Se connecter / S'enregistrer
Votre question

Rootkit alureon

Tags :
  • Trojan
  • Sécurité
Dernière réponse : dans Sécurité et virus
25 Janvier 2010 08:53:07

bonjour depuis au moins 1 mois j'ai un cheval de troie sur mon pc portable. J'ai essayé de trouver des méthodes pour le supprimer mais rien n'y fait il est toujours la. Pouriez vous m'aider svp ?

Autres pages sur : rootkit alureon

25 Janvier 2010 08:56:58

Salut,


coriace comme bestiole ...


/!\ Pour le bon déroulement de la désinfection :
  • Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
  • N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
  • Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
  • Si tu as un quelconque problème, n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).

    =============================================================



    Commence par ceci pour avoir un diagnostique précis :


    1- Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

    -> http://telechargement.zebulon.fr/zhpdiag.html


    !! déconnecte toi et ferme toutes tes applications en cours !!

    > double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ) .

    > Lance ZHPDiag depuis le raccourci du bureau .

    > Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite .
    ( celui avec le tournevis )

    Une liste apparait dans l'encadré principal > vérifie que toutes les lignes soient bien cochées sauf les 045 et 061 ( important ! ) .

    > Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .


    Laisses travailler l'outil ...


    > Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

    Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

    ( Sinon le rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag)

    Puis ferme le programme ...


    > rends toi ensuite sur ce site : http://www.cijoint.fr/

    Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
    Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
    Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....


    ====================


    2- Lance de nouveau ZHPDiag ,

    !! déconnecte toi et ferme toutes tes applications en cours !!

    * Tu vas faire une " analyse détaillée/MD5 " en procédant ainsi :

    > tu cliques cette fois ci sur le bouton " dossier+loupe " ( en haut à droite ) pour lancer le scan.


    Laisse travailler l'outil et ne touche à rien ( cela peut-être relativement long ) .


    * Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

    Enregistre le de façon à le retrouver facilement ( sur le bureau par exemple ).

    * Fais moi parvenir ce rapport via " Cijoint " dans ta prochaine réponse pour analyse ...

    Contenus similaires
    25 Janvier 2010 19:19:32

    Bien ...


    avant de commencer , je vois qui tu as Malwarebytes ... si tu l'as utilisé , poste moi le rapport que tu as obtenu stp ...

    25 Janvier 2010 22:17:43

    voila le rapport
    Malwarebytes' Anti-Malware 1.44
    Version de la base de données: 3638
    Windows 6.0.6002 Service Pack 2
    Internet Explorer 8.0.6001.18882

    25/01/2010 22:17:07
    mbam-log-2010-01-25 (22-17-07).txt

    Type de recherche: Examen rapide
    Eléments examinés: 102468
    Temps écoulé: 4 minute(s), 59 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)

    25 Janvier 2010 22:38:31

    Bien ....


    on va dénicher cette m**de ...


    Commence par faire ceci dans l'ordre :




    1- protocole à suivre pour Windows Vista :

  • Désactiver le "contrôle des comptes utilisateurs" ou UAC (le réactiver seulement à la fin de la désinfection) :

    Aller dans "démarrer" puis "panneau de configuration" :
    --->Sur la droite de la fenêtre , cliques sur " affichage classique "
    --->Double-Cliquer sur l'icône "Comptes d'utilisateurs"
    --->Cliquer ensuite sur "Activer ou désactiver le contrôle ..." .
    --->Décocher la case "utlisiser le contrôle ..." et cliquer sur OK .
    --->Redémarrer le PC !

    Tutos :
    http://pagesperso-orange.fr/NosTools/uac_vista.html
    http://forum.malekal.com/viewtopic.php?f=59&t=6517


  • Important :
    Pour installer ou pour lancer les outils, que tu utiliseras au court de la désinfection, fais toujours ainsi :
    clique DROIT ( sur le setup d'installe ou sur l'outil ) -> choisis " Exécuter entant qu'administrateur " .
    Fais ceci systématiquement ! ...


    une fois ceci fait et pris en compte , enchaine ...

    ==========================


    2- Télécharge gmer sur le bureau :

    > http://cjoint.com/?bzwK2aqjr2

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe ( naviguateurs compris ) !!

  • Clique droit / "executer en tant qu'admin..." sur ..._gmer.exe sur le bureau.
  • Clique sur l'onglet "rootkit", puis clique sur scan.
  • A la fin du scan, clique sur le bouton copy.
  • Puis va dans le menu "démarrer"> "programmes" > accessoires : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note.

    > poste le contenu du rapport stp et attends la suite ...
    26 Janvier 2010 19:56:37

    GMER 1.0.15.15281 - http://www.gmer.net
    Rootkit scan 2010-01-26 19:54:48
    Windows 6.0.6002 Service Pack 2
    Running: bzwK2aqjr2_gmer.exe; Driver: C:\Users\Alex\AppData\Local\Temp\uglyykob.sys


    ---- Kernel code sections - GMER 1.0.15 ----

    .rsrc C:\Windows\system32\drivers\atapi.sys entry point in ".rsrc" section [0x826DD000]
    .text C:\Windows\system32\DRIVERS\atikmdag.sys section is writeable [0x8E80E000, 0x2311A4, 0xE8000020]
    .text C:\Program Files\Hewlett-Packard\Media\DVD\000.fcl section is writeable [0x9D5D4000, 0x2892, 0xE8000020]
    .vmp2 C:\Program Files\Hewlett-Packard\Media\DVD\000.fcl entry point in ".vmp2" section [0x9D5F7050]

    ---- Devices - GMER 1.0.15 ----

    AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF dynamique/Microsoft Corporation)
    AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF dynamique/Microsoft Corporation)

    Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-0 [826D99B0] \SystemRoot\system32\drivers\atapi.sys[unknown section] {MOV EAX, [0xffdf0308]; JMP [EAX+0xfc]}
    Device \Driver\atapi \Device\Ide\IdePort0 [826D99B0] \SystemRoot\system32\drivers\atapi.sys[unknown section] {MOV EAX, [0xffdf0308]; JMP [EAX+0xfc]}
    Device \Driver\atapi \Device\Ide\IdePort1 [826D99B0] \SystemRoot\system32\drivers\atapi.sys[unknown section] {MOV EAX, [0xffdf0308]; JMP [EAX+0xfc]}
    Device \Driver\atapi \Device\Ide\IdePort2 [826D99B0] \SystemRoot\system32\drivers\atapi.sys[unknown section] {MOV EAX, [0xffdf0308]; JMP [EAX+0xfc]}
    Device \Driver\atapi \Device\Ide\IdePort3 [826D99B0] \SystemRoot\system32\drivers\atapi.sys[unknown section] {MOV EAX, [0xffdf0308]; JMP [EAX+0xfc]}
    Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-1 [826D99B0] \SystemRoot\system32\drivers\atapi.sys[unknown section] {MOV EAX, [0xffdf0308]; JMP [EAX+0xfc]}

    ---- Registry - GMER 1.0.15 ----

    Reg HKLM\SYSTEM\CurrentControlSet\Services\Ecache\Parameters@MemoryCacheSize 443831182
    Reg HKLM\SYSTEM\CurrentControlSet\Services\Ecache\Parameters@LastBootPlanTime 0xAD 0x9E 0xCA 0x01 ...

    ---- Files - GMER 1.0.15 ----

    File C:\Windows\system32\drivers\atapi.sys suspicious modification

    ---- EOF - GMER 1.0.15 ----
    26 Janvier 2010 20:04:03

    hello,


    tès intéressant ...


    la suite dans l'ordre :




    1- Télécharge SEAF ( de C__XX ) sur ton bureau :

    http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe
    http://forum-aide-contre-virus.be/download/C_XX/SEAF.ex...

    ! ferme toutes applications en cours et déconnecte toi !

    * Double clique sur "SEAF.exe" ( clique droit et "Exécuter en tant qu'administrateur" pour Vista).

    * Une fenêtre Cmd ( type dos ) va s'ouvrir.

    * Là tu tapes (ou copie/colle) exatement ceci :


    [noreg],[moreinfos],atapi.sys


    Puis tapes sur [Entrée] .

    * Patiente pendant la recherche ( cela peut-être relativement long suivant les cas ).

    * Une fois terminé, une fenêtre avec un log .txt va s'afficher.

    * fais moi parvenir via "Cijoint" le contenu de ce rapport dans ta prochaine réponse.


    ============================


    2- Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe


    >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
  • Ferme tes applications en cours ( ainsi que ton navigateur ) .
  • DESACTIVE TOUTES TES DEFENSES (anti-virus, garde anti spy-ware, pare-feu) le temps de la manipe.
    En effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !
    > Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
  • Tuto ( aide ) ici : http://www.bleepingcomputer.com/combofix/fr/comment-uti...
  • Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
    >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<


    Ensuite :
    > Clique droit / "executer en tant qu'admin..." sur l'icône "Combofix.exe" pour lancer l'outil .
    > A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...


    Notes importantes :
    -> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
    -> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
    -> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
    -> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

    Le rapport sera crée ici : C:\Combofix.txt

    Réactive bien tes défenses .


    > Poste le rapport Combofix pour analyse et attends la suite ...
    26 Janvier 2010 21:01:57

    voila le lien http://www.cijoint.fr/cjlink.php?file=cj201001/cijOM0xC...
    et le rapport de combofix
    ComboFix 10-01-26.02 - Alex 26/01/2010 20:46:13.7.2 - x86
    Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.3038.1873 [GMT 1:00]
    Lancé depuis: c:\users\Alex\Desktop\ComboFix.exe
    SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\windows\system32\tdlcmd.dll

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2009-12-26 au 2010-01-26 ))))))))))))))))))))))))))))))))))))
    .

    2010-01-26 19:52 . 2010-01-26 19:52 -------- d-----w- c:\users\Public\AppData\Local\temp
    2010-01-26 19:52 . 2010-01-26 19:52 -------- d-----w- c:\users\Default\AppData\Local\temp
    2010-01-26 19:31 . 2010-01-26 19:40 -------- d-----w- c:\program files\SEAF
    2010-01-26 19:13 . 2010-01-26 19:13 30784 ----a-w- c:\windows\system32\drivers\cyopsuej.sys
    2010-01-25 21:10 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-01-25 21:10 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-01-25 17:33 . 2010-01-25 17:33 -------- d-----w- c:\program files\ZHPDiag
    2010-01-23 10:30 . 2010-01-23 10:31 -------- d-----w- c:\program files\Microsoft Security Essentials
    2010-01-23 09:55 . 2010-01-23 09:55 -------- d-----w- C:\_OTM
    2010-01-23 09:49 . 2010-01-23 09:50 -------- d-----w- C:\rsit
    2010-01-18 17:58 . 2010-01-23 09:47 -------- d-----w- C:\Ad-Remover
    2010-01-17 20:16 . 2010-01-17 20:16 1199 ----a-w- c:\program files\unins000.dat
    2010-01-17 20:16 . 2010-01-17 20:16 710619 ----a-w- c:\program files\unins000.exe
    2010-01-17 20:16 . 2009-11-23 11:09 478208 ----a-w- c:\program files\Launcher.exe
    2010-01-17 20:16 . 2005-12-28 19:44 162816 ----a-w- c:\program files\fmod.dll
    2010-01-16 11:03 . 2010-01-16 11:03 -------- d-----w- c:\programdata\Blizzard
    2010-01-13 20:10 . 2009-10-19 13:38 156672 ----a-w- c:\windows\system32\t2embed.dll
    2010-01-13 20:10 . 2009-10-19 13:35 72704 ----a-w- c:\windows\system32\fontsub.dll
    2010-01-11 21:22 . 2010-01-26 19:53 -------- d-----w- c:\users\Alex\AppData\Local\temp
    2010-01-04 20:42 . 2010-01-04 20:42 86576 ----a-w- c:\users\Alex\AppData\Roaming\Microsoft\Services Windows Live\Raccourci Galerie de Photos Windows Live.exe
    2010-01-04 20:42 . 2010-01-04 20:42 392728 ----a-w- c:\users\Alex\AppData\Roaming\Microsoft\Services Windows Live\Services Windows Live.dll
    2010-01-04 20:42 . 2010-01-04 20:42 132672 ----a-w- c:\users\Alex\AppData\Roaming\Microsoft\Services Windows Live\Raccourci Windows Live Messenger.exe
    2009-12-31 08:59 . 2009-12-31 08:59 -------- d-----w- c:\programdata\{B9B58689-DCB0-4AD3-9025-18FF4082B5B0}

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-01-26 19:04 . 2009-01-21 05:18 669566 ----a-w- c:\windows\system32\perfh00C.dat
    2010-01-26 19:04 . 2009-01-21 05:18 123556 ----a-w- c:\windows\system32\perfc00C.dat
    2010-01-26 17:29 . 2009-12-05 19:18 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-01-23 09:50 . 2009-12-05 19:13 -------- d-----w- c:\program files\Trend Micro
    2010-01-20 20:43 . 2009-08-24 18:29 -------- d-----w- c:\users\Alex\AppData\Roaming\vlc
    2010-01-19 01:51 . 2009-08-31 16:12 -------- d-----w- c:\program files\World of Warcraft
    2010-01-14 10:12 . 2009-10-03 11:00 181120 ------w- c:\windows\system32\MpSigStub.exe
    2010-01-13 21:21 . 2009-01-20 22:17 -------- d-----w- c:\programdata\Microsoft Help
    2010-01-13 21:20 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
    2010-01-04 20:07 . 2009-08-25 09:14 -------- d-----w- c:\program files\adslTV
    2010-01-02 06:38 . 2010-01-21 19:50 916480 ----a-w- c:\windows\system32\wininet.dll
    2010-01-02 06:32 . 2010-01-21 19:50 71680 ----a-w- c:\windows\system32\iesetup.dll
    2010-01-02 06:32 . 2010-01-21 19:50 109056 ----a-w- c:\windows\system32\iesysprep.dll
    2010-01-02 04:57 . 2010-01-21 19:50 133632 ----a-w- c:\windows\system32\ieUnatt.exe
    2009-12-30 15:36 . 2009-10-06 11:51 -------- d-----w- c:\program files\Google
    2009-12-19 12:29 . 2009-12-19 12:29 -------- d-----w- c:\program files\CFWebAdvancedU
    2009-12-09 20:10 . 2009-12-06 19:57 -------- d-----w- c:\program files\a-squared Anti-Malware
    2009-12-09 19:47 . 2009-12-09 19:48 318976 ----a-w- c:\windows\system32\CF6960.exe
    2009-12-09 17:50 . 2009-12-09 17:50 318976 ----a-w- c:\windows\system32\CF16696.exe
    2009-12-08 20:34 . 2009-01-20 21:50 -------- d-----w- c:\programdata\WildTangent
    2009-12-08 20:34 . 2009-01-20 21:50 -------- d-----w- c:\program files\HP Games
    2009-12-08 20:29 . 2009-12-08 20:29 -------- d-----w- c:\programdata\Kaspersky Lab Setup Files
    2009-12-05 19:18 . 2009-12-05 19:18 -------- d-----w- c:\users\Alex\AppData\Roaming\Malwarebytes
    2009-12-05 19:18 . 2009-12-05 19:18 -------- d-----w- c:\programdata\Malwarebytes
    2009-11-25 10:19 . 2009-12-23 19:46 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
    2009-11-16 21:05 . 2006-11-02 10:25 665600 ----a-w- c:\windows\inf\drvindex.dat
    2009-11-14 13:24 . 2009-11-14 13:24 64072 ----a-w- c:\programdata\Kaspersky Lab Setup Files\Kaspersky Anti-Virus 2010 9.0.0.736\French\setup.exe
    2009-11-09 12:31 . 2009-12-12 09:46 24064 ----a-w- c:\windows\system32\nshhttp.dll
    2009-11-09 12:30 . 2009-12-12 09:46 30720 ----a-w- c:\windows\system32\httpapi.dll
    2009-11-09 10:36 . 2009-12-12 09:46 411648 ----a-w- c:\windows\system32\drivers\http.sys
    2009-10-29 09:17 . 2009-11-26 20:16 2048 ----a-w- c:\windows\system32\tzres.dll
    2009-01-21 05:37 . 2009-01-21 05:21 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2008-06-09 2363392]
    "HPAdvisor"="c:\program files\Hewlett-Packard\HP Advisor\HPAdvisor.exe" [2008-11-18 966656]
    "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
    "ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-29 61440]
    "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-07-24 1348904]
    "DVDAgent"="c:\program files\Hewlett-Packard\Media\DVD\DVDAgent.exe" [2008-11-28 1148200]
    "TSMAgent"="c:\program files\Hewlett-Packard\TouchSmart\Media\TSMAgent.exe" [2008-12-25 1316136]
    "CLMLServer for HP TouchSmart"="c:\program files\Hewlett-Packard\TouchSmart\Media\Kernel\CLML\CLMLSvc.exe" [2008-12-25 189736]
    "TVAgent"="c:\program files\Hewlett-Packard\Media\TV\TVAgent.exe" [2009-01-21 210216]
    "UCam_Menu"="c:\program files\Hewlett-Packard\Media\Webcam\MUITransfer\MUIStartMenu.exe" [2008-11-14 218408]
    "SmartMenu"="c:\program files\Hewlett-Packard\HP MediaSmart\SmartMenu.exe" [2008-11-18 914224]
    "UpdateLBPShortCut"="c:\program files\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe" [2008-06-13 210216]
    "UpdatePSTShortCut"="c:\program files\CyberLink\DVD Suite\MUITransfer\MUIStartMenu.exe" [2008-11-26 210216]
    "Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
    "QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-10-10 206128]
    "UpdateP2GoShortCut"="c:\program files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" [2008-10-30 210216]
    "UpdatePDIRShortCut"="c:\program files\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe" [2008-06-13 210216]
    "HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-10-09 75008]
    "HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576]
    "WirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2008-12-08 432432]
    "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
    "SysTrayApp"="c:\program files\IDT\WDM\sttray.exe" [2008-10-26 450659]
    "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
    "MSSE"="c:\program files\Microsoft Security Essentials\msseces.exe" [2009-09-13 1048392]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "EnableUIADesktopToggle"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
    @="Service"

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
    2009-02-27 15:10 35696 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
    2009-07-26 14:44 3883856 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
    "VistaSp2"=hex(b):4e,f5,72,46,16,4d,ca,01

    R2 {55662437-DA8C-40c0-AADA-2C816A897A49};Power Control [2009/06/15 03:59];c:\program files\Hewlett-Packard\Media\DVD\000.fcl [28/11/2008 17:04 87536]
    R2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt.inf_52c73ccb\AEstSrv.exe [15/06/2009 02:27 77824]
    R2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe -k netsvcs [21/01/2008 03:23 21504]
    R2 hpsrv;HP Service;c:\windows\System32\hpservice.exe [18/03/2008 15:24 19456]
    R2 Recovery Service for Windows;Recovery Service for Windows;c:\program files\SMINST\BLService.exe [20/01/2009 23:37 365952]
    R2 TVCapSvc;TV Background Capture Service (TVBCS);c:\program files\Hewlett-Packard\Media\TV\Kernel\TV\TVCapSvc.exe [26/11/2008 16:13 296320]
    R2 TVSched;TV Task Scheduler (TVTS);c:\program files\Hewlett-Packard\Media\TV\Kernel\TV\TVSched.exe [26/11/2008 16:13 116096]
    R3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [20/01/2009 22:38 222512]
    R3 enecir;ENE CIR Receiver;c:\windows\System32\drivers\enecir.sys [04/09/2008 18:47 54784]
    R3 JMCR;JMCR;c:\windows\System32\drivers\jmcr.sys [23/10/2008 10:42 107360]
    S1 cyopsuej;cyopsuej;c:\windows\System32\drivers\cyopsuej.sys [26/01/2010 20:13 30784]
    S2 gupdate1ca467b5d805ceb;Service Google Update (gupdate1ca467b5d805ceb);c:\program files\Google\Update\GoogleUpdate.exe [06/10/2009 12:51 133104]
    S3 FontCache;Service de cache de police Windows;c:\windows\system32\svchost.exe -k LocalServiceAndNoImpersonation [21/01/2008 03:23 21504]
    S3 MpNWMon;Microsoft Malware Protection Network Driver;c:\windows\System32\drivers\MpNWMon.sys [18/06/2009 18:48 42480]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    ezSharedSvc

    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
    2008-06-09 08:14 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
    .
    Contenu du dossier 'Tâches planifiées'

    2010-01-26 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2009-10-06 11:51]

    2010-01-26 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2009-10-06 11:51]

    2010-01-26 c:\windows\Tasks\User_Feed_Synchronization-{21B4AACA-19BF-40B8-B038-C0E1B6204B07}.job
    - c:\windows\system32\msfeedssync.exe [2010-01-21 04:56]
    .
    .
    ------- Examen supplémentaire -------
    .
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
    DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} - hxxp://activex.camfrogweb.com/advanced/2.0.2.3/cfweb_activex.camfrogweb.com-advanced-2.0.2.3_instmodule.exe
    DPF: {DFB5BCF1-06AE-4ABB-BFA8-1E228F41C50A} - hxxp://bobtv.fr/download/cfweb_www.bobtv.fr-download_instmodule.exe
    FF - ProfilePath - c:\users\Alex\AppData\Roaming\Mozilla\Firefox\Profiles\ojcwoq7q.default\
    FF - prefs.js: browser.search.selectedEngine - Bing
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
    FF - prefs.js: keyword.URL - hxxp://www.bing.com/search?mkt=fr-FR&form=MIMWA2&q=
    FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
    FF - plugin: c:\program files\Google\Update\1.2.183.13\npGoogleOneClick8.dll
    FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-01-26 20:53
    Windows 6.0.6002 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys hpdskflt.sys hal.dll acpi.sys atapi.sys >>UNKNOWN [0x87E45F61]<<
    kernel: MBR read successfully
    detected MBR rootkit hooks:
    \Driver\Disk -> CLASSPNP.SYS @ 0x82607d24
    \Driver\ACPI -> acpi.sys @ 0x8069fd68
    \Driver\atapi -> atapi.sys @ 0x826d59b0
    IoDeviceObjectType ->\Device\Harddisk0\DR0 ->user & kernel MBR OK

    **************************************************************************

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\{55662437-DA8C-40c0-AADA-2C816A897A49}]
    "ImagePath"="\??\c:\program files\Hewlett-Packard\Media\DVD\000.fcl"
    .
    Heure de fin: 2010-01-26 20:56:49
    ComboFix-quarantined-files.txt 2010-01-26 19:56

    Avant-CF: 156 674 506 752 octets libres
    Après-CF: 156 639 260 672 octets libres

    - - End Of File - - F2A074C737ADE2D73111C904520B172A
    26 Janvier 2010 21:40:48

    bien ,


    un fichier à contrôler avant de poursuivre :



    1- Avoir accès aux fichiers cachés :

    Va dans Menu Démarrer->panneau de config.("affichage classique")-> Options des dossiers
    --> vas sur l'onglet " Affichage " .
    * "Afficher les fichiers et dossiers cachés" ---> coché
    * "Masquer les extensions des fichiers dont le type est connu" ---> décoché
    * "masquer les fichiers du système" ---> décoché
    -> valide la modif ( "appliquer" puis "ok" ).
    ( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )



    2- Rends toi sur ce site :

    http://www.virustotal.com/

    Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :
    c:\windows\system32\drivers\cyopsuej.sys

    Clique sur Send File ( = " Envoyer le fichier " ).

    Un rapport va s'élaborer ligne à ligne.

    Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

    Sauvegarde le rapport avec le bloc-note .

    Copie le dans ta prochaine réponse ...

    ( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton "Ré-analyse le fichier maintenant" )

    petit tuto > http://www.commentcamarche.net/faq/sujet-8633-legitimit...


    26 Janvier 2010 21:49:57

    voila le rapport du scan de virus total
    Antivirus Version Dernière mise à jour Résultat
    a-squared 4.5.0.50 2010.01.26 -
    AhnLab-V3 5.0.0.2 2010.01.26 -
    AntiVir 7.9.1.150 2010.01.26 -
    Antiy-AVL 2.0.3.7 2010.01.26 -
    Authentium 5.2.0.5 2010.01.26 -
    Avast 4.8.1351.0 2010.01.26 -
    AVG 9.0.0.730 2010.01.26 -
    BitDefender 7.2 2010.01.26 -
    CAT-QuickHeal 10.00 2010.01.25 -
    ClamAV 0.94.1 2010.01.26 -
    Comodo 3718 2010.01.26 -
    DrWeb 5.0.1.12222 2010.01.26 -
    eSafe 7.0.17.0 2010.01.26 -
    eTrust-Vet 35.2.7260 2010.01.26 -
    F-Prot 4.5.1.85 2010.01.26 -
    F-Secure 9.0.15370.0 2010.01.26 -
    Fortinet 4.0.14.0 2010.01.26 -
    GData 19 2010.01.26 -
    Ikarus T3.1.1.80.0 2010.01.26 -
    Jiangmin 13.0.900 2010.01.26 -
    K7AntiVirus 7.10.957 2010.01.26 -
    Kaspersky 7.0.0.125 2010.01.26 -
    McAfee 5873 2010.01.26 -
    McAfee+Artemis 5873 2010.01.26 -
    McAfee-GW-Edition 6.8.5 2010.01.26 -
    Microsoft 1.5405 2010.01.26 -
    NOD32 4808 2010.01.26 -
    Norman 6.04.03 2010.01.26 -
    nProtect 2009.1.8.0 2010.01.26 -
    Panda 10.0.2.2 2010.01.26 -
    PCTools 7.0.3.5 2010.01.26 -
    Prevx 3.0 2010.01.26 -
    Rising 22.32.01.04 2010.01.26 -
    Sophos 4.50.0 2010.01.26 -
    Sunbelt 3.2.1858.2 2010.01.26 -
    Symantec 20091.2.0.41 2010.01.26 -
    TheHacker 6.5.0.9.163 2010.01.26 -
    TrendMicro 9.120.0.1004 2010.01.26 -
    VBA32 3.12.12.1 2010.01.26 -
    ViRobot 2010.1.26.2156 2010.01.26 -
    VirusBuster 5.0.21.0 2010.01.26 -
    Information additionnelle
    File size: 30784 bytes
    MD5...: c7071db82437af8c6342ea7b7d4e5d9b
    SHA1..: 4dffad4239dc11b79fa8ed2deeb3f134004713db
    SHA256: 747496b76d88c148c36f9025d11ee524cfa0101c336a72cecc8be33a9d6e08f6
    ssdeep: 384:f4SNr8GDdXkYtmbAnFJrwHpiEmWkAWHLz4Z/j9:/ZP0b0rEchz4Z/j9
    PEiD..: -
    PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x5780
    timedatestamp.....: 0x4ac3cddc (Wed Sep 30 21:30:04 2009)
    machinetype.......: 0x14c (I386)

    ( 6 sections )
    name viradd virsiz rawdsiz ntrpy md5
    .text 0x480 0x47f6 0x4800 5.74 7e55127e5967284770435b0080a72fd0
    .rdata 0x4c80 0xa53 0xa80 7.41 d8954861fa640e29276247d5acf031a2
    .data 0x5700 0x10 0x80 0.52 1f558917e0b83de44fffa4db41aab932
    INIT 0x5780 0x248 0x280 4.95 162a0d8a1aa160f1732201368eebda2c
    .rsrc 0x5a00 0x3a8 0x400 3.06 35a3230ebb9b2c025e7d208aeac34fc7
    .reloc 0x5e00 0x286 0x300 4.90 d55097fce0f874d9746e787cbd3419c7

    ( 1 imports )
    > ntoskrnl.exe: RtlInitUnicodeString, ZwOpenKey, ZwDeleteKey, NtClose, ZwDeleteValueKey, ZwCreateKey, ZwSetValueKey, ZwQueryValueKey, _vsnwprintf, NtCreateFile, NtOpenFile, NtReadFile, NtWriteFile, NtQueryInformationFile, NtSetInformationFile, ZwDeleteFile, ZwClose, ExAllocatePoolWithTag, ExFreePoolWithTag, KeTickCount, KeBugCheckEx, memset, memcpy

    ( 0 exports )
    RDS...: NSRL Reference Data Set
    -
    pdfid.: -
    trid..: Clipper DOS Executable (33.3%)
    Generic Win/DOS Executable (33.0%)
    DOS Executable Generic (33.0%)
    VXD Driver (0.5%)
    Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
    sigcheck:
    publisher....: Microsoft Corporation
    copyright....: (c) Microsoft Corporation. All rights reserved.
    product......: Microsoft Malware Protection
    description..: Boot Time Removal Tool
    original name: BTR.sys
    internal name: BootTimeRemoval
    file version.: 1.1.1005.0
    comments.....: n/a
    signers......: Microsoft Corporation
    Microsoft Code Signing PCA
    Microsoft Root Authority
    signing date.: 10:30 PM 9/30/2009
    verified.....: -
    26 Janvier 2010 21:59:39

    Bien ....






    fais ceci dans l'ordre :


    1- Créer un doc texte sur ton bureau :
    pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

  • Rends toi sur cette page > http://www.cijoint.fr/cj201001/cijIKrqWTo.txt

  • copie/colle tout le texte qui s'y trouve ( et rien d'autre!) dans le fichier texte que tu viens de créer :

  • Pour sauvegarder, va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
    CFScript puis valide ... ( sauvegarde le bien sur le bureau )



    2- Nettoyage :

    !! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

    ---> Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

    (Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gi... )

    Cette manipulation va relancer combofix .

    Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

    ! Ne touches à rien tant que le scan n'est pas terminé !

    Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...

    ( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )



    ================================

    3- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...




    27 Janvier 2010 18:25:25

    hello voila le scan de combofix :
    et le rapport de ZHPdiag: http://www.cijoint.fr/cjlink.php?file=cj201001/cijz0jyB...
    ComboFix 10-01-26.02 - Alex 26/01/2010 22:17:41.8.2 - x86
    Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.3038.1799 [GMT 1:00]
    Lancé depuis: c:\users\Alex\Desktop\Nouveau dossier\ComboFix.exe
    Commutateurs utilisés :: c:\users\Alex\Desktop\CFScript.txt
    SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

    FILE ::
    "c:\windows\system32\drivers\cyopsuej.sys"
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\windows\system32\drivers\cyopsuej.sys
    c:\windows\system32\tdlcmd.dll

    .
    --------------- FCopy ---------------

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Service_cyopsuej


    ((((((((((((((((((((((((((((( Fichiers créés du 2009-12-26 au 2010-01-26 ))))))))))))))))))))))))))))))))))))
    .

    2010-01-26 21:25 . 2010-01-26 21:25 -------- d-----w- c:\users\Public\AppData\Local\temp
    2010-01-26 21:25 . 2010-01-26 21:25 -------- d-----w- c:\users\Default\AppData\Local\temp
    2010-01-26 19:31 . 2010-01-26 19:40 -------- d-----w- c:\program files\SEAF
    2010-01-25 21:10 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-01-25 21:10 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-01-25 17:33 . 2010-01-25 17:33 -------- d-----w- c:\program files\ZHPDiag
    2010-01-23 10:30 . 2010-01-23 10:31 -------- d-----w- c:\program files\Microsoft Security Essentials
    2010-01-23 09:55 . 2010-01-23 09:55 -------- d-----w- C:\_OTM
    2010-01-23 09:49 . 2010-01-23 09:50 -------- d-----w- C:\rsit
    2010-01-18 17:58 . 2010-01-23 09:47 -------- d-----w- C:\Ad-Remover
    2010-01-17 20:16 . 2010-01-17 20:16 1199 ----a-w- c:\program files\unins000.dat
    2010-01-17 20:16 . 2010-01-17 20:16 710619 ----a-w- c:\program files\unins000.exe
    2010-01-17 20:16 . 2009-11-23 11:09 478208 ----a-w- c:\program files\Launcher.exe
    2010-01-17 20:16 . 2005-12-28 19:44 162816 ----a-w- c:\program files\fmod.dll
    2010-01-16 11:03 . 2010-01-16 11:03 -------- d-----w- c:\programdata\Blizzard
    2010-01-13 20:10 . 2009-10-19 13:38 156672 ----a-w- c:\windows\system32\t2embed.dll
    2010-01-13 20:10 . 2009-10-19 13:35 72704 ----a-w- c:\windows\system32\fontsub.dll
    2010-01-11 21:22 . 2010-01-26 21:28 -------- d-----w- c:\users\Alex\AppData\Local\temp
    2009-12-31 08:59 . 2009-12-31 08:59 -------- d-----w- c:\programdata\{B9B58689-DCB0-4AD3-9025-18FF4082B5B0}

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-01-26 19:04 . 2009-01-21 05:18 669566 ----a-w- c:\windows\system32\perfh00C.dat
    2010-01-26 19:04 . 2009-01-21 05:18 123556 ----a-w- c:\windows\system32\perfc00C.dat
    2010-01-26 17:29 . 2009-12-05 19:18 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-01-23 09:50 . 2009-12-05 19:13 -------- d-----w- c:\program files\Trend Micro
    2010-01-20 20:43 . 2009-08-24 18:29 -------- d-----w- c:\users\Alex\AppData\Roaming\vlc
    2010-01-19 01:51 . 2009-08-31 16:12 -------- d-----w- c:\program files\World of Warcraft
    2010-01-14 10:12 . 2009-10-03 11:00 181120 ------w- c:\windows\system32\MpSigStub.exe
    2010-01-13 21:21 . 2009-01-20 22:17 -------- d-----w- c:\programdata\Microsoft Help
    2010-01-13 21:20 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
    2010-01-04 20:42 . 2010-01-04 20:42 86576 ----a-w- c:\users\Alex\AppData\Roaming\Microsoft\Services Windows Live\Raccourci Galerie de Photos Windows Live.exe
    2010-01-04 20:42 . 2010-01-04 20:42 392728 ----a-w- c:\users\Alex\AppData\Roaming\Microsoft\Services Windows Live\Services Windows Live.dll
    2010-01-04 20:42 . 2010-01-04 20:42 132672 ----a-w- c:\users\Alex\AppData\Roaming\Microsoft\Services Windows Live\Raccourci Windows Live Messenger.exe
    2010-01-04 20:07 . 2009-08-25 09:14 -------- d-----w- c:\program files\adslTV
    2010-01-02 06:38 . 2010-01-21 19:50 916480 ----a-w- c:\windows\system32\wininet.dll
    2010-01-02 06:32 . 2010-01-21 19:50 71680 ----a-w- c:\windows\system32\iesetup.dll
    2010-01-02 06:32 . 2010-01-21 19:50 109056 ----a-w- c:\windows\system32\iesysprep.dll
    2010-01-02 04:57 . 2010-01-21 19:50 133632 ----a-w- c:\windows\system32\ieUnatt.exe
    2009-12-30 15:36 . 2009-10-06 11:51 -------- d-----w- c:\program files\Google
    2009-12-19 12:29 . 2009-12-19 12:29 -------- d-----w- c:\program files\CFWebAdvancedU
    2009-12-09 20:10 . 2009-12-06 19:57 -------- d-----w- c:\program files\a-squared Anti-Malware
    2009-12-09 19:47 . 2009-12-09 19:48 318976 ----a-w- c:\windows\system32\CF6960.exe
    2009-12-09 17:50 . 2009-12-09 17:50 318976 ----a-w- c:\windows\system32\CF16696.exe
    2009-12-08 20:34 . 2009-01-20 21:50 -------- d-----w- c:\programdata\WildTangent
    2009-12-08 20:34 . 2009-01-20 21:50 -------- d-----w- c:\program files\HP Games
    2009-12-08 20:29 . 2009-12-08 20:29 -------- d-----w- c:\programdata\Kaspersky Lab Setup Files
    2009-12-05 19:18 . 2009-12-05 19:18 -------- d-----w- c:\users\Alex\AppData\Roaming\Malwarebytes
    2009-12-05 19:18 . 2009-12-05 19:18 -------- d-----w- c:\programdata\Malwarebytes
    2009-11-25 10:19 . 2009-12-23 19:46 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
    2009-11-16 21:05 . 2006-11-02 10:25 665600 ----a-w- c:\windows\inf\drvindex.dat
    2009-11-14 13:24 . 2009-11-14 13:24 64072 ----a-w- c:\programdata\Kaspersky Lab Setup Files\Kaspersky Anti-Virus 2010 9.0.0.736\French\setup.exe
    2009-11-09 12:31 . 2009-12-12 09:46 24064 ----a-w- c:\windows\system32\nshhttp.dll
    2009-11-09 12:30 . 2009-12-12 09:46 30720 ----a-w- c:\windows\system32\httpapi.dll
    2009-11-09 10:36 . 2009-12-12 09:46 411648 ----a-w- c:\windows\system32\drivers\http.sys
    2009-10-29 09:17 . 2009-11-26 20:16 2048 ----a-w- c:\windows\system32\tzres.dll
    2009-01-21 05:37 . 2009-01-21 05:21 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2008-06-09 2363392]
    "HPAdvisor"="c:\program files\Hewlett-Packard\HP Advisor\HPAdvisor.exe" [2008-11-18 966656]
    "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
    "ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-29 61440]
    "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-07-24 1348904]
    "DVDAgent"="c:\program files\Hewlett-Packard\Media\DVD\DVDAgent.exe" [2008-11-28 1148200]
    "TSMAgent"="c:\program files\Hewlett-Packard\TouchSmart\Media\TSMAgent.exe" [2008-12-25 1316136]
    "CLMLServer for HP TouchSmart"="c:\program files\Hewlett-Packard\TouchSmart\Media\Kernel\CLML\CLMLSvc.exe" [2008-12-25 189736]
    "TVAgent"="c:\program files\Hewlett-Packard\Media\TV\TVAgent.exe" [2009-01-21 210216]
    "UCam_Menu"="c:\program files\Hewlett-Packard\Media\Webcam\MUITransfer\MUIStartMenu.exe" [2008-11-14 218408]
    "SmartMenu"="c:\program files\Hewlett-Packard\HP MediaSmart\SmartMenu.exe" [2008-11-18 914224]
    "UpdateLBPShortCut"="c:\program files\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe" [2008-06-13 210216]
    "UpdatePSTShortCut"="c:\program files\CyberLink\DVD Suite\MUITransfer\MUIStartMenu.exe" [2008-11-26 210216]
    "Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
    "QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-10-10 206128]
    "UpdateP2GoShortCut"="c:\program files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" [2008-10-30 210216]
    "UpdatePDIRShortCut"="c:\program files\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe" [2008-06-13 210216]
    "HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-10-09 75008]
    "HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576]
    "WirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2008-12-08 432432]
    "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
    "SysTrayApp"="c:\program files\IDT\WDM\sttray.exe" [2008-10-26 450659]
    "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
    "MSSE"="c:\program files\Microsoft Security Essentials\msseces.exe" [2009-09-13 1048392]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "EnableUIADesktopToggle"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
    @="Service"

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
    2009-02-27 15:10 35696 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
    2009-07-26 14:44 3883856 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
    "VistaSp2"=hex(b):4e,f5,72,46,16,4d,ca,01

    R2 {55662437-DA8C-40c0-AADA-2C816A897A49};Power Control [2009/06/15 03:59];c:\program files\Hewlett-Packard\Media\DVD\000.fcl [28/11/2008 17:04 87536]
    R2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt.inf_52c73ccb\AEstSrv.exe [15/06/2009 02:27 77824]
    R2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe -k netsvcs [21/01/2008 03:23 21504]
    R2 hpsrv;HP Service;c:\windows\System32\hpservice.exe [18/03/2008 15:24 19456]
    R2 Recovery Service for Windows;Recovery Service for Windows;c:\program files\SMINST\BLService.exe [20/01/2009 23:37 365952]
    R2 TVCapSvc;TV Background Capture Service (TVBCS);c:\program files\Hewlett-Packard\Media\TV\Kernel\TV\TVCapSvc.exe [26/11/2008 16:13 296320]
    R2 TVSched;TV Task Scheduler (TVTS);c:\program files\Hewlett-Packard\Media\TV\Kernel\TV\TVSched.exe [26/11/2008 16:13 116096]
    R3 enecir;ENE CIR Receiver;c:\windows\System32\drivers\enecir.sys [04/09/2008 18:47 54784]
    R3 JMCR;JMCR;c:\windows\System32\drivers\jmcr.sys [23/10/2008 10:42 107360]
    S2 gupdate1ca467b5d805ceb;Service Google Update (gupdate1ca467b5d805ceb);c:\program files\Google\Update\GoogleUpdate.exe [06/10/2009 12:51 133104]
    S3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [20/01/2009 22:38 222512]
    S3 FontCache;Service de cache de police Windows;c:\windows\system32\svchost.exe -k LocalServiceAndNoImpersonation [21/01/2008 03:23 21504]
    S3 MpNWMon;Microsoft Malware Protection Network Driver;c:\windows\System32\drivers\MpNWMon.sys [18/06/2009 18:48 42480]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    ezSharedSvc

    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
    2008-06-09 08:14 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
    .
    Contenu du dossier 'Tâches planifiées'

    2010-01-26 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2009-10-06 11:51]

    2010-01-26 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2009-10-06 11:51]

    2010-01-26 c:\windows\Tasks\User_Feed_Synchronization-{21B4AACA-19BF-40B8-B038-C0E1B6204B07}.job
    - c:\windows\system32\msfeedssync.exe [2010-01-21 04:56]
    .
    .
    ------- Examen supplémentaire -------
    .
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
    DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} - hxxp://activex.camfrogweb.com/advanced/2.0.2.3/cfweb_activex.camfrogweb.com-advanced-2.0.2.3_instmodule.exe
    DPF: {DFB5BCF1-06AE-4ABB-BFA8-1E228F41C50A} - hxxp://bobtv.fr/download/cfweb_www.bobtv.fr-download_instmodule.exe
    FF - ProfilePath - c:\users\Alex\AppData\Roaming\Mozilla\Firefox\Profiles\ojcwoq7q.default\
    FF - prefs.js: browser.search.selectedEngine - Bing
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
    FF - prefs.js: keyword.URL - hxxp://www.bing.com/search?mkt=fr-FR&form=MIMWA2&q=
    FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
    FF - plugin: c:\program files\Google\Update\1.2.183.13\npGoogleOneClick8.dll
    FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-01-26 22:27
    Windows 6.0.6002 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys hpdskflt.sys hal.dll acpi.sys atapi.sys >>UNKNOWN [0x87E73F61]<<
    kernel: MBR read successfully
    detected MBR rootkit hooks:
    \Driver\Disk -> CLASSPNP.SYS @ 0x82609d24
    \Driver\ACPI -> acpi.sys @ 0x80699d68
    \Driver\atapi -> atapi.sys @ 0x826d79b0
    IoDeviceObjectType ->\Device\Harddisk0\DR0 ->user & kernel MBR OK

    **************************************************************************

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\{55662437-DA8C-40c0-AADA-2C816A897A49}]
    "ImagePath"="\??\c:\program files\Hewlett-Packard\Media\DVD\000.fcl"
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\program files\Microsoft Security Essentials\MsMpEng.exe
    c:\windows\system32\Ati2evxx.exe
    c:\windows\System32\DriverStore\FileRepository\stwrt.inf_52c73ccb\STacSV.exe
    c:\windows\system32\AUDIODG.EXE
    c:\windows\system32\Ati2evxx.exe
    c:\windows\system32\WLANExt.exe
    c:\program files\Common Files\LightScribe\LSSrvc.exe
    c:\program files\CyberLink\Shared files\RichVideo.exe
    c:\windows\system32\conime.exe
    c:\program files\Hewlett-Packard\HP Health Check\hphc_service.exe
    c:\program files\Windows Media Player\wmpnscfg.exe
    c:\program files\Windows Media Player\wmpnetwk.exe
    .
    **************************************************************************
    .
    Heure de fin: 2010-01-26 22:36:42 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-01-26 21:36
    ComboFix2.txt 2010-01-26 19:56

    Avant-CF: 156 724 183 040 octets libres
    Après-CF: 156 408 942 592 octets libres

    - - End Of File - - B689B75A788F22EA3F9E51ED58AF5146
    27 Janvier 2010 19:11:05

    hello,


    pas sur que tout est bien fonctioné dans cette dernière manipe ....




    refais ceci stp :


    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe ( naviguateurs compris ) !!

    * Clique droit / "executer en tant qu'admin ..." sur gmer.exe sur le bureau. Si ton antivirus réagit, ne t'inquiète pas et ignore l'alerte.
    * Clique sur l'onglet "rootkit", puis clique sur scan.
    * A la fin du scan, clique sur le bouton copy.
    * Puis va dans le menu "démarrer"> "programmes" > accessoires : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note.

    > poste le contenu du rapport stp ...
    27 Janvier 2010 22:14:45

    voila le rapport :
    GMER 1.0.15.15281 - http://www.gmer.net
    Rootkit scan 2010-01-27 22:12:57
    Windows 6.0.6002 Service Pack 2
    Running: bzwK2aqjr2_gmer.exe; Driver: C:\Users\Alex\AppData\Local\Temp\uglyykob.sys


    ---- Kernel code sections - GMER 1.0.15 ----

    .rsrc C:\Windows\system32\drivers\atapi.sys entry point in ".rsrc" section [0x826B6000]
    .text C:\Windows\system32\DRIVERS\atikmdag.sys section is writeable [0x8EA0D000, 0x2311A4, 0xE8000020]
    .text C:\Program Files\Hewlett-Packard\Media\DVD\000.fcl section is writeable [0x9D35B000, 0x2892, 0xE8000020]
    .vmp2 C:\Program Files\Hewlett-Packard\Media\DVD\000.fcl entry point in ".vmp2" section [0x9D37E050]

    ---- Devices - GMER 1.0.15 ----

    AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF dynamique/Microsoft Corporation)
    AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF dynamique/Microsoft Corporation)

    Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-1 [826B29B0] \SystemRoot\system32\drivers\atapi.sys[unknown section] {MOV EAX, [0xffdf0308]; JMP [EAX+0xfc]}
    Device \Driver\atapi \Device\Ide\IdePort0 [826B29B0] \SystemRoot\system32\drivers\atapi.sys[unknown section] {MOV EAX, [0xffdf0308]; JMP [EAX+0xfc]}
    Device \Driver\atapi \Device\Ide\IdePort1 [826B29B0] \SystemRoot\system32\drivers\atapi.sys[unknown section] {MOV EAX, [0xffdf0308]; JMP [EAX+0xfc]}
    Device \Driver\atapi \Device\Ide\IdePort2 [826B29B0] \SystemRoot\system32\drivers\atapi.sys[unknown section] {MOV EAX, [0xffdf0308]; JMP [EAX+0xfc]}
    Device \Driver\atapi \Device\Ide\IdePort3 [826B29B0] \SystemRoot\system32\drivers\atapi.sys[unknown section] {MOV EAX, [0xffdf0308]; JMP [EAX+0xfc]}
    Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-0 [826B29B0] \SystemRoot\system32\drivers\atapi.sys[unknown section] {MOV EAX, [0xffdf0308]; JMP [EAX+0xfc]}

    ---- Files - GMER 1.0.15 ----

    File C:\Windows\system32\drivers\atapi.sys suspicious modification

    ---- EOF - GMER 1.0.15 ----
    27 Janvier 2010 23:03:36

    re,


    C'est bien ce qu'il me semblait ...



    le rootkit se défend .... on va procéder autrement .... dans l'ordre :





    1- Vérifies bien que les "options de dossier" soient réglées ainsi :


    Va dans Menu Démarrer->panneau de config.("affichage classique")-> Options des dossiers
    --> vas sur l'onglet " Affichage " .
    * "Afficher les fichiers et dossiers cachés" ---> coché
    * "Masquer les extensions des fichiers dont le type est connu" ---> décoché
    * "masquer les fichiers du système" ---> décoché
    -> valide la modif ( "appliquer" puis "ok" ).
    ( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )

    ===========================


    2- Copie le fichier suivant qui se trouve à cet emplacement précis :

    C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_b12d8e84\atapi.sys <- clique droit dessus et choisis "copier" .


    * Ensuite rends toi à la racine de ton disque C > ouvre le poste de travail et clique sur C .

    * pointe ta souris dans la fenêtre ( pas sur un dossier qui est présent ! à un endroit neutre ), clique droit et choisis "coller" afin de le mettre le fichier atapi.sys à cet endroit ( cad C:\atapi.sys )


    Une fois ceci fait correctement , enchaine ....


    ==========================


    3- Créer un doc texte sur ton bureau :
    pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

    * Rends toi sur cette page > http://www.cijoint.fr/cj201001/cijcfSRMys.txt

    * copie/colle tout le texte qui s'y trouve ( et rien d'autre!) dans le fichier texte que tu viens de créer :

    * Pour sauvegarder, va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
    CFScript puis valide ... ( sauvegarde le bien sur le bureau )



    4- Nettoyage :

    !! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

    --->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

    (Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gi... )

    Cette manipulation va relancer combofix .

    Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

    ! Ne touches à rien tant que le scan n'est pas terminé !

    Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.


    Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...


    ( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
    28 Janvier 2010 18:59:53

    hello jai eu un probleme en fesan le scan jai eu un ecran bleu et windows a redemarrer me disan que je risker qq chose de grave.
    Est ce ke je doi recommencer la manip ou faire autre chose ?
    28 Janvier 2010 19:49:27

    hello,


    Citation :
    Est ce ke je doi recommencer la manip ou faire autre chose ?



    pour l'instant ne fait rein et poste moi le rapport de Combo qui est ici > C:\Combofix.txt



    28 Janvier 2010 20:21:51

    il ny a pa eu de rapport car l ordi s est arrété avant. il me que le nom d’événement de problème est BlueScreen
    28 Janvier 2010 20:52:36

    vu,



    donc on va faire autrement ...

    dans l'ordre :



    1- Clique droit sur ce fichier "C:\atapi.sys" ( celui que tu as copier hier ) et choisis "renommer" .

    Là tu le renomme exactement ainsi > ske.bak

    valide la modif ... au message d'alerte qui apparaitra , tu confirmes la modif .


    ===========================

    2- Créer un doc texte sur ton bureau :
    pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

  • Rends toi sur cette page > http://www.cijoint.fr/cj201001/cijQAnUFpZ.txt

  • copie/colle tout le texte qui s'y trouve ( et rien d'autre!) dans le fichier texte que tu viens de créer :

  • Pour sauvegarder, va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
    Remove puis valide ... ( sauvegarde le bien sur le bureau )




    3- Télécharge The Avenger (de Swandog46) :
    > http://swandog46.geekstogo.com/avenger2/download.php

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe !!

  • Dézippe le sur ton Bureau.
  • Clique droit / "executer en tant qu'admin..." sur l’exécutable puis fais "ok".
  • Sélectionne Load Script from File et clique sur l'cône en forme de dossier à droite.
  • Sélectionne ton fichier Remove.txt se trouvant sur le Bureau.
  • Clique sur le feu vert puis sur oui pour lancer le scan ...
  • Le programme va te demander de redémarrer ton pc, accepte.

    > Une fois termniné, poste le rapport C:\avenger.txt pour analyse et attends la suite ...
    28 Janvier 2010 21:59:44

    voila le rapport
    Logfile of The Avenger Version 2.0, (c) by Swandog46
    http://swandog46.geekstogo.com

    Platform: Windows Vista

    *******************

    Script file opened successfully.
    Script file read successfully.

    Backups directory opened successfully at C:\Avenger

    *******************

    Beginning to process script file:

    Rootkit scan active.
    No rootkits found!

    File "c:\windows\system32\tdlcmd.dll" deleted successfully.
    File move operation "C:\ske.bak|C:\Windows\System32\drivers\atapi.sys" completed successfully.

    Completed script processing.

    *******************

    Finished! Terminate.
    28 Janvier 2010 22:11:59

    impec ...



    on va controler si la bestiole et belle et bien shootée ! ... [:ahm86funky:4]



    dans l'ordre :



    1- Télécharge CCleaner :
    ici http://www.infos-du-net.com/telecharger/CCleaner,0301-1...
    ou ici http://www.commentcamarche.net/telecharger/telecharger-...

    Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
    Lors de l'installation:
    -choisis bien "français" en langue .
    -avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.

    Un tuto ( aide ):
    http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.h...


    ---> Utilisation :
    *Décocher dans le menu Options - sous-menu Avancé :
    Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

    ! déconnecte toi et ferme toutes applications en cours !

    * va dans "nettoyeur" : fais -analyse- puis -nettoyage-
    * va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
    ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

    ( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )



    ==========================

    2- Ré-utilise GMER :


    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe ( naviguateurs compris ) !!

    * Clique droit / "executer en tant qu'admin..." sur gmer.exe sur le bureau. Si ton antivirus réagit, ne t'inquiète pas et ignore l'alerte.
    * Clique sur l'onglet "rootkit", puis clique sur scan.
    * A la fin du scan, clique sur le bouton copy.
    * Puis va dans le menu "démarrer"> "programmes" > accessoires : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note.

    > poste le contenu du rapport stp ...


    ==========================


    3- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...


    29 Janvier 2010 18:40:14

    hello,


    Pour GMER , tu l'as bien lancer "entant qu'admin..." ?


    tu as bien désactivé ton anti-virus avant ? ....


    sinon recommence stp ....

    29 Janvier 2010 18:44:36

    oui jai fait sa et le pc a beugé
    29 Janvier 2010 18:46:22

    Re,



    refais un scan ComboFix stp ....



    poste le nouveau rapport obtenu ...
    29 Janvier 2010 19:50:00

    voila le rapport du scan de combofix
    ComboFix 10-01-26.02 - Alex 29/01/2010 19:02:54.10.2 - x86
    Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.3038.1596 [GMT 1:00]
    Lancé depuis: c:\users\Alex\Desktop\ComboFix.exe
    SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
    .

    ((((((((((((((((((((((((((((( Fichiers créés du 2009-12-28 au 2010-01-29 ))))))))))))))))))))))))))))))))))))
    .

    2010-01-29 18:08 . 2010-01-29 18:08 -------- d-----w- c:\users\Public\AppData\Local\temp
    2010-01-29 18:08 . 2010-01-29 18:08 -------- d-----w- c:\users\Default\AppData\Local\temp
    2010-01-29 17:58 . 2010-01-29 17:58 11907264 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\LocalCopy\{DE6C7801-7E95-A27A-193A-73B8E5644144}-Zuma-WT.exe
    2010-01-29 17:42 . 2010-01-29 17:42 -------- d-----w- c:\programdata\Blizzard Entertainment.temp
    2010-01-26 21:36 . 2010-01-29 18:08 -------- d-----w- c:\users\Alex\AppData\Local\temp
    2010-01-26 19:31 . 2010-01-26 19:40 -------- d-----w- c:\program files\SEAF
    2010-01-25 21:10 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-01-25 21:10 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-01-25 17:33 . 2010-01-29 16:42 -------- d-----w- c:\program files\ZHPDiag
    2010-01-23 10:30 . 2010-01-23 10:31 -------- d-----w- c:\program files\Microsoft Security Essentials
    2010-01-23 09:55 . 2010-01-23 09:55 -------- d-----w- C:\_OTM
    2010-01-23 09:49 . 2010-01-23 09:50 -------- d-----w- C:\rsit
    2010-01-18 17:58 . 2010-01-23 09:47 -------- d-----w- C:\Ad-Remover
    2010-01-16 11:03 . 2010-01-16 11:03 -------- d-----w- c:\programdata\Blizzard
    2010-01-13 20:10 . 2009-10-19 13:38 156672 ----a-w- c:\windows\system32\t2embed.dll
    2010-01-13 20:10 . 2009-10-19 13:35 72704 ----a-w- c:\windows\system32\fontsub.dll
    2010-01-04 20:42 . 2010-01-04 20:42 86576 ----a-w- c:\users\Alex\AppData\Roaming\Microsoft\Services Windows Live\Raccourci Galerie de Photos Windows Live.exe
    2010-01-04 20:42 . 2010-01-04 20:42 392728 ----a-w- c:\users\Alex\AppData\Roaming\Microsoft\Services Windows Live\Services Windows Live.dll
    2010-01-04 20:42 . 2010-01-04 20:42 132672 ----a-w- c:\users\Alex\AppData\Roaming\Microsoft\Services Windows Live\Raccourci Windows Live Messenger.exe
    2009-12-31 08:59 . 2009-12-31 08:59 -------- d-----w- c:\programdata\{B9B58689-DCB0-4AD3-9025-18FF4082B5B0}

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-01-29 17:46 . 2009-08-31 16:12 -------- d-----w- c:\program files\World of Warcraft
    2010-01-29 16:39 . 2010-01-29 16:39 1500952 ----a-w- c:\windows\system32\PerfStringBackup.TMP
    2010-01-29 06:26 . 2009-01-21 05:18 669566 ----a-w- c:\windows\system32\perfh00C.dat
    2010-01-29 06:26 . 2009-01-21 05:18 123556 ----a-w- c:\windows\system32\perfc00C.dat
    2010-01-29 06:22 . 2009-09-28 18:41 6836 ----a-w- c:\users\Alex\AppData\Local\d3d9caps.dat
    2010-01-28 20:31 . 2009-01-20 22:37 -------- d-----w- c:\program files\SMINST
    2010-01-26 17:29 . 2009-12-05 19:18 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-01-23 09:50 . 2009-12-05 19:13 -------- d-----w- c:\program files\Trend Micro
    2010-01-20 20:43 . 2009-08-24 18:29 -------- d-----w- c:\users\Alex\AppData\Roaming\vlc
    2010-01-14 10:12 . 2009-10-03 11:00 181120 ------w- c:\windows\system32\MpSigStub.exe
    2010-01-13 21:21 . 2009-01-20 22:17 -------- d-----w- c:\programdata\Microsoft Help
    2010-01-13 21:20 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
    2010-01-04 20:07 . 2009-08-25 09:14 -------- d-----w- c:\program files\adslTV
    2010-01-02 06:38 . 2010-01-21 19:50 916480 ----a-w- c:\windows\system32\wininet.dll
    2010-01-02 06:32 . 2010-01-21 19:50 71680 ----a-w- c:\windows\system32\iesetup.dll
    2010-01-02 06:32 . 2010-01-21 19:50 109056 ----a-w- c:\windows\system32\iesysprep.dll
    2010-01-02 04:57 . 2010-01-21 19:50 133632 ----a-w- c:\windows\system32\ieUnatt.exe
    2009-12-30 15:36 . 2009-10-06 11:51 -------- d-----w- c:\program files\Google
    2009-12-19 12:29 . 2009-12-19 12:29 -------- d-----w- c:\program files\CFWebAdvancedU
    2009-12-09 20:10 . 2009-12-06 19:57 -------- d-----w- c:\program files\a-squared Anti-Malware
    2009-12-09 19:47 . 2009-12-09 19:48 318976 ----a-w- c:\windows\system32\CF6960.exe
    2009-12-09 17:50 . 2009-12-09 17:50 318976 ----a-w- c:\windows\system32\CF16696.exe
    2009-12-08 20:34 . 2009-01-20 21:50 -------- d-----w- c:\programdata\WildTangent
    2009-12-08 20:34 . 2009-01-20 21:50 -------- d-----w- c:\program files\HP Games
    2009-12-08 20:29 . 2009-12-08 20:29 -------- d-----w- c:\programdata\Kaspersky Lab Setup Files
    2009-12-05 19:18 . 2009-12-05 19:18 -------- d-----w- c:\users\Alex\AppData\Roaming\Malwarebytes
    2009-12-05 19:18 . 2009-12-05 19:18 -------- d-----w- c:\programdata\Malwarebytes
    2009-11-25 10:19 . 2009-12-23 19:46 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
    2009-11-16 21:05 . 2006-11-02 10:25 665600 ----a-w- c:\windows\inf\drvindex.dat
    2009-11-14 13:24 . 2009-11-14 13:24 64072 ----a-w- c:\programdata\Kaspersky Lab Setup Files\Kaspersky Anti-Virus 2010 9.0.0.736\French\setup.exe
    2009-11-09 12:31 . 2009-12-12 09:46 24064 ----a-w- c:\windows\system32\nshhttp.dll
    2009-11-09 12:30 . 2009-12-12 09:46 30720 ----a-w- c:\windows\system32\httpapi.dll
    2009-11-09 10:36 . 2009-12-12 09:46 411648 ----a-w- c:\windows\system32\drivers\http.sys
    2009-01-21 05:37 . 2009-01-21 05:21 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
    .

    ((((((((((((((((((((((((((((( SnapShot@2010-01-26_19.53.15 )))))))))))))))))))))))))))))))))))))))))
    .
    + 2010-01-27 17:25 . 2009-12-10 13:03 69120 c:\windows\winsxs\x86_microsoft-windows-ie-iecompat_31bf3856ad364e35_8.0.6001.22963_none_84246a436002f224\iecompat.dll
    + 2010-01-27 17:25 . 2009-12-10 05:05 69120 c:\windows\winsxs\x86_microsoft-windows-ie-iecompat_31bf3856ad364e35_8.0.6001.18872_none_838efd4246ee54f4\iecompat.dll
    + 2008-01-21 01:58 . 2010-01-29 16:30 49842 c:\windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin
    + 2006-11-02 13:05 . 2010-01-29 16:37 98752 c:\windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
    + 2009-08-24 17:56 . 2010-01-29 16:37 15244 c:\windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-4071442212-4026893675-3040829628-1000_UserData.bin
    + 2009-06-15 01:20 . 2010-01-29 16:33 16384 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
    - 2009-06-15 01:20 . 2010-01-26 18:58 16384 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
    + 2009-06-15 01:20 . 2010-01-29 16:33 49152 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
    - 2009-06-15 01:20 . 2010-01-26 18:58 49152 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
    + 2009-06-15 01:20 . 2010-01-29 16:33 16384 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
    - 2009-06-15 01:20 . 2010-01-26 18:58 16384 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
    - 2009-08-26 10:15 . 2010-01-26 18:58 16384 c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
    + 2009-08-26 10:15 . 2010-01-29 16:33 16384 c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
    - 2010-01-21 20:14 . 2010-01-21 20:14 16384 c:\windows\ServiceProfiles\LocalService\AppData\Local\Temp\History\History.IE5\index.dat
    + 2010-01-21 20:14 . 2010-01-28 20:50 16384 c:\windows\ServiceProfiles\LocalService\AppData\Local\Temp\History\History.IE5\index.dat
    + 2010-01-21 20:14 . 2010-01-28 20:50 32768 c:\windows\ServiceProfiles\LocalService\AppData\Local\Temp\Fichiers Internet temporaires\Content.IE5\index.dat
    - 2010-01-21 20:14 . 2010-01-21 20:14 32768 c:\windows\ServiceProfiles\LocalService\AppData\Local\Temp\Fichiers Internet temporaires\Content.IE5\index.dat
    + 2010-01-21 20:14 . 2010-01-28 20:50 16384 c:\windows\ServiceProfiles\LocalService\AppData\Local\Temp\Cookies\index.dat
    - 2010-01-21 20:14 . 2010-01-21 20:14 16384 c:\windows\ServiceProfiles\LocalService\AppData\Local\Temp\Cookies\index.dat
    - 2009-08-26 10:15 . 2010-01-26 18:58 32768 c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
    + 2009-08-26 10:15 . 2010-01-29 16:33 32768 c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
    - 2009-08-26 10:15 . 2010-01-26 18:58 16384 c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
    + 2009-08-26 10:15 . 2010-01-29 16:33 16384 c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
    - 2010-01-26 18:58 . 2010-01-26 18:58 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
    + 2010-01-29 16:28 . 2010-01-29 16:33 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
    - 2010-01-26 18:58 . 2010-01-26 18:58 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
    + 2010-01-29 16:28 . 2010-01-29 16:33 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
    + 2006-11-02 10:33 . 2010-01-29 06:26 587178 c:\windows\System32\perfh009.dat
    - 2006-11-02 10:33 . 2010-01-26 19:04 587178 c:\windows\System32\perfh009.dat
    - 2006-11-02 10:33 . 2010-01-26 19:04 101250 c:\windows\System32\perfc009.dat
    + 2006-11-02 10:33 . 2010-01-29 06:26 101250 c:\windows\System32\perfc009.dat
    - 2006-11-02 12:47 . 2009-11-12 21:21 383600 c:\windows\System32\FNTCACHE.DAT
    + 2006-11-02 12:47 . 2010-01-26 21:27 383600 c:\windows\System32\FNTCACHE.DAT
    + 2009-09-11 08:59 . 2010-01-28 20:56 245760 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\IETldCache\index.dat
    - 2009-09-11 08:59 . 2010-01-26 18:58 245760 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\IETldCache\index.dat
    - 2009-12-26 20:48 . 2010-01-26 18:57 565368 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache3.0.0.0.dat
    + 2009-12-26 20:48 . 2010-01-29 06:30 565368 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache3.0.0.0.dat
    + 2006-11-02 10:22 . 2010-01-27 21:35 6553600 c:\windows\System32\SMI\Store\Machine\SCHEMA.DAT
    - 2006-11-02 10:22 . 2010-01-23 09:58 6553600 c:\windows\System32\SMI\Store\Machine\SCHEMA.DAT
    + 2009-08-29 11:14 . 2010-01-27 17:24 179631128 c:\windows\winsxs\ManifestCache\6.0.6002.18005_001c11ba_blobs.bin
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2008-06-09 2363392]
    "HPAdvisor"="c:\program files\Hewlett-Packard\HP Advisor\HPAdvisor.exe" [2008-11-18 966656]
    "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
    "ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-29 61440]
    "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-07-24 1348904]
    "DVDAgent"="c:\program files\Hewlett-Packard\Media\DVD\DVDAgent.exe" [2008-11-28 1148200]
    "TSMAgent"="c:\program files\Hewlett-Packard\TouchSmart\Media\TSMAgent.exe" [2008-12-25 1316136]
    "CLMLServer for HP TouchSmart"="c:\program files\Hewlett-Packard\TouchSmart\Media\Kernel\CLML\CLMLSvc.exe" [2008-12-25 189736]
    "TVAgent"="c:\program files\Hewlett-Packard\Media\TV\TVAgent.exe" [2009-01-21 210216]
    "UCam_Menu"="c:\program files\Hewlett-Packard\Media\Webcam\MUITransfer\MUIStartMenu.exe" [2008-11-14 218408]
    "SmartMenu"="c:\program files\Hewlett-Packard\HP MediaSmart\SmartMenu.exe" [2008-11-18 914224]
    "UpdateLBPShortCut"="c:\program files\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe" [2008-06-13 210216]
    "UpdatePSTShortCut"="c:\program files\CyberLink\DVD Suite\MUITransfer\MUIStartMenu.exe" [2008-11-26 210216]
    "Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
    "QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-10-10 206128]
    "UpdateP2GoShortCut"="c:\program files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" [2008-10-30 210216]
    "UpdatePDIRShortCut"="c:\program files\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe" [2008-06-13 210216]
    "HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-10-09 75008]
    "HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576]
    "WirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2008-12-08 432432]
    "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
    "SysTrayApp"="c:\program files\IDT\WDM\sttray.exe" [2008-10-26 450659]
    "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
    "MSSE"="c:\program files\Microsoft Security Essentials\msseces.exe" [2009-09-13 1048392]

    c:\users\Alex\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
    OneNote 2007 - Capture d'‚cran et lancement.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2008-10-25 98696]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "EnableUIADesktopToggle"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
    @="Service"

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
    2009-02-27 15:10 35696 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
    2009-07-26 14:44 3883856 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
    "VistaSp2"=hex(b):4e,f5,72,46,16,4d,ca,01

    R2 {55662437-DA8C-40c0-AADA-2C816A897A49};Power Control [2009/06/15 03:59];c:\program files\Hewlett-Packard\Media\DVD\000.fcl [28/11/2008 17:04 87536]
    R2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt.inf_52c73ccb\AEstSrv.exe [15/06/2009 02:27 77824]
    R2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe -k netsvcs [21/01/2008 03:23 21504]
    R2 hpsrv;HP Service;c:\windows\System32\hpservice.exe [18/03/2008 15:24 19456]
    R2 Recovery Service for Windows;Recovery Service for Windows;c:\program files\SMINST\BLService.exe [20/01/2009 23:37 365952]
    R2 TVCapSvc;TV Background Capture Service (TVBCS);c:\program files\Hewlett-Packard\Media\TV\Kernel\TV\TVCapSvc.exe [26/11/2008 16:13 296320]
    R2 TVSched;TV Task Scheduler (TVTS);c:\program files\Hewlett-Packard\Media\TV\Kernel\TV\TVSched.exe [26/11/2008 16:13 116096]
    R3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [20/01/2009 22:38 222512]
    R3 enecir;ENE CIR Receiver;c:\windows\System32\drivers\enecir.sys [04/09/2008 18:47 54784]
    R3 JMCR;JMCR;c:\windows\System32\drivers\jmcr.sys [23/10/2008 10:42 107360]
    R3 MpNWMon;Microsoft Malware Protection Network Driver;c:\windows\System32\drivers\MpNWMon.sys [18/06/2009 18:48 42480]
    S2 gupdate1ca467b5d805ceb;Service Google Update (gupdate1ca467b5d805ceb);c:\program files\Google\Update\GoogleUpdate.exe [06/10/2009 12:51 133104]
    S3 FontCache;Service de cache de police Windows;c:\windows\system32\svchost.exe -k LocalServiceAndNoImpersonation [21/01/2008 03:23 21504]

    --- Autres Services/Pilotes en mémoire ---

    *Deregistered* - uglyykob

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    ezSharedSvc

    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
    2008-06-09 08:14 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
    .
    Contenu du dossier 'Tâches planifiées'

    2010-01-29 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2009-10-06 11:51]

    2010-01-29 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2009-10-06 11:51]

    2010-01-29 c:\windows\Tasks\User_Feed_Synchronization-{21B4AACA-19BF-40B8-B038-C0E1B6204B07}.job
    - c:\windows\system32\msfeedssync.exe [2010-01-21 04:56]
    .
    .
    ------- Examen supplémentaire -------
    .
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
    DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} - hxxp://activex.camfrogweb.com/advanced/2.0.2.3/cfweb_activex.camfrogweb.com-advanced-2.0.2.3_instmodule.exe
    DPF: {DFB5BCF1-06AE-4ABB-BFA8-1E228F41C50A} - hxxp://bobtv.fr/download/cfweb_www.bobtv.fr-download_instmodule.exe
    FF - ProfilePath - c:\users\Alex\AppData\Roaming\Mozilla\Firefox\Profiles\ojcwoq7q.default\
    FF - prefs.js: browser.search.selectedEngine - Bing
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
    FF - prefs.js: keyword.URL - hxxp://www.bing.com/search?mkt=fr-FR&form=MIMWA2&q=
    FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
    FF - plugin: c:\program files\Google\Update\1.2.183.13\npGoogleOneClick8.dll
    FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
    .

    **************************************************************************
    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés:

    **************************************************************************

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\{55662437-DA8C-40c0-AADA-2C816A897A49}]
    "ImagePath"="\??\c:\program files\Hewlett-Packard\Media\DVD\000.fcl"
    .
    Heure de fin: 2010-01-29 19:10:30
    ComboFix-quarantined-files.txt 2010-01-29 18:10
    ComboFix2.txt 2010-01-26 21:36
    ComboFix3.txt 2010-01-26 19:56

    Avant-CF: 168 300 785 664 octets libres
    Après-CF: 168 574 599 168 octets libres

    - - End Of File - - 21AD1C7958B62578AA69DB79A284935E
    29 Janvier 2010 20:09:20

    re,


    pour moi c'est clean .... :p 



    on va controler autrement :


    1- Supprime proprement Combofix ainsi :

    Clique sur " Démarrer " -> " Executer "( ou combine la touche Windows + R ) -> copie/colle cette ligne :

    ComboFix /uninstall

    ( laisse l'espace entre "Combofi"x et "/uninstall" )

    -> Valide .


    ===============================

    2- Supprime manuellement GMER que tu as actuellement ( clique droit / supprimer )


    ===============================

    3- reprends la manipe avec cette version ,


    Télécharge gmer sur le bureau et dézippe-le (clic droit et "extraire ici") :

    http://cjoint.com/?bDuiO41g6C

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe ( naviguateurs compris ) !!

    * Clique droit / "executer en tant qu'admin ..." sur gmer.exe sur le bureau. Si ton antivirus réagit, ne t'inquiète pas et ignore l'alerte.
    * Clique sur l'onglet "rootkit", puis clique sur scan.
    * A la fin du scan, clique sur le bouton copy.
    * Puis va dans le menu "démarrer"> "programmes" > accessoires : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note.

    > poste le contenu du rapport stp ...


    29 Janvier 2010 20:52:24

    voila le rapport de gmer
    GMER 1.0.15.15281 - http://www.gmer.net
    Rootkit scan 2010-01-29 20:51:16
    Windows 6.0.6002 Service Pack 2
    Running: bDuiO41g6C_gmer.exe; Driver: C:\Users\Alex\AppData\Local\Temp\uglyykob.sys


    ---- Kernel code sections - GMER 1.0.15 ----

    .text C:\Windows\system32\DRIVERS\atikmdag.sys section is writeable [0x8EC07000, 0x2311A4, 0xE8000020]
    .text C:\Program Files\Hewlett-Packard\Media\DVD\000.fcl section is writeable [0x9B982000, 0x2892, 0xE8000020]
    .vmp2 C:\Program Files\Hewlett-Packard\Media\DVD\000.fcl entry point in ".vmp2" section [0x9B9A5050]
    ? C:\Users\Alex\AppData\Local\Temp\catchme.sys Le fichier spécifié est introuvable. !
    ? C:\Windows\system32\Drivers\PROCEXP113.SYS Le fichier spécifié est introuvable. !

    ---- Devices - GMER 1.0.15 ----

    AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF dynamique/Microsoft Corporation)
    AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF dynamique/Microsoft Corporation)

    ---- EOF - GMER 1.0.15 ----
    29 Janvier 2010 21:35:23

    c'est clean ... ;) 



    dis moi comment va le PC maintenant ...du mieux ?



    Puis fait ceci :


    Télécharge Ad-remover ( de C_XX ) sur ton bureau :

    ici http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
    ou ici http://forum-aide-contre-virus.be/download/C_XX/AD-R.ex...

    ! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !

    • Clique droit / "executer en tant qu'admin..." sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .

    • Au menu principal choisis l'option "S" et tape sur [entrée] .

    • le scan démarre , laisse travailler l'outil et ne touche à rien ...

    /!\ l'outil donne l'impression qu'il a planté et qu'il ne se passe rien , mais ce n'est pas le cas ! ( le scan est très discret et assez long , donc patience ... )


    --> Poste le rapport qui apparait à la fin dans ta prochaine pour analyse ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-report-SCAN.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )


    Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus :
    (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


    Aides en images (Installation) : http://pagesperso-orange.fr/NosTools/tuto_ad_r1.html
    Aides en images (Recherche) : http://pagesperso-orange.fr/NosTools/tuto_ad_r2.html



    30 Janvier 2010 10:05:53

    aparmament mon pc est clean je nai plu d arlerte virale. Voila le scan de ad remover :
    .
    ======= RAPPORT D'AD-REMOVER 1.1.4.6_J | UNIQUEMENT XP/VISTA/7 =======
    .
    Mis à jour par C_XX le 29.01.2010 à 16:43
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
    .
    Lancé à: 9:43:36, 30/01/2010 | Mode Normal | Option: SCAN
    Exécuté de: C:\Ad-Remover\
    Système d'exploitation: Microsoft® Windows Vista™ HomePremium Service Pack 2 v6.0.6002
    Nom du PC: PC-DE-ALEX | Utilisateur actuel: Alex
    .
    ============== ÉLÉMENT(S) TROUVÉ(S) ==============
    .

    .
    .
    ============== Scan additionnel ==============
    .
    .
    * Mozilla FireFox Version 3.5.7 [fr] *
    .
    Nom du profil: ojcwoq7q.default (Alex)
    .
    (Alex, prefs.js) Browser.download.dir, C:\Users\Alex\Downloads
    (Alex, prefs.js) Browser.download.lastDir, C:\Users\Alex\Pictures
    (Alex, prefs.js) Browser.search.selectedEngine, Bing
    (Alex, prefs.js) Browser.startup.homepage, hxxp://www.google.fr/
    (Alex, prefs.js) Extensions.enabledItems, {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}:6.0.15,{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}:6.0.16,{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}:6.0.17,{20a82645-c095-46ed-80e3-08825760534b}:0.0.0,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.5.7
    (Alex, prefs.js) Keyword.URL, hxxp://www.bing.com/search?mkt=fr-FR&form=MIMWA2&q=
    .
    .
    * Internet Explorer Version 8.0.6001.18882 *
    .
    [HKEY_CURRENT_USER\..\Internet Explorer\Main]
    .
    Start Page: hxxp://fr.msn.com/
    Do404Search: 01000000
    Local Page: C:\Windows\system32\blank.htm
    Show_ToolBar: yes
    Enable Browser Extensions: yes
    Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    .
    [HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
    .
    Start Page: hxxp://fr.msn.com/
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
    Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\Windows\System32\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    .
    [HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
    .
    Tabs: res://ieframe.dll/tabswelcome.htm
    .
    ============== Suspect (Cracks, Serials, ...) ==============
    .
    C:\Users\Public\Documents\Blizzard Entertainment\World of Warcraft\WoW-3.2.0-frFR-patch.exe
    .
    ===================================
    .
    2721 Octet(s) - C:\Ad-Report-CLEAN[1].log
    2419 Octet(s) - C:\Ad-Report-SCAN[1].log
    .
    15 Fichier(s) - C:\Users\Alex\AppData\Local\Temp
    2 Fichier(s) - C:\Windows\Temp
    129 Fichier(s) - C:\Windows\Prefetch
    .
    21 Fichier(s) - C:\Ad-Remover\BACKUP
    0 Fichier(s) - C:\Ad-Remover\QUARANTINE
    .
    Fin à: 9:51:00 | 30/01/2010 - SCAN[1]
    .
    ============== E.O.F ==============
    .
    30 Janvier 2010 10:12:37

    Hello,



    on est Ok ....



    fait ce qui suit dans l'ordre ( si le dernier rapport est clean , on pourra finaliser ) :



    ( ne saute pas d'étape ! si tu rencontres un soucis lors de cette manipe , tu stoppes et tu m'en fais part )


    1- Utilisation de l'outil ZHPFix :

    > Lance ZHPFix ( "entant qu'admin..." ) depuis le raccourci du bureau .

    * Une fois l'outil ZHPFix ouvert :

    !! ferme tes autres applications en cours !!


    A- Clique sur le bouton " Nettoyeur de tools " ( le grand A rouge ) . Des lignes pré-cochées apparaissent alors dans l'encadré principal .

    > Là tu décoches la case devant ZHPDiag !


    > Enfin clique en bas sur "Nettoyer" .


    Laisse travailler l'outil ... une fois terminé , un nouveau rapport apparait dans l'encadré principal .

    -> Copie/colle le contenu de ce rapport pour analyse ...

    ( il est également sauvegardé ici : C:\Program files\ZHPFix\ZHPFixReport.txt )

    Note : si il t'est demandé de redémarrer le PC pour finir le nettoyage, fait le !



    B- Clique sur le bouton en haut à droite " Vider la quarantaine " ( la poubelle vide ).

    Au message de confirmation , clique sur "Ok" .


    Puis ferme ZHPFix ...


    =====================

    2- Refais un coup de CCleaner ( registre compris ) .


    =====================

    3- Télécharge et installe le logiciel HijackThis :

    ici http://www.trendsecure.com/portal/en-US/_download/HJTIn...
    ou ici http://www.commentcamarche.net/telecharger/telecharger-...

    > Clique droit / "executer entant qu'admin..." sur le setup pour lancer l'installe :
    * laisse toi guider et ne modifie pas les paramètres d'installation .
    * A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge .

    Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
    C:\program files\Trend Micro\HijackThis\HijackThis.exe .

    ( ne fais pas de scan pour le moment )

    =====================

    4- Important :
    Purge de la restauration système
    -->Désactive ta restauration :
    Dans démarrer, clique droit sur ordinateur/propriétés/protection du système : décoche la case devant ton disk dur maitre ( pour toi -> C ) , valide, applique et OK
    Redémarre ton PC ...

    -->Réactive ta restauration :
    Clique droit sur ordinateur/propriétés/protection du système : coche la case devant ton disk dur maitre , valide, applique et OK
    Redémarre ton PC ...

    ( tuto : http://www.commentcamarche.net/faq/sujet-13214-desactiv... )

    =====================

    5- Fais ce scan en ligne pour vérifier :

    ( ne rien faire d'autre avec le PC durant le scan ! )

    Fais un scan en ligne avec " Panda " :

    > http://www.pandasecurity.com/homeusers/solutions/active...
    ( clique sur "scan your PC now" )

    tuto :
    http://www.malekal.com/scan_Av_en_ligne.php#mozTocId237...


    poste moi le rapport obtenu pour analyse ...
    30 Janvier 2010 12:45:08

    voila le scan de zhp fix :
    ZHPFix v1.12.27 by Nicolas Coolman - Rapport de suppression du 30/01/2010 10:21:02
    Fichier Registre :
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.ht...


    Processus mémoire :
    (Néant)

    Module mémoire :
    (Néant)

    Clé du Registre :
    (Néant)

    Valeur du Registre :
    (Néant)

    Elément de données du Registre :
    (Néant)

    Dossier :
    C:\Program Files\SEAF => Supprimé et mis en quarantaine
    C:\rsit => Supprimé et mis en quarantaine

    Fichier :
    (Néant)

    Logiciel :
    O63 - Logiciel: Ad-Remover By C_XX => Logiciel supprimé avec succès
    O63 - Logiciel: HijackThis 2.0.2 => Logiciel supprimé avec succès
    O63 - Logiciel: SEAF By C_XX => Logiciel supprimé avec succès
    O63 - Logiciel: RSIT - (random/random) => Logiciel supprimé avec succès

    Script Registre :
    (Néant)

    Autre :
    (Néant)


    Récapitulatif :
    Processus mémoire : 0
    Module mémoire : 0
    Clé du Registre : 0
    Valeur du Registre : 0
    Elément de données du Registre : 0
    Dossier : 2
    Fichier : 0
    Logiciel : 4
    Autre : 0


    End of the scan
    le scan de panda met du tps par contre
    30 Janvier 2010 13:28:20

    re,


    Citation :
    le scan de panda met du tps par contre



    c'est normal ... parcontre ne fait rein d'autre avec le PC pour éviter que se ne soit encore plus long ... ;) 



    A tout' avec le rapport ....


    30 Janvier 2010 13:31:58

    voila le rapport de panda:
    ;***********************************************************************************************************************************************************************************
    ANALYSIS: 2010-01-30 13:31:16
    PROTECTIONS: 1
    MALWARE: 1
    SUSPECTS: 0
    ;***********************************************************************************************************************************************************************************
    PROTECTIONS
    Description Version Active Updated
    ;===================================================================================================================================================================================
    Microsoft Security Essentials Yes Yes
    ;===================================================================================================================================================================================
    MALWARE
    Id Description Type Active Severity Disinfectable Disinfected Location
    ;===================================================================================================================================================================================
    00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No c:\users\alex\appdata\roaming\microsoft\windows\cookies\alex@atdmt[2].txt
    ;===================================================================================================================================================================================
    SUSPECTS
    Sent Location
    ;===================================================================================================================================================================================
    ;===================================================================================================================================================================================
    VULNERABILITIES
    Id Severity Description
    ;===================================================================================================================================================================================
    ;===================================================================================================================================================================================
    30 Janvier 2010 13:37:11

    oki ...



    on finalise .... dans l'ordre :



    1- Mets à jours ce qui suit, c'est important ( des versions pas à jours = failles de sécurité ) :

    Version Console Java à jour > 6 Update 18
    Version Adobe Reader à jour > v 9.3.0
    Version FireFox à jour > V 3.6

    * pour la console Java :
    -> désinstalle toutes les versions antérieurs via le panneau de config./"Ajout et suppression de programmes" (pour XP) ou " Programmes et fonctionnalités " (pour Vista) .
    -> Puis télécharge et installe la dernière version ici :
    http://www.commentcamarche.net/telecharger/telecharger-...
    ou http://www.java.com/fr/

    ( Autre astuce pour faire cette maj ainsi que la suppression des anciennes versions
    avec l'outil Javara : http://www.commentcamarche.net/faq/sujet-15645-javara-i... )

    -> Enfin contrôle ceci :
    Démarrer > Panneau de configuration > Icône Java > onglet Mise à jour > cocher la case "Automatiser la détection des mises à jour".



    * Adobe Reader :
    -> désinstalle avant l'ancienne version via le panneau de config./"Ajout et suppression de programmes" (pour XP) ou " Programmes et fonctionnalités " (pour Vista) .
    -> télécharge et installe la dernière version ici :
    http://www.infos-du-net.com/telecharger/Reader-Adobe,03...



    * FireFox :
    Télécharge et installe la dernière version ici > http://www.mozilla-europe.org/fr/


    =========================


    2- Une fois tout ceci fait , utilise Hijackthis ,

    tuto pour utilisation :
    Regarde ici, c'est parfaitement expliqué en images (merci balltrap34),
    http://perso.orange.fr/rginformatique/section%20virus/d...
    ( Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement )

    !! Déconnecte toi et ferme toutes tes applications en cours !!

    Clique sur le raccourci du bureau pour lancer le prg :
    fais un scan HijackThis en cliquant sur : "Do a system scan and save a logfile"

    ---> Poste le rapport généré pour analyse ...
    30 Janvier 2010 13:59:49

    voila tt est fait voila le raport de hijackthis
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 18:38:49, on 12/12/2009
    Platform: Windows Vista SP2 (WinNT 6.00.1906)
    MSIE: Internet Explorer v8.00 (8.00.6001.18865)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\Program Files\Hewlett-Packard\Media\DVD\DVDAgent.exe
    C:\Program Files\Hewlett-Packard\TouchSmart\Media\TSMAgent.exe
    C:\Program Files\Hewlett-Packard\TouchSmart\Media\Kernel\CLML\CLMLSvc.exe
    C:\Program Files\Hewlett-Packard\Media\TV\TVAgent.exe
    C:\Program Files\Hewlett-Packard\HP MediaSmart\SmartMenu.exe
    C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
    C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
    C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
    C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
    C:\Program Files\Alwil Software\Avast4\ashDisp.exe
    C:\Program Files\IDT\WDM\sttray.exe
    C:\Program Files\Java\jre6\bin\jusched.exe
    C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe
    C:\Program Files\Hewlett-Packard\HP Advisor\HPAdvisor.exe
    C:\Windows\ehome\ehtray.exe
    C:\Program Files\Windows Defender\MSASCui.exe
    C:\Program Files\Windows Sidebar\sidebar.exe
    C:\Program Files\Windows Media Player\wmpnscfg.exe
    C:\Windows\ehome\ehmsas.exe
    C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
    C:\Program Files\Hewlett-Packard\Shared\hpqToaster.exe
    C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&loca...
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&loca...
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&loca...
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O1 - Hosts: ::1 localhost
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [DVDAgent] "C:\Program Files\Hewlett-Packard\Media\DVD\DVDAgent.exe"
    O4 - HKLM\..\Run: [TSMAgent] "C:\Program Files\Hewlett-Packard\TouchSmart\Media\TSMAgent.exe"
    O4 - HKLM\..\Run: [CLMLServer for HP TouchSmart] "C:\Program Files\Hewlett-Packard\TouchSmart\Media\Kernel\CLML\CLMLSvc.exe"
    O4 - HKLM\..\Run: [TVAgent] "C:\Program Files\Hewlett-Packard\Media\TV\TVAgent.exe"
    O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\Hewlett-Packard\Media\Webcam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\Hewlett-Packard\Media\Webcam" update "Software\Hewlett-Packard\Media\Webcam"
    O4 - HKLM\..\Run: [SmartMenu] %ProgramFiles%\Hewlett-Packard\HP MediaSmart\SmartMenu.exe
    O4 - HKLM\..\Run: [UpdateLBPShortCut] "C:\Program Files\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\LabelPrint" UpdateWithCreateOnce "Software\CyberLink\LabelPrint\2.5"
    O4 - HKLM\..\Run: [UpdatePSTShortCut] "C:\Program Files\CyberLink\DVD Suite\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\DVD Suite" UpdateWithCreateOnce "Software\CyberLink\PowerStarter"
    O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
    O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
    O4 - HKLM\..\Run: [UpdateP2GoShortCut] "C:\Program Files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\Power2Go" UpdateWithCreateOnce "SOFTWARE\CyberLink\Power2Go\6.0"
    O4 - HKLM\..\Run: [UpdatePDIRShortCut] "C:\Program Files\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\PowerDirector" UpdateWithCreateOnce "SOFTWARE\CyberLink\PowerDirector\7.0"
    O4 - HKLM\..\Run: [HP Health Check Scheduler] c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
    O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
    O4 - HKLM\..\Run: [WirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\Windows\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [SysTrayApp] %ProgramFiles%\IDT\WDM\sttray.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
    O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
    O4 - HKCU\..\Run: [HPAdvisor] C:\Program Files\Hewlett-Packard\HP Advisor\HPAdvisor.exe autorun=AUTORUN
    O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
    O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
    O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
    O13 - Gopher Prefix:
    O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} - http://activex.camfrogweb.com/advanced/2.0.2.3/cfweb_ac...
    O16 - DPF: {DFB5BCF1-06AE-4ABB-BFA8-1E228F41C50A} - http://bobtv.fr/download/cfweb_www.bobtv.fr-download_in...
    O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_52c73ccb\aestsrv.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
    O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe
    O23 - Service: Service Google Update (gupdate1ca467b5d805ceb) (gupdate1ca467b5d805ceb) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
    O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
    O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
    O23 - Service: HP Service (hpsrv) - Hewlett-Packard Corporation - C:\Windows\system32\Hpservice.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
    O23 - Service: Recovery Service for Windows - Unknown owner - C:\Program Files\SMINST\BLService.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
    O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_52c73ccb\STacSV.exe
    O23 - Service: TV Background Capture Service (TVBCS) (TVCapSvc) - Unknown owner - C:\Program Files\Hewlett-Packard\Media\TV\Kernel\TV\TVCapSvc.exe
    O23 - Service: TV Task Scheduler (TVTS) (TVSched) - Unknown owner - C:\Program Files\Hewlett-Packard\Media\TV\Kernel\TV\TVSched.exe

    --
    End of file - 9295 bytes
    30 Janvier 2010 14:52:29

    re,


    t'as bien mis Adobe Reader à jour ? ....


    Si oui , suite et fin dans l'ordre :




    1- Ferme toutes tes applications ( navigateur compris ) et déconnecte toi .

    Relance Hijackthis ( en tant qu'admin..." ) mais clique sur " Do a scan only "
    Tu vois donc apparaitre le résultat du scan : une multitudes de lignes, chacunes précédées d'un carré vide .
    Tu vas cliquer sur les carrés des lignes suivantes :


    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

    O4 - HKLM\..\Run: [NeroFilterCheck] C:\Windows\system32\NeroCheck.exe




    Tu cliques en bas sur le bouton FIX CHECKED et valides .



    ============================


    2- Télécharge ToolsCleaner (de A.Rothstein) sur ton bureau .
    http://pc-system.fr/TC/ToolsCleaner2.exe

    ! Déconnecte toi et ferme bien toutes tes applications en cours !

    Clique droit sur le prg et choisis "exécuter en tant qu' Administrateur" pour le lancer.

  • Clique sur Recherche et laisse le scan se terminer (cela peut être long).
  • Clique sur Suppression pour finaliser.
  • Clique sur quitter pour générer un rapport (et pas sur la croix rouge !).

    --> Poste ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt

    Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection .
    Supprime tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé .


    ( garde CCleaner et Malwarebytes : très utiles ! )


    =====================


    3- Refais un coup de CCleaner ( registre compris ) .


    =====================


    4- Fais ce chek-up pour finir :


    Attention : ne pas toucher au PC pendant qu'il travaille !


    A- Nettoyage et Défragmentation des Disques :
    * Nettoyage
    Clique droit sur "ordinateur" ==>"ouvrir" ==>clique droit sur le disque C ==>Propriétés ==>onglet "Général"
    Clique sur le bouton "nettoyage de disque", OK
    tu le fais pour chacun de tes disques durs ...

    * Vérifications des erreurs
    Clique droit sur "ordinateur" ==>"ouvrir" ==>clique droit sur le disque C ==>Propriétés ==>onglet "Outil" .
    clique sur "Vérifier maintenant", une boîte s'ouvre, cocher les cases :
    -"réparer automatiquement les erreurs..."
    -"rechercher et tenter une récupération..."
    Démarrer, ok
    s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal .
    Tu le fais pour chacun de tes disques ...

    Ensuite toujours dans le même onglet tu choisis :
    * Défragmentation
    "défragmenter maintenant", OK
    une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" > OK
    tu le fais pour chacun de tes disques ...

    Note : si tu as un utilitaire pour défragmenter , utilise le à la place ...
    ( attention, cela peut durer assez longtemps - plus d'une dix heure dans certains cas )


    B- Créer un point de restauration de ton PC :

    Aller dans le Menu Démarrer puis dans Programmes,
    - Ensuite dans Accessoires et enfin dans Outils système,
    - Choisir "Restauration du système",
    - pour créer un point de restauration cliques sur : "ouvrer protection système" .
    --> dans cette nouvelle fenêtre Cliquer en bas à gauche sur " créer " .
    - Entrer un nom pour le point de restauration (ce nom doit être assez évocateur), exemple :
    << Point restauration sain >> .

    --> Cliquer sur "Créer" et le point de restauration se créé automatiquement.



    ---> une fois terminé, dis moi ce que cela a donné et comment va le PC ... [:dauphin30]
    30 Janvier 2010 16:03:01

    aparament tt c bien passé je te remercie pour tout. Tu a assuré
    30 Janvier 2010 16:05:24

    yop,


    il me faut le rapport de Toolscleaner stp ! .... :p 
    30 Janvier 2010 16:34:55

    le probleme c kil na pa voulu me l enregister .
    30 Janvier 2010 16:42:12

    re,


    Citation :
    le probleme c kil na pa voulu me l enregister .



    refait le stp ... histoire que je puisse voir si tout a été bien nettoyé ... :ange: 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS