Se connecter / S'enregistrer
Votre question

Hacktool rootkit ffanjbaf.sys

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
6 Avril 2010 17:56:57

Bonjour à tous,

j'ai pris ce virus (Hacktool rootkit ffanjbaf.sys) depuis quelques temps sur mon ordi. Mon antivirus (symantec) le repère mais ne l'enlève pas. J'ai essayé plusieurs anti-spyware mais rien n'y fait.

Je joins mon rapport hijackthis en espérant que quelqu'un est la solution :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:48:38, on 06/04/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16915)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Symantec\Symantec Endpoint Protection\Smc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Autodesk\3ds Max 2010\mentalray\satellite\raysat_3dsmax2010_32server.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\OCS Inventory Agent\ocsservice.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Symantec\Symantec Endpoint Protection\Rtvscan.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\PROGRA~1\MICROS~4\rapimgr.exe
C:\Program Files\Symantec\Symantec Endpoint Protection\SmcGui.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\ArcGIS\License\arcgis9x\lmgrd.exe
C:\Program Files\ArcGIS\License\arcgis9x\ARCGIS.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr/hws/sb/dell-row/fr/side.html?chann...
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.fr/ig/dell?hl=fr&client=dell-row&channel=fr&...
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 193.48.28.220:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: VMN Toolbar - {A057A204-BACC-4D26-8287-79A187E26987} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\BAE\BAE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: VMN Toolbar - {A057A204-BACC-4D26-8287-79A187E26987} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-3455275775-2155970682-583249772-1006\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe" (User '?')
O4 - HKUS\S-1-5-21-3455275775-2155970682-583249772-500\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'Administrateur')
O4 - S-1-5-18 Startup: Iomega Product Registration.lnk = C:\Program Files\Iomega\Registration\Register.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Iomega Product Registration.lnk = C:\Program Files\Iomega\Registration\Register.exe (User 'Default user')
O4 - .DEFAULT Startup: OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe (User 'Default user')
O4 - Startup: Iomega Product Registration.lnk = C:\Program Files\Iomega\Registration\Register.exe
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4B54A9DE-EF1C-4EBE-A328-7C28EA3B433A} (qsax Control) - http://quickscan.bitdefender.com/qsax/qsax.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = udc.univ.priv
O17 - HKLM\Software\..\Telephony: DomainName = udc.univ.priv
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = udc.univ.priv
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = udc.univ.priv
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = udc.univ.priv
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: HPDCS - {BA135F49-A12C-4E26-A2C4-6EA945999072} - C:\Program Files\Fichiers communs\Hewlett-Packard\HP Device Communication Services\APP\hpdcsapp.dll
O18 - Protocol: hppfile - {C4E2084B-ED27-4893-A43D-488CA3F370E2} - C:\Program Files\Hewlett-Packard\HP Easy Printer Care\HPPCtrls.dll
O18 - Protocol: hppsam - {C4E2084B-ED27-4893-A43D-488CA3F370E2} - C:\Program Files\Hewlett-Packard\HP Easy Printer Care\HPPCtrls.dll
O18 - Protocol: hppzip - {C4E2084B-ED27-4893-A43D-488CA3F370E2} - C:\Program Files\Hewlett-Packard\HP Easy Printer Care\HPPCtrls.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ArcGIS Licence Manager - Macrovision Corporation - C:\Program Files\ArcGIS\License\arcgis9x\lmgrd.exe
O23 - Service: ArcGIS License Manager - Acresso Software Inc. - C:\PROGRA~1\ESRI\License\arcgis9x\lmgrd.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate1c944b93d725d39) (gupdate1c944b93d725d39) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\Logitech\Bluetooth\LBTServ.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: mental ray 3.7 Satellite for Autodesk 3ds Max 2010 32-bit 32-bit (mi-raysat_3dsmax2010_32) - Unknown owner - C:\Program Files\Autodesk\3ds Max 2010\mentalray\satellite\raysat_3dsmax2010_32server.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OCS INVENTORY SERVICE (OCS INVENTORY) - http://www.ocsinventory-ng.org - C:\Program Files\OCS Inventory Agent\ocsservice.exe
O23 - Service: Symantec Auto-upgrade Agent (Smcinst) - Unknown owner - C:\Program Files\Symantec AntiVirus\SmcLU\Setup\smcinst.exe (file missing)
O23 - Service: Client de gestion Symantec (SmcService) - Symantec Corporation - C:\Program Files\Symantec\Symantec Endpoint Protection\Smc.exe
O23 - Service: Symantec Endpoint Protection (Symantec AntiVirus) - Symantec Corporation - C:\Program Files\Symantec\Symantec Endpoint Protection\Rtvscan.exe
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.11\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.1.36\bin\mysqld.exe
O23 - Service: VNC Server (winvnc) - Constantin Kaplinsky - C:\WINDOWS\Pointdev\VNC\WinVNC.exe

--
End of file - 11193 bytes


Merci d'avance.

Autres pages sur : hacktool rootkit ffanjbaf sys

a c 267 8 Sécurité
6 Avril 2010 18:17:18

Bonjour,

[#ff0000]/!\ Désactive tes protections résidentes (Antivirus, etc...) /!\[/#f]

  • Télécharge ComboFix ([#ff0000]sUBs[/#f]) sur ton Bureau.
  • Double-clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
  • Il va te demander d'installer la console de récupération : accepte.
  • Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

    Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix
    7 Avril 2010 09:28:20

    Bonjour,

    merci de votre message. J'ai effectué les opérations que vous m'avez dit de suivre. ComboFix m'a bien créé un rapport que je vous transmet ci dessous. En revanche pendant l'analyse il m'a repéré les fichiers infectés et les as supprimé. Est-ce que selon vous l'infection y ai toujours ?
    Merci d'avance.

    Le rapport :

    ComboFix 10-04-06.01 - canton 07/04/2010 9:10.1.2 - x86
    Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2046.1157 [GMT 2:00]
    Lancé depuis: c:\documents and settings\canton\Bureau\ComboFix.exe
    AV: Symantec Endpoint Protection *On-access scanning disabled* (Updated) {FB06448E-52B8-493A-90F3-E43226D3305C}
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\documents and settings\utilisateur\Application Data\avdrn.dat
    C:\Documents
    c:\windows\system32\drivers\ffanjbaf.sys
    d:\documents utilisateur\cc_20100105_181334.reg

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_ffanjbaf
    -------\Service_ffanjbaf


    ((((((((((((((((((((((((((((( Fichiers créés du 2010-03-07 au 2010-04-07 ))))))))))))))))))))))))))))))))))))
    .

    2010-04-06 15:10 . 2010-04-06 15:10 -------- d-----w- c:\program files\Trend Micro
    2010-03-18 14:36 . 2010-03-18 14:36 -------- d-----w- c:\documents and settings\canton\Application Data\Sonic
    2010-03-18 13:48 . 2010-04-07 07:14 -------- d-----w- c:\temp\INTEROP
    2010-03-18 13:47 . 2010-04-07 07:14 -------- d-----w- c:\temp\VBE
    2010-03-18 13:46 . 2010-04-07 07:14 -------- d-----w- c:\temp\Xerox
    2010-03-18 09:24 . 2010-03-18 09:24 -------- d-----w- c:\documents and settings\canton\Local Settings\Application Data\Temp
    2010-03-16 12:52 . 2010-03-17 08:00 1 ----a-w- c:\documents and settings\canton\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
    2010-03-16 12:51 . 2010-03-16 12:51 -------- d-----w- c:\documents and settings\canton\Application Data\OpenOffice.org
    2010-03-16 10:23 . 2010-03-16 10:23 490880 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\VWDExpress\9.0\1036\ResourceCache.dll
    2010-03-16 10:23 . 2010-03-16 10:23 416 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\MSDN\9.0\1036\ResourceCache.dll
    2010-03-16 10:21 . 2010-03-16 10:36 -------- d-----w- c:\program files\Microsoft Visual Studio 9.0
    2010-03-16 09:58 . 2010-03-16 09:58 -------- d-----w- c:\documents and settings\canton\Local Settings\Application Data\Microsoft_Corporation
    2010-03-16 09:53 . 2010-03-16 09:53 -------- d-----w- c:\documents and settings\LocalService\Application Data\Xerox
    2010-03-16 09:42 . 2010-03-16 09:42 -------- d-----w- c:\documents and settings\canton\Local Settings\Application Data\Microsoft Help
    2010-03-15 17:30 . 2010-03-15 17:30 -------- d-----w- c:\documents and settings\canton\Application Data\dvdcss
    2010-03-12 16:06 . 2010-03-12 16:08 -------- d-----w- c:\documents and settings\canton\Application Data\gtk-2.0
    2010-03-12 15:21 . 2010-03-12 15:21 -------- d-----w- c:\documents and settings\canton\Local Settings\Application Data\Identities
    2010-03-12 08:32 . 2010-03-17 09:21 -------- d-----w- c:\documents and settings\canton\.qgis
    2010-03-11 08:51 . 2010-03-11 08:52 -------- d-----w- c:\windows\system32\NtmsData
    2010-03-10 15:17 . 2010-03-10 15:17 -------- d-----w- c:\program files\FWTools2.4.7
    2010-03-10 13:31 . 2010-03-10 13:31 -------- d-----w- c:\documents and settings\All Users\Application Data\ERDAS
    2010-03-10 13:31 . 2010-03-10 13:31 -------- d-----w- c:\documents and settings\canton\erdasnet_licensing
    2010-03-10 11:54 . 2009-10-23 15:28 3558912 ------w- c:\windows\system32\dllcache\moviemk.exe
    2010-03-10 10:40 . 2010-03-10 10:40 -------- d-----w- c:\program files\ERDAS
    2010-03-10 10:38 . 2010-03-10 10:58 -------- d-----w- c:\documents and settings\canton\Local Settings\Application Data\Downloaded Installations
    2010-03-10 08:57 . 2010-03-10 08:57 61440 ----a-r- c:\documents and settings\canton\Application Data\Microsoft\Installer\{389D45C9-AA08-4034-A256-2A38C311999D}\Uninstall_Iomega_NAS_9E32E5C5EF86495A8EA905840B9AC1E9.exe
    2010-03-10 08:57 . 2010-03-10 08:57 61440 ----a-r- c:\documents and settings\canton\Application Data\Microsoft\Installer\{389D45C9-AA08-4034-A256-2A38C311999D}\IOM_SHORTCUT_NAME_9E32E5C5EF86495A8EA905840B9AC1E9.exe
    2010-03-10 08:57 . 2010-03-10 08:57 61440 ----a-r- c:\documents and settings\canton\Application Data\Microsoft\Installer\{389D45C9-AA08-4034-A256-2A38C311999D}\IOM_SHORTCUT_DESKTOP_9E32E5C5EF86495A8EA905840B9AC1E9.exe
    2010-03-10 08:57 . 2010-03-10 08:57 61440 ----a-r- c:\documents and settings\canton\Application Data\Microsoft\Installer\{389D45C9-AA08-4034-A256-2A38C311999D}\ARPPRODUCTICON.exe
    2010-03-10 08:56 . 2010-03-10 08:56 40960 ----a-r- c:\documents and settings\canton\Application Data\Microsoft\Installer\{90FF23FE-0E1B-40DF-A22E-B4C0372E5936}\ARPPRODUCTICON.exe
    2010-03-08 14:45 . 2010-03-08 14:45 -------- d-----w- c:\documents and settings\canton\Application Data\AdobeUM
    2010-03-08 11:46 . 2010-03-08 11:46 -------- d-----w- c:\documents and settings\canton\Application Data\Leadertech
    2010-03-08 10:48 . 2010-03-08 10:48 -------- d-----w- c:\program files\CCleaner
    2010-03-08 09:47 . 2010-03-08 09:47 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
    2010-03-08 09:46 . 2010-03-08 09:46 -------- d-----w- c:\documents and settings\canton\Application Data\DAEMON Tools Lite
    2010-03-08 09:46 . 2010-03-08 09:46 -------- d-----w- c:\documents and settings\All Users\Application Data\DAEMON Tools Lite

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-04-07 04:18 . 2008-11-19 13:45 -------- d-----w- c:\program files\OCS Inventory Agent
    2010-04-06 15:56 . 2010-03-04 13:28 -------- d-----w- c:\documents and settings\canton\Application Data\vlc
    2010-04-06 12:27 . 2010-03-03 15:46 -------- d-----w- c:\documents and settings\canton\Application Data\ESRI
    2010-04-06 06:53 . 2004-08-19 12:03 569116 ----a-w- c:\windows\system32\perfh00C.dat
    2010-04-06 06:53 . 2004-08-19 12:03 109236 ----a-w- c:\windows\system32\perfc00C.dat
    2010-03-17 10:48 . 2007-06-21 21:21 93472 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
    2010-03-17 09:11 . 2009-03-05 10:16 -------- d-----w- c:\program files\Microsoft ActiveSync
    2010-03-16 10:39 . 2009-10-01 15:23 -------- d-----w- c:\program files\Microsoft
    2010-03-16 10:38 . 2008-10-09 14:37 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
    2010-03-16 10:12 . 2008-02-07 12:33 -------- d-----w- c:\program files\Microsoft SQL Server
    2010-03-16 09:54 . 2010-02-22 08:13 219816 ----a-w- c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat
    2010-03-10 18:30 . 2010-03-04 13:32 -------- d-----w- c:\documents and settings\canton\Application Data\Tinn-R
    2010-03-10 15:27 . 2008-02-12 10:31 -------- d-----w- c:\program files\Earth Resource Mapping
    2010-03-10 15:27 . 2007-06-21 21:15 -------- d--h--w- c:\program files\InstallShield Installation Information
    2010-03-03 15:46 . 2010-03-03 15:46 -------- d-----w- c:\documents and settings\canton\Application Data\Xerox
    2010-03-03 15:39 . 2010-03-03 15:23 -------- d-----w- c:\documents and settings\canton\Application Data\VMNTOOLBAR
    2010-03-03 15:23 . 2010-03-03 15:23 -------- d-----w- c:\documents and settings\canton\Application Data\EmailNotifier
    2010-03-03 14:50 . 2009-11-20 09:34 -------- d-----w- c:\documents and settings\Administrateur\Application Data\VMNTOOLBAR
    2010-03-03 14:26 . 2009-05-18 11:35 -------- d-----w- c:\program files\DivX
    2010-03-03 13:31 . 2007-10-03 13:29 -------- d-----w- c:\program files\Fichiers communs\Adobe
    2010-03-03 13:15 . 2009-10-15 15:55 -------- d-----w- c:\program files\Fichiers communs\DivX Shared
    2010-03-03 13:12 . 2009-12-02 14:30 -------- d-----w- c:\documents and settings\All Users\Application Data\WinZip
    2010-03-03 13:12 . 2009-10-06 13:23 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple Computer
    2010-03-02 08:28 . 2009-09-18 07:57 -------- d-----w- c:\program files\Microsoft Silverlight
    2010-03-01 15:56 . 2009-07-13 13:18 -------- d-----w- c:\program files\MSECache
    2010-03-01 15:00 . 2010-03-01 15:00 -------- d-----w- c:\program files\RouteFinder3_ArcGIS
    2010-02-22 15:37 . 2010-02-22 15:37 -------- d-----w- c:\program files\GDBT
    2010-02-22 15:36 . 2010-02-22 15:36 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard
    2010-02-22 15:34 . 2009-10-28 15:50 -------- d-----w- c:\documents and settings\utilisateur\Application Data\vlc
    2010-02-19 14:35 . 2009-11-06 16:50 -------- d-----w- c:\documents and settings\utilisateur\Application Data\dvdcss
    2010-02-18 08:30 . 2010-02-18 08:30 -------- d-----w- c:\documents and settings\utilisateur\Application Data\Autodesk
    2010-02-18 08:30 . 2010-02-15 16:42 -------- d-----w- c:\documents and settings\All Users\Application Data\Autodesk
    2010-02-16 17:33 . 2009-10-23 11:53 -------- d-----w- c:\documents and settings\All Users\Application Data\FLEXnet
    2010-02-15 16:44 . 2010-02-15 16:42 -------- d-----w- c:\program files\Autodesk
    2010-02-15 16:44 . 2010-02-15 16:43 -------- d-----w- c:\program files\Fichiers communs\Autodesk Shared
    2010-02-15 13:21 . 2010-02-15 13:20 -------- d-----w- c:\program files\Quantum GIS Enceladus
    2010-02-12 10:03 . 2010-03-03 09:21 293376 ------w- c:\windows\system32\browserchoice.exe
    2010-02-12 08:37 . 2010-02-12 08:37 -------- d-----w- c:\program files\LED
    2010-02-11 16:59 . 2008-10-15 08:18 -------- d-----w- c:\documents and settings\utilisateur\Application Data\gtk-2.0
    2010-01-20 10:32 . 2008-02-06 15:37 8 ----a-w- c:\windows\system32\nvModes.dat
    2010-01-19 16:49 . 2010-01-19 16:49 60808 ----a-w- c:\windows\system32\S32EVNT1.DLL
    2010-01-19 16:49 . 2010-01-19 16:49 124976 ----a-w- c:\windows\system32\drivers\SYMEVENT.SYS
    2010-01-08 09:57 . 2009-07-22 13:04 664 ----a-w- c:\windows\system32\d3d9caps.dat
    2010-01-07 08:03 . 2010-01-07 08:03 20 ----a-w- c:\documents and settings\LocalService\Application Data\fvgqad.dat
    2009-07-14 00:16 . 2009-07-14 00:16 1044480 -c--a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
    2009-07-14 00:16 . 2009-07-14 00:16 200704 -c--a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A057A204-BACC-4D26-8287-79A187E26987}]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2009-08-16 955392]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-04-19 7700480]
    "ccApp"="c:\program files\Fichiers communs\Symantec Shared\ccApp.exe" [2009-07-08 115560]

    c:\documents and settings\canton\Menu D‚marrer\Programmes\D‚marrage\
    Iomega Product Registration.lnk - c:\program files\Iomega\Registration\Register.exe [2004-2-4 16175104]

    c:\documents and settings\canton\Menu D‚marrer\Programmes\D‚marrage\
    Iomega Product Registration.lnk - c:\program files\Iomega\Registration\Register.exe [2004-2-4 16175104]

    c:\documents and settings\canton\Menu D‚marrer\Programmes\D‚marrage\
    Iomega Product Registration.lnk - c:\program files\Iomega\Registration\Register.exe [2004-2-4 16175104]

    c:\documents and settings\canton\Menu D‚marrer\Programmes\D‚marrage\
    Iomega Product Registration.lnk - c:\program files\Iomega\Registration\Register.exe [2004-2-4 16175104]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
    2008-05-02 01:42 72208 ----a-w- c:\program files\Fichiers communs\Logitech\Bluetooth\LBTWLgn.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2527710138-3798408838-4037050925-14872\Scripts\Logon\0\0]
    "Script"=UTLiteNT.bat

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2527710138-3798408838-4037050925-19300\Scripts\Logon\0\0]
    "Script"=UTLiteNT.bat

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2527710138-3798408838-4037050925-3232\Scripts\Logon\0\0]
    "Script"=UTLiteNT.bat

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ccEvtMgr]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ccSetMgr]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Symantec Antivirus]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
    @=""

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
    2006-03-20 16:34 213936 ----a-w- c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
    "gupdate1c944b93d725d39"=2 (0x2)

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
    "c:\\Documents and Settings\\utilisateur\\Local Settings\\Application Data\\Google\\Google Talk Plugin\\googletalkplugin.dll"=
    "c:\\Documents and Settings\\utilisateur\\Local Settings\\Application Data\\Google\\Google Talk Plugin\\googletalkplugin.exe"=
    "c:\\Program Files\\Hewlett-Packard\\HP Easy Printer Care\\HPPRun.exe"=
    "c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
    "c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
    "c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
    "c:\\Program Files\\ArcGIS\\License\\arcgis9x\\ARCGIS.EXE"=
    "c:\\Program Files\\ArcGIS\\License\\arcgis9x\\lmgrd.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
    "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

    R2 mi-raysat_3dsmax2010_32;mental ray 3.7 Satellite for Autodesk 3ds Max 2010 32-bit 32-bit;c:\program files\Autodesk\3ds Max 2010\mentalray\satellite\raysat_3dsmax2010_32server.exe [13/04/2009 12:51 86016]
    R2 OCS INVENTORY;OCS INVENTORY SERVICE;c:\program files\OCS Inventory Agent\OcsService.exe [16/04/2009 16:24 69632]
    R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [10/03/2010 16:27 102448]
    S2 ArcGIS Licence Manager;ArcGIS Licence Manager;c:\program files\ArcGIS\License\arcgis9x\lmgrd.exe [26/01/2009 12:16 1372160]
    S2 ArcGIS License Manager;ArcGIS License Manager;c:\progra~1\ESRI\License\arcgis9x\lmgrd.exe [06/02/2008 19:21 1431440]
    S2 gupdate1c944b93d725d39;Google Update Service (gupdate1c944b93d725d39);c:\program files\Google\Update\GoogleUpdate.exe [12/11/2008 13:24 133104]
    S3 COH_Mon;COH_Mon;c:\windows\system32\drivers\COH_Mon.sys [14/07/2009 13:51 23888]
    S3 Smcinst;Symantec Auto-upgrade Agent;c:\program files\Symantec AntiVirus\SmcLU\Setup\smcinst.exe --> c:\program files\Symantec AntiVirus\SmcLU\Setup\smcinst.exe [?]
    S3 WinRM;Windows Remote Management (WS-Management);c:\windows\system32\svchost.exe -k WINRM [19/08/2004 14:03 14336]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
    hpdevmgmt REG_MULTI_SZ hpqcxs08
    WINRM REG_MULTI_SZ WINRM
    .
    Contenu du dossier 'Tâches planifiées'

    2010-04-07 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2008-11-12 11:37]

    2010-04-07 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2008-11-12 11:37]

    2010-04-06 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3455275775-2155970682-583249772-1006Core.job
    - c:\documents and settings\utilisateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2008-11-18 11:37]

    2010-04-07 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3455275775-2155970682-583249772-1006UA.job
    - c:\documents and settings\utilisateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2008-11-18 11:37]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.fr/
    uInternet Settings,ProxyServer = 193.48.28.220:3128
    IE: &Traduire à partir de l'anglais - c:\program files\Google\GoogleToolbar1.dll/cmwordtrans.html
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    IE: Pages liées - c:\program files\Google\GoogleToolbar1.dll/cmbacklinks.html
    IE: Pages similaires - c:\program files\Google\GoogleToolbar1.dll/cmsimilar.html
    IE: Recherche &Google - c:\program files\Google\GoogleToolbar1.dll/cmsearch.html
    IE: Version de la page actuelle disponible dans le cache Google - c:\program files\Google\GoogleToolbar1.dll/cmcache.html
    Trusted Zone: hp.com
    Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\program files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
    Handler: HPDCS - {ba135f49-a12c-4e26-a2c4-6ea945999072} - c:\program files\Fichiers communs\Hewlett-Packard\HP Device Communication Services\APP\hpdcsapp.dll
    Handler: hppfile - {C4E2084B-ED27-4893-A43D-488CA3F370E2} - c:\program files\Hewlett-Packard\HP Easy Printer Care\HPPCtrls.dll
    Handler: hppsam - {C4E2084B-ED27-4893-A43D-488CA3F370E2} - c:\program files\Hewlett-Packard\HP Easy Printer Care\HPPCtrls.dll
    Handler: hppzip - {C4E2084B-ED27-4893-A43D-488CA3F370E2} - c:\program files\Hewlett-Packard\HP Easy Printer Care\HPPCtrls.dll
    FF - ProfilePath - c:\documents and settings\canton\Application Data\Mozilla\Firefox\Profiles\3j5g8rhr.default\
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
    FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
    FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
    .
    .
    ------- Associations de fichier -------
    .
    .reg=Regedit.Document
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    Notify-NavLogon - (no file)
    SafeBoot-Symantec Antvirus



    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-04-07 09:18
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•9~*]
    "C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'winlogon.exe'(884)
    c:\program files\fichiers communs\logitech\bluetooth\LBTWlgn.dll
    c:\program files\fichiers communs\logitech\bluetooth\LBTServ.dll

    - - - - - - - > 'lsass.exe'(948)
    c:\program files\Bonjour\mdnsNSP.dll

    - - - - - - - > 'explorer.exe'(3572)
    c:\windows\system32\msi.dll
    c:\windows\system32\eappprxy.dll
    c:\windows\system32\WPDShServiceObj.dll
    c:\windows\system32\PortableDeviceTypes.dll
    c:\windows\system32\PortableDeviceApi.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\program files\Symantec\Symantec Endpoint Protection\Smc.exe
    c:\program files\Fichiers communs\Symantec Shared\ccSvcHst.exe
    c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    c:\program files\Bonjour\mDNSResponder.exe
    c:\program files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    c:\program files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
    c:\program files\Java\jre6\bin\jqs.exe
    c:\program files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
    c:\windows\system32\nvsvc32.exe
    c:\program files\Microsoft SQL Server\90\Shared\sqlwriter.exe
    c:\program files\Symantec\Symantec Endpoint Protection\Rtvscan.exe
    c:\program files\Symantec\Symantec Endpoint Protection\SmcGui.exe
    .
    **************************************************************************
    .
    Heure de fin: 2010-04-07 09:23:17 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-04-07 07:23

    Avant-CF: 68 224 876 544 octets libres
    Après-CF: 69 007 118 336 octets libres

    WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

    - - End Of File - - C7052A86C6514E43FE6CF71F8E60253C
    Contenus similaires
    a c 267 8 Sécurité
    7 Avril 2010 09:31:35

    Le rootkit est effacé.

  • Télécharge Ad-Remover (de C_XX) sur ton Bureau.
  • Déconnecte-toi et ferme toutes applications en cours.
  • Double-clique sur AD-R situé sur ton Bureau pour le lancer.
  • Choisis Nettoyer puis valide.
  • Poste le rapport qui apparaît à la fin (C:\Ad-Report-CLEAN.log).

    (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
    7 Avril 2010 09:54:24

    Puisque le rootkit est effacé cette opération va faire quoi exactement ?

    Merci.
    a c 267 8 Sécurité
    7 Avril 2010 09:58:26

    Cela va supprimer les traces de VMN TOOLBAR.

    Il reste 2-3 trucs à virer après.
    7 Avril 2010 10:17:25

    Voila le nouveau scan.
    En revanche la protection Symantec ne s'active plus. Est-ce normal ?

    .
    ======= RAPPORT D'AD-REMOVER 2.0.0.0,B | UNIQUEMENT XP/VISTA/7 =======
    .
    Mis à jour par C_XX le 31/03/10 à 21:30
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
    .
    Lancé à: 09:55:54 le 07/04/2010 | Mode normal | Option: CLEAN
    Exécuté de: C:\Ad-Remover\ADR.exe
    SE: Microsoft® Windows XP™ Service Pack 3 - X86
    Nom du PC: UDC-01-0194 | Utilisateur actuel: canton (Administrateur)
    .
    ============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
    .
    .
    C:\Documents and Settings\Administrateur\Application Data\VMNTOOLBAR
    C:\Documents and Settings\canton\Application Data\VMNTOOLBAR
    C:\Documents and Settings\LocalService\Application Data\VMNTOOLBAR
    C:\Documents and Settings\utilisateur\Application Data\vmntoolbar
    C:\Program Files\VMNTOOLBAR

    (!) -- Fichiers temporaires supprimés.
    .
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A057A204-BACC-4D26-8287-79A187E26987}
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A057A204-BACC-4D26-8287-79A187E26987}
    HKCU\Software\vmntoolbar
    HKLM\Software\Classes\CLSID\{A057A204-BACC-4D26-8287-79A187E26987}
    HKLM\Software\Classes\Interface\{144940B1-F191-11D0-A8E2-00A0C90F29FC}
    HKLM\Software\Classes\Interface\{2A6B0172-4ED2-11D0-98BE-00805F7CED21}
    HKLM\Software\Classes\Interface\{FED621D1-59B0-11D0-9C47-00A0C90F29FC}
    HKLM\Software\Classes\vmntoolbar.VMNTOOLBAR
    HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\vmntoolbar
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A057A204-BACC-4D26-8287-79A187E26987}
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\vmntoolbar
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\vmntoolbar\vmntoolbar.dll
    .
    .
    ============== SCAN ADDITIONNEL ==============
    .
    * Mozilla FireFox Version 3.6b4 (fr) *
    .
    C:\Documents and Settings\canton\..\3j5g8rhr.default\prefs.js - browser.download.dir: C:\\Documents and Settings\\canton\\Bureau\\Temp
    C:\Documents and Settings\canton\..\3j5g8rhr.default\prefs.js - browser.startup.homepage: hxxp://www.google.fr/
    C:\Documents and Settings\canton\..\3j5g8rhr.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.1.4
    C:\Documents and Settings\Administrateur\..\bwdhpkx7.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.1.4
    C:\Documents and Settings\fazi_a\..\81te5d3f.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.0.12
    C:\Documents and Settings\madary_j\..\l2gi9hrb.default\prefs.js - browser.download.lastDir: C:\\Documents and Settings\\madary_j\\Bureau
    C:\Documents and Settings\madary_j\..\l2gi9hrb.default\prefs.js - browser.startup.homepage: hxxp://www.google.fr/
    C:\Documents and Settings\madary_j\..\l2gi9hrb.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.8.1.13
    C:\Documents and Settings\utilisateur\..\6wdn9v7o.default\prefs.js - browser.download.dir: C:\\Documents and Settings\\utilisateur\\Bureau\\Temp
    C:\Documents and Settings\utilisateur\..\6wdn9v7o.default\prefs.js - browser.download.lastDir: C:\\Documents and Settings\\utilisateur\\Bureau\\Temp\\Méthodo INRA
    C:\Documents and Settings\utilisateur\..\6wdn9v7o.default\prefs.js - browser.startup.homepage: hxxp://www.google.fr/ig?hl=fr&source=iglk
    C:\Documents and Settings\utilisateur\..\6wdn9v7o.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.1.4
    .
    .
    * Internet Explorer Version 7.0.5730.11 *
    .
    [HKCU\Software\Microsoft\Internet Explorer\Main]
    .
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/
    Use Search Asst: no
    .
    [HKLM\Software\Microsoft\Internet Explorer\Main]
    .
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: %SystemRoot%\system32\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/
    .
    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    .
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm
    .
    ========================================
    .
    C:\Temp: 3 Fichier(s), 7 Dossier(s)
    C:\WINDOWS\temp: 2 Fichier(s), 0 Dossier(s)
    Temporary Internet Files: 2 Fichier(s), 4 Dossier(s)
    .
    C:\Ad-Remover\Quarantine: 0 Fichier(s)
    C:\Ad-Remover\Backup: 14 Fichier(s)
    .
    C:\Ad-Report-CLEAN[1].txt - 4788 Octet(s)
    .
    Fin à: 10:09:28, 07/04/2010
    .
    ============== E.O.F - CLEAN[1] ==============
    7 Avril 2010 10:37:50

    Petite correction :
    Ce n'est pas la protection antivirus et antipyware qui ne s'active pas mais la protection proactive.
    a c 267 8 Sécurité
    7 Avril 2010 10:49:25

  • Relance Ad-Remover et choisis Désinstaller.

  • Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
  • Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
  • Sélectionne Exécuter un examen rapide.
  • Clique sur Rechercher. L'analyse démarre.
  • A la fin de l'analyse, un message s'affiche :
    Citation :
    L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  • Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
  • Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.
    7 Avril 2010 11:05:06

    Voila le nouveau rapport :


    Malwarebytes' Anti-Malware 1.45
    www.malwarebytes.org

    Version de la base de données: 3962

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 7.0.5730.11

    07/04/2010 11:03:12
    mbam-log-2010-04-07 (11-03-12).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 151214
    Temps écoulé: 4 minute(s), 59 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 3

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Documents and Settings\LocalService\Application Data\fvgqad.dat (Malware.Trace) -> Quarantined and deleted successfully.
    C:\Documents and Settings\utilisateur\Application Data\fvgqad.dat (Malware.Trace) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\config\systemprofile\Application Data\fvgqad.dat (Malware.Trace) -> Quarantined and deleted successfully.
    a c 267 8 Sécurité
    7 Avril 2010 11:13:51

  • Relance MBAM, va dans Quarantaine et supprime tout.

  • Menu Démarrer > Exécuter > Tape ComboFix /uninstall et valide.

    Si Norton ne fonctionne pas correctement, réinstalle-le.
    7 Avril 2010 11:24:56

    Après ces opérations selon vous le virus devrait être parti ?
    7 Avril 2010 11:30:31

    Je relance une analyse pour revérifier mon disque et je vous tiens au courant.
    Dans tous les cas merci pour votre aide précieuse.
    a c 267 8 Sécurité
    8 Avril 2010 01:46:07

    Les virus sont supprimés.

    Plus de souci ?
    9 Avril 2010 13:47:52

    Apparemment plus aucun souci.

    Je te remercie encore pour tous ces renseignements car ça faisait plus d'1 mois que je trainais ce virus qui n'arrêtait pas de spammer tout le monde.

    A plus
    a c 267 8 Sécurité
    9 Avril 2010 14:04:31

    1/

  • Télécharge ToolsCleaner2 sur ton Bureau.
  • Double-clique sur ToolsCleaner2.exe pour le lancer.
  • Clique sur Recherche et laisse le scan agir.
  • Clique sur Suppression pour finaliser.
  • Tu peux, si tu le souhaites, te servir des Options Facultatives.
  • Clique sur Quitter pour obtenir le rapport.
  • Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).


    2/

  • Télécharge et installe CCleaner (N'installe pas la Yahoo! Toolbar).
  • Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
  • Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.


    3/

  • Il est nécessaire de désactiver puis réactiver la restauration système pour la purger.


    ==Prévention==

    Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement.

    Vérifie que les mises à jour automatiques sont bien activées (Menu Démarrer, clique droit sur Poste de travail, Propriétés, onglet Mises à jour automatiques).

    Par rapport au P2P : Lien

    Voici un dossier complet (A lire avec Adobe Reader ou Foxit Reader) : Lien


    ==Problème résolu ?==

    --> Si tu estimes que ton problème est résolu, ajoute [Résolu] au titre. Pour cela :
  • Clique, dans ton premier message, sur le bouton Editer .
  • Ajoute la mention [Résolu] devant le titre.
  • Clique ensuite sur Valider votre message.


    Sois plus vigilant(e) sur Internet ;) 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS