.sys [31/10/2006 11:36 104320]

    --- Autres Services/Pilotes en mémoire ---

    *Deregistered* - adytvsry
    .
    Contenu du dossier 'Tâches planifiées'

    2010-05-12 c:\windows\Tasks\AppleSoftwareUpdate.job
    - c:\program files\Apple Software Update\SoftwareUpdate.exe [2006-10-10 16:13]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.msn.fr/
    uSearchMigratedDefaultUrl = hxxp://www.mywebsearch.com/jsp/cfg_redir2.jsp?id=ZKxdm022YYFR&...{searchTerms}
    IE: Ajouter la cible du lien à un fichier PDF existant - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
    IE: Ajouter à un fichier PDF existant - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
    IE: Convertir au format Adobe PDF - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
    IE: Convertir la cible du lien au format Adobe PDF - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    IE: {{8354F0FE-550E-4E14-AFE1-E5CEF9009311}
    FF - ProfilePath - c:\documents and settings\Aud\Application Data\Mozilla\Firefox\Profiles\wroclmox.default\
    FF - prefs.js: browser.search.selectedEngine - Wibeez
    FF - prefs.js: browser.startup.homepage - hxxp://go.microsoft.com/fwlink/?LinkId=69157
    FF - prefs.js: keyword.URL - hxxp://www.wibeez.com/france?search&q=
    FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll
    FF - component: c:\program files\Real\RealPlayer\browserrecord\components\nprpbrowserrecordplugin.dll
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    MSConfigStartUp-iTunesHelper - c:\program files\iTunes\iTunesHelper.exe
    MSConfigStartUp-QuickTime Task - c:\program files\QuickTime\qttask.exe
    MSConfigStartUp-soliland - c:\program files\Logiciel Soliland\SolilandUpdate.exe



    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-05-18 14:34
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    LXCGCATS = rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\LXCGtime.dll,_RunDLLEntry@16???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\System\ControlSet006\Services\adytvsry]

    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]
    "C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'winlogon.exe'(868)
    c:\windows\system32\Ati2evxx.dll

    - - - - - - - > 'explorer.exe'(3120)
    c:\program files\RocketDock\RocketDock.dll
    c:\progra~1\WINDOW~3\wmpband.dll
    c:\windows\system32\eappprxy.dll
    c:\windows\system32\webcheck.dll
    c:\windows\system32\WPDShServiceObj.dll
    c:\windows\system32\PortableDeviceTypes.dll
    c:\windows\system32\PortableDeviceApi.dll
    c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll
    c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA
    c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    c:\program files\Microsoft Office\OFFICE11\msohev.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\windows\system32\Ati2evxx.exe
    c:\windows\system32\Ati2evxx.exe
    c:\program files\Avira\AntiVir Desktop\avguard.exe
    c:\windows\eHome\ehRecvr.exe
    c:\windows\eHome\ehSched.exe
    c:\program files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
    c:\program files\Java\jre6\bin\jqs.exe
    c:\windows\ehome\mcrdsvc.exe
    c:\program files\Intel\IntelDH\Intel(R) Quick Resume Technology Drivers\Elservice.exe
    c:\windows\system32\dllhost.exe
    c:\windows\system32\wbem\wmiapsrv.exe
    c:\windows\system32\wscntfy.exe
    .
    **************************************************************************
    .
    Heure de fin: 2010-05-18 14:41:34 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-05-18 12:41
    ComboFix2.txt 2007-12-17 19:42

    Avant-CF: 4 059 144 192 octets libres
    Après-CF: 5 557 604 352 octets libres

    WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect

    Current=6 Default=6 Failed=5 LastKnownGood=7 Sets=1,2,3,4,5,6,7
    - - End Of File - - 01664E1204D777EF778D03DB78541D6C
    a c 267 8 Sécurité
    18 Mai 2010 13:52:38

    /!\ Seul Yama310 peut suivre cette procédure /!\

    Désactive toute protection résidente (Antivirus...) !

    ---> Copie (CTRL+C) le texte se situant dans le cadre ci-dessous :

    KillAll::

    File::
    c:\windows\system32\drivers\adytvsry.sys
    c:\windows\system32\config\systemprofile\Application Data\qvjsge.dat

    Registry::
    [-HKEY_LOCAL_MACHINE\System\ControlSet006\Services\adytvsry]

    ---> Ouvre le Bloc-notes : Démarrer > Tous les programmes > Accessoires > Bloc-notes.

    - Colle (CTRL+V) le texte dans le Bloc-notes.
    - Enregistre ce fichier dans : Bureau
    - Nom du fichier : CFScript
    - Type du fichier : tous les fichiers !!
    - Clique sur Enregistrer.
    - Quitte le Bloc-notes.

    ---> Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :



  • Cela va relancer Combofix : au message qui apparaît, accepte.
  • Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal !
  • Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher, copie/colle son contenu sur le forum.
  • Si le fichier ne s'ouvre pas, il se trouve ici : C:\ComboFix.txt

    ;) 
    18 Mai 2010 14:20:26

    Merci Destrio :D 

    Voilà le log (ce coup-ci, aucun souci pour le reboot automatique de ComboFix) :

    ComboFix 10-05-16.05 - Aud 18/05/2010 15:02:12.3.2 - x86
    Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2047.1558 [GMT 2:00]
    Lancé depuis: c:\documents and settings\Aud\Bureau\ComboFix.exe
    Commutateurs utilisés :: c:\documents and settings\Aud\Bureau\CFScript.txt
    AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

    FILE ::
    "c:\windows\system32\config\systemprofile\Application Data\qvjsge.dat"
    "c:\windows\system32\drivers\adytvsry.sys"
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\windows\system32\config\systemprofile\Application Data\qvjsge.dat
    c:\windows\system32\drivers\adytvsry.sys
    c:\windows\system32\Drivers\molge.sys
    c:\windows\system32\jgaw400.dll

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_SCHEDULE
    -------\Service_Schedule
    -------\Legacy_adytvsry
    -------\Service_adytvsry


    ((((((((((((((((((((((((((((( Fichiers créés du 2010-04-18 au 2010-05-18 ))))))))))))))))))))))))))))))))))))
    .

    Pas de nouveau fichier créé dans ce laps de temps

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-05-16 12:47 . 2007-02-14 16:20 -------- d-----w- c:\program files\Lx_cats
    2010-05-14 16:32 . 2010-05-14 16:30 21304816 ----a-w- c:\documents and settings\Aud\Application Data\Real\Update\setup3.10\rp\RealPlayerSPGold_fr.exe
    2010-05-13 17:32 . 2010-01-27 16:59 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-05-13 16:50 . 2006-04-04 14:25 84526 ----a-w- c:\windows\system32\perfc00C.dat
    2010-05-13 16:50 . 2006-04-04 14:25 510324 ----a-w- c:\windows\system32\perfh00C.dat
    2010-05-10 14:22 . 2009-05-27 21:02 -------- d-----w- c:\program files\Unlocker
    2010-05-10 10:51 . 2006-11-01 09:28 -------- d-----w- c:\program files\Fichiers communs\Adobe
    2010-05-08 16:55 . 2010-04-12 16:55 443912 ----a-w- c:\documents and settings\Aud\Application Data\Real\Update\setup3.10\setup.exe
    2010-04-29 13:39 . 2010-01-27 16:59 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-04-29 13:39 . 2010-01-27 16:59 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-04-28 18:25 . 2010-04-28 18:25 8405312 ----a-w- c:\documents and settings\Aud\Application Data\Real\Update\setup3.10\gtb\GOOGLE_TOOLBAR\GoogleToolbarInstaller.exe
    2010-04-28 18:25 . 2010-04-28 18:25 149000 ----a-w- c:\documents and settings\Aud\Application Data\Real\Update\setup3.10\chr_helper\LaunchHelper.exe
    2010-04-28 18:25 . 2010-04-28 18:24 10309448 ----a-w- c:\documents and settings\Aud\Application Data\Real\Update\setup3.10\chr\ChromeInstaller.exe
    2010-04-28 18:24 . 2010-04-28 18:24 79368 ----a-w- c:\documents and settings\Aud\Application Data\Real\Update\setup3.10\RUP\vista.exe
    2010-04-28 18:24 . 2010-04-28 18:24 64000 ----a-w- c:\documents and settings\Aud\Application Data\Real\Update\setup3.10\RUP\inst_config\gcapi_dll.dll
    2010-04-28 18:24 . 2010-04-28 18:24 52288 ----a-w- c:\documents and settings\Aud\Application Data\Real\Update\setup3.10\RUP\inst_config\gtapi.dll
    2010-04-28 18:24 . 2010-04-28 18:24 50688 ----a-w- c:\documents and settings\Aud\Application Data\Real\Update\setup3.10\RUP\inst_config\fftbapi.dll
    2010-04-28 18:24 . 2010-04-28 18:24 49152 ----a-w- c:\documents and settings\Aud\Application Data\Real\Update\setup3.10\RUP\inst_config\CarboniteCompatibility.dll
    2010-04-28 18:24 . 2010-04-28 18:24 118784 ----a-w- c:\documents and settings\Aud\Application Data\Real\Update\setup3.10\RUP\inst_config\compat.dll
    2008-05-25 13:11 . 2007-12-16 12:26 67696 ----a-w- c:\program files\mozilla firefox\components\jar50.dll
    2008-05-25 13:11 . 2007-12-16 12:26 54376 ----a-w- c:\program files\mozilla firefox\components\jsd3250.dll
    2008-05-25 13:11 . 2007-12-16 12:26 34952 ----a-w- c:\program files\mozilla firefox\components\myspell.dll
    2008-05-25 13:11 . 2007-12-16 12:26 46720 ----a-w- c:\program files\mozilla firefox\components\spellchk.dll
    2008-05-25 13:11 . 2007-12-16 12:26 172144 ----a-w- c:\program files\mozilla firefox\components\xpinstal.dll
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "MsnMsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
    "RocketDock"="c:\program files\RocketDock\RocketDock.exe" [2007-09-02 495616]
    "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "LXCGCATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\LXCGtime.dll" [2005-07-20 73728]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
    "TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-08-31 185896]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

    c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    FreeventsSchedule.lnk - c:\philips\FreeventsSchedule.exe [2006-10-31 16384]
    RaConfig2500.lnk - c:\program files\RALINK\RT2500 USB Wireless LAN Card\Installer\WINXP\RaConfig2500.exe [2007-2-24 528384]
    Ralink Wireless Utility.lnk - c:\program files\RALINK\Common\RaUI.exe [2006-10-31 593920]

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^FreeventsSchedule.lnk]
    path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\FreeventsSchedule.lnk
    backup=c:\windows\pss\FreeventsSchedule.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
    path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
    backup=c:\windows\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^Aud^Menu Démarrer^Programmes^Démarrage^Philips Media Manager.lnk]
    path=c:\documents and settings\Aud\Menu Démarrer\Programmes\Démarrage\Philips Media Manager.lnk
    backup=c:\windows\pss\Philips Media Manager.lnkStartup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0]
    2008-06-11 21:43 640376 ----a-w- c:\program files\Adobe\Acrobat 9.0\Acrobat\acrotray.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Acrobat Speed Launcher]
    2008-06-12 01:25 37232 ----a-w- c:\program files\Adobe\Acrobat 9.0\Acrobat\acrobat_sl.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]
    2006-05-10 10:12 90112 ----a-w- c:\program files\ATI Technologies\ATI.ACE\CLIStart.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
    2008-04-14 02:33 15360 ----a-w- c:\windows\system32\ctfmon.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray]
    2005-09-29 13:01 67584 ----a-w- c:\windows\ehome\ehtray.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EzPrint]
    2005-08-01 12:05 94208 ----a-w- c:\program files\Lexmark 2300 Series\ezprint.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FaxCenterServer]
    2005-07-12 13:36 299008 ----a-w- c:\program files\Lexmark Fax Solutions\fm3032.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IAAnotif]
    2006-05-11 10:47 151552 ----a-w- c:\program files\Intel\Intel Matrix Storage Manager\IAAnotif.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]
    2005-01-19 09:45 458752 ----a-w- c:\program files\Logitech\Video\ISStart.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]
    2005-01-19 09:39 217088 ----a-w- c:\program files\Logitech\Video\LogiTray.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LVCOMSX]
    2005-01-19 09:05 221184 ----a-w- c:\windows\system32\LVCOMSX.EXE

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\lxcgmon.exe]
    2005-07-21 06:07 200704 ----a-w- c:\program files\Lexmark 2300 Series\lxcgmon.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MAAgent]
    2006-06-02 12:39 57344 ----a-w- c:\program files\MarkAny\ContentSafer\MaAgent.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsgCenterExe]
    2008-08-31 11:06 69632 ----a-w- c:\program files\Fichiers communs\Real\Update_OB\RealOneMessageCenter.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Power2GoExpress]
    2005-07-08 15:01 1953887 ----a-w- c:\program files\CyberLink\Power2Go\Power2GoExpress.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Recguard]
    2002-09-13 12:42 212992 ----a-w- c:\windows\SMINST\Recguard.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
    2006-06-01 08:48 16208384 ----a-r- c:\windows\RTHDCPL.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
    2006-05-16 10:04 2879488 ----a-r- c:\windows\SkyTel.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SMSTray]
    2006-07-21 06:32 126976 ----a-w- c:\program files\Samsung\Samsung Media Studio 5\SMSTray.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
    2008-11-30 17:06 136600 ----a-w- c:\program files\Java\jre6\bin\jusched.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
    2008-08-31 11:06 185896 ----a-w- c:\program files\Fichiers communs\Real\Update_OB\realsched.exe

    R1 CXAVSAUD;Prolink 2388x Audio Capture;c:\windows\system32\drivers\pvavsaud.sys [31/10/2006 11:36 9984]
    R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [27/05/2009 23:28 108289]
    R2 PVTUNE;Prolink 2388x Tuner;c:\windows\system32\drivers\pv88tune.sys [31/10/2006 11:36 32256]
    R3 pvavSTS;Prolink 2388x AVStream TS Capture;c:\windows\system32\drivers\pvavsts.sys [31/10/2006 11:36 16768]
    R3 pvavXBAR;Prolink 2388x AVStream Crossbar;c:\windows\system32\drivers\pvavxbar.sys [31/10/2006 11:36 11520]
    R3 PVBDATUNE;Prolink BDA DVB Tuner/Demod;c:\windows\system32\drivers\PVBDAtun.sys [31/10/2006 11:36 104320]

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    AppMgmt
    AudioSrv
    Browser
    CryptSvc
    DMServer
    DHCP
    ERSvc
    FastUserSwitchingCompatibility
    HidServ
    LanmanServer
    LanmanWorkstation
    Messenger
    Nla
    NWCWorkstation
    Seclogon
    SRService
    Themes
    TrkWks
    W32Time
    Wmi
    WmdmPmSp
    winmgmt
    wscsvc
    xmlprov
    MHN
    BITS
    wuauserv
    ShellHWDetection
    helpsvc
    napagent
    hkmsvc
    .
    Contenu du dossier 'Tâches planifiées'

    2010-05-12 c:\windows\Tasks\AppleSoftwareUpdate.job
    - c:\program files\Apple Software Update\SoftwareUpdate.exe [2006-10-10 16:13]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.msn.fr/
    uSearchMigratedDefaultUrl = hxxp://www.mywebsearch.com/jsp/cfg_redir2.jsp?id=ZKxdm022YYFR&...{searchTerms}
    IE: Ajouter la cible du lien à un fichier PDF existant - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
    IE: Ajouter à un fichier PDF existant - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
    IE: Convertir au format Adobe PDF - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
    IE: Convertir la cible du lien au format Adobe PDF - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    IE: {{8354F0FE-550E-4E14-AFE1-E5CEF9009311}
    FF - ProfilePath - c:\documents and settings\Aud\Application Data\Mozilla\Firefox\Profiles\wroclmox.default\
    FF - prefs.js: browser.search.selectedEngine - Wibeez
    FF - prefs.js: browser.startup.homepage - hxxp://go.microsoft.com/fwlink/?LinkId=69157
    FF - prefs.js: keyword.URL - hxxp://www.wibeez.com/france?search&q=
    FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll
    FF - component: c:\program files\Real\RealPlayer\browserrecord\components\nprpbrowserrecordplugin.dll
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-05-18 15:09
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    LXCGCATS = rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\LXCGtime.dll,_RunDLLEntry@16???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]
    "C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'winlogon.exe'(864)
    c:\windows\system32\Ati2evxx.dll

    - - - - - - - > 'explorer.exe'(3580)
    c:\program files\RocketDock\RocketDock.dll
    c:\progra~1\WINDOW~3\wmpband.dll
    c:\windows\system32\eappprxy.dll
    c:\windows\system32\webcheck.dll
    c:\windows\system32\WPDShServiceObj.dll
    c:\windows\system32\PortableDeviceTypes.dll
    c:\windows\system32\PortableDeviceApi.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\windows\system32\Ati2evxx.exe
    c:\windows\system32\Ati2evxx.exe
    c:\program files\Avira\AntiVir Desktop\avguard.exe
    c:\windows\eHome\ehRecvr.exe
    c:\windows\eHome\ehSched.exe
    c:\program files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
    c:\program files\Java\jre6\bin\jqs.exe
    c:\windows\ehome\mcrdsvc.exe
    c:\program files\Intel\IntelDH\Intel(R) Quick Resume Technology Drivers\Elservice.exe
    c:\windows\system32\dllhost.exe
    c:\windows\system32\wbem\wmiapsrv.exe
    .
    **************************************************************************
    .
    Heure de fin: 2010-05-18 15:15:16 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-05-18 13:15
    ComboFix2.txt 2010-05-18 12:41
    ComboFix3.txt 2007-12-17 19:42

    Avant-CF: 5 557 407 744 octets libres
    Après-CF: 5 501 284 352 octets libres

    - - End Of File - - 65A7075CFBBCB7125FBA4322A86CE1EA
    a c 267 8 Sécurité
    18 Mai 2010 14:24:24

    Pour le rootkit, c'est réglé.

    J'ai vu une trace de mywebsearch.

  • Télécharge Ad-Remover (de C_XX) sur ton Bureau.
  • Déconnecte-toi et ferme toutes applications en cours.
  • Double-clique sur AD-R situé sur ton Bureau pour le lancer.
  • Choisis Nettoyer puis valide.
  • Poste le rapport qui apparaît à la fin (C:\Ad-Report-CLEAN.log).

    (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
    18 Mai 2010 14:41:51

    Destrio5 a dit :
    Pour le rootkit, c'est réglé.

    En attendant que tu me répondes, j'ai fait 2 reboot (un arrêt puis démarrage et un vrai reboot) et pas de souci. Lors du reboot demandé par Ad-Remover, pas de souci. [:florom94:10]

    Voilà le log Ad-Remover :

    .
    ======= RAPPORT D'AD-REMOVER 2.0.0.0,D | UNIQUEMENT XP/VISTA/7 =======
    .
    Mis à jour par C_XX le 07/05/10 à 16:50
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
    .
    Lancé à: 14:27:04 le 18/05/2010 | Mode normal | Option: CLEAN
    Exécuté de: C:\Ad-Remover\ADR.exe
    SE: Microsoft® Windows XP™ Service Pack 3 - X86
    Nom du PC: AUDREY
    Utilisateur actuel: Aud
    .
    ============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
    .
    .
    C:\Program Files\Macrogaming
    C:\Program Files\MSN Messenger\Msimg32.dll

    (!) -- Fichiers temporaires supprimés.
    .
    HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\7EE743314C844C7F445B8B1D7617612DF1FDD50F
    HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\E6A6A4A475FCE37F8B5AC2F1244DEB2BFCA5615A
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A}
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{BC4FFE41-DE9F-46fa-B455-AAD49B9F9938}
    HKCU\Software\SWEETIE
    HKLM\Software\Classes\CLSID\{1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A}
    HKLM\Software\Classes\CLSID\{BC4FFE41-DE9F-46fa-B455-AAD49B9F9938}
    HKLM\Software\Classes\Interface\{115CCBAE-27B0-47C3-BA42-BAB708424393}
    HKLM\Software\Classes\SWEETIE.IEToolbar
    HKLM\Software\Classes\SWEETIE.IEToolbar.1
    HKLM\Software\Classes\SWEETIE.SWEETIE
    HKLM\Software\Classes\SWEETIE.SWEETIE.1
    HKLM\Software\Classes\ToolBand.SWEETIE
    HKLM\Software\Classes\ToolBand.SWEETIE.1
    HKLM\Software\Classes\TypeLib\{937936AF-28CA-4973-B8AE-F250406149A2}
    HKLM\Software\Macrogaming
    HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser|{BC4FFE41-DE9F-46FA-B455-AAD49B9F9938}
    HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{BC4FFE41-DE9F-46FA-B455-AAD49B9F9938}
    HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{BC4FFE41-DE9F-46FA-B455-AAD49B9F9938}
    .
    (Orpheline) BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} (CLSID manquant)
    .
    ============== SCAN ADDITIONNEL ==============
    .
    * Mozilla FireFox Version 2.0.0.14 (fr) *
    .
    C:\Documents and Settings\Aud\..\wroclmox.default\prefs.js - browser.search.selectedEngine: Wibeez
    C:\Documents and Settings\Aud\..\wroclmox.default\prefs.js - browser.startup.homepage: hxxp://go.microsoft.com/fwlink/?LinkId=69157
    C:\Documents and Settings\Aud\..\wroclmox.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.8.1.14
    C:\Documents and Settings\Aud\..\wroclmox.default\prefs.js - keyword.URL: hxxp://www.wibeez.com/france?search&q=
    .
    .
    * Internet Explorer Version 8.0.6001.18702 *
    .
    [HKCU\Software\Microsoft\Internet Explorer\Main]
    .
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/
    Use Custom Search URL: 0
    Use Search Asst: no
    .
    [HKLM\Software\Microsoft\Internet Explorer\Main]
    .
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/
    Use Custom Search URL: 0
    Use Search Asst: no
    .
    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    .
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm
    .
    ========================================
    .
    C:\Ad-Remover\Quarantine: 1 Fichier(s)
    C:\Ad-Remover\Backup: 14 Fichier(s)
    .
    C:\Ad-Report-CLEAN[1].txt - 3831 Octet(s)
    .
    Fin à: 14:33:01, 18/05/2010
    .
    ============== E.O.F - CLEAN[1] ==============


    Edit : je dois m'absenter un peu. S'il y a d'autres manip', je les ferais en rentrant d'ici une ou deux heures.
    a c 267 8 Sécurité
    18 Mai 2010 14:45:45

  • Menu Démarrer > Exécuter > Tape ComboFix /uninstall et valide.

  • Relance Ad-Remover et choisis Désinstaller.

  • Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
  • Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
  • Sélectionne Exécuter un examen rapide.
  • Clique sur Rechercher. L'analyse démarre.
  • A la fin de l'analyse, un message s'affiche :
    Citation :
    L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  • Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
  • Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.
    18 Mai 2010 16:56:45

    Et voilà, ça semble tout propre de ce côté là !

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4112

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    18/05/2010 16:53:42
    mbam-log-2010-05-18 (16-53-42).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 139132
    Temps écoulé: 4 minute(s), 26 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)



    Le PC démarre correctement à tous les coups il semblerait :p .

    Sinon, est-ce que tu pourrais me filer le lien du logiciel pour supprimer tous les softs de désinfection ? Il y en a plusieurs sur le bureau et dans C:\ (d'une précédente désinfection).

    Sinon là, c'est nickel ?
    a c 267 8 Sécurité
    18 Mai 2010 17:45:59

    1/

  • Désinstalle HijackThis.

  • Télécharge ToolsCleaner2 sur ton Bureau.
  • Double-clique sur ToolsCleaner2.exe pour le lancer.
  • Clique sur Recherche et laisse le scan agir.
  • Clique sur Suppression pour finaliser.
  • Tu peux, si tu le souhaites, te servir des Options Facultatives.
  • Clique sur Quitter pour obtenir le rapport.
  • Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).


    2/

  • Télécharge et installe CCleaner (N'installe pas la Yahoo! Toolbar).
  • Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
  • Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.


    3/

  • Il est nécessaire de désactiver puis réactiver la restauration système pour la purger.


    ==Prévention==

    Pour supprimer les popups d'AntiVir : Lien

    Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement.

    Vérifie que les mises à jour automatiques sont bien activées (Menu Démarrer, clique droit sur Poste de travail, Propriétés, onglet Mises à jour automatiques).
    Par rapport au P2P : Lien

    Voici un dossier complet (A lire avec Adobe Reader ou Foxit Reader) : Lien


    ==Problème résolu ?==

    --> Si tu estimes que ton problème est résolu, ajoute [Résolu] au titre. Pour cela :
  • Clique, dans ton premier message, sur le bouton Editer .
  • Ajoute la mention [Résolu] devant le titre.
  • Clique ensuite sur Valider votre message.


    Sois plus vigilant(e) sur Internet ;) 
    18 Mai 2010 18:49:44

    Voilà, c'est tout nickel.

    Encore une fois, un grand merci à Destrio et à ichigo11 ! Vous êtes des pros ! [:florom94:10]

    Destrio5 a dit :

    ==Problème résolu ?==

    --> Si tu estimes que ton problème est résolu, ajoute [Résolu] au titre. Pour cela :
  • Clique, dans ton premier message, sur le bouton Editer http://img.infos-du-net.com/forum/themes_static/images_forum/3/edit.gif.
  • Ajoute la mention [Résolu] devant le titre.
  • Clique ensuite sur Valider votre message.


  • Oui Chef ! :D 
    Destrio5 a dit :
    Sois plus vigilant(e) sur Internet ;) 


    D'ailleurs, comment ça s'attrape un rootkit ?
    a c 267 8 Sécurité
    18 Mai 2010 18:52:58

    Citation :
    D'ailleurs, comment ça s'attrape un rootkit ?

    --> En ayant un rapport sexuel avec quelqu'un ayant un rootkit.
    18 Mai 2010 19:30:17

    Destrio5 a dit :
    Citation :
    D'ailleurs, comment ça s'attrape un rootkit ?

    --> En ayant un rapport sexuel avec quelqu'un ayant un rootkit.

    On vient de perdre le côté pro là quand même ! [:florom94:12]
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS