Infecté par Windows Security Alert :/Résolu/Fermé

Question

Salut à tous,
 
Depuis ce matin, je me suis choppé le virus/spyware/jenesaisquoi qui affiche sans cesse des fenêtre d'avertissement, des demandes de scan PC et qui lance des pages web de site pas très catholique.... Bref le beau bordel. En plus, j'ai de plus en plus d'application que je n'arrive plus lancée du fait qu'elles soient bloqué par le faux antivirus ayant soi disant détecte un virus dedans... Bref c'est de pire en pire.

J'ai donc soit une info bulle "Windows Security alert" qui s'affiche, soit une fenêtre "Antivirus System Pro alert", soit une page explorer qui se lance, soit un message d'erreur "Spyware Alert"
 
J'ai évidemment chercher à solutionner ça tout seul, mais je n'y arrive pas :/ Je n'ai pas trouvé grand chose à ce sujet sur le net.... J'ai passer un scan de mon AV qui n'a rien trouver.   
 
Est-ce que quelqu'un pourrait me détailler la marche à suivre exacte avec Hijackthis, Smitfraud, etc qu'il faut apparemment utiliser ?  
Je ne m'y connais pas vraiment, j'espère que vous pourrait m'aider  :

geoffrey5 · Answer

Bonjour,

Fais un rapport hijackthis pour que je puisse vérifier les infections de ton PC stp

&#x25B6; Télécharge hijackthis

&#x25B6; Tout est expliqué sur mon site web pour l'installer et l'utiliser correctement.

&#x25B6; Poste le rapport obtenu dans le bloc note dans ta prochaine réponse.


Comment copier/coller le rapport :


&#x25B6; Quand tu as le rapport à l écran, tu fais ctrl A pour "sélectionner tout" puis ctrl C pour "copier".

&#x25B6; ensuite tu viens sur le forum pour me répondre et tu fais ctrl V pour "coller" le rapport.

SpeedraceR · Answer

Bonjour Geoffrey

J'ai téléchargé Hijackthis mais il y a déjà un soucis ^^ :/
Quand je lance le logiciel, j'ai le message d'erreur de l'antivirus (le faux) comme quoi le .exe est infecté :

"Application cannot be executed. The file hjtinstall.exe is infected. Do you want to activate your antivirus software now ? Oui / Non"

Si je répond non, rien ne se lance... J'hésite à répondre oui étant donné que je ne sais pas à quoi m'attendre vu que cette boite de dialogue vient du faux antivirus ? :/

Ça commence bien :(

geoffrey5 · Answer

Renomme Hijackthis comme expliqué ICI

SpeedraceR · Answer

Dans ton lien il est question de renommer le .exe du fichier une fois installé, mais mon soucis se situ avant, avec le hjtinstall.exe :/
J'ai bien tenté de le renommer autrement, mais apparement j'ai ce message d'erreur pour la plupart des .exe que je lance (Photoshop par exemple).

geoffrey5 · Answer

Essaye ceci :

Option 1 - Recherche en mode normal :


&#x25B6; télécharge smitfraudfix et enregistre le sur le bureau 
 
&#x25B6; Sous XP : Double clique sur smitfraudfix puis exécuter

&#x25B6; sous vista : Clic-droit sur SmitfraudFix présent sur le bureau et choisis "Exécuter en tant qu'administrateur"

&#x25B6; Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.

(attention : N utilises pas l option 2 si je ne te l ai pas demandé !!)

&#x25B6; copier/coller le rapport dans la réponse.


Voici un tutoriel sonore et animé en cas de problème d'utilisation



(Attention : "process.exe", un composant de l'outil, est détecté par certains antivirus comme étant un "RiskTool". 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité.)

SpeedraceR · Answer

Même problème, et pire encore, quand j'ai réussis à lancer quand même Smit, j'avais le message en continue avec différents .exe surement sollicités lors de la recherche...

Du coup j'ai réessayé avec HJT, et finalement en cliquant plusieurs fois sur non, j'arrive quand même à le lancer...

Du coup voici le log :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:38:15, on 22/08/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\system32\ps2.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Fichiers communs\Logitech\G-series Software\LGDCore.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\AAWTray.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\TGTSoft\StyleXP\StyleXP.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Marmot Project\TheTurtle v5.0.exe
C:\Program Files\Microsoft ActiveSync\Wcescomm.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\PROGRA~1\MI3AA1~1apimgr.exe
C:\Program Files\Fichiers communs\Logitech\KhalShared\KHALMNPR.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\yanpie\bqaxsysguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files	rend micro\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: ::1 localhost
O1 - Hosts: 91.206.201.8 osadwarekill.microsoft.com
O1 - Hosts: 91.206.201.8 osadwarekill.com
O1 - Hosts: 91.206.201.8 www.osadwarekill.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboFormoboform.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.30.0\gears.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\PROGRA~1\FlashGet\getflash.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboFormoboform.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Program Files\Fichiers communs\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [AAWTray] C:\Program Files\Lavasoft\Ad-Aware 2007\AAWTray.exe
O4 - HKLM\..\Run: [system tool] C:\Program Files\yanpie\bqaxsysguard.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [The Turtle] C:\Program Files\Marmot Project\TheTurtle v5.0.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Barre RoboForm - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: Personnaliser le menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Remplir le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.30.0\gears.dll
O9 - Extra 'Tools' menuitem: Paramètres de Google &Gears - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.30.0\gears.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate1c91658f410fa8) (gupdate1c91658f410fa8) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

geoffrey5 · Answer

&#x25B6; Télécharge OTM (de Old_Timer) sur ton Bureau 
 
&#x25B6; Double-clique sur OTM.exe pour le lancer.

&#x25B6; Assure toi que la case Unregister Dll's and Ocx's soit bien cochée. 

&#x25B6; Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTM sous "Paste instructions for item to be moved". 


:processes
explorer.exe 
bqaxsysguard.exe 

:files
C:\Program Files\yanpie\bqaxsysguard.exe     

:reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"system tool"=-

:commands
[purity]
[emptytemp]
[start explorer]
[reboot] 
 


&#x25B6; clique sur MoveIt! pour lancer la suppression. 

&#x25B6; Le résultat apparaitra dans le cadre "Results". 

&#x25B6; Clique sur Exit pour fermer. 

&#x25B6; Poste le rapport situé dans C:\_OTMoveIt\MovedFiles. 

&#x25B6; Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.


ensuite réessaye SmitfraudFix stp

SpeedraceR · Answer

Voici le rapport de OTM ;)


All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
No active process named bqaxsysguard.exe was found!
========== FILES ==========
C:\Program Files\yanpie\bqaxsysguard.exe moved successfully.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\system tool deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Compaq_Propritaire
->Temp folder emptied: 0 bytes
 
User: Compaq_Propriétaire
->Temp folder emptied: 1345880 bytes
->Temporary Internet Files folder emptied: 3079679 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 91066107 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: LocalService
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\History\History.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat scheduled to be deleted on reboot.
->Temp folder emptied: 115616 bytes
->Temporary Internet Files folder emptied: 395197 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
%systemdrive% .tmp files removed: 0 bytes
C:\WINDOWS\msdownld.tmp folder deleted successfully.
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 2841136 bytes
Windows Temp folder emptied: 920972 bytes
RecycleBin emptied: 67979 bytes
 
Total Files Cleaned = 95,27 mb
 
 
OTM by OldTimer - Version 3.0.0.6 log created on 08222009_195945

Files moved on Reboot...

Registry entries deleted on Reboot...





Je lance Smit de nouveau alors ;)

SpeedraceR · Answer

Et voici donc le rapport Smit :




SmitFraudFix v2.423

Rapport fait à 20:15:51,35, 22/08/2009
Executé à partir de C:\Documents and Settings\Compaq_Propri‚taire\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS
otepad.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\system32\ps2.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Fichiers communs\Logitech\G-series Software\LGDCore.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\AAWTray.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\TGTSoft\StyleXP\StyleXP.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Marmot Project\TheTurtle v5.0.exe
C:\Program Files\Microsoft ActiveSync\Wcescomm.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logitech\KhalShared\KHALMNPR.EXE
C:\PROGRA~1\MI3AA1~1apimgr.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Compaq_Propriétaire\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

Fichier hosts corrompu !

91.206.201.8 osadwarekill.microsoft.com

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Compaq_Propri‚taire


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\COMPAQ~1\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Compaq_Propri‚taire\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\COMPAQ~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""




»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8139/810x Family Fast Ethernet NIC - Miniport d'ordonnancement de paquets
DNS Server Search Order: 89.2.0.1
DNS Server Search Order: 89.2.0.2

HKLM\SYSTEM\CCS\Services\Tcpip\..\{C988724A-2F31-433E-BAC4-9AC94C961DF0}: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C988724A-2F31-433E-BAC4-9AC94C961DF0}: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS2\Services\Tcpip\..\{C988724A-2F31-433E-BAC4-9AC94C961DF0}: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS3\Services\Tcpip\..\{C988724A-2F31-433E-BAC4-9AC94C961DF0}: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=89.2.0.1 89.2.0.2


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin














Mais depuis le reboot je n'ai plus signe du virus ? Normal ou pas ? Résolu ou pas encore ?

geoffrey5 · Answer

Pas encore résolu...

&#x25B6; Télécharge RHosts (de SiRi)
 
&#x25B6; Double clique dessus pour l'exécuter 

&#x25B6; et cliques sur " Restore original Hosts " 

ps : c est normal que rien ne se passe 

&#x25B6; ensuire redémarre le pc 

ensuite :

Option 2 - Nettoyage en mode sans échec :


&#x25B6; Prends bien notes de ce qu'il faut faire car tu n'auras pas accès à internet en mode sans échec !!

&#x25B6; redémarre le PC en mode sans échec

&#x25B6; Relance smitfraudfix

&#x25B6; Sélectionner 2 pour supprimer les fichiers responsables de l'infection.

&#x25B6; A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.

Le fix déterminera si le fichier wininet.dll est infecté. A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.

&#x25B6; Enregistre le rapport sur ton bureau


&#x25B6; Redémarrer en mode normal et poster le rapport.

Narco!4 · Answer

bonsoir

pourquoi smitfraudfix  ?

SpeedraceR · Answer

Voila, après passage de Smit en mode sans echec, le rapport :



SmitFraudFix v2.423

Rapport fait à 20:38:12,59, 22/08/2009
Executé à partir de C:\Documents and Settings\Compaq_Propri‚taire\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{C988724A-2F31-433E-BAC4-9AC94C961DF0}: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C988724A-2F31-433E-BAC4-9AC94C961DF0}: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS2\Services\Tcpip\..\{C988724A-2F31-433E-BAC4-9AC94C961DF0}: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS3\Services\Tcpip\..\{C988724A-2F31-433E-BAC4-9AC94C961DF0}: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=89.2.0.1 89.2.0.2


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK.2



»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

geoffrey5 · Answer

Très bien, maintenant fais ceci stp :

&#x25B6; Télécharge malwarebyte's anti-malware 

&#x25B6; Un tutoriel sera à ta disposition pour l'installer et l'utiliser correctement.
 
&#x25B6; Fais la mise à jour du logiciel (elle se fait normalement à l'installation) 

&#x25B6; Lance une analyse complète en cliquant sur "Exécuter un examen complet"

&#x25B6; Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"

&#x25B6; L'analyse peut durer un bon moment.....

&#x25B6; Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"

&#x25B6; Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"

&#x25B6; Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum


* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... 
Faites le en cliquant sur "oui" à la question posée

SpeedraceR · Answer

Oké c'est parti, à tout de suite ;)

SpeedraceR · Answer

Et bien, ce fut long !

9 fichiers ont été trouvés.... voici le rapport :




Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2679
Windows 5.1.2600 Service Pack 2

23/08/2009 01:17:07
mbam-log-2009-08-23 (01-17-07).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 263440
Temps écoulé: 4 hour(s), 17 minute(s), 5 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 9

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP555\A0119386.exe (Adware.MyWeb) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP557\A0120586.dll (Malware.Packer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP557\A0120584.exe (Malware.Packer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP557\A0120585.dll (Malware.Packer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP557\A0120587.dll (Malware.Packer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP490\A0112216.exe (Trojan.PSW) -> Quarantined and deleted successfully.
C:\WINDOWS\meta4.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\_OTM\MovedFiles\08222009_195945\Program Files\yanpie\bqaxsysguard.exe (Tojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\syssvc.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.






Bonne nuit en attendant la suite des opérations ^^

Merci déjà pour toute ton aide ;)

geoffrey5 · Answer

Bonjour,

de rien  ;)

&#x25B6; Télécharge Random's System Information Tool (RSIT).

&#x25B6; Un tutoriel sera à ta disposition sur mon site web pour l'installer et l'utiliser correctement.

&#x25B6; Double clique sur RSIT.exe pour lancer l'outil.

&#x25B6; Clique sur 'Continue' à l'écran Disclaimer.

&#x25B6; Si l'outil Hijackthis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.

&#x25B6; Une fois le scan fini , 2 rapports vont apparaitre. Poste le contenu des 2 rapports.

( C:\RSIT\log.txt et C:\RSIT\info.txt )

CTRL A pour sélectionner tout, CTRL C pour copier et puis CTRL V pour coller

Comment héberger les rapports trop longs de RSIT ??

SpeedraceR · Answer

Je fais ça dès que je rentre en fin d'après midi ;)

SpeedraceR · Answer

Re,

Voici donc les rapports de RSIT :


Log :

Logfile of random's system information tool 1.06 (written by random/random)
Run by Compaq_Propriétaire at 2009-08-23 17:15:02
Microsoft Windows XP Édition familiale Service Pack 2
System drive C: has 58 GB (31%) free of 184 GB
Total RAM: 1022 MB (56% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:15:12, on 23/08/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\system32\ps2.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Fichiers communs\Logitech\G-series Software\LGDCore.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\AAWTray.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\TGTSoft\StyleXP\StyleXP.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Marmot Project\TheTurtle v5.0.exe
C:\Program Files\Microsoft ActiveSync\Wcescomm.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\PROGRA~1\MI3AA1~1apimgr.exe
C:\Program Files\Fichiers communs\Logitech\KhalShared\KHALMNPR.EXE
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Compaq_Propriétaire\Bureau\RSIT(2).exe
C:\Program Files	rend micro\Compaq_Propriétaire.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboFormoboform.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.30.0\gears.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\PROGRA~1\FlashGet\getflash.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboFormoboform.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Program Files\Fichiers communs\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [AAWTray] C:\Program Files\Lavasoft\Ad-Aware 2007\AAWTray.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [The Turtle] C:\Program Files\Marmot Project\TheTurtle v5.0.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Barre RoboForm - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: Personnaliser le menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Remplir le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.30.0\gears.dll
O9 - Extra 'Tools' menuitem: Paramètres de Google &Gears - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.30.0\gears.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate1c91658f410fa8) (gupdate1c91658f410fa8) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

geoffrey5 · Answer

Y a encore pas mal d'infections...

&#x25B6; Télécharge mbr.exe de Gmer sur le Bureau : http://www2.gmer.net/mbr/mbr.exe

&#x25B6; Désactive toutes tes protections et coupe la connexion.

&#x25B6; Double clique sur mbr.exe et laisse l'outil travailler : un rapport nommé mbr.log sera généré

&#x25B6; Poste son rapport dans ta prochaine réponse stp

SpeedraceR · Answer

Infections dues à ce virus, ou bien est-ce d'autres que je n'avais pas remarqué ? :/

A tout de suite ;)

SpeedraceR · Answer

Ca a été très rapide... normal ?


Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

geoffrey5 · Answer

D'autres infections que tu ne peux voir...

&#x25B6; Telecharge UsbFix de C_XX & Chiquitine29

&#x25B6; tutoriel d'installation

&#x25B6; tutoriel recherche

&#x25B6; Lance l installation avec les parametres par default

&#x25B6; Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

&#x25B6; Double clic sur le raccourci UsbFix sur ton bureau

&#x25B6; Choisi l'option 1 (recherche)

&#x25B6; Laisse travailler l'outil

&#x25B6; Ensuite post le rapport UsbFix.txt qui apparaîtra

* Note : le rapport UsbFix.txt est sauvegardé a la racine du disque

* Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides 

* Note : "SniffC.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
          Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
          Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

SpeedraceR · Answer

Je l'ai fait, mais j'ai d'autres clé usb et carte SD, j'en refais donc une seconde recherche ?

Voici déja le premier log :



############################## | UsbFix V6.021 |

User : Compaq_Propriétaire (Administrateurs) # FIXE-COMPAQ
Update on 22/08/09 by Chiquitine29
Start at: 20:14:09 | 23/08/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

AMD Athlon(tm) 64 Processor 3200+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : ESET NOD32 Antivirus 3.0 3.0 [ (!) Disabled | Updated ]

C:\ -> Disque fixe local # 179,33 Go (56,37 Go free) [PRESARIO] # NTFS
D:\ -> Disque fixe local # 6,96 Go (3,54 Go free) [PRESARIO_RP] # FAT32
E:\ -> Disque CD-ROM
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible # 999,62 Mo (999,59 Mo free) # FAT
I:\ -> Disque amovible
J:\ -> Disque CD-ROM
K:\ -> Disque CD-ROM
L:\ -> Disque CD-ROM
M:\ -> Disque amovible # 3,73 Go (2,92 Go free) [UDISK 2.0] # FAT32
N:\ -> Disque amovible # 971,12 Mo (757,23 Mo free) # FAT

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\system32\ps2.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Fichiers communs\Logitech\G-series Software\LGDCore.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\TGTSoft\StyleXP\StyleXP.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Marmot Project\TheTurtle v5.0.exe
C:\Program Files\Microsoft ActiveSync\Wcescomm.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Program Files\Fichiers communs\Logitech\KhalShared\KHALMNPR.EXE
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

Présent ! C:\Documents and Settings\Compaq_Propri‚taire\RavMonLog  
Présent ! C:\WINDOWS\system32\autorun.inf  
Présent ! D:\autorun.inf  
Présent ! M:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665  
Présent ! M:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx  

################## | Suspect ! ... | https://www.virustotal.com/gui/ |


################## | Registre # Clés Run infectieuses |

Présent ! HKLM\software\microsoft\security center "AntiVirusOverride" ( 0x1 )  
Présent ! HKLM\software\microsoft\security center "FirewallOverride" ( 0x1 )  

################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\M
Shell\AutoRun\command =M:\LaunchU3.exe -a

HKCU\..\..\Explorer\MountPoints2\{0f56a036-7a31-11dc-9116-001109146344}
Shell\Auto\command =F:\sxs.exe 
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL sxs.exe

HKCU\..\..\Explorer\MountPoints2\{5dc5d19e-d993-11dc-916a-001109146344}
Shell\Auto\command =L:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{7d950638-9dad-11dc-913d-001109146344}
Shell\AutoRun\command =L:\LaunchU3.exe -a

HKCU\..\..\Explorer\MountPoints2\{7d950639-9dad-11dc-913d-001109146344}
Shell\Auto\command =M:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

################## | Cracks / Keygens / Serials |

"C:\Documents and Settings\Compaq_Propri‚taire\Bureau\Games\TOEIC - Training Tests\TOEIC Mastery - Tests d'entrainement au TOEIC\CRACK\TCM.exe"  
13/02/2004 03:41 |Size : 1614336 |Crc32 : 4e842a30 |Md5 : c82484cdba2465a3f0badd4450320eab  
 
"C:\Documents and Settings\Compaq_Propri‚taire\Bureau\Tools\Style XP 3.19 - For Men\Keygen.exe"  
24/09/2007 15:15 |Size : 104448 |Crc32 : 12db3546 |Md5 : ebc1833f789be1783ff59629247aaaf2  
 

################## | ! Fin du rapport # UsbFix V6.021 ! |

geoffrey5 · Answer

Oui tu referas une recherche avec l'option 1 en mettant tes autres supports amovibles après avoir fait ceci :

&#x25B6; tutoriel nettoyage

&#x25B6; Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

&#x25B6; Double clic sur le raccourci UsbFix présent sur ton bureau

&#x25B6; choisi l'option 2 ( Suppression )

&#x25B6; Ton bureau disparaîtra et le pc redémarrera .

&#x25B6; Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

&#x25B6; Ensuite post le rapport UsbFix.txt qui apparaîtra avec le bureau .

&#x25B6; Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

&#x25B6; /!\ UsbFix te proposera d'uploader un dossier compressé à cette adresse : https://www.androidworld.fr/

&#x25B6; Ce dossier a été créé par UsbFix et est enregistré sur ton bureau.

&#x25B6; Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.

&#x25B6; Merci d'avance pour ta contribution !!

SpeedraceR · Answer

&#9654; Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil. 


Au redémarrage du PC (dès le tout début) ou au lancement de ma session ?

Parce que là le PC est bloqué (?) sur l'écran de démarrage "Compaq" et rien ne se passe.... (j'écris depuis mon pc portable). C'est normal ??

geoffrey5 · Answer

Non ce n'est pas normal... Attends un peu, peut-être qu'il va se lancer.

SpeedraceR · Answer

Bon j'ai redémarré manuellement.... 

USBFix s'est bien lancé ensuite, voici le log :



############################## | UsbFix V6.021 |

User : Compaq_Propriétaire (Administrateurs) # FIXE-COMPAQ
Update on 22/08/09 by Chiquitine29
Start at: 20:58:35 | 23/08/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

AMD Athlon(tm) 64 Processor 3200+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : ESET NOD32 Antivirus 3.0 3.0 [ Enabled | Updated ]

C:\ -> Disque fixe local # 179,33 Go (56,31 Go free) [PRESARIO] # NTFS
D:\ -> Disque fixe local # 6,96 Go (3,54 Go free) [PRESARIO_RP] # FAT32
E:\ -> Disque CD-ROM
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque CD-ROM
K:\ -> Disque CD-ROM
L:\ -> Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe

################## | Fichiers # Dossiers infectieux |

Supprimé ! C:\Documents and Settings\Compaq_Propri‚taire\RavMonLog 
Supprimé ! C:\WINDOWS\system32\autorun.inf 
Supprimé ! D:\autorun.inf 

################## | Autres |


################## | Suspect ! ... | https://www.virustotal.com/gui/ |


################## | Registre # Clés Run infectieuses |

# HKLM\software\microsoft\security center "AntiVirusOverride" # -> Reset sucessfully !  
# HKLM\software\microsoft\security center "FirewallOverride" # -> Reset sucessfully !  

################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\M\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{0f56a036-7a31-11dc-9116-001109146344}\Shell\Auto\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{5dc5d19e-d993-11dc-916a-001109146344}\Shell\Auto\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{7d950638-9dad-11dc-913d-001109146344}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{7d950639-9dad-11dc-913d-001109146344}\Shell\Auto\Command  

################## | Listing des fichiers présent |

[16/01/2008 21:02|-r-hs----|5] -> C:\AgId.cjr 
[23/09/2007 15:30|-rahs----|218] -> C:\BOOT.BAK 
[23/09/2007 16:00|-rahs----|298] -> C:\BOOT.BKK 
[19/10/2007 22:50|-rahs----|296] -> C:\boot.ini 
[05/08/2004 14:00|-rahs----|4952] -> C:\Bootfont.bin 
[22/08/2009 16:06|--a------|977] -> C:\cleannavi.txt 
[05/08/2004 14:00|-r-hs----|263488] -> C:\cmldr 
[06/06/2008 15:19|--a------|74] -> C:\CMLoader.log 
[23/11/2004 23:21|-rahs----|0] -> C:\IO.SYS 
[23/11/2004 23:21|-rahs----|0] -> C:\MSDOS.SYS 
[05/08/2004 14:00|-rahs----|47564] -> C:\NTDETECT.COM 
[08/09/2008 13:28|-rahs----|251712] -> C:
tldr 
[?|?|?] -> C:\pagefile.sys 
[22/08/2009 20:44|--a------|2335] -> C:apport.txt 
[12/07/2008 10:19|--ah-----|268] -> C:\sqmdata00.sqm 
[14/07/2008 11:51|--ah-----|268] -> C:\sqmdata01.sqm 
[05/08/2008 14:26|--ah-----|268] -> C:\sqmdata02.sqm 
[05/08/2008 14:33|--ah-----|172] -> C:\sqmdata03.sqm 
[12/08/2008 22:31|--ah-----|268] -> C:\sqmdata04.sqm 
[13/09/2008 00:47|--ah-----|268] -> C:\sqmdata05.sqm 
[14/09/2008 20:06|--ah-----|268] -> C:\sqmdata06.sqm 
[15/09/2008 15:32|--ah-----|172] -> C:\sqmdata07.sqm 
[02/11/2008 11:54|--ah-----|268] -> C:\sqmdata08.sqm 
[04/05/2009 20:20|--ah-----|232] -> C:\sqmdata09.sqm 
[06/05/2009 08:41|--ah-----|268] -> C:\sqmdata10.sqm 
[12/07/2008 10:19|--ah-----|244] -> C:\sqmnoopt00.sqm 
[14/07/2008 11:51|--ah-----|244] -> C:\sqmnoopt01.sqm 
[05/08/2008 14:26|--ah-----|244] -> C:\sqmnoopt02.sqm 
[05/08/2008 14:33|--ah-----|172] -> C:\sqmnoopt03.sqm 
[12/08/2008 22:31|--ah-----|244] -> C:\sqmnoopt04.sqm 
[13/09/2008 00:47|--ah-----|244] -> C:\sqmnoopt05.sqm 
[14/09/2008 20:06|--ah-----|244] -> C:\sqmnoopt06.sqm 
[15/09/2008 15:32|--ah-----|172] -> C:\sqmnoopt07.sqm 
[02/11/2008 11:54|--ah-----|244] -> C:\sqmnoopt08.sqm 
[04/05/2009 20:20|--ah-----|244] -> C:\sqmnoopt09.sqm 
[06/05/2009 08:41|--ah-----|244] -> C:\sqmnoopt10.sqm 
[13/08/2008 13:21|--a------|45] -> C:\TEST.XML 
[25/05/2009 07:50|--a------|594] -> C:\updatedatfix.log 
[23/08/2009 21:01|--a------|5180] -> C:\UsbFix.txt 
[28/07/2001 07:07|---hs----|0] -> D:\AUTOEXEC.BAT 
[16/09/2004 16:27|---hs----|6] -> D:\BLOCK.RIN 
[09/01/2002 20:52|---hs----|244] -> D:\BOOT.INI 
[17/08/2001 10:26|---hs----|237728] -> D:\CMLDR 
[28/07/2001 07:07|---hs----|0] -> D:\CONFIG.SYS 
[10/09/2002 00:14|---hs----|100] -> D:\Desktop.ini 
[10/09/2002 18:21|---hs----|7850] -> D:\Folder.htt 
[30/04/2001 21:16|---hs----|14] -> D:\Graph 
[25/01/2002 19:21|---hs----|0] -> D:\GRAPH16 
[30/11/2004 13:01|---hs----|73728] -> D:\Info.exe 
[28/07/2001 07:07|---hs----|0] -> D:\IO.SYS 
[02/12/2007 13:10|---hs----|948] -> D:\MASTER.LOG 
[28/07/2001 07:07|---hs----|0] -> D:\MSDOS.SYS 
[25/07/2001 23:00|---hs----|45124] -> D:\NTDETECT.COM 
[17/08/2001 16:32|---hs----|0] -> D:\NTFS 
[25/07/2001 23:00|---hs----|222880] -> D:\NTLDR 
[03/03/2003 15:46|---hs----|111377] -> D:\protect.ed 
[23/11/2004 17:39|---hs----|36] -> D:\SaveFile.Dir 
[30/04/2001 21:16|---hs----|14] -> D:\SVGA 
[01/01/2005 15:53|--ahs----|942] -> D:\USER 
[03/03/2003 14:41|---hs----|88038] -> D:\Warning.bmp 
[18/08/2001 16:00|---hs----|10] -> D:\WIN51 
[22/01/2001 16:00|---hs----|11] -> D:\WIN51.B2 
[25/07/2001 16:00|---hs----|11] -> D:\WIN51.RC1 
[25/07/2001 21:47|---hs----|11] -> D:\WIN51.RC2 
[18/08/2001 16:00|---hs----|10] -> D:\WIN51IC 
[20/03/2001 16:00|---hs----|11] -> D:\WIN51IC.B2 
[25/07/2001 16:00|---hs----|11] -> D:\WIN51IC.RC1 
[25/07/2001 16:00|---hs----|11] -> D:\WIN51IC.RC2 
[17/08/2001 16:00|---hs----|10] -> D:\WIN51IP 
[22/01/2001 16:00|---hs----|11] -> D:\WIN51IP.B2 
[25/07/2001 21:47|---hs----|11] -> D:\WIN51IP.RC2 
[17/08/2001 14:17|---hs----|184] -> D:\WINBOM.INI 
[24/02/2004 18:38|--a------|498] -> D:\BATCH.OLD 
[01/01/2005 01:10|--ahs----|1552] -> D:\BATCH.LOG 
[02/12/2007 13:10|-r-hs----|26] -> D:\RCBoot.sys 
[02/12/2007 13:39|--ahs----|22] -> D:\HPCD.sys 
[01/02/2005 15:49|---hs----|535] -> D:\install.bat 
[01/03/2005 17:44|---hs----|7] -> D:\Softthinks_MLSP_ALL_RED_WW-01.block 
[01/03/2005 17:44|---hs----|2210] -> D:\Softthinks_MLSP_ALL_RED_WW.txt 

################## | Cracks / Keygens / Serials |

"C:\Documents and Settings\Compaq_Propri‚taire\Bureau\Games\TOEIC - Training Tests\TOEIC Mastery - Tests d'entrainement au TOEIC\CRACK\TCM.exe"  
13/02/2004 03:41 |Size : 1614336 |Crc32 : 4e842a30 |Md5 : c82484cdba2465a3f0badd4450320eab  
 
"C:\Documents and Settings\Compaq_Propri‚taire\Bureau\Tools\Style XP 3.19 - For Men\Keygen.exe"  
24/09/2007 15:15 |Size : 104448 |Crc32 : 12db3546 |Md5 : ebc1833f789be1783ff59629247aaaf2  
 

################## | Upload | 

Veuillez envoyer le fichier : C:\DOCUME~1\COMPAQ~1\Bureau\UsbFix_Upload_Me_FIXE-COMPAQ.zip : https://www.androidworld.fr/ 
Merci pour votre contribution . 

################## | ! Fin du rapport # UsbFix V6.021 ! |

geoffrey5 · Answer

Ok... Pourrais-tu uploader (envoyer) le dossier compressé qui a été créé sur ton bureau à l'adresse indiquée stp ??

Maintenant fais une recherche avec l'option 1 en mettant tes autres supports amovibles

SpeedraceR · Answer

Fichier uploadé et 2e recherche faite :


############################## | UsbFix V6.021 |

User : Compaq_Propriétaire (Administrateurs) # FIXE-COMPAQ
Update on 22/08/09 by Chiquitine29
Start at: 21:18:11 | 23/08/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

AMD Athlon(tm) 64 Processor 3200+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : ESET NOD32 Antivirus 3.0 3.0 [ Enabled | Updated ]

C:\ -> Disque fixe local # 179,33 Go (56,42 Go free) [PRESARIO] # NTFS
D:\ -> Disque fixe local # 6,96 Go (3,54 Go free) [PRESARIO_RP] # FAT32
E:\ -> Disque CD-ROM
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible # 999,61 Mo (999,58 Mo free) # FAT
I:\ -> Disque amovible
J:\ -> Disque CD-ROM
K:\ -> Disque CD-ROM
L:\ -> Disque CD-ROM
M:\ -> Disque amovible # 1,86 Go (1,84 Go free) # FAT32
N:\ -> Disque CD-ROM # 6,67 Mo (0 Mo free) [U3 System] # CDFS
O:\ -> Disque amovible # 14,92 Go (9,92 Go free) # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32
otepad.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

Présent ! N:\autorun.inf  

################## | Suspect ! ... | https://www.virustotal.com/gui/ |


################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{80bc1d66-7d31-11de-a6c2-001109146344}
Shell\AutoRun\command =N:\LaunchU3.exe -a

################## | Cracks / Keygens / Serials |

"C:\Documents and Settings\Compaq_Propri‚taire\Bureau\Games\TOEIC - Training Tests\TOEIC Mastery - Tests d'entrainement au TOEIC\CRACK\TCM.exe"  
13/02/2004 03:41 |Size : 1614336 |Crc32 : 4e842a30 |Md5 : c82484cdba2465a3f0badd4450320eab  
 
"C:\Documents and Settings\Compaq_Propri‚taire\Bureau\Tools\Style XP 3.19 - For Men\Keygen.exe"  
24/09/2007 15:15 |Size : 104448 |Crc32 : 12db3546 |Md5 : ebc1833f789be1783ff59629247aaaf2  
 

################## | ! Fin du rapport # UsbFix V6.021 ! |

geoffrey5 · Answer

Ok maintenant fais l'option 2 comme la première fois.

Ensuite fais ceci pour vacciner tes clés (tu peux le faire en deux fois aussi) :

&#x25B6; Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir

&#x25B6; Double clique sur le raccourci UsbFix présent sur ton bureau .

&#x25B6; Choisis l'option 3 ( Vaccination )

&#x25B6; Laisse travailler l'outil.

&#x25B6; Ensuite poste le rapport UsbFix.txt qui apparaîtra.

 * Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

SpeedraceR · Answer

Rapport de l'option 2 :


############################## | UsbFix V6.021 |

User : Compaq_Propriétaire (Administrateurs) # FIXE-COMPAQ
Update on 22/08/09 by Chiquitine29
Start at: 21:28:15 | 23/08/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

AMD Athlon(tm) 64 Processor 3200+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : ESET NOD32 Antivirus 3.0 3.0 [ (!) Disabled | Updated ]

C:\ -> Disque fixe local # 179,33 Go (56,42 Go free) [PRESARIO] # NTFS
D:\ -> Disque fixe local # 6,96 Go (3,54 Go free) [PRESARIO_RP] # FAT32
E:\ -> Disque CD-ROM
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible # 999,61 Mo (999,58 Mo free) # FAT
I:\ -> Disque amovible
J:\ -> Disque CD-ROM
K:\ -> Disque CD-ROM
L:\ -> Disque CD-ROM
M:\ -> Disque amovible # 1,86 Go (1,84 Go free) # FAT32
N:\ -> Disque CD-ROM # 6,67 Mo (0 Mo free) [U3 System] # CDFS
O:\ -> Disque amovible # 14,92 Go (9,92 Go free) # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ati2sgag.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\sfrem01.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

Non supprimé ! N:\autorun.inf 

################## | Autres |


################## | Suspect ! ... | https://www.virustotal.com/gui/ |


################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |


################## | Listing des fichiers présent |

[16/01/2008 21:02|-r-hs----|5] -> C:\AgId.cjr 
[23/09/2007 15:30|-rahs----|218] -> C:\BOOT.BAK 
[23/09/2007 16:00|-rahs----|298] -> C:\BOOT.BKK 
[19/10/2007 22:50|-rahs----|296] -> C:\boot.ini 
[05/08/2004 14:00|-rahs----|4952] -> C:\Bootfont.bin 
[22/08/2009 16:06|--a------|977] -> C:\cleannavi.txt 
[05/08/2004 14:00|-r-hs----|263488] -> C:\cmldr 
[06/06/2008 15:19|--a------|74] -> C:\CMLoader.log 
[23/11/2004 23:21|-rahs----|0] -> C:\IO.SYS 
[23/11/2004 23:21|-rahs----|0] -> C:\MSDOS.SYS 
[05/08/2004 14:00|-rahs----|47564] -> C:\NTDETECT.COM 
[08/09/2008 13:28|-rahs----|251712] -> C:
tldr 
[?|?|?] -> C:\pagefile.sys 
[22/08/2009 20:44|--a------|2335] -> C:apport.txt 
[12/07/2008 10:19|--ah-----|268] -> C:\sqmdata00.sqm 
[14/07/2008 11:51|--ah-----|268] -> C:\sqmdata01.sqm 
[05/08/2008 14:26|--ah-----|268] -> C:\sqmdata02.sqm 
[05/08/2008 14:33|--ah-----|172] -> C:\sqmdata03.sqm 
[12/08/2008 22:31|--ah-----|268] -> C:\sqmdata04.sqm 
[13/09/2008 00:47|--ah-----|268] -> C:\sqmdata05.sqm 
[14/09/2008 20:06|--ah-----|268] -> C:\sqmdata06.sqm 
[15/09/2008 15:32|--ah-----|172] -> C:\sqmdata07.sqm 
[02/11/2008 11:54|--ah-----|268] -> C:\sqmdata08.sqm 
[04/05/2009 20:20|--ah-----|232] -> C:\sqmdata09.sqm 
[06/05/2009 08:41|--ah-----|268] -> C:\sqmdata10.sqm 
[12/07/2008 10:19|--ah-----|244] -> C:\sqmnoopt00.sqm 
[14/07/2008 11:51|--ah-----|244] -> C:\sqmnoopt01.sqm 
[05/08/2008 14:26|--ah-----|244] -> C:\sqmnoopt02.sqm 
[05/08/2008 14:33|--ah-----|172] -> C:\sqmnoopt03.sqm 
[12/08/2008 22:31|--ah-----|244] -> C:\sqmnoopt04.sqm 
[13/09/2008 00:47|--ah-----|244] -> C:\sqmnoopt05.sqm 
[14/09/2008 20:06|--ah-----|244] -> C:\sqmnoopt06.sqm 
[15/09/2008 15:32|--ah-----|172] -> C:\sqmnoopt07.sqm 
[02/11/2008 11:54|--ah-----|244] -> C:\sqmnoopt08.sqm 
[04/05/2009 20:20|--ah-----|244] -> C:\sqmnoopt09.sqm 
[06/05/2009 08:41|--ah-----|244] -> C:\sqmnoopt10.sqm 
[13/08/2008 13:21|--a------|45] -> C:\TEST.XML 
[25/05/2009 07:50|--a------|594] -> C:\updatedatfix.log 
[23/08/2009 21:31|--a------|4642] -> C:\UsbFix.txt 
[28/07/2001 07:07|---hs----|0] -> D:\AUTOEXEC.BAT 
[16/09/2004 16:27|---hs----|6] -> D:\BLOCK.RIN 
[09/01/2002 20:52|---hs----|244] -> D:\BOOT.INI 
[17/08/2001 10:26|---hs----|237728] -> D:\CMLDR 
[28/07/2001 07:07|---hs----|0] -> D:\CONFIG.SYS 
[10/09/2002 00:14|---hs----|100] -> D:\Desktop.ini 
[10/09/2002 18:21|---hs----|7850] -> D:\Folder.htt 
[30/04/2001 21:16|---hs----|14] -> D:\Graph 
[25/01/2002 19:21|---hs----|0] -> D:\GRAPH16 
[30/11/2004 13:01|---hs----|73728] -> D:\Info.exe 
[28/07/2001 07:07|---hs----|0] -> D:\IO.SYS 
[02/12/2007 13:10|---hs----|948] -> D:\MASTER.LOG 
[28/07/2001 07:07|---hs----|0] -> D:\MSDOS.SYS 
[25/07/2001 23:00|---hs----|45124] -> D:\NTDETECT.COM 
[17/08/2001 16:32|---hs----|0] -> D:\NTFS 
[25/07/2001 23:00|---hs----|222880] -> D:\NTLDR 
[03/03/2003 15:46|---hs----|111377] -> D:\protect.ed 
[23/11/2004 17:39|---hs----|36] -> D:\SaveFile.Dir 
[30/04/2001 21:16|---hs----|14] -> D:\SVGA 
[01/01/2005 15:53|--ahs----|942] -> D:\USER 
[03/03/2003 14:41|---hs----|88038] -> D:\Warning.bmp 
[18/08/2001 16:00|---hs----|10] -> D:\WIN51 
[22/01/2001 16:00|---hs----|11] -> D:\WIN51.B2 
[25/07/2001 16:00|---hs----|11] -> D:\WIN51.RC1 
[25/07/2001 21:47|---hs----|11] -> D:\WIN51.RC2 
[18/08/2001 16:00|---hs----|10] -> D:\WIN51IC 
[20/03/2001 16:00|---hs----|11] -> D:\WIN51IC.B2 
[25/07/2001 16:00|---hs----|11] -> D:\WIN51IC.RC1 
[25/07/2001 16:00|---hs----|11] -> D:\WIN51IC.RC2 
[17/08/2001 16:00|---hs----|10] -> D:\WIN51IP 
[22/01/2001 16:00|---hs----|11] -> D:\WIN51IP.B2 
[25/07/2001 21:47|---hs----|11] -> D:\WIN51IP.RC2 
[17/08/2001 14:17|---hs----|184] -> D:\WINBOM.INI 
[24/02/2004 18:38|--a------|498] -> D:\BATCH.OLD 
[01/01/2005 01:10|--ahs----|1552] -> D:\BATCH.LOG 
[02/12/2007 13:10|-r-hs----|26] -> D:\RCBoot.sys 
[02/12/2007 13:39|--ahs----|22] -> D:\HPCD.sys 
[01/02/2005 15:49|---hs----|535] -> D:\install.bat 
[01/03/2005 17:44|---hs----|7] -> D:\Softthinks_MLSP_ALL_RED_WW-01.block 
[01/03/2005 17:44|---hs----|2210] -> D:\Softthinks_MLSP_ALL_RED_WW.txt 
[31/10/2008 11:17|---hs----|1818624] -> M:\ehthumbs_vista.db 
[06/05/2008 14:26|-r-------|309] -> N:\autorun.inf 
[23/10/2007 09:45|-r-------|1336632] -> N:\LaunchU3.exe 
[06/05/2008 14:11|-r-------|5600229] -> N:\LaunchPad.zip 
[23/10/2007 10:45|-ra------|1336632] -> O:\LaunchU3.exe 
[06/09/2008 22:38|--a------|14017] -> O:\article.php3 
[18/03/2009 16:39|--a------|1136221] -> O:\Chemin d'autonne imprim‚.jpg 
[22/10/2008 10:53|--a------|885911] -> O:\Cath‚drale imprim‚.JPG 
[19/03/2009 11:27|--a------|374597] -> O:\chiens de prairie imprim‚.JPG 
[21/04/2009 10:35|--a------|441464832] -> O:\Waterloo, Le Destin De Napoleon (Les Grandes Batailles De L'histoire - Planete - 15.10.2007) French Satrip Divx 5.avi 
[26/05/2009 11:57|--a------|2537055] -> O:\DSC_01276 a imprimer.jpg 
[19/02/2009 17:58|--a------|65530390] -> O:\Adobe Lightroom 2.0 + Serials.zip 
[12/05/2009 11:12|--a------|40494] -> O:\arton137.jpg 
[17/05/2009 00:17|--a------|48881] -> O:\avatar-12-96a661.jpg 
[20/05/2009 22:37|--a------|74346] -> O:\balalspano.jpg 
[11/05/2009 21:29|--a------|148250] -> O:\Bild255.jpg 
[18/05/2009 23:18|--a------|83084] -> O:\blog-bonaparte-lieutenant-dartillerie.jpg 
[18/05/2009 23:18|--a------|83084] -> O:\blog-bonaparte-lieutenant-dartillerie11.jpg 
[06/05/2009 17:02|--a------|2883348] -> O:\Canards colvert - Anas platyrhynchos 2.jpg 
[04/05/2009 23:50|--a------|3182800] -> O:\Canards colvert - Anas platyrhynchos - Copie.JPG 
[04/05/2009 23:50|--a------|3182800] -> O:\Canards colvert - Anas platyrhynchos - Copie (2).JPG 
[04/05/2009 23:50|--a------|3182800] -> O:\Canards colvert - Anas platyrhynchos (2).JPG 
[04/05/2009 23:50|--a------|3182800] -> O:\Canards colvert - Anas platyrhynchos (3).JPG 
[10/05/2009 18:17|--a------|40646] -> O:\carte_de_France_sans_l_Alsace_et_la_Lorraine.jpg 
[11/05/2009 23:48|--a------|44309] -> O:\cathedrale-metz.JPG 
[11/05/2009 22:02|--a------|31356] -> O:\Charles.jpg 
[11/05/2009 23:37|--a------|605263] -> O:\Chemin d'autonne.JPG 
[13/05/2009 23:49|--a------|240016] -> O:\de_028.jpg 
[09/05/2009 23:12|--a------|88379] -> O:\DSC04174.gif 
[11/05/2009 23:58|--a------|326752] -> O:\DSC_0005.JPG 
[26/05/2009 10:51|--a------|2567790] -> O:\DSC_0127.JPG 
[06/05/2009 16:54|--a------|2657191] -> O:\DSC_0359.JPG 
[24/04/2009 22:19|--a------|750565] -> O:\DSC_0400.JPG 
[24/04/2009 22:02|--a------|2663175] -> O:\DSC_0407.JPG 
[26/05/2009 11:57|--a------|2537055] -> O:\DSC_01276 final.jpg 
[26/05/2009 11:11|--a------|3362758] -> O:\DSC_01276.jpg 
[06/05/2009 17:02|--a------|1073804] -> O:\DSC_03592 (2).jpg 
[06/05/2009 16:59|--a------|1090775] -> O:\DSC_03592.jpg 
[09/05/2009 23:12|--a------|92196] -> O:\EULMONT.gif 
[10/05/2009 17:29|--a------|9934] -> O:\histinsolite2.gif 
[21/05/2009 20:41|--a------|802752] -> O:\IM000274.JPG 
[25/05/2009 21:32|--a------|2347070] -> O:\IM00027458.jpg 
[26/05/2009 22:48|--a------|310775] -> O:\img65313.jpg 
[26/05/2009 22:48|--a------|310775] -> O:\img653134.jpg 
[20/05/2009 22:50|--a------|22649] -> O:\Lorraine.jpg 
[11/05/2009 23:16|--a------|85649] -> O:\LUP_3_459_1.jpg 
[11/05/2009 17:15|--a------|65025] -> O:\meuse_news08.jpg 
[21/05/2009 21:16|--a------|362] -> O:\Music - Raccourci.lnk 
[17/04/2009 18:53|--a------|2122443] -> O:\photo imprim‚.jpg 
[25/05/2009 21:07|--a------|840] -> O:\PhotoFiltre.lnk 
[20/05/2009 23:32|--a------|42] -> O:\pix.gif 
[20/05/2009 23:40|--a------|42] -> O:\pix (1).gif 
[11/05/2009 23:07|--a------|43092] -> O:\poipontStMarceljardinsamour.bro.jpg 
[25/05/2009 22:50|--a------|175474] -> O:ob03_bettanier_001f.jpg 
[20/05/2009 23:35|--a------|12538] -> O:ob03_bettanier_001i.jpg 
[25/05/2009 23:00|--a------|41437] -> O:ob03_bettanier_001z666666.jpg 
[20/05/2009 23:37|--a------|41437] -> O:ob03_bettanier_001zll.jpg 
[02/06/2009 20:28|--a------|14900] -> O:\smileylien.jpg 
[02/06/2009 20:30|--a------|4000054] -> O:\untitled.bmp 
[16/05/2009 23:29|--a------|50726] -> O:\upcn6gpn.jpg 
[12/05/2009 00:50|--a------|25689] -> O:\UsineJoeuf044.jpg 
[10/05/2009 17:32|--a------|120097] -> O:\verdun.jpg 
[20/05/2009 22:59|--a------|6790] -> O:\village-de-Vaudemont-s.jpg 
[20/05/2009 23:01|--a------|57599] -> O:\Village-typique-lorrain.jpg 
[20/05/2009 23:02|--a------|4876] -> O:\Village-typique-lorrain-sN.jpg 
[06/05/2009 17:21|--a------|138623] -> O:\ZOO_d_Amn_ville_101 (2).JPG 
[13/05/2009 17:31|--a------|140399] -> O:\ZOO_d_Amn_ville_101 (3).JPG 
[13/05/2009 17:30|--a------|134686] -> O:\ZOO_d_Amn_ville_101.JPG 
[06/05/2009 17:22|--a------|150227] -> O:\ZOO_d_Amn_ville_1011.jpg 
[06/05/2009 17:26|--a------|150740] -> O:\ZOO_d_Amn_ville_1012 (2).jpg 
[06/05/2009 21:12|--a------|79764] -> O:\ZOO_d_Amn_ville_1012 (2)5.jpg 
[06/05/2009 17:26|--a------|150740] -> O:\ZOO_d_Amn_ville_1012.jpg 
[14/05/2009 00:40|--a------|148823] -> O:\ZOO_d_Amn_ville_imprime.jpg 
[05/05/2009 00:09|--a------|3189066] -> O:\Canards colvert - Anas platyrhynchos.JPG 
[20/05/2009 22:32|--a------|114204] -> O:\fevrier-2009-192-800x600.jpg 
[13/05/2009 16:12|--a------|2886614] -> O:\prisonnier des glaces.jpg 
[25/05/2009 22:10|--a------|2821695] -> O:\prisonnier des glaces (2).jpg 
[11/05/2009 23:58|--a------|220563] -> O:\photos 024.JPG 
[11/05/2009 21:41|--a------|118713] -> O:\9782262020330FS.gif 
[17/02/2009 14:01|--a------|167] -> O:\code.rtf 
[17/02/2009 14:01|--a------|167] -> O:\code (2).rtf 
[19/04/2009 17:57|--a------|333] -> O:\IDENTIFIANT BLOG LORRAINE AQUARELLE.rtf 

################## | Cracks / Keygens / Serials |

"C:\Documents and Settings\Compaq_Propri‚taire\Bureau\Games\TOEIC - Training Tests\TOEIC Mastery - Tests d'entrainement au TOEIC\CRACK\TCM.exe"  
13/02/2004 03:41 |Size : 1614336 |Crc32 : 4e842a30 |Md5 : c82484cdba2465a3f0badd4450320eab  
 
"C:\Documents and Settings\Compaq_Propri‚taire\Bureau\Tools\Style XP 3.19 - For Men\Keygen.exe"  
24/09/2007 15:15 |Size : 104448 |Crc32 : 12db3546 |Md5 : ebc1833f789be1783ff59629247aaaf2  
 

################## | Upload | 

Veuillez envoyer le fichier : C:\DOCUME~1\COMPAQ~1\Bureau\UsbFix_Upload_Me_FIXE-COMPAQ.zip : https://www.androidworld.fr/ 
Merci pour votre contribution . 

################## | ! Fin du rapport # UsbFix V6.021 ! |





Je commence à faire la 3 ;)

SpeedraceR · Answer

Rapport de la vaccination du 2e lot de clés USB et carte SD :




############################## | UsbFix V6.021 |

User : Compaq_Propriétaire (Administrateurs) # FIXE-COMPAQ
Update on 22/08/09 by Chiquitine29
Start at: 21:35:13 | 23/08/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

AMD Athlon(tm) 64 Processor 3200+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : ESET NOD32 Antivirus 3.0 3.0 [ Enabled | Updated ]

C:\ -> Disque fixe local # 179,33 Go (56,42 Go free) [PRESARIO] # NTFS
D:\ -> Disque fixe local # 6,96 Go (3,54 Go free) [PRESARIO_RP] # FAT32
E:\ -> Disque CD-ROM
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible # 999,61 Mo (999,58 Mo free) # FAT
I:\ -> Disque amovible
J:\ -> Disque CD-ROM
K:\ -> Disque CD-ROM
L:\ -> Disque CD-ROM
M:\ -> Disque amovible # 1,86 Go (1,84 Go free) # FAT32
N:\ -> Disque CD-ROM # 6,67 Mo (0 Mo free) [U3 System] # CDFS
O:\ -> Disque amovible # 14,92 Go (9,92 Go free) # FAT32

################## | Vaccination |

# C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
# D:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
# H:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
# M:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
# O:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  

################## | ! Fin du rapport # UsbFix V6.021 ! |

SpeedraceR · Answer

Et rapport du 1er lot :



############################## | UsbFix V6.021 |

User : Compaq_Propriétaire (Administrateurs) # FIXE-COMPAQ
Update on 22/08/09 by Chiquitine29
Start at: 21:36:55 | 23/08/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

AMD Athlon(tm) 64 Processor 3200+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : ESET NOD32 Antivirus 3.0 3.0 [ Enabled | Updated ]

C:\ -> Disque fixe local # 179,33 Go (56,42 Go free) [PRESARIO] # NTFS
D:\ -> Disque fixe local # 6,96 Go (3,54 Go free) [PRESARIO_RP] # FAT32
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 3,73 Go (2,92 Go free) [UDISK 2.0] # FAT32
G:\ -> Disque amovible # 971,12 Mo (757,23 Mo free) # FAT
J:\ -> Disque CD-ROM
K:\ -> Disque CD-ROM
L:\ -> Disque CD-ROM

################## | Vaccination |

# C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
# D:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
# F:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
# G:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  

################## | ! Fin du rapport # UsbFix V6.021 ! |

geoffrey5 · Answer

Ok maintenant pour vérifier fais ceci stp :

&#x25B6; Télécharge et enregistre le fichier d installation de AD-Remover sur ton bureau : 

  http://sd-1.archive-host.com/membres/up/16506160323759868/AD-R.exe 

&#x25B6; tutoriel installation

&#x25B6; tutoriel recherche

/!\ Ne fait pas le nettoyage tout dessuite /!\  

&#x25B6; Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. 

&#x25B6; Ouvre le dossier Ad-remover présent sur ton bureau

&#x25B6; Double clique sur Ad-remover.bat.

* Sous Vista : clic droit sur AD-Remover et sélectionner "Exécuter en tant qu'administrateur"

&#x25B6; Au menu principal choisi l'option "S"

&#x25B6; Poste le rapport qui apparait à la fin.

( le rapport est sauvegardé aussi sous C:\Ad-report.log )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

Note :

Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

SpeedraceR · Answer

Le rapport de Ad-Report ;)


.
======= RAPPORT D'AD-REMOVER 1.1.4.5_P | UNIQUEMENT XP/VISTA/SEVEN =======
.
Mit à jour par C_XX le 23/08/2009 à 8:25 PM
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 21:54:56, 23/08/2009 | Mode Normal | Option: SCAN
Exécuté de: C:\Program Files\Ad-remover\
Système d'exploitation: Microsoft® Windows XP™   v5.1.2600
Nom du PC: FIXE-COMPAQ | Utilisateur actuel: Compaq_Propri‚taire
.
Administrateur: Administrateur 
N'est pas administrateur: ASPNET 
Administrateur: Compaq_Propriétaire 
N'est pas administrateur: HelpAssistant *Desactive* 
N'est pas administrateur: Invité 
N'est pas administrateur: SUPPORT_388945a0 *Desactive* 
N'est pas administrateur: SUPPORT_fddfa904 *Desactive* 
. 
============== ÉLÉMENT(S) TROUVÉ(S) ============== 
.
.
.
.
============== Scan additionnel ==============
.

* Mozilla FireFox Version 2.0.0.17 *

 Nom du profil: p7x3jdp7.default (Compaq_Propri‚taire)
.
(Prefs.js) user_pref("browser.startup.homepage", "hxx(p|ps)://news.google.fr/news"); 
(Prefs.js) user_pref("browser.startup.homepage_override.mstone", "rv:1.8.1.17"); 
.
.
.
* Internet Explorer Version 8.0.6001.18702 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
First Home Page: hxxp://www.windows.fr/ie8/bienvenue
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
   Tabs	:          	res://ieframe.dll/tabswelcome.htm
.
============== Suspect (Cracks, Serials ... ) ==============
.
C:\Documents and Settings\Compaq_Propri‚taire\Bureau\Tools\Style XP 3.19 - For Men\Keygen.exe
.
.
===================================
.
2208 Octet(s) - C:\Ad-Report-SCAN.log 
.
1 Fichier(s) - C:\DOCUME~1\COMPAQ~1\LOCALS~1\Temp 
2 Fichier(s) - C:\WINDOWS\Temp 
.
1 Fichier(s) - C:\Program Files\Ad-remover\BACKUP
0 Fichier(s) - C:\Program Files\Ad-remover\QUARANTINE
.
Fin à: 22:10:13 | 23/08/2009
.
============== E.O.F ==============
.

geoffrey5 · Answer

Parfait !! Maintenant :

&#x25B6; Télécharge Combofix de sUBs 


&#x25B6; et enregistre le sur le Bureau. 

  
&#x25B6; désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware) 


Voici le tutoriel officiel de Bleeping Computer pour savoir l utiliser :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix


&#x25B6; Je te conseille d'installer la console de récupération !!
 

ensuite envois le rapport et refais un nouveau rapport hijackthis stp

SpeedraceR · Answer

Le rapport de Combofix ;)


ComboFix 09-08-22.06 - Compaq_Propriétaire 23/08/2009 22:34.1.1 - NTFSx86
Microsoft Windows XP Édition familiale  5.1.2600.2.1252.33.1036.18.1022.622 [GMT 2:00]
Running from: c:\documents and settings\Compaq_Propriétaire\Bureau\ComboFix.exe
AV: ESET NOD32 Antivirus 3.0 *On-access scanning enabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Fonts\NfoViewer.ttf
c:\windows\system32	mp.reg

.
(((((((((((((((((((((((((   Files Created from 2009-07-23 to 2009-08-23  )))))))))))))))))))))))))))))))
.

2009-08-23 19:53 . 2009-08-23 20:10	--------	d-----w-	c:\program files\Ad-remover
2009-08-23 18:10 . 2009-08-23 19:36	--------	d-----w-	C:\UsbFix
2009-08-23 15:15 . 2009-08-23 15:15	--------	d-----w-	C:sit
2009-08-22 18:56 . 2009-08-03 11:36	38160	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-22 18:56 . 2009-08-22 18:56	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2009-08-22 18:56 . 2009-08-22 18:56	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2009-08-22 18:56 . 2009-08-03 11:36	19096	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-08-22 17:59 . 2009-08-22 17:59	--------	d-----w-	C:\_OTM
2009-08-22 16:44 . 2009-08-23 15:15	--------	d-----w-	c:\program files	rend micro
2009-08-22 13:52 . 2009-08-22 14:06	--------	d-----w-	c:\program files\Navilog1
2009-08-22 12:46 . 2009-08-22 13:46	--------	d-----w-	c:\program files\Enigma Software Group
2009-08-22 12:29 . 2009-08-22 17:59	--------	d-----w-	c:\program files\yanpie
2009-08-14 05:45 . 2009-08-14 05:45	--------	d-----w-	c:\windows\ServicePackFiles

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-22 10:08 . 2007-09-23 14:54	--------	d-----w-	c:\program files\Fichiers communs\Adobe
2009-08-19 21:20 . 2009-04-30 19:32	--------	d-----w-	c:\program files\Flickr Uploadr
2009-08-19 19:18 . 2007-10-22 13:46	--------	d-----w-	c:\program files\FlashGet
2009-08-19 13:17 . 2007-09-26 21:35	--------	d-----w-	c:\program files\eMule
2009-08-14 05:45 . 2007-09-23 15:01	--------	d-----w-	c:\documents and settings\All Users\Application Data\Microsoft Help
2009-08-05 09:06 . 2004-08-05 18:00	205312	----a-w-	c:\windows\system32\mswebdvd.dll
2009-07-18 03:39 . 2007-10-13 15:22	--------	d-----w-	c:\program files\Google
2009-07-17 18:56 . 2004-08-05 18:00	58880	----a-w-	c:\windows\system32\atl.dll
2009-07-13 21:43 . 2004-08-05 18:00	286208	----a-w-	c:\windows\system32\wmpdxm.dll
2009-07-12 18:22 . 2007-12-30 13:25	550	----a-w-	c:\windows\eReg.dat
2009-07-12 17:34 . 2009-07-12 17:34	--------	d-----w-	c:\program files\Maxis
2009-07-05 08:45 . 2009-07-05 08:45	--------	d-----w-	c:\program files\MSECache
2009-07-04 14:26 . 2009-04-26 12:22	--------	d-----w-	c:\program files\Unlocker
2009-07-03 16:57 . 2004-08-05 18:00	915456	----a-w-	c:\windows\system32\wininet.dll
2009-06-16 14:54 . 2004-08-05 18:00	119808	----a-w-	c:\windows\system32	2embed.dll
2009-06-16 14:54 . 2004-08-05 12:00	82432	----a-w-	c:\windows\system32\fontsub.dll
2009-06-15 11:33 . 2004-08-05 18:00	78848	----a-w-	c:\windows\system32	elnet.exe
2009-06-10 14:23 . 2004-08-05 18:00	85504	----a-w-	c:\windows\system32\avifil32.dll
2009-06-10 06:30 . 2008-09-07 20:44	132096	----a-w-	c:\windows\system32\wkssvc.dll
2009-06-09 15:06 . 2004-08-05 18:00	1871872	----a-w-	c:\windows\system32\mstscax.dll
2009-06-03 19:27 . 2004-08-05 18:00	1296896	----a-w-	c:\windows\system32\quartz.dll
2008-10-31 11:17 . 2008-10-29 11:42	67696	----a-w-	c:\program files\mozilla firefox\components\jar50.dll
2008-10-31 11:17 . 2008-10-29 11:42	54376	----a-w-	c:\program files\mozilla firefox\components\jsd3250.dll
2008-10-31 11:17 . 2008-10-29 11:42	34952	----a-w-	c:\program files\mozilla firefox\components\myspell.dll
2008-10-31 11:17 . 2008-10-29 11:42	46720	----a-w-	c:\program files\mozilla firefox\components\spellchk.dll
2008-10-31 11:17 . 2008-10-29 11:42	172144	----a-w-	c:\program files\mozilla firefox\components\xpinstal.dll
2007-12-02 12:38 . 2007-12-02 12:38	22	--sha-w-	c:\windows\SMINST\HPCD.sys
.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools"="c:\program files\DAEMON Tools\daemon.exe" [2007-09-18 171464]
"STYLEXP"="c:\program files\TGTSoft\StyleXP\StyleXP.exe" [2006-05-24 1372160]
"The Turtle"="c:\program files\Marmot Project\TheTurtle v5.0.exe" [2008-06-16 724992]
"H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\Wcescomm.exe" [2006-11-13 1289000]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-04-19 148888]
"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 52736]
"Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2004-04-14 233472]
"PS2"="c:\windows\system32\ps2.exe" [2003-09-12 98304]
"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\cli.exe" [2005-08-05 61440]
"Launch LGDCore"="c:\program files\Fichiers communs\Logitech\G-series Software\LGDCore.exe" [2006-07-23 1126400]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2008-02-20 1443072]
"AdobeCS4ServiceManager"="c:\program files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
"AAWTray"="c:\program files\Lavasoft\Ad-Aware 2007\AAWTray.exe" [2007-08-08 88024]
"AlcxMonitor"="ALCXMNTR.EXE" - c:\windows\ALCXMNTR.EXE [2004-09-07 57344]
"AGRSMMSG"="AGRSMMSG.exe" - c:\windows\AGRSMMSG.exe [2004-06-29 88363]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\soundman.exe [2006-11-17 577536]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2008-3-25 214360]
Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2007-9-24 692224]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\program files\Microsoft ActiveSyncapimgr.exe"= c:\program files\Microsoft ActiveSyncapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"13919:TCP"= 13919:TCP:NortonAV
"14821:TCP"= 14821:TCP:NortonAV
"12508:TCP"= 12508:TCP:NortonAV
"13346:TCP"= 13346:TCP:NortonAV
"12496:TCP"= 12496:TCP:NortonAV
"15316:TCP"= 15316:TCP:NortonAV
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"5353:TCP"= 5353:TCP:Adobe CSI CS4

R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);c:\windows\system32\drivers\sfdrv01a.sys [05/07/2006 14:46 63352]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [20/02/2008 11:11 33800]
R1 HFSYS;HFSYS;c:\windows\system32\drivers\hfsys.sys [18/01/2003 18:52 19876]
R2 ekrn;Eset Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [21/12/2007 08:21 468224]
S2 gupdate1c91658f410fa8;Google Update Service (gupdate1c91658f410fa8);c:\program files\Google\Update\GoogleUpdate.exe [14/09/2008 12:53 133104]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Contents of the 'Scheduled Tasks' folder

2009-08-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2008-09-14 10:52]

2009-08-23 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2008-09-14 10:52]
.
- - - - ORPHANS REMOVED - - - -

Notify-dimsntfy - (no file)


.
------- Supplementary Scan -------
.
IE: Barre RoboForm - file://c:\program files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Enregistrer le formulaire - file://c:\program files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
IE: Personnaliser le menu - file://c:\program files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
IE: Remplir le formulaire - file://c:\program files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
IE: Télécharger avec FlashGet - c:\program files\FlashGet\jc_link.htm
IE: Télécharger tout avec FlashGet - c:\program files\FlashGet\jc_all.htm
FF - ProfilePath - c:\documents and settings\Compaq_Propriétaire\Application Data\Mozilla\Firefox\Profiles\p7x3jdp7.default\
FF - prefs.js: browser.startup.homepage - hxxp://news.google.fr/news
FF - component: c:\program files\Google\Google Gears\Firefox\lib\ff2\gears.dll
FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll
FF - component: c:\program files\Siber Systems\AI RoboForm\Firefox\componentsfproxy_19.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins
p-mswmp.dll

---- FIREFOX POLICIES ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.notify.interval - 600000
FF - user.js: content.switch.threshold - 1000000
FF - user.js: nglayout.initialpaint.delay - 600
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-23 22:44
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...  

scanning hidden autostart entries ... 

scanning hidden files ...  

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\S-1-5-21-3383505910-4212240893-2452539257-1007\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{563B76A9-8178-7DD2-EFBD-07502D2B3CEC}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"eaemceeepi"=hex:66,61,6b,6f,62,63,68,6e,68,70,67,68,00,31
"dadmhdbj"=hex:64,62,61,61,61,6e,62,6c,6b,67,6d,6e,61,62,6a,67,6f,6a,6a,6a,6f,
   6f,63,62,68,67,6b,6d,66,70,6f,70,68,62,67,68,65,67,65,65,00,00
"iampgcdejokpiaolne"=hex:6a,61,6a,6b,61,62,68,69,6a,6a,6f,6b,65,66,65,68,63,66,
   66,68,00,00
"hacoanilbbpcdbla"=hex:6a,61,6a,6b,61,62,68,69,6a,6a,6f,6b,65,66,65,68,63,66,
   66,68,00,00

[HKEY_USERS\S-1-5-21-3383505910-4212240893-2452539257-1007\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:93,b0,9d,f8,6c,3a,3c,86,67,30,78,0e,89,de,43,bb,e5,e3,4e,d0,00,7d,a8,
   9c,c0,bf,d0,3e,0e,fa,8e,85,11,fc,fc,b9,5c,4f,51,b8,e1,07,18,17,f8,0a,fb,81,\
"??"=hex:59,e5,97,70,47,08,a5,1e,f6,13,83,cc,52,0d,a6,6c
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(616)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3860)
c:\program files\Logitech\SetPoint\GameHook.dll
c:\program files\Logitech\SetPoint\lgscroll.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Other Running Processes ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\program files\TGTSoft\StyleXP\StyleXPService.exe
c:\program files\Lavasoft\Ad-Aware 2007\aawservice.exe
c:\windows\system32\ati2evxx.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\LightScribe\LSSrvc.exe
c:\progra~1\MI3AA1~1apimgr.exe
c:\program files\Fichiers communs\Logitech\KhalShared\KHALMNPR.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\program files\HP\Digital Imaging\bin\hpqste08.exe
c:\program files\HP\Digital Imaging\bin\hpqbam08.exe
.
**************************************************************************
.
Completion time: 2009-08-23 22:47 - machine was rebooted
ComboFix-quarantined-files.txt  2009-08-23 20:47

Pre-Run: 60 441 722 880 octets libres
Post-Run: 60 284 776 448 octets libres

Current=1 Default=1 Failed=0 LastKnownGood=4 Sets=,1,2,3,4
209	--- E O F ---	2009-08-14 05:46

SpeedraceR · Answer

Et un rapport HJT :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:51:03, on 23/08/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\system32\ps2.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Logitech\G-series Software\LGDCore.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\AAWTray.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\TGTSoft\StyleXP\StyleXP.exe
C:\Program Files\Marmot Project\TheTurtle v5.0.exe
C:\Program Files\Microsoft ActiveSync\Wcescomm.exe
C:\PROGRA~1\MI3AA1~1apimgr.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logitech\KhalShared\KHALMNPR.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files	rend micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboFormoboform.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.30.0\gears.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\PROGRA~1\FlashGet\getflash.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboFormoboform.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Program Files\Fichiers communs\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [AAWTray] C:\Program Files\Lavasoft\Ad-Aware 2007\AAWTray.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [The Turtle] C:\Program Files\Marmot Project\TheTurtle v5.0.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\Wcescomm.exe"
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Barre RoboForm - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: Personnaliser le menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Remplir le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.30.0\gears.dll
O9 - Extra 'Tools' menuitem: Paramètres de Google &Gears - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.30.0\gears.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate1c91658f410fa8) (gupdate1c91658f410fa8) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

geoffrey5 · Answer

relance Hijackthis en cliquant sur Do a system scan only et coches ces lignes stp :

O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file) 
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) 
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE     
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE     

puis tu cliques sur fix checked.

ensuite :

&#x25B6; Télécharge CCleaner

&#x25B6; Tu auras un tutoriel pour l'installer et l'utiliser correctement.

&#x25B6; Fais le nettoyage et recherche les erreurs du registre comme expliqué en bas du tutoriel.

Est-ce que tu as encore des problèmes ??

SpeedraceR · Answer

C'est fait... il y'avait quelques erreurs trouvées par Ccleaner que j'ai corrigé (enfin j'ai cliquer sur corriger quoi ^^), j'aurais peut être pas du ?

Sinon, mon WP est revenu, et tout semble normal. Il reste encore des choses à faire ?

geoffrey5 · Answer

Tu pouvais corriger les erreurs  ;-)

maintenant tu peux faire ceci pour terminer stp, c'est très important donc fais bien tout :

Voici un excellent petit logiciel très utile qui te permettra de savoir les nouvelles mises à jour disponibles pour les différents logiciels installés sur ton PC :

&#x25B6; Télécharge Update Checker

&#x25B6; Installe le avec les paramètres par défaut en cliquant chaques fois sur Suivant.

&#x25B6; Une fois installé, patiente quelques secondes et tu verras apparaître une icône verte dans ta barre des tâches te signalant qu'il y a des mises à jour disponibles.

&#x25B6; Double-cliques sur l'icône pour être redirrigé sur le site de téléchargement des mises à jour.

&#x25B6; Un conseil : n'installe pas les BETA qui sont listées en dessous.

&#x25B6; Tu installes les mises à jour que tu désires, les plus importantes sont :

&#9679; Java

&#9679; Adobe Reader

&#9679; Adobe Flash Player

&#9679; Internet explorer


Ensuite :


Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques :  

&#x25B6; Télécharge Toolscleaner sur ton Bureau  


&#x25B6; Double-clique sur ToolsCleaner2.exe et laisse le travailler 
&#x25B6; Clique sur Recherche et laisse le scan se terminer. 
&#x25B6; Clique sur Suppression pour finaliser. 
&#x25B6; Tu peux, si tu le souhaites, te servir des Options facultatives. 
&#x25B6; Clique sur Quitter, pour que le rapport puisse se créer. 
&#x25B6; Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse


Ensuite :


Désactive et réactive la Restauration du système :


Le fait de faire cette manipulation va supprimer tous les virus qui auraient pu se loger dans les
points de restauration que tu avais créé auparavant.. Il est donc recommandé de la faire : 

 
1 Dans la barre des tâches de Windows, clique sur Démarrer.
 
2 Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés.
 
3 Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système"

4 Clique sur Appliquer.
  
5 Ensuite décoche "Désactiver la restauration du systeme"

6 clique sur appliquer puis ok

7 vas créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires =>

outils systeme => restauration du systeme => créer un point de restauration => tu mets un nom

(exemple : après désinfection sur CCM) puis tu valides.


Tu peux mettre ton problème résolu !! Comment mettre résolu ??


IMPORTANT : lire les quelques liens pour la prévention et la sécurité de votre PC qui se trouvent en bas de la page !!


WOT - Extension pour ton navigateur internet :

Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC :


Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/

Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp


==informations importantes==


Si tu n'as pas regardé l'envoyé spécial diffusé sur France2, voici les vidéos parlant des hackers :


&#x25B6; https://www.dailymotion.com/video/x97v8f

&#x25B6; https://www.dailymotion.com/video/x982wr

&#x25B6; https://www.dailymotion.com/video/x97v6o 


Je te conseille aussi d'installer un pare-feu personnel autre que celui de Windows.

Télécharge PC Tools Firewall Plus

Voici un tutoriel pour t'aider à l'installer et le paramétrer correctement.

N'oublies pas d'aller désactiver le pare-feu de Windows !!

SpeedraceR · Answer

Oké, je ferais ça demain en fin d'après midi, je travaille tôt demain matin. 

Merci et bonne nuit ! ;)

geoffrey5 · Answer

Ok pas de problème...

Bonne fin de soirée @+

SpeedraceR · Answer

Salut,


Voici le rapport de Toolscleaner :



[ Rapport ToolsCleaner version 2.2.5 (par A.Rothstein & dj QUIOU) ]

-->- Recherche: 

C:\Combofix.txt: trouvé !
C:\cleannavi.txt: trouvé !
C:\UsbFix.txt: trouvé !
C:\Qoobox: trouvé !
C:\UsbFix: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Compaq_Propriétaire\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Compaq_Propriétaire\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\Compaq_Propriétaire\Bureau\SmitFraudFix.exe: trouvé !
C:\Documents and Settings\Compaq_Propriétaire\Bureau\mbr.log: trouvé !
C:\Documents and Settings\Compaq_Propriétaire\Bureau\mbr.exe: trouvé !
C:\Documents and Settings\Compaq_Propriétaire\Bureau\UsbFix.exe: trouvé !
C:\Documents and Settings\Compaq_Propriétaire\Bureau\UsbFix.lnk: trouvé !
C:\Documents and Settings\Compaq_Propriétaire\Bureau\SmitFraudfix: trouvé !
C:\Documents and Settings\Compaq_Propriétaire\Menu Démarrer\Programmes\UsbFix: trouvé !
C:\Documents and Settings\Compaq_Propriétaire\Menu Démarrer\Programmes\UsbFix\UsbFix.lnk: trouvé !
C:\Program Files\Navilog1: trouvé !
C:\Program Files\Navilog1\Navilog1.bat: trouvé !
C:\Program Files	rend micro\HijackThis.exe: trouvé !
C:\Program Files	rend micro\hijackthis.log: trouvé !
C:\Program Files	rend micro\HijackThis: trouvé !
C:\Program Files	rend micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files	rend micro\HijackThis\hijackthis.log: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Compaq_Propriétaire\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Compaq_Propriétaire\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\Compaq_Propriétaire\Bureau\SmitFraudFix.exe: supprimé !
C:\Program Files\Navilog1\Navilog1.bat: supprimé !
C:\Program Files	rend micro\HijackThis.exe: supprimé !
C:\Program Files	rend micro\HijackThis\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\cleannavi.txt: supprimé !
C:\UsbFix.txt: supprimé !
C:\Documents and Settings\Compaq_Propriétaire\Bureau\mbr.log: supprimé !
C:\Documents and Settings\Compaq_Propriétaire\Bureau\mbr.exe: supprimé !
C:\Documents and Settings\Compaq_Propriétaire\Bureau\UsbFix.exe: supprimé !
C:\Documents and Settings\Compaq_Propriétaire\Bureau\UsbFix.lnk: supprimé !
C:\Documents and Settings\Compaq_Propriétaire\Menu Démarrer\Programmes\UsbFix\UsbFix.lnk: supprimé !
C:\Program Files	rend micro\hijackthis.log: supprimé !
C:\Program Files	rend micro\HijackThis\hijackthis.log: supprimé !
C:\Qoobox: supprimé !
C:\UsbFix: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\Compaq_Propriétaire\Bureau\SmitFraudfix: supprimé !
C:\Documents and Settings\Compaq_Propriétaire\Menu Démarrer\Programmes\UsbFix: supprimé !
C:\Program Files\Navilog1: supprimé !
C:\Program Files	rend micro\HijackThis: supprimé !







J'ai fais ensuite l'étape de la restauration systeme, installé WOT et je vais voir pour un pare feu.

SpeedraceR · Answer

Apparemment c'est fini donc, le problème est résolu.
Un grand, très grand merci à toi pour toute ton aide !! :)

Je vais enfin pouvoir réutiliser le pc tranquillement. ;)


Merci encore, à bientôt (quoique non, ça serait signe que j'ai encore un soucis ^^).

SpeedraceR · Answer

Dernière petite question... n'étant pas membre CCM, je ne peux pas cocher la case résolu pour ce sujet... à qui m'adresser ou comment faire ? ;)

Infecté par Windows Security Alert :/

46 réponses

Discussions similaires

Newsletters