Trojan Game thief [Résolu]

Salut,


fais ceci pour commencer :


Télécharge UsbFix ( de C_XX, Chimay8 & Chiquitine29 ) sur ton bureau :

> http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe

! Déconnecte toi d'internet et ferme toutes applications en cours !

--> Double-clique sur l' .exe pour lancer l'installation de l'outil ( ne touche pas aux paramètres d'installe ) .


Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .


# Double clique sur le raccourci UsbFix présent sur ton bureau pour lancer l'outil.

# Choisis l' option 1 ( Recherche )

# Laisse travailler l'outil et ne touche à rien pendant le scan .

# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html

Bonjour et merci pour ta réponse si rapide, ce virus est une plaie.
J'ai en fait deux rapports puisque j'ai beaucoup de dd externes.
Curieusement, une fois les dd connectés, Kaspersky a réussi à supprimer le trojan, mais je ne sais pas si c'est suffisant.

rapport 1:



############################## [ UsbFix V3.032 ]

# User : Administrateur (Administrateurs) # PC-3D5884396857
# Update on 15/06/09 by Chiquitine29
# Start at: 11:32:25 | 18/06/2009
# Website : http://pagesperso-orange.fr/NosTools/usbfix.html

# Intel(R) Core(TM)2 CPU 6400 @ 2.13GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Disabled
# AV : Kaspersky Internet Security 8.0.0.506 [ Enabled | Updated ]
# FW : Kaspersky Internet Security[ Enabled ]8.0.0.506

# C:\ # Disque fixe local # 465,75 Go (448,03 Go free) # NTFS
# D:\ # Disque CD-ROM # 4,09 Go (0 Mo free) [WAR2] # UDF
# E:\ # Disque fixe local # 195,31 Go (195,24 Go free) [Linux] # NTFS
# F:\ # Disque amovible
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque amovible
# J:\ # Disque fixe local # 186,31 Go (29,71 Go free) [HP_PAVILION2] # NTFS
# K:\ # Disque fixe local # 465,65 Go (298,53 Go free) [SAINT SEIYA] # FAT32
# L:\ # Disque fixe local # 465,76 Go (32,91 Go free) [Piggy] # NTFS
# M:\ # Disque amovible # 148,79 Go (86,79 Go free) [HYPERION] # FAT32

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\Logitech Vid\vid.exe
C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Registre Startup ]

HKCU_Main: "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
HKCU_Main: "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
HKCU_Main: "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
HKLM_logon: "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
HKLM_logon: "DefaultUserName"="Administrateur"
HKLM_logon: "AltDefaultUserName"="Administrateur"
HKLM_logon: "LegalNoticeCaption"=""
HKLM_logon: "LegalNoticeText"=""

HKLM_Run: RTHDCPL=RTHDCPL.EXE
HKLM_Run: Alcmtr=ALCMTR.EXE
HKLM_Run: AVP="C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
HKLM_Run: LogitechQuickCamRibbon="C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe" /hide
HKCU_Run: CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
HKCU_Run: Logitech Vid="C:\Program Files\Logitech\Logitech Vid\vid.exe" -bootmode

HKLM_expl: "HonorAutoRunSetting"=dword:00000001

################## [ Fichiers # Dossiers infectieux ]

Présent ! C:\WINDOWS\system32\nmdfgds0.dll
Présent ! C:\WINDOWS\system32\nmdfgds1.dll
C:\autorun.inf # -> fichier appelé : "C:\gpcdt.cmd" ( Absent ! )
Présent ! C:\autorun.inf
Présent ! D:\autorun.inf
Présent ! J:\ij.bat
Présent ! J:\8.bat
Présent ! J:\autorun.inf
K:\autorun.inf # -> fichier appelé : "K:\sv8c2bjw.bat" ( Présent ! )
Présent ! K:\0bcobed.exe
Présent ! K:\ej10fkdo.bat
Présent ! K:\gyn.cmd
Présent ! K:\sv8c2bjw.bat
Présent ! K:\uvsqfgwd.cmd
Présent ! K:\yhh.bat
Présent ! K:\8.bat
Présent ! K:\autorun.inf
Présent ! K:\recycler\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
Présent ! L:\gyn.cmd
Présent ! L:\ij.bat
Présent ! L:\8.bat
Présent ! L:\autorun.inf
Présent ! M:\0bcobed.exe
Présent ! M:\ej10fkdo.bat
Présent ! M:\gyn.cmd
Présent ! M:\ij.bat
Présent ! M:\sm.exe
Présent ! M:\yhh.bat
Présent ! M:\8.bat
Présent ! M:\recycler\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx

################## [ Registre # Clés Run infectieuses ]


################## [ Registre # Mountpoints2 ]

HKCU\...\Explorer\MountPoints2\C\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\C\Shell\open\Command
HKCU\...\Explorer\MountPoints2\E\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\E\Shell\open\Command
HKCU\...\Explorer\MountPoints2\{5ccadcd0-5a91-11de-937c-806d6172696f}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{5ccadcd0-5a91-11de-937c-806d6172696f}\Shell\open\Command
HKCU\...\Explorer\MountPoints2\{9bfa6623-5a9d-11de-a114-806d6172696f}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{9bfa6623-5a9d-11de-a114-806d6172696f}\Shell\open\Command
HKCU\...\Explorer\MountPoints2\{bae8f2a8-5be8-11de-939b-0018f301861a}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{bae8f2a8-5be8-11de-939b-0018f301861a}\Shell\open\Command

################## [ ! Fin du rapport # UsbFix V3.032 ! ]



rapport 2


############################## [ UsbFix V3.032 ]

# User : Administrateur (Administrateurs) # PC-3D5884396857
# Update on 15/06/09 by Chiquitine29
# Start at: 11:43:17 | 18/06/2009
# Website : http://pagesperso-orange.fr/NosTools/usbfix.html

# Intel(R) Core(TM)2 CPU 6400 @ 2.13GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Disabled
# AV : Kaspersky Internet Security 8.0.0.506 [ Enabled | Updated ]
# FW : Kaspersky Internet Security[ Enabled ]8.0.0.506

# C:\ # Disque fixe local # 465,75 Go (448,03 Go free) # NTFS
# D:\ # Disque CD-ROM # 4,09 Go (0 Mo free) [WAR2] # UDF
# E:\ # Disque fixe local # 195,31 Go (195,24 Go free) [Linux] # NTFS
# F:\ # Disque amovible
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque amovible
# J:\ # Disque amovible # 7,48 Go (2,43 Go free) [HERESY] # FAT32
# K:\ # Disque fixe local # 179,5 Go (19,98 Go free) [HP_PAVILION] # NTFS
# L:\ # Disque fixe local # 6,8 Go (837,06 Mo free) [HP_RECOVERY] # FAT32
# M:\ # Disque fixe local # 465,65 Go (333,09 Go free) [SOPRANOS] # FAT32
# N:\ # Disque amovible # 1,9 Go (8,31 Mo free) # FAT

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\Logitech Vid\vid.exe
C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Registre Startup ]

HKCU_Main: "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
HKCU_Main: "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
HKCU_Main: "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
HKLM_logon: "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
HKLM_logon: "DefaultUserName"="Administrateur"
HKLM_logon: "AltDefaultUserName"="Administrateur"
HKLM_logon: "LegalNoticeCaption"=""
HKLM_logon: "LegalNoticeText"=""

HKLM_Run: RTHDCPL=RTHDCPL.EXE
HKLM_Run: Alcmtr=ALCMTR.EXE
HKLM_Run: AVP="C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
HKLM_Run: LogitechQuickCamRibbon="C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe" /hide
HKCU_Run: CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
HKCU_Run: Logitech Vid="C:\Program Files\Logitech\Logitech Vid\vid.exe" -bootmode

HKLM_expl: "HonorAutoRunSetting"=dword:00000001

################## [ Fichiers # Dossiers infectieux ]

Présent ! C:\WINDOWS\system32\nmdfgds0.dll
Présent ! C:\WINDOWS\system32\nmdfgds1.dll
C:\autorun.inf # -> fichier appelé : "C:\gpcdt.cmd" ( Absent ! )
Présent ! C:\autorun.inf
Présent ! D:\autorun.inf
Présent ! J:\0bcobed.exe
Présent ! J:\8.bat
Présent ! L:\autorun.inf
Présent ! N:\ij.bat
Présent ! N:\yhh.bat

################## [ Registre # Clés Run infectieuses ]


################## [ Registre # Mountpoints2 ]

HKCU\...\Explorer\MountPoints2\C\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\C\Shell\open\Command
HKCU\...\Explorer\MountPoints2\E\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\E\Shell\open\Command
HKCU\...\Explorer\MountPoints2\{5ccadcd0-5a91-11de-937c-806d6172696f}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{5ccadcd0-5a91-11de-937c-806d6172696f}\Shell\open\Command
HKCU\...\Explorer\MountPoints2\{9bfa6623-5a9d-11de-a114-806d6172696f}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{9bfa6623-5a9d-11de-a114-806d6172696f}\Shell\open\Command
HKCU\...\Explorer\MountPoints2\{bae8f2a8-5be8-11de-939b-0018f301861a}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{bae8f2a8-5be8-11de-939b-0018f301861a}\Shell\open\Command
HKCU\...\Explorer\MountPoints2\{bae8f2b0-5be8-11de-939b-0018f301861a}\Shell\AutoRun\Command

################## [ ! Fin du rapport # UsbFix V3.032 ! ]

Merci!

bien ...

Kaspersky n'a qu'effleuré le prb ... ^^


la suite ( fais exactment comme tu viens de faire : 2 fois la manipe )


1- ! Déconnecte toi d'internet et ferme toutes applications en cours !

Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .

# Double clique sur le raccourci UsbFix présent sur ton bureau pour lancer l'outil .

# Cette fois ci , tu choisis l' option 2 ( Suppression ) .

> Ton bureau disparaitra et le pc redémarrera ( c'est normal ).

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .

# Une fois terminé, poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .


( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).


=============================


2- une fois les deux rapports postés , relance un scan RSIT et poste le nouveau rapport "log.txt" obtenu pour analyse et attends la suite ....

Merci pour tes réponses, voici les derniers resultats (kaspersky trouve tjs le trojan actif, malheureusement...


############################## [ UsbFix V3.032 ]

# User : Administrateur (Administrateurs) # PC-3D5884396857
# Update on 15/06/09 by Chiquitine29
# Start at: 16:57:28 | 20/06/2009
# Website : http://pagesperso-orange.fr/NosTools/usbfix.html

# Intel(R) Core(TM)2 CPU 6400 @ 2.13GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Disabled
# AV : Kaspersky Internet Security 8.0.0.506 [ Enabled | Updated ]
# FW : Kaspersky Internet Security[ (!) Disabled ]8.0.0.506

# C:\ # Disque fixe local # 465,75 Go (444,15 Go free) # NTFS
# D:\ # Disque CD-ROM # 4,3 Go (0 Mo free) [WMOC_FR] # UDF
# E:\ # Disque fixe local # 195,31 Go (195,24 Go free) [Linux] # NTFS
# F:\ # Disque amovible
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque amovible
# J:\ # Disque amovible # 148,79 Go (86,79 Go free) [HYPERION] # FAT32

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Fichiers # Dossiers infectieux ]

(!) Non supprimé ! D:\Setup.exe
(!) Non supprimé ! D:\autorun.inf
Supprimé ! J:\0bcobed.exe
Supprimé ! J:\ej10fkdo.bat
Supprimé ! J:\gyn.cmd
Supprimé ! J:\ij.bat
Supprimé ! J:\sm.exe
Supprimé ! J:\yhh.bat
Supprimé ! J:\8.bat
Supprimé ! J:\recycler\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx

################## [ Registre # Clés Run infectieuses ]


################## [ Registre # Mountpoints2 ]


################## [ Listing des fichiers présent ]

[16/06/2009 18:06|--a------|0] - C:\AUTOEXEC.BAT
[16/06/2009 18:00|---hs----|212] - C:\boot.ini
[14/04/2008 14:00|-rahs----|4952] - C:\Bootfont.bin
[16/06/2009 18:06|--a------|0] - C:\CONFIG.SYS
[16/06/2009 18:06|-rahs----|0] - C:\IO.SYS
[16/06/2009 18:06|-rahs----|0] - C:\MSDOS.SYS
[14/04/2008 14:00|-rahs----|47564] - C:\NTDETECT.COM
[14/04/2008 14:00|-rahs----|252240] - C:\ntldr
[?|?|?] - C:\pagefile.sys
[20/06/2009 16:59|--a------|2619] - C:\UsbFix.txt
[01/11/2006 22:45|-r-------|20482048] - D:\00000001.TMP
[01/11/2006 22:45|-r-------|317440] - D:\00000002.TMP
[17/05/2006 20:21|-r-------|373680] - D:\_setup.dll
[25/10/2006 19:38|-r-------|57] - D:\autorun.inf
[25/10/2006 19:36|-r-------|124586] - D:\autostart.bmp
[26/10/2006 02:34|-r-------|1436] - D:\autostart.dat
[24/10/2006 04:06|-r-------|1087] - D:\autostart.ini
[28/10/2006 01:00|-r-------|159744] - D:\AutoStarter.exe
[01/11/2006 22:48|-r-------|785644] - D:\data1.cab
[01/11/2006 22:48|-r-------|79569] - D:\data1.hdr
[01/11/2006 22:59|-r-------|4294101503] - D:\data2.cab
[01/11/2006 23:00|-r-------|298210500] - D:\data3.cab
[01/11/2006 22:45|-r-------|46592] - D:\DrvMgt.dll
[01/11/2006 22:48|-r-------|552214] - D:\ISSetup.dll
[01/11/2006 23:00|-r-------|744] - D:\layout.bin
[15/09/2006 04:12|-r-------|4806] - D:\Readme.txt
[01/11/2006 22:45|-r-------|163644] - D:\SECDRV.SYS
[19/10/2006 18:26|-r-------|1572920] - D:\Setup.bmp
[24/05/2006 21:10|-r-------|455600] - D:\setup.exe
[01/11/2006 22:48|-r-------|466] - D:\setup.ini
[01/11/2006 22:48|-r-------|215249] - D:\setup.inx
[27/10/2006 04:05|-r-------|701709] - D:\setup.isn
[16/05/2000 23:26|---------|0] - J:\.metadata_never_index

################## [ Vaccination ]

# C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
# E:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
# J:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.

################## [ ! Fin du rapport # UsbFix V3.032 ! ]


############################## [ UsbFix V3.032 ]

# User : Administrateur (Administrateurs) # PC-3D5884396857
# Update on 15/06/09 by Chiquitine29
# Start at: 16:57:28 | 20/06/2009
# Website : http://pagesperso-orange.fr/NosTools/usbfix.html

# Intel(R) Core(TM)2 CPU 6400 @ 2.13GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Disabled
# AV : Kaspersky Internet Security 8.0.0.506 [ Enabled | Updated ]
# FW : Kaspersky Internet Security[ (!) Disabled ]8.0.0.506

# C:\ # Disque fixe local # 465,75 Go (444,15 Go free) # NTFS
# D:\ # Disque CD-ROM # 4,3 Go (0 Mo free) [WMOC_FR] # UDF
# E:\ # Disque fixe local # 195,31 Go (195,24 Go free) [Linux] # NTFS
# F:\ # Disque amovible
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque amovible
# J:\ # Disque amovible # 148,79 Go (86,79 Go free) [HYPERION] # FAT32

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Fichiers # Dossiers infectieux ]

(!) Non supprimé ! D:\Setup.exe
(!) Non supprimé ! D:\autorun.inf
Supprimé ! J:\0bcobed.exe
Supprimé ! J:\ej10fkdo.bat
Supprimé ! J:\gyn.cmd
Supprimé ! J:\ij.bat
Supprimé ! J:\sm.exe
Supprimé ! J:\yhh.bat
Supprimé ! J:\8.bat
Supprimé ! J:\recycler\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx

################## [ Registre # Clés Run infectieuses ]


################## [ Registre # Mountpoints2 ]


################## [ Listing des fichiers présent ]

[16/06/2009 18:06|--a------|0] - C:\AUTOEXEC.BAT
[16/06/2009 18:00|---hs----|212] - C:\boot.ini
[14/04/2008 14:00|-rahs----|4952] - C:\Bootfont.bin
[16/06/2009 18:06|--a------|0] - C:\CONFIG.SYS
[16/06/2009 18:06|-rahs----|0] - C:\IO.SYS
[16/06/2009 18:06|-rahs----|0] - C:\MSDOS.SYS
[14/04/2008 14:00|-rahs----|47564] - C:\NTDETECT.COM
[14/04/2008 14:00|-rahs----|252240] - C:\ntldr
[?|?|?] - C:\pagefile.sys
[20/06/2009 16:59|--a------|2619] - C:\UsbFix.txt
[01/11/2006 22:45|-r-------|20482048] - D:\00000001.TMP
[01/11/2006 22:45|-r-------|317440] - D:\00000002.TMP
[17/05/2006 20:21|-r-------|373680] - D:\_setup.dll
[25/10/2006 19:38|-r-------|57] - D:\autorun.inf
[25/10/2006 19:36|-r-------|124586] - D:\autostart.bmp
[26/10/2006 02:34|-r-------|1436] - D:\autostart.dat
[24/10/2006 04:06|-r-------|1087] - D:\autostart.ini
[28/10/2006 01:00|-r-------|159744] - D:\AutoStarter.exe
[01/11/2006 22:48|-r-------|785644] - D:\data1.cab
[01/11/2006 22:48|-r-------|79569] - D:\data1.hdr
[01/11/2006 22:59|-r-------|4294101503] - D:\data2.cab
[01/11/2006 23:00|-r-------|298210500] - D:\data3.cab
[01/11/2006 22:45|-r-------|46592] - D:\DrvMgt.dll
[01/11/2006 22:48|-r-------|552214] - D:\ISSetup.dll
[01/11/2006 23:00|-r-------|744] - D:\layout.bin
[15/09/2006 04:12|-r-------|4806] - D:\Readme.txt
[01/11/2006 22:45|-r-------|163644] - D:\SECDRV.SYS
[19/10/2006 18:26|-r-------|1572920] - D:\Setup.bmp
[24/05/2006 21:10|-r-------|455600] - D:\setup.exe
[01/11/2006 22:48|-r-------|466] - D:\setup.ini
[01/11/2006 22:48|-r-------|215249] - D:\setup.inx
[27/10/2006 04:05|-r-------|701709] - D:\setup.isn
[16/05/2000 23:26|---------|0] - J:\.metadata_never_index

################## [ Vaccination ]

# C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
# E:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
# J:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.

################## [ ! Fin du rapport # UsbFix V3.032 ! ]


############################## [ UsbFix V3.032 ]

# User : Administrateur (Administrateurs) # PC-3D5884396857
# Update on 15/06/09 by Chiquitine29
# Start at: 17:10:22 | 20/06/2009
# Website : http://pagesperso-orange.fr/NosTools/usbfix.html

# Intel(R) Core(TM)2 CPU 6400 @ 2.13GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Disabled
# AV : Kaspersky Internet Security 8.0.0.506 [ Enabled | Updated ]
# FW : Kaspersky Internet Security[ Enabled ]8.0.0.506

# C:\ # Disque fixe local # 465,75 Go (443,98 Go free) # NTFS
# D:\ # Disque CD-ROM # 4,3 Go (0 Mo free) [WMOC_FR] # UDF
# E:\ # Disque fixe local # 195,31 Go (195,24 Go free) [Linux] # NTFS
# F:\ # Disque amovible
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque amovible
# N:\ # Disque amovible # 1,9 Go (8,31 Mo free) # FAT

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe

################## [ Fichiers # Dossiers infectieux ]

(!) Non supprimé ! D:\Setup.exe
(!) Non supprimé ! D:\autorun.inf
Supprimé ! N:\ij.bat
Supprimé ! N:\yhh.bat

################## [ Registre # Clés Run infectieuses ]


################## [ Registre # Mountpoints2 ]


################## [ Listing des fichiers présent ]

[16/06/2009 18:06|--a------|0] - C:\AUTOEXEC.BAT
[16/06/2009 18:00|---hs----|212] - C:\boot.ini
[14/04/2008 14:00|-rahs----|4952] - C:\Bootfont.bin
[16/06/2009 18:06|--a------|0] - C:\CONFIG.SYS
[16/06/2009 18:06|-rahs----|0] - C:\IO.SYS
[16/06/2009 18:06|-rahs----|0] - C:\MSDOS.SYS
[14/04/2008 14:00|-rahs----|47564] - C:\NTDETECT.COM
[14/04/2008 14:00|-rahs----|252240] - C:\ntldr
[?|?|?] - C:\pagefile.sys
[20/06/2009 17:12|--a------|2403] - C:\UsbFix.txt
[01/11/2006 22:45|-r-------|20482048] - D:\00000001.TMP
[01/11/2006 22:45|-r-------|317440] - D:\00000002.TMP
[17/05/2006 20:21|-r-------|373680] - D:\_setup.dll
[25/10/2006 19:38|-r-------|57] - D:\autorun.inf
[25/10/2006 19:36|-r-------|124586] - D:\autostart.bmp
[26/10/2006 02:34|-r-------|1436] - D:\autostart.dat
[24/10/2006 04:06|-r-------|1087] - D:\autostart.ini
[28/10/2006 01:00|-r-------|159744] - D:\AutoStarter.exe
[01/11/2006 22:48|-r-------|785644] - D:\data1.cab
[01/11/2006 22:48|-r-------|79569] - D:\data1.hdr
[01/11/2006 22:59|-r-------|4294101503] - D:\data2.cab
[01/11/2006 23:00|-r-------|298210500] - D:\data3.cab
[01/11/2006 22:45|-r-------|46592] - D:\DrvMgt.dll
[01/11/2006 22:48|-r-------|552214] - D:\ISSetup.dll
[01/11/2006 23:00|-r-------|744] - D:\layout.bin
[15/09/2006 04:12|-r-------|4806] - D:\Readme.txt
[01/11/2006 22:45|-r-------|163644] - D:\SECDRV.SYS
[19/10/2006 18:26|-r-------|1572920] - D:\Setup.bmp
[24/05/2006 21:10|-r-------|455600] - D:\setup.exe
[01/11/2006 22:48|-r-------|466] - D:\setup.ini
[01/11/2006 22:48|-r-------|215249] - D:\setup.inx
[27/10/2006 04:05|-r-------|701709] - D:\setup.isn
[09/09/2008 21:37|--a------|262144] - N:\SRAM.SAV
[28/08/2007 15:43|--a------|1048576] - N:\xmenu.dat
[02/04/2007 04:01|--a------|74240] - N:\SRAM.nds
[24/08/2008 21:24|--a------|16777216] - N:\Anno 1701.nds
[24/08/2008 22:07|--a------|134217728] - N:\The Legend Of Zelda Phantom Hourglass.nds
[26/08/2008 20:24|--a------|16777216] - N:\0003_-_Yoshi_Touch_&_Go_(U)_ds_[idgamez.co.uk].nds
[24/01/2009 23:20|---------|262144] - N:\Castlevania_Order_of_Ecclesia.SAV
[11/06/2009 18:48|---------|262144] - N:\jEnesisDS.SAV
[26/08/2008 20:01|--a------|8388608] - N:\0050 - Zoo Keeper (E) NDS [idgamez.co.uk].nds
[06/10/2008 22:36|---------|262144] - N:\Hotel Dusk Room 215.SAV
[30/01/2009 19:16|---------|262144] - N:\Final_Fantasy_III.SAV
[26/08/2008 21:41|--a------|67108864] - N:\0121 - Castlevania - Dawn of Sorrow (U) [ www.idgamez.co.uk ].nds
[07/06/2009 21:15|---------|262144] - N:\picodriveds.SAV
[25/08/2008 22:12|--a------|33554432] - N:\0168 - Mario Kart DS (U) [idgamez.co.uk].nds
[25/08/2008 22:40|--a------|67108864] - N:\0177 - Sonic Rush (U) [ www.idgamez.co.uk ].nds
[25/08/2008 22:05|--a------|67108864] - N:\0297 - Mario and Luigi - Partners in Time (E) NDS [idgamez.co.uk].nds
[25/08/2008 21:38|--a------|16777216] - N:\0366 - Tetris DS (U) [ www.idgamez.co.uk ].nds
[25/08/2008 22:23|--a------|67108864] - N:\0431 - Metroid Prime Hunters (E) ds.nds
[24/08/2008 21:25|--a------|33554432] - N:\716 - Yoshi's Island (E) NDS [idgamez.co.uk].nds
[24/08/2008 22:18|--a------|134217728] - N:\2230 The World Ends With You (E) NDS [idgamez.co.uk].nds
[11/06/2009 18:44|---------|262144] - N:\Game & Watch Collection..SAV
[24/10/2008 00:21|---------|262144] - N:\Sonic Rush Adventure.SAV
[07/06/2009 21:20|---------|262144] - N:\0121 - Castlevania - Dawn of Sorrow (U) [ www.idgamez.co.uk ].SAV
[16/09/2008 09:20|---------|262144] - N:\Ninja Gaiden Dragon Sword.SAV
[06/12/2008 19:49|---------|262144] - N:\0050 - Zoo Keeper (E) NDS [idgamez.co.uk].SAV
[12/09/2008 18:19|---------|262144] - N:\0431 - Metroid Prime Hunters (E) ds.SAV
[16/12/2008 16:25|---------|262144] - N:\0177 - Sonic Rush (U) [ www.idgamez.co.uk ].SAV
[13/09/2008 22:31|---------|262144] - N:\Apollo Justice Ace Attorney [EUR].SAV
[16/09/2008 09:25|---------|262144] - N:\0003_-_Yoshi_Touch_&_Go_(U)_ds_[idgamez.co.uk].SAV
[08/12/2008 00:12|---------|262144] - N:\0366 - Tetris DS (U) [ www.idgamez.co.uk ].SAV
[24/11/2008 19:43|---------|262144] - N:\Picross DS.SAV
[07/06/2009 21:10|---------|262144] - N:\The Legend Of Zelda Phantom Hourglass.SAV
[30/09/2008 09:21|---------|262144] - N:\Anno 1701.SAV
[06/10/2008 22:29|---------|262144] - N:\FFTA2.SAV
[07/06/2009 21:06|---------|262144] - N:\Le Code de la Route.SAV
[27/08/2008 01:04|--a------|33554432] - N:\Meteos Disney Magic.nds
[24/08/2008 22:51|--a------|134217728] - N:\Ninja Gaiden Dragon Sword.nds
[25/01/2009 10:50|---------|262144] - N:\0168 - Mario Kart DS (U) [idgamez.co.uk].SAV
[23/01/2008 14:51|--a------|67108864] - N:\Advance Wars Dark Conflict.nds
[20/05/2008 13:06|--a------|67108864] - N:\Apollo Justice Ace Attorney [EUR].nds
[23/06/2008 13:43|--a------|134217728] - N:\ffta2.nds
[14/02/2008 15:36|--a------|134217728] - N:\FFXII.nds
[23/05/2007 21:28|--a------|134217728] - N:\Lunar Knights v1.1.nds
[10/05/2007 14:57|--a------|33554432] - N:\Picross DS.nds
[13/09/2007 16:59|--a------|67108864] - N:\Sonic Rush Adventure.nds
[13/02/2009 16:35|---------|262144] - N:\New Super Mario Bros.SAV
[30/03/2006 14:59|--a------|67108864] - N:\Animal Crossing Wild World.nds
[12/04/2007 09:58|--a------|134217728] - N:\Hotel Dusk Room 215.nds
[01/01/1601 02:00|---------|0] - N:\0297 ~01.SAV
[24/01/2009 16:50|---------|262144] - N:\0297 - Mario and Luigi - Partners in Time (E) NDS [idgamez.co.uk].SAV
[20/11/2008 21:21|---------|262144] - N:\WarioWare - Touched! (E) .SAV
[30/09/2008 19:09|---------|262144] - N:\Animal Crossing Wild World.SAV
[08/12/2008 00:15|---------|262144] - N:\Meteos Disney Magic.SAV
[01/06/2007 23:25|--a------|33554432] - N:\Le Code de la Route.nds
[28/06/2006 20:35|--a------|33554432] - N:\New Super Mario Bros.nds
[22/10/2008 15:33|---------|262144] - N:\716 - Yoshi's Island (E) NDS [idgamez.co.uk].SAV
[15/12/2008 20:13|---------|262144] - N:\2230 The World Ends With You (E) NDS [idgamez.co.uk].SAV
[07/10/2008 17:10|---------|262144] - N:\Advance Wars Dark Conflict.SAV
[06/10/2008 22:29|---------|262144] - N:\FFXII.SAV
[06/10/2008 22:30|---------|262144] - N:\Lunar Knights v1.1.SAV
[29/03/2007 03:05|--a------|8388608] - N:\Game & Watch Collection..nds
[13/09/2008 12:38|--a------|134217728] - N:\Final_Fantasy_III.nds
[24/12/1996 23:32|--a------|33554432] - N:\WarioWare - Touched! (E) .nds
[31/10/2008 15:21|--a------|67108864] - N:\Castlevania_Order_of_Ecclesia.nds
[19/12/2008 13:33|--a------|25691936] - N:\[NDS]Castlevania_portrait_of_ruin[EUR]-[ESPALNDS.com].rar
[11/02/2007 08:55|--a------|679680] - N:\picodriveds.ds.gba
[11/02/2007 08:55|--a------|679168] - N:\picodriveds.nds
[05/02/2001 07:24|--a------|524288] - N:\Castle of Illusion Starring Mickey Mouse (UE) [h1C].gen
[06/06/2009 22:30|--a------|402107] - N:\Quack Shot Starring Donald Duck.7z
[06/06/2009 22:31|--a------|385713] - N:\Revenge of Shinobi, The.7z
[26/05/2004 19:39|--a------|524288] - N:\Castle of Illusion Starring Mickey Mouse (UE) [!].gen
[26/05/2004 19:39|--a------|524288] - N:\I Love Mickey Mouse - Fushigi no Oshiro Dai Bouken (J) [!].gen
[28/12/1998 16:43|--a------|524288] - N:\I Love Mickey Mouse - Fushigi no Oshiro Dai Bouken (J) [h1C].gen
[20/05/1998 06:06|--a------|524288] - N:\I Love Mickey Mouse - Fushigi no Oshiro Dai Bouken (J) [p1][!].gen
[12/07/2008 23:41|--a------|690752] - N:\jEnesisDS.nds
[01/01/2006 18:01|--a------|1310720] - N:\Quack Shot Starring Donald Duck (W) (REV01) [a1][c][!].gen
[31/08/2000 06:00|--a------|1310720] - N:\Quack Shot Starring Donald Duck (W) (REV01) [b1].gen
[26/12/2003 21:18|--a------|524288] - N:\Quack Shot Starring Donald Duck (W) (REV01) [b2].gen
[29/08/1996 06:00|--a------|524288] - N:\Revenge of Shinobi, The (W) (REV00) [!].gen
[29/08/1996 20:33|--a------|524288] - N:\Revenge of Shinobi, The (W) (REV00) [b1].gen
[01/01/2004 07:00|--a------|524288] - N:\Revenge of Shinobi, The (W) (REV00) [h1C].gen
[28/10/2000 06:00|--a------|524288] - N:\Revenge of Shinobi, The (W) (REV00) [p1][b1].gen
[24/06/2001 06:00|--a------|524288] - N:\Revenge of Shinobi, The (W) (REV01) [!].gen
[19/07/2001 06:00|--a------|524288] - N:\Revenge of Shinobi, The (W) (REV02) [!].gen
[19/03/1999 06:00|--a------|524288] - N:\Revenge of Shinobi, The (W) (REV03) [!].gen
[19/03/1999 06:00|--a------|524288] - N:\Revenge of Shinobi, The (W) (REV03) [p1][b1].gen
[17/11/2004 02:32|--a------|524288] - N:\Revenge of Shinobi, The (W) (REV03) [T+Fre].gen
[24/06/2001 06:00|--a------|524288] - N:\Quack Shot Starring Donald Duck (W) (REV00) [!].gen
[27/03/2000 06:00|--a------|524288] - N:\Quack Shot Starring Donald Duck (W) (REV00) [h1C].gen
[05/02/2001 06:00|--a------|524288] - N:\Quack Shot Starring Donald Duck (W) (REV00) [h2C].gen
[01/01/2004 07:00|--a------|524288] - N:\Quack Shot Starring Donald Duck (W) (REV00) [h3C].gen
[09/03/2000 06:00|--a------|524288] - N:\Quack Shot Starring Donald Duck (W) (REV00) [p1][!].gen
[08/03/2000 06:00|--a------|524288] - N:\Quack Shot Starring Donald Duck (W) (REV00) [t1].gen
[13/06/2001 06:00|--a------|1310720] - N:\Quack Shot Starring Donald Duck (W) (REV01) [!].gen

################## [ Vaccination ]

# C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
# E:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
# N:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.

################## [ ! Fin du rapport # UsbFix V3.032 ! ]

Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrateur at 2009-06-21 16:57:49
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 455 GB (95%) free of 477 GB
Total RAM: 3070 MB (81% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:57:51, on 21/06/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
C:\Program Files\trend micro\Administrateur.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe" /hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Logitech Vid] "C:\Program Files\Logitech\Logitech Vid\vid.exe" -bootmode
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe

Tient ?

un revenant ? .... tu poste tous les 12 jours ou tu étais en vacances ? ... ^^"

laisse tomber ton Kaspersky et ne l'utilise pas sans mon accord !




bref ,



on va reprendre depuis le début ... dans l'ordre :



1- supprime cette version de UsbFix qui est complètement obselete maintenant :

# Double clique sur le raccourci UsbFix présent sur ton bureau .

# Choisis l' option 5 ( Désinstaller ) et laisse toi guider ...

( au prochain démarrage du PC , tu pourras aussi supprimer ce dossier > C:\usbfix )


====================

2- Télécharge CCleaner :
http://www.commentcamarche.net/telecharger/telecharger 168 ccleaner
ou http://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
Lors de l'installation:
-choisis bien "français" en langue .
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.

Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm


---> Utilisation:
*Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage-
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )


========================

3- On va utiliser la dernière version de UsbFix qui est dispo ( en plusieurs fois si tu ne peux pas brancher toutes unités externes en même temps ) :


Télécharge UsbFix ( de C_XX, Chimay8 & Chiquitine29 ) sur ton bureau :

> http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe

! Déconnecte toi d'internet et ferme toutes applications en cours !

--> Double-clique sur l' .exe pour lancer l'installation de l'outil ( ne touche pas aux paramètres d'installe ) .


Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .


# Double clique sur le raccourci UsbFix présent sur ton bureau pour lancer l'outil.

# Choisis l' option 1 ( Recherche )

# Laisse travailler l'outil et ne touche à rien pendant le scan .

# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html

Bonjour,

Il y a juste un petit soucis: le lien que tu m'as communiqué pour dl la dernière version d'usbfix m affiche une page introuvable!

Merci

re,


effectivement ... il y a du mouvement en ce moment avec cet outil ... ^^


je te redonne la manipe !


Télécharge FindyKill ( de C_XX, Chimay8 & Chiquitine29 ) sur ton bureau :

> http://sd-1.archive-host.com/membres/up/127028005715545653/FindyKill.exe

! Déconnecte toi d'internet, désactives ton antivirus et ferme toutes applications en cours !

--> Double-clique sur l' .exe pour lancer l'installation de l'outil ( ne touche pas aux paramètres d'installe ) .


Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .


# Double clique sur le raccourci FindyKill présent sur ton bureau pour lancer l'outil.

( sur la 1er fenêtre , tapes f puis [entrèe] pour la version en français ).

# Choisis l' option 1 ( Recherche )

# Laisse travailler l'outil et ne touche à rien pendant le scan .

# Une fois terminé, poste le rapport FindyKill.txt qui apparaitra.

Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\FindyKill.txt ).

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

voilà le premier rapport,

merci!


############################## | FindyKill V6.001 |

# User : Administrateur (Administrateurs) # PC-3D5884396857
# Update on 30/06/09 by Chiquitine29 & C_XX
# Start at: 13:03:55 | 01/07/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html

# Intel(R) Core(TM)2 CPU 6400 @ 2.13GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Disabled
# AV : Kaspersky Internet Security 8.0.0.506 [ (!) Disabled | Updated ]
# FW : Kaspersky Internet Security[ (!) Disabled ]8.0.0.506

# C:\ # Disque fixe local # 465,75 Go (436,48 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque fixe local # 195,31 Go (195,24 Go free) [Linux] # NTFS
# F:\ # Disque amovible
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque amovible
# J:\ # Disque fixe local # 465,76 Go (36,45 Go free) [Piggy] # NTFS
# K:\ # Disque fixe local # 465,65 Go (348,92 Go free) [SAINT SEIYA] # FAT32
# L:\ # Disque fixe local # 149,04 Go (17,46 Go free) [20th Century Boy] # NTFS
# M:\ # Disque fixe local # 186,31 Go (29,71 Go free) [HP_PAVILION2] # NTFS
# N:\ # Disque amovible # 148,79 Go (92,27 Go free) [HYPERION] # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\Logitech Vid\vid.exe
C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Registre Startup |

HKCU_Main: "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
HKCU_Main: "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
HKCU_Main: "Start Page"="http://go.microsoft.com/fwlink/?LinkId=69157"
HKCU_Main: "Window Title"=""
HKLM_logon: "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
HKLM_logon: "DefaultUserName"="Administrateur"
HKLM_logon: "AltDefaultUserName"="Administrateur"
HKLM_logon: "LegalNoticeCaption"=""
HKLM_logon: "LegalNoticeText"=""
HKLM_Run: RTHDCPL=RTHDCPL.EXE
HKLM_Run: Alcmtr=ALCMTR.EXE
HKLM_Run: AVP="C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
HKLM_Run: LogitechQuickCamRibbon="C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe" /hide
HKLM_Run: QuickTime Task="C:\Program Files\QuickTime\QTTask.exe" -atboottime
HKLM_Run: iTunesHelper="C:\Program Files\iTunes\iTunesHelper.exe"
HKCU_Run: CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
HKCU_Run: Logitech Vid="C:\Program Files\Logitech\Logitech Vid\vid.exe" -bootmode
HKCU_Run: msnmsgr="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

################## | Fichiers # Dossiers infectieux |


################## | C:\Documents and Settings\Administrateur\Temporary Internet Files |


################## | All Drives ... |

L:\autorun.inf # -> fichier appelé : "L:\xdglur.bat" ( Présent ! )
Présent ! L:\0bcobed.exe
Présent ! L:\28b6ry9r.exe
Présent ! L:\ej10fkdo.bat
Présent ! L:\gyn.cmd
Présent ! L:\ij.bat
Présent ! L:\sm.exe
Présent ! L:\xdglur.bat
Présent ! L:\yhh.bat
Présent ! L:\8.bat
Présent ! L:\autorun.inf
Présent ! M:\ij.bat
Présent ! M:\8.bat
Présent ! M:\autorun.inf

################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |


################## | Etat / Services / Informations |

# Affichage des fichiers cachés : OK

# Mode sans echec : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # FindyKill V6.001 ! |

et le deuxieme, avec les autres hdd
############################## | FindyKill V6.001 |

# User : Administrateur (Administrateurs) # PC-3D5884396857
# Update on 30/06/09 by Chiquitine29 & C_XX
# Start at: 13:11:25 | 01/07/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html

# Intel(R) Core(TM)2 CPU 6400 @ 2.13GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Disabled
# AV : Kaspersky Internet Security 8.0.0.506 [ (!) Disabled | Updated ]
# FW : Kaspersky Internet Security[ (!) Disabled ]8.0.0.506

# C:\ # Disque fixe local # 465,75 Go (436,48 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque fixe local # 195,31 Go (195,24 Go free) [Linux] # NTFS
# F:\ # Disque amovible
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque amovible
# J:\ # Disque fixe local # 179,5 Go (19,98 Go free) [HP_PAVILION] # NTFS
# K:\ # Disque fixe local # 465,65 Go (348,92 Go free) [SAINT SEIYA] # FAT32
# L:\ # Disque fixe local # 149,04 Go (17,46 Go free) [20th Century Boy] # NTFS
# M:\ # Disque fixe local # 6,8 Go (837,06 Mo free) [HP_RECOVERY] # FAT32
# N:\ # Disque fixe local # 465,65 Go (333,09 Go free) [SOPRANOS] # FAT32
# O:\ # Disque amovible # 1,9 Go (8,5 Mo free) # FAT

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\Logitech Vid\vid.exe
C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Registre Startup |

HKCU_Main: "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
HKCU_Main: "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
HKCU_Main: "Start Page"="http://go.microsoft.com/fwlink/?LinkId=69157"
HKCU_Main: "Window Title"=""
HKLM_logon: "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
HKLM_logon: "DefaultUserName"="Administrateur"
HKLM_logon: "AltDefaultUserName"="Administrateur"
HKLM_logon: "LegalNoticeCaption"=""
HKLM_logon: "LegalNoticeText"=""
HKLM_Run: RTHDCPL=RTHDCPL.EXE
HKLM_Run: Alcmtr=ALCMTR.EXE
HKLM_Run: AVP="C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
HKLM_Run: LogitechQuickCamRibbon="C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe" /hide
HKLM_Run: QuickTime Task="C:\Program Files\QuickTime\QTTask.exe" -atboottime
HKLM_Run: iTunesHelper="C:\Program Files\iTunes\iTunesHelper.exe"
HKCU_Run: CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
HKCU_Run: Logitech Vid="C:\Program Files\Logitech\Logitech Vid\vid.exe" -bootmode
HKCU_Run: msnmsgr="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

################## | Fichiers # Dossiers infectieux |


################## | C:\Documents and Settings\Administrateur\Temporary Internet Files |


################## | All Drives ... |

L:\autorun.inf # -> fichier appelé : "L:\xdglur.bat" ( Présent ! )
Présent ! L:\0bcobed.exe
Présent ! L:\28b6ry9r.exe
Présent ! L:\ej10fkdo.bat
Présent ! L:\gyn.cmd
Présent ! L:\ij.bat
Présent ! L:\sm.exe
Présent ! L:\xdglur.bat
Présent ! L:\yhh.bat
Présent ! L:\8.bat
Présent ! L:\autorun.inf
Présent ! M:\autorun.inf

################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |

HKCU\...\Explorer\MountPoints2\{bae8f2b0-5be8-11de-939b-0018f301861a}\Shell\AutoRun\Command

################## | Etat / Services / Informations |

# Affichage des fichiers cachés : OK

# Mode sans echec : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # FindyKill V6.001 ! |

effectivement .... il y a encore du monde ... ^^


la suite :


1- ! Déconnecte toi d'internet, désactives ton antivirus et ferme toutes applications en cours !


Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .

# Double clique sur le raccourci FindyKill présent sur ton bureau pour lancer l'outil .

# Cette fois ci , tu choisis l' option 2 ( Suppression ) .

> Ton bureau disparaitra et le pc redémarrera ( c'est normal ).

# Au redémarrage , Findykill scannera ton pc , laisse travailler l'outil et ne touche à rien .

# Une fois terminé, poste le nouveau rapport Findykill.txt qui apparaitra avec le bureau .

( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\Findykill.txt ).

Note :
Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , Onglet "Fichier"-> "Nouvelle tâche":
tape explorer.exe et valide .



======================



2- une fois les deux rapports postés , refais un scan RSIT, poste le nouveau "log.txt" pour analyse et attends la suite ...

voilà le premier rapport de suppression:

############################## | FindyKill V6.001 |

# User : Administrateur (Administrateurs) # PC-3D5884396857
# Update on 30/06/09 by Chiquitine29 & C_XX
# Start at: 13:36:00 | 01/07/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html

# Intel(R) Core(TM)2 CPU 6400 @ 2.13GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Disabled
# AV : Kaspersky Internet Security 8.0.0.506 [ Enabled | Updated ]
# FW : Kaspersky Internet Security[ Enabled ]8.0.0.506

# C:\ # Disque fixe local # 465,75 Go (436,31 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque fixe local # 195,31 Go (195,24 Go free) [Linux] # NTFS
# F:\ # Disque amovible
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque amovible
# J:\ # Disque fixe local # 179,5 Go (179,43 Go free) [Mushroom] # NTFS
# K:\ # Disque fixe local # 465,65 Go (348,92 Go free) [SAINT SEIYA] # FAT32
# L:\ # Disque fixe local # 149,04 Go (17,46 Go free) [20th Century Boy] # NTFS
# M:\ # Disque fixe local # 6,8 Go (6,8 Go free) # FAT32
# N:\ # Disque fixe local # 465,65 Go (333,09 Go free) [SOPRANOS] # FAT32
# O:\ # Disque amovible # 148,79 Go (92,26 Go free) [HYPERION] # FAT32

############################## | Processus actifs |


################## | Fichiers # Dossiers infectieux |


################## | C:\Documents and Settings\Administrateur\Temporary Internet Files |


################## | All Drives ... |

L:\autorun.inf # -> fichier appelé : "L:\xdglur.bat" ( Présent ! )
Supprimé ! -> L:\xdglur.bat
Supprimé ! L:\0bcobed.exe
Supprimé ! L:\28b6ry9r.exe
Supprimé ! L:\ej10fkdo.bat
Supprimé ! L:\gyn.cmd
Supprimé ! L:\ij.bat
Supprimé ! L:\sm.exe
Supprimé ! L:\yhh.bat
Supprimé ! L:\8.bat
Supprimé ! L:\autorun.inf

################## | Autres ... |


################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |


################## | Listing des fichiers présent |

[16/06/2009 18:06|--a------|0] - C:\AUTOEXEC.BAT
[16/06/2009 18:00|---hs----|212] - C:\boot.ini
[14/04/2008 14:00|-rahs----|4952] - C:\Bootfont.bin
[16/06/2009 18:06|--a------|0] - C:\CONFIG.SYS
[01/07/2009 14:34|--a------|2298] - C:\FindyKill.txt
[16/06/2009 18:06|-rahs----|0] - C:\IO.SYS
[16/06/2009 18:06|-rahs----|0] - C:\MSDOS.SYS
[14/04/2008 14:00|-rahs----|47564] - C:\NTDETECT.COM
[14/04/2008 14:00|-rahs----|252240] - C:\ntldr
[||] - C:\pagefile.sys
[20/06/2009 17:13|--a------|11444] - C:\UsbFixrapport3.txt
[25/06/2009 19:09|--ahs----|5632] - K:\Thumbs.db
[22/05/2009 15:18|--a------|52485] - K:\quittance_loyer.pdf
[29/05/2009 12:58|--a------|1635840] - K:\projet GFi.doc
[29/05/2009 15:30|--ah-----|162] - K:\~$ojet GFi.doc
[||] - K:\Projet_de_questionnaire_sur_l'observatoire_du_jeu_vid‚o(2).docx
[||] - K:\Projet_de_questionnaire_sur_l'observatoire_du_jeu_vid‚o.doc
[24/02/2007 03:18|--a------|13114483] - L:\SAS-STAT_9.1_Users_Guide_Volume_1.2004.SASPublishing.chm
[06/12/2006 00:34|--ahs----|44032] - L:\Thumbs.db
[16/05/2000 23:26|---------|0] - O:\.metadata_never_index

################## | Vaccination |

# C:\autorun.inf ( # Not infected ) -> Folder created by FindyKill.
# E:\autorun.inf ( # Not infected ) -> Folder created by FindyKill.
# J:\autorun.inf ( # Not infected ) -> Folder created by FindyKill.
# K:\autorun.inf ( # Not infected ) -> Folder created by FindyKill.
# L:\autorun.inf ( # Not infected ) -> Folder created by FindyKill.
# N:\autorun.inf ( # Not infected ) -> Folder created by FindyKill.
# O:\autorun.inf ( # Not infected ) -> Folder created by FindyKill.

################## | Etat / Services / Informations |

# Mode sans echec : OK


# Affichage des fichiers cachés : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

################## | PEH ... |


################## | Cracks / Keygens / Serials |

"C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\avp.exe"
17/06/2009 13:41 |Size 206088 |Crc32 b03aae76 |Md5 b66d20e5ee3082c5d9ca008e412572d2


################## | ! Fin du rapport # FindyKill V6.001 ! |

et le deuxieme, mon pc a ramé pour obtenir ce dernier. je ne sais pas pourquoi...


############################## | FindyKill V6.001 |

# User : Administrateur (Administrateurs) # PC-3D5884396857
# Update on 30/06/09 by Chiquitine29 & C_XX
# Start at: 15:05:50 | 01/07/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html

# Intel(R) Core(TM)2 CPU 6400 @ 2.13GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : Kaspersky Internet Security 8.0.0.506 [ Enabled | Updated ]
# FW : Kaspersky Internet Security[ Enabled ]8.0.0.506

# C:\ # Disque fixe local # 465,75 Go (436,48 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque fixe local # 195,31 Go (195,24 Go free) [Linux] # NTFS
# F:\ # Disque amovible
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque amovible
# J:\ # Disque fixe local # 465,76 Go (36,45 Go free) [Piggy] # NTFS
# K:\ # Disque fixe local # 186,31 Go (29,71 Go free) [HP_PAVILION2] # NTFS
# L:\ # Disque amovible # 1,9 Go (8,5 Mo free) # FAT

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |


################## | C:\Documents and Settings\Administrateur\Temporary Internet Files |


################## | All Drives ... |

Supprimé ! K:\ij.bat
Supprimé ! K:\8.bat
Supprimé ! K:\autorun.inf

################## | Autres ... |


################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |


################## | Listing des fichiers présent |

[16/06/2009 18:06|--a------|0] - C:\AUTOEXEC.BAT
[16/06/2009 18:00|---hs----|212] - C:\boot.ini
[14/04/2008 14:00|-rahs----|4952] - C:\Bootfont.bin
[16/06/2009 18:06|--a------|0] - C:\CONFIG.SYS
[01/07/2009 20:51|--a------|2611] - C:\FindyKill.txt
[16/06/2009 18:06|-rahs----|0] - C:\IO.SYS
[16/06/2009 18:06|-rahs----|0] - C:\MSDOS.SYS
[14/04/2008 14:00|-rahs----|47564] - C:\NTDETECT.COM
[14/04/2008 14:00|-rahs----|252240] - C:\ntldr
[||] - C:\pagefile.sys
[01/07/2009 14:34|--a------|3218] - C:\UsbFix.txt
[20/06/2009 17:13|--a------|11444] - C:\UsbFixrapport3.txt

################## | Vaccination |

# C:\autorun.inf ( # Not infected ) -> Folder created by FindyKill.
# E:\autorun.inf ( # Not infected ) -> Folder created by FindyKill.
# J:\autorun.inf ( # Not infected ) -> Folder created by FindyKill.
# K:\autorun.inf ( # Not infected ) -> Folder created by FindyKill.

################## | Etat / Services / Informations |

# Mode sans echec : OK


# Affichage des fichiers cachés : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

################## | PEH ... |


################## | Cracks / Keygens / Serials |

"C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\avp.exe"
17/06/2009 13:41 |Size 206088 |Crc32 b03aae76 |Md5 b66d20e5ee3082c5d9ca008e412572d2


################## | ! Fin du rapport # FindyKill V6.001 ! |

et le rapport rsit. Est ce que je peux remettre kaspersky en fonction mtn?

Merci

Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrateur at 2009-07-01 21:35:00
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 447 GB (94%) free of 477 GB
Total RAM: 3070 MB (83% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:35:47, on 01/07/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
C:\Program Files\trend micro\Administrateur.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe" /hide
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Logitech Vid] "C:\Program Files\Logitech\Logitech Vid\vid.exe" -bootmode
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe

re,


Est ce que je peux remettre kaspersky en fonction mtn?

> oui ... ^^

tu peux déconnecter tous tes périfs externes du PC maintenant ...




la suite dans l'ordre :


1- Télécharge CCleaner :
http://www.commentcamarche.net/telecharger/telecharger 168 ccleaner
ou http://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
Lors de l'installation:
-choisis bien "français" en langue .
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.

Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm


---> Utilisation:
*Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage-
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )


=======================

2- Télécharge MalwareByte's :
ici http://www.commentcamarche.net/telecharger/telecharger 34055379 malwarebytes anti malware
ou ici : http://www.malwarebytes.org/mbam.php

* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : http://www.malekal.com/download/comctl32.ocx )

* Potasse le tuto pour te familiariser avec le prg :
http://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

! Déconnecte toi et ferme toutes applications en cours !

* Lance Malwarebyte's .

Fais un examen dit "Rapide" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date),
accompagné d'un nouveau rapport RSIT pour analyse ...

oki merci, voilà le rapport MWB

Malwarebytes' Anti-Malware 1.38
Version de la base de données: 2360
Windows 5.1.2600 Service Pack 3

02/07/2009 07:14:11
mbam-log-2009-07-02 (07-14-11).txt

Type de recherche: Examen rapide
Eléments examinés: 81707
Temps écoulé: 2 minute(s), 8 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\antiwpa.dll (Trojan.I.Stole.Windows) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\antiwpa (Trojan.I.Stole.Windows) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegedit (Hijack.Regedit) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegedit (Hijack.Regedit) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\antiwpa.dll (Trojan.I.Stole.Windows) -> Delete on reboot.

et le rapport rsit après redémarrage pour MWB

merci pour ton aide^^

Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrateur at 2009-07-02 07:19:33
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 447 GB (94%) free of 477 GB
Total RAM: 3070 MB (83% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:19:35, on 02/07/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\Logitech Vid\vid.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
C:\Program Files\trend micro\Administrateur.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe" /hide
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Logitech Vid] "C:\Program Files\Logitech\Logitech Vid\vid.exe" -bootmode
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe

Oki ...

c'est clean .... ^^


dis moi commnet va le PC ... du mieux ? ...


puis fait ceci :


1-supprime tout ce qui se trouve dans la quarantaine de Malwarebytes .

=====================

2- Télécharge gmer sur le bureau et dézippe-le (clic droit et extraire ici) :
http://www.gmer.net/gmer.zip

* Double-clique sur gmer.exe sur le bureau. Si ton antivirus réagit, ne t'inquiète pas et ignore l'alerte.
* Clique sur l'onglet "rootkit", puis clique sur scan.
* A la fin du scan, clique sur le bouton copy.
* Dans démarrer>programmes>accessoires : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note.
* poste le rapport stp ...

=====================

3- Télécharge GenProc (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) :
http://www.genproc.com/GenProc.exe

!!Déconnecte toi et ferme tes applications en cours !!


* double-clique sur GenProc.exe pour lancer le scan et laisse faire ...

* A la question "faites vous aidez sur un forum..." > clique sur " oui " .

-> poste le contenu du rapport qui s'ouvre ...


Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

IMPORTANT : poste le rapport et ne fais rien d'autre pour l'instant ( souvant il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement ) .

voilà le rapport gmer:

GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-07-02 18:13:09
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwAdjustPrivilegesToken [0xAC71C1DA]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwClose [0xAC71C7AE]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwConnectPort [0xAC71E1EA]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateFile [0xAC71DB9C]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateKey [0xAC71B950]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateSymbolicLinkObject [0xAC71FB7C]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateThread [0xAC71C5AE]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDeleteKey [0xAC71BD92]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDeleteValueKey [0xAC71BF92]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDeviceIoControlFile [0xAC71DEAC]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDuplicateObject [0xAC720084]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateKey [0xAC71C0A8]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateValueKey [0xAC71C110]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwFsControlFile [0xAC71DD5E]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwLoadDriver [0xAC71F620]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenFile [0xAC71D9F8]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenKey [0xAC71BAB2]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenProcess [0xAC71C3B2]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenSection [0xAC71FBA6]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenThread [0xAC71C2FE]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryKey [0xAC71C178]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryMultipleValueKey [0xAC71BE7C]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryValueKey [0xAC71BC5A]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueueApcThread [0xAC71F888]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwReplaceKey [0xAC71B5D2]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwRequestWaitReplyPort [0xAC71EA74]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwRestoreKey [0xAC71B734]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwResumeThread [0xAC71FF56]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSaveKey [0xAC71B3D0]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSecureConnectPort [0xAC71E08C]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetContextThread [0xAC71C6AC]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetSecurityObject [0xAC71F71A]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetSystemInformation [0xAC71FBD0]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetValueKey [0xAC71BB08]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSuspendProcess [0xAC71FCB4]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSuspendThread [0xAC71FDE0]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSystemDebugControl [0xAC71F54C]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwTerminateProcess [0xAC71C47E]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwWriteVirtualMemory [0xAC71C4F0]

Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) FsRtlCheckLockForReadAccess
Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) IoIsOperationSynchronous

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!FsRtlCheckLockForReadAccess 804EAF84 5 Bytes JMP AC733626 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)
.text ntkrnlpa.exe!IoIsOperationSynchronous 804EF912 5 Bytes JMP AC7339E0 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)
.text ntkrnlpa.exe!ZwCallbackReturn + 2C40 805044DC 4 Bytes JMP 7CAC71E1
.text ntkrnlpa.exe!ZwCallbackReturn + 2EE4 80504780 4 Bytes JMP 83D8AC71
.text ntkrnlpa.exe!ZwCallbackReturn + 2FB8 80504854 12 Bytes [B4, FC, 71, AC, E0, FD, 71, ...] {MOV AH, 0xfc; JNO 0xffffffffffffffb0; LOOPNZ 0x3; JNO 0xffffffffffffffb4; DEC ESP; CMC ; JNO 0xffffffffffffffb8}

---- User code sections - GMER 1.0.15 ----

? C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe[1752] C:\WINDOWS\system32\kernel32.dll time/date stamp mismatch;
.text C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe[1752] USER32.dll!AlignRects + FFFA5598 7E392A78 4 Bytes [70, 11, 41, 6D] {JO 0x13; INC ECX; INSD }
? C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe[1792] C:\WINDOWS\system32\kernel32.dll time/date stamp mismatch;
.text C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe[1792] USER32.dll!AlignRects + FFFA5598 7E392A78 4 Bytes [70, 11, 41, 6D] {JO 0x13; INC ECX; INSD }

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiRegisterDeviceObject] [B9908670] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\system32\DRIVERS\netbt.sys[TDI.SYS!TdiRegisterDeviceObject] [B9908670] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\system32\DRIVERS\tcpip6.sys[TDI.SYS!TdiRegisterDeviceObject] [B9908670] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\WINDOWS\Explorer.EXE[796] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [011A2F20] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\WINDOWS\Explorer.EXE[796] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [011A2C90] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\WINDOWS\Explorer.EXE[796] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [011A2CF0] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\WINDOWS\Explorer.EXE[796] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [011A2CC0] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe[1800] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [010B2F20] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe[1800] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [010B2C90] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe[1800] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [010B2CF0] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe[1800] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [010B2CC0] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\Program Files\Logitech\Logitech Vid\vid.exe[1844] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [04432F20] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\Program Files\Logitech\Logitech Vid\vid.exe[1844] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [04432C90] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\Program Files\Logitech\Logitech Vid\vid.exe[1844] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [04432CF0] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\Program Files\Logitech\Logitech Vid\vid.exe[1844] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [04432CC0] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1852] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [019D2F20] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1852] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [019D2C90] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1852] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [019D2CF0] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1852] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [019D2CC0] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Tcpip \Device\Ip kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\Tcpip \Device\Tcp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\Tcpip \Device\Udp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\Tcpip \Device\RawIp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Program Files\NAMCO BANDAI Games\Warhammer\xae Mark of Chaos\movie\BH Logo.ork 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Program Files\NAMCO BANDAI Games\Warhammer\xae Mark of Chaos\movie\CC1_scene_02.ork 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Program Files\NAMCO BANDAI Games\Warhammer\xae Mark of Chaos\movie\CC1_scene_14.ork 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Program Files\NAMCO BANDAI Games\Warhammer\xae Mark of Chaos\movie\CC1_scene_16_part1.ork 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Program Files\NAMCO BANDAI Games\Warhammer\xae Mark of Chaos\movie\CC1_scene_16_part2_khorne.ork 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Program Files\NAMCO BANDAI Games\Warhammer\xae Mark of Chaos\movie\CC1_scene_16_part2_nurgle.ork 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Program Files\NAMCO BANDAI Games\Warhammer\xae Mark of Chaos\movie\CC1_scene_16_part3_khorne.ork 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Program Files\NAMCO BANDAI Games\Warhammer\xae Mark of Chaos\movie\CC1_scene_16_part3_nurgle.ork 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Program Files\NAMCO BANDAI Games\Warhammer\xae Mark of Chaos\movie\CC2_scene_20_khorne.ork 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Program Files\NAMCO BANDAI Games\Warhammer\xae Mark of Chaos\movie\CC2_scene_20_nurgle.ork 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Program Files\NAMCO BANDAI Games\Warhammer\xae Mark of Chaos\movie\CC3_scene_02_khorne.ork 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Program Files\NAMCO BANDAI Games\Warhammer\xae Mark of Chaos\movie\CC3_scene_02_nurgle.ork 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Program Files\NAMCO BANDAI Games\Warhammer\xae Mark of Chaos\movie\CC3_scene_13_khorne.ork 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Program Files\NAMCO BANDAI Games\Warhammer\xae Mark of Chaos\movie\CC3_scene_13_nurgle.ork 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Program Files\NAMCO BANDAI Games\Warhammer\xae Mark of Chaos\movie\CC3_scene_15_khorne.ork 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Program Files\NAMCO BANDAI Games\Warhammer\xae Mark of Chaos\movie\CC3_scene_15_nurgle.ork 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Program Files\NAMCO BANDAI Games\Warhammer\xae Mark of Chaos\movie\CC4_scene_13.ork 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Program Files\NAMCO BANDAI Games\Warhammer\xae Mark of Chaos\movie\Deep Silver Logo.ork 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Program Files\NAMCO BANDAI Games\Warhammer\xae Mark of Chaos\movie\EC1_scene_02.ork 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Program Files\NAMCO BANDAI Games\Warhammer\xae Mark of Chaos\movie\EC1_scene_03.ork 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Program Files\NAMCO BANDAI Games\Warhammer\xae Mark of Chaos\movie\EC1_scene_04.ork 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Program Files\NAMCO BANDAI Games\Warhammer\xae Mark of Chaos\movie\EC1_scene_18.ork 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Program Files\NAMCO BANDAI Games\Warhammer\xae Mark of Chaos\movie\EC1_scene_20.ork 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Program Files\NAMCO BANDAI Games\Warhammer\xae Mark of Chaos\movie\EC2_scene_04.ork 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Program Files\NAMCO BANDAI Games\Warhammer\xae Mark of Chaos\movie\EC2_scene_22.ork 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Program Files\NAMCO BANDAI Games\Warhammer\xae Mark of Chaos\movie\EC3_scene_11.ork 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Program Files\NAMCO BANDAI Games\Warhammer\xae Mark of Chaos\movie\EC3_scene_21.ork 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Program Files\NAMCO BANDAI Games\Warhammer\xae Mark of Chaos\movie\EC4_scene_14.ork 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Program Files\NAMCO BANDAI Games\Warhammer\xae Mark of Chaos\movie\Intro.ork 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Program Files\NAMCO BANDAI Games\Warhammer\xae Mark of Chaos\movie\NIS01.ork 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Program Files\NAMCO BANDAI Games\Warhammer\xae Mark of Chaos\movie\Nvidia Logo.ork 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Program Files\NAMCO BANDAI Games\Warhammer\xae Mark of Chaos\movie\SoundBlaster Logo.ork 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Program Files\NAMCO BANDAI Games\Warhammer\xae Mark of Chaos\scenario\Multiplayer\Balance_of_Chaos.scn 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Program Files\NAMCO BANDAI Games\Warhammer\xae Mark of Chaos\scenario\Multiplayer\Blood_on_the_Snow.scn 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Program Files\NAMCO BANDAI Games\Warhammer\xae Mark of Chaos\scenario\Multiplayer\Castle_of_the_Gods.scn 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Program Files\NAMCO BANDAI Games\Warhammer\xae Mark of Chaos\scenario\Multiplayer\General_Conflict.scn 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Program Files\NAMCO BANDAI Games\Warhammer\xae Mark of Chaos\scenario\Multiplayer\Killing_Fields.scn 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Program Files\NAMCO BANDAI Games\Warhammer\xae Mark of Chaos\scenario\Multiplayer\Range.scn 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Program Files\NAMCO BANDAI Games\Warhammer\xae Mark of Chaos\scenario\Multiplayer\Refill_Conflict.scn 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Program Files\NAMCO BANDAI Games\Warhammer\xae Mark of Chaos\scenario\Multiplayer\Reinforcement_Conflict.scn 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Program Files\NAMCO BANDAI Games\Warhammer\xae Mark of Chaos\scenario\Multiplayer\Village_in_Squeeze.scn 1

---- Files - GMER 1.0.15 ----

File C:\WINDOWS\Temp\cch~33383a534c0.htp 8192 bytes
File C:\WINDOWS\Temp\cch~33383c65b40.htp 8192 bytes

---- EOF - GMER 1.0.15 ----

et le dernier rapport^^
encore merci!

Rapport GenProc 2.600 [3] - 02/07/2009 à 18:27:32
@ Windows XP Service Pack 3 - Mode normal
@ Mozilla Firefox (3.0.11) [Navigateur par défaut]

~~ ECHEC DU TELECHARGEMENT DE MBR.EXE ~~
~~ ECHEC DU TELECHARGEMENT D'HIJACKTHIS ~~

GenProc n'a détecté aucune infection caractéristique et suggère de suivre la procédure suivante :


# Etape 1/ Télécharge :
ToolsCleaner! http://pc-system.fr/TC/ToolsCleaner2.exe (A.Rothstein & Dj QUIOU) sur ton Bureau.

# Etape 2/
- Double-clique sur ToolsCleaner2.exe pour le lancer.
- Clique sur Recherche et laisse le scan agir.
- Clique sur Suppression pour finaliser.
- Tu peux, si tu le souhaites, te servir des Options Facultatives.
- Clique sur Quitter pour obtenir le rapport C:\TCleaner.txt
- Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

# Etape 3/
Poste un rapport Nod32 http://www.eset-nod32.fr/scanner.html (il faut utiliser Internet Explorer)
- coche toutes les cases à chaque fois, et lorsque c'est terminé, colle le rapport :
- C:\Program Files\EsetOnlineScanner\log.txt



----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
----------------------------------------------------------------------

~~ Fin à 18:27:50 ~~

Bien


fait ceci :


Télécharge ComboFix (par sUBs) sur ton Bureau (et pas ailleurs !):

http://download.bleepingcomputer.com/sUBs/ComboFix.exe


--------------------------------- [ ! ATTENTION ! ] ------------------------------------------
!! Déconnecte toi,ferme tes applications en cours ( ainsi que ton navigateur ) et DESACTIVE TOUTES TES DEFENSES (anti-virus, guarde anti spy-ware, pare-feu) le temps de la manipe :
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Note : pour XP, bien installer la Console de Récupération de Windows comme il est indiqué dans le tuto ci-dessus ...
--------------------------------------------------------------------------------------------


Ensuite :
double-clique sur l'icône "combofix.exe" pour lancer l'outil .


-- Pour XP > laisse toi guider pour faire l'installe de la console de récupération . reconnecte toi uniquement le temps de cette manipulation . une fois le console installée ,re-déconnecte toi avant de poursuivre --

Appuie sur la touche Y (Yes) pour démarrer le scan .

Notes importantes :
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un momment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

Le rapport sera crée ici : C:\Combofix.txt

Réactive bien tes défenses .


Poste le rapport Combofix accompagné d'un nouveau rapport RSIT pour analyse ...