Total security : demande aide personnaliséeRésolu/Fermé

Question

Bonjour,

Je tente de dératiser le PC de ma belle famille. J'ai déjà bousillé un paquet de virus mais Total Security, je n'y arrive pas. J'ai lu un bon nombre de topic, tenté des solutions donnés pour d'autres, etc. Mais apparament, cela nécessite une aide personnalisée, surtout que je m'y connais pas plus que ça. 
Donc, pour éviter que vous me le demandiez, je vous copie trois fichiers textes :
- D'abord le hijackthis
- Puis le log et le info de RIST (que j'ai fais sur les modif de 3 mois, dans le doute)

Voili voilou, merci d'avance à ceux qui tenteront de m'aider ^^... Et bien entendu je suis à votre dispo si vous avez besoin d'autres infos.

Pour info, quand je regarde dans crtl+alt+sup, dans l'onglet processus, le virus semble s'appeler 10744534.exe (mais impossible à trouver par une recherche normale)

Le Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:46:42, on 23/08/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Eset
od32krn.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Creative\SBLive\Diagnostics\diagent.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Eset
od32kui.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\Temp\_ex-08.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Kwak\Local Settings\Temporary Internet Files\Content.IE5\4Y0AHQFC\HiJackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.be/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://glamour-x.com/helper404.php?q=/?url=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: WhgHelper Class - {00000000-0000-11D1-ABED-709549C10000} - C:\Program Files\WHG\Instant Help Application Update 1.2\IEHelper.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {8bf5b8fc-11cb-409f-8c91-4d4ca04a1b6d} - C:\Program Files\TrueCodec\isaddon.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O3 - Toolbar: Protection Bar - {1a29a79a-b9c8-44a9-bedf-7fadde3cf33f} - C:\Program Files\TrueCodec\iesplugin.dll (file missing)
O3 - Toolbar: Protection Bar - {29C5A3B6-9A8D-4FA0-B5AD-3E20F4AA5C00} - C:\Program Files\Video ActiveX Access\iesbpl.dll (file missing)
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [diagent] "C:\Program Files\Creative\SBLive\Diagnostics\diagent.exe" startup
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset
od32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [11578594] C:\Documents and Settings\All Users\Application Data\11578594\11578594.exe
O4 - HKLM\..\Run: [PromoReg] C:\WINDOWS\Temp\_ex-08.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [10744534] C:\Documents and Settings\All Users\Application Data\10744534\10744534.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Internet Antivirus Pro] "c:\program files\Internet Antivirus Pro\IAPro.exe" /s 
O4 - HKLM\..\Policies\Explorer\Run: [isamonitor.exe] C:\Program Files\TrueCodec\isamonitor.exe
O4 - HKLM\..\Policies\Explorer\Run: [pmsngr.exe] C:\Program Files\TrueCodec\pmsngr.exe
O4 - HKLM\..\Policies\Explorer\Run: [user32.dll] C:\Program Files\Video ActiveX Access\iesmn.exe
O4 - HKLM\..\Policies\Explorer\Run: [rare] C:\Program Files\Video ActiveX Access\imsmain.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Contrôleur de calendrier Ulead.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Noble Poker - {B723B1B8-9788-4684-ADA7-D1DB02E1D516} - C:\Poker\Noble Poker\casino.exe
O9 - Extra 'Tools' menuitem: Noble Poker - {B723B1B8-9788-4684-ADA7-D1DB02E1D516} - C:\Poker\Noble Poker\casino.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.6 85.255.112.81
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.6 85.255.112.81
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O21 - SSODL: clamoring - {0d9eb558-0666-479e-868a-21b1d1a53bd1} - C:\WINDOWS\system32\veklo.dll (file missing)
O22 - SharedTaskScheduler: clamoring - {0d9eb558-0666-479e-868a-21b1d1a53bd1} - C:\WINDOWS\system32\veklo.dll (file missing)
O22 - SharedTaskScheduler: convalescently - {cea2e5cd-e849-427b-80f0-59298caef1c4} - C:\WINDOWS\system32\cqsfk.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset
od32krn.exe
O23 - Service: PEVSystemStart - Unknown owner - cmd /k start /i "/dC:" "C:\PY\HIDEC.exe" "C:\PY\SWREG.EXE" ACL "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_Beep" /RESET /Q (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

fix200 · Accepted Answer

Bon ...

Relance RSIT stp et colle le rapport.

+

fix200 · Answer

Salut ,

Plusieurs infections !!!

Commence par ceci :

Télécharge WORT (De Pc-system.fr)


&#x25B6; Crée un dossier C:\WORT

&#x25B6; Installe les fichiers en cliquant sur WORT.exe

&#x25B6; Ouvre le dossier et clique sur WareOut_Removal_Tool.bat

&#x25B6; Choisis l'option 1 

&#x25B6; Patiente (une à deux minutes maximum) pendant que le programme sauvegarde le regsitre

&#x25B6; Ensuite poste le rapport a la fin du scan qui sera enregistré dans C:\WORT\WORT_report.txt

&#x25B6; Il te sera proposé d'éxécuter le fichier WORTregfix.reg, accepte.

Ensuite relance RSIT et colle le rapport obtenu ...

A+

fix200 · Answer

Re ,

Bon ...

Télécharge SmitFraudFix:

Recherche:

&#x25B6; Double clique sur SmitfraudFix.exe

&#x25B6; Tape 1 et et valide par Entrée 

&#x25B6; A la fin du processus du scan, Un rapport s'ouvre, copie-colle son contenu a ta prochaine reponse.

NOTE: Le rapport se trouve à la racine du disque système

+

fix200 · Answer

Bien !

(encore merci de m'aider ^^)

-> De nada , et avec plaisir :)

*Nettoyage :

Redémarre en mode sans échec 

&#x25B6; Double-clique sur SmitfraudFix.exe

&#x25B6; Sélectionne 2 et presse "Entrée" dans le menu pour supprimer les fichiers responsables de l'infection.

&#x25B6; Aux questions : 

* " Voulez-vous nettoyer le registre ? " 

----> Réponds par O (oui) et presse Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.

* "Corriger le fichier infecté ?" 

----> Réponds par O (oui) et presse Entrée pour remplacer le fichier corrompu.

&#x25B6; Un redémarrage sera demandé pour terminer la procédure de nettoyage . (si c'est pas le cas redémarre manuellement )

&#x25B6; Un rapport sera généré a la fin du processus : Poste le moi pour analyse .

Note : Le rapport se trouve à la racine de disque dur C .(C:\rapport.txt ) 

=====================================================

**********************************************************
********************* Option S (Recherche) *********************
**********************************************************

Télécharge AD-Remover ( de C_XX ) sur ton bureau : 

! Déconnecte toi et ferme toutes applications en cours ! 

• Double clique sur "AD-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut . 

• Double-clique sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
 
• Au menu principal choisis l'option "S" et tape sur [entrée] .

• Laisse travailler l'outil et ne touche à rien ... 

--> Poste le rapport qui apparait à la fin , sur le forum ... <--

Notes:

1- Le rapport est sauvegardé aussi sous C:\Ad-report-scan.log  
2- "Process.exe", une composante de l'outil, est détecté par certains antivirus :
(AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 

 
Aide  (Recherche)

fix200 · Answer

Re ,

GeekReiper

N'écoute pas d'autre conseils , sauf les miens .

Merci.

++

cool677 · Answer

Bonjour,j'ai eu le même problème après mainte solution pour nettoyer mon ordi de total secur,je n'ai pas réussi a le supprime  j'ai donc réinitialise mon ordi et maintenant ca va mieux,je sais que ces pas la meilleur solution mais sa fonctionne.
Bon courage et bonne journée

GeekReiper · Answer

Merci Cool mais je préfèrerais m'en passer, en effet. 

J'ai installé Ad Remover, et lancé le scna, mais au bout de 25 minutes toujours rien. J'avais coupé la connection et tout ...C'est normal que ce soit aussi long ?

GeekReiper · Answer

En fait un rapport s'est bien créé mais est quasi vide :

.
======= RAPPORT D'AD-REMOVER 1.1.4.5_O | UNIQUEMENT XP/VISTA/SEVEN =======
.
Mit à jour par C_XX le 24/06/2009 à 7:10 PM
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 15:54:11, dim. 23/08/2009 | Mode Normal | Option: SCAN
Exécuté de: C:\Program Files\Ad-remover\
Système d'exploitation: Microsoft® Windows XP™  Service Pack 3 v5.1.2600
Nom du PC: PC-96F02B0F3AFD | Utilisateur actuel: Kwak
.
Administrateur: Administrateur 
N'est pas administrateur: HelpAssistant *Desactive* 
N'est pas administrateur: Invité *Desactive* 
Administrateur: j-s 
Administrateur: Kwak 
Administrateur: MANU 
Administrateur: P-H 
Administrateur: pc 
N'est pas administrateur: SUPPORT_388945a0 *Desactive* 
Administrateur: Yves-Marie 
. 
============== ÉLÉMENT(S) TROUVÉ(S) ============== 
.
.


Faut le laisser tourner plus longtemps ?

GeekReiper · Answer

Alors en fait j'ai réussi a faire tourner ad remove en redemarrage sans échec :

.
======= RAPPORT D'AD-REMOVER 1.1.4.5_O | UNIQUEMENT XP/VISTA/SEVEN =======
.
Mit à jour par C_XX le 24/06/2009 à 7:10 PM
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 16:11:09, dim. 23/08/2009 | Mode sans echec | Option: SCAN
Exécuté de: C:\Program Files\Ad-remover\
Système d'exploitation: Microsoft® Windows XP™  Service Pack 3 v5.1.2600
Nom du PC: PC-96F02B0F3AFD | Utilisateur actuel: Kwak
.
Administrateur: Administrateur 
N'est pas administrateur: HelpAssistant *Desactive* 
N'est pas administrateur: Invité *Desactive* 
Administrateur: j-s 
Administrateur: Kwak 
Administrateur: MANU 
Administrateur: P-H 
Administrateur: pc 
N'est pas administrateur: SUPPORT_388945a0 *Desactive* 
Administrateur: Yves-Marie 
. 
============== ÉLÉMENT(S) TROUVÉ(S) ============== 
.
.
.
C:\DOCUME~1\Kwak\Cookies\kwak@imgfarm[1].txt 
C:\DOCUME~1\Kwak\Cookies\kwak@rotator.adjuggler[1].txt 
C:\Documents and Settings\P-H\Cookies\p-h@ads.addynamix[1].txt 
C:\Documents and Settings\P-H\Cookies\p-h@kiwee[2].txt 
C:\Documents and Settings\P-H\Cookies\p-h@www1.kiwee[1].txt 
C:\Documents and Settings\P-H\Cookies\p-h@partygaming.122.2o7[1].txt 
C:\Documents and Settings\P-H\Cookies\p-h@partypoker[1].txt 
C:\Documents and Settings\P-H\Cookies\p-h@popularscreensavers[1].txt 
C:\Documents and Settings\P-H\Cookies\p-h@rotator.adjuggler[2].txt 
C:\Documents and Settings\P-H\Cookies\p-h@zwinky[2].txt 
.
============== Scan additionnel ==============
.

* Mozilla FireFox Version 2.0.0.20 *

 Nom du profil: fq3a2znp.default (Kwak)
.
(Prefs.js) user_pref("browser.search.defaultenginename", "Google"); 
(Prefs.js) user_pref("browser.search.selectedEngine", "Google"); 
(Prefs.js) user_pref("browser.search.defaulturl", "hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q="); 
(Prefs.js) user_pref("browser.startup.homepage_override.mstone", "rv:1.8.1.20"); 
.
. 

* Internet Explorer Version 8.0.6001.18702 *

[HKEY_CURRENT_USER\..\Internet Explorer\Main]

Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]

Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]

   Tabs: res://ieframe.dll/tabswelcome.htm

============== Suspect (Cracks, Serials ... ) ==============

. 
C:\Documents and Settings\MANU\Local Settings\Temp\Patch_MSN_Messenger.EXE 
.
===================================
.
2994 Octet(s) - C:\Ad-Report-SCAN.log 
.
8 Fichier(s) - C:\DOCUME~1\Kwak\LOCALS~1\Temp 
10 Fichier(s) - C:\WINDOWS\Temp 
.
1 Fichier(s) - C:\Program Files\Ad-remover\BACKUP
0 Fichier(s) - C:\Program Files\Ad-remover\QUARANTINE
.
Fin à: 16:33:20 | dim. 23/08/2009
.
============== E.O.F ==============
.


La solution du bloc note a l'air pas mal, fix ?

GeekReiper · Answer

Euh ......... 

Après le post sur bloc note, je me suis demandé si total security s'était mis au même endroit chez moi. Et oui. Et j'ai fais supprimé (j'avais stopé le processus) et vidé la corbeille. J'ai redemarré et il s'ouvre plus. le dossier n'a pas été recréé. 

Il risque de revenir ? Ou c'est bon ?

fix200 · Answer

Re ,

Pourquoi tu as fait ce que dit bloc note , je t'ai pourtant dit de suivre que mes conseils !!!!

Bref , fais l'option L de AD-Remover .

Relance RSIT et colle le rapport stp.

A+

GeekReiper · Answer

J'ai pas fais ce qu'il m'a dit, j'ai supprimé manuellement. Je go ADR

fix200 · Answer

Re ,

@ blocnote

Arrête de dire n'importe quoi et poluer la désinfection ...

Car tout simplement si il fait ta manip , le PC ne sera pas complétement désinfecté , il resteras toujours des traces de l'infection. donc c'est inutile.

++

@ GeekReiper
J'attends donc le rapport ;)

GeekReiper · Answer

Le rapport Ad Remove :

.
======= RAPPORT D'AD-REMOVER 1.1.4.5_O | UNIQUEMENT XP/VISTA/SEVEN =======
.
Mit à jour par C_XX le 24/06/2009 à 7:10 PM
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 17:19:54, dim. 23/08/2009 | Mode sans echec | Option: CLEAN
Exécuté de: C:\Program Files\Ad-remover\
Système d'exploitation: Microsoft® Windows XP™  Service Pack 3 v5.1.2600
Nom du PC: PC-96F02B0F3AFD | Utilisateur actuel: Kwak
.
Administrateur: Administrateur 
N'est pas administrateur: HelpAssistant *Desactive* 
N'est pas administrateur: Invité *Desactive* 
Administrateur: j-s 
Administrateur: Kwak 
Administrateur: MANU 
Administrateur: P-H 
Administrateur: pc 
N'est pas administrateur: SUPPORT_388945a0 *Desactive* 
Administrateur: Yves-Marie 
. 
============== ÉLÉMENT(S) NEUTRALISÉ(S) ============== 
.
.
.
C:\DOCUME~1\Kwak\Cookies\kwak@imgfarm[1].txt 
C:\DOCUME~1\Kwak\Cookies\kwak@rotator.adjuggler[1].txt 
C:\Documents and Settings\P-H\Cookies\p-h@ads.addynamix[1].txt 
C:\Documents and Settings\P-H\Cookies\p-h@kiwee[2].txt 
C:\Documents and Settings\P-H\Cookies\p-h@www1.kiwee[1].txt 
C:\Documents and Settings\P-H\Cookies\p-h@partygaming.122.2o7[1].txt 
C:\Documents and Settings\P-H\Cookies\p-h@partypoker[1].txt 
C:\Documents and Settings\P-H\Cookies\p-h@popularscreensavers[1].txt 
C:\Documents and Settings\P-H\Cookies\p-h@rotator.adjuggler[2].txt 
C:\Documents and Settings\P-H\Cookies\p-h@zwinky[2].txt 

(!) -- Fichiers temporaires supprimés.

.
============== Scan additionnel ==============
.

* Mozilla FireFox Version 2.0.0.20 *

 Nom du profil: fq3a2znp.default (Kwak)
.
(Prefs.js) user_pref("browser.search.defaultenginename", "Google"); 
(Prefs.js) user_pref("browser.search.selectedEngine", "Google"); 
(Prefs.js) user_pref("browser.search.defaulturl", "hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q="); 
(Prefs.js) user_pref("browser.startup.homepage_override.mstone", "rv:1.8.1.20"); 
.
. 

* Internet Explorer Version 8.0.6001.18702 *

[HKEY_CURRENT_USER\..\Internet Explorer\Main]

Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]

Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]

   Tabs: res://ieframe.dll/tabswelcome.htm








Et maintenant, le rapport de RSIT :


Logfile of random's system information tool 1.06 (written by random/random)
Run by Kwak at 2009-08-23 17:44:56
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 37 GB (48%) free of 76 GB
Total RAM: 511 MB (31% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:45:03, on 23/08/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Eset
od32krn.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Eset
od32kui.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Creative\SBLive\Diagnostics\diagent.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Kwak\Bureau\Partie PY\RSIT.exe
C:\Program Files	rend micro\Kwak.exe
C:\Program Files\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://glamour-x.com/helper404.php?q=/?url=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: WhgHelper Class - {00000000-0000-11D1-ABED-709549C10000} - C:\Program Files\WHG\Instant Help Application Update 1.2\IEHelper.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [diagent] "C:\Program Files\Creative\SBLive\Diagnostics\diagent.exe" startup
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset
od32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [11578594] C:\Documents and Settings\All Users\Application Data\11578594\11578594.exe
O4 - HKLM\..\Run: [PromoReg] C:\WINDOWS\Temp\_ex-08.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [10744534] C:\Documents and Settings\All Users\Application Data\10744534\10744534.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Internet Antivirus Pro] "c:\program files\Internet Antivirus Pro\IAPro.exe" /s 
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Contrôleur de calendrier Ulead.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Noble Poker - {B723B1B8-9788-4684-ADA7-D1DB02E1D516} - C:\Poker\Noble Poker\casino.exe
O9 - Extra 'Tools' menuitem: Noble Poker - {B723B1B8-9788-4684-ADA7-D1DB02E1D516} - C:\Poker\Noble Poker\casino.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset
od32krn.exe
O23 - Service: PEVSystemStart - Unknown owner - cmd /k start /i "/dC:" "C:\PY\HIDEC.exe" "C:\PY\SWREG.EXE" ACL "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_Beep" /RESET /Q (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

fix200 · Answer

Re , Il reste du boulot ^^" Je dois partir pour le moment , fais ceci pendant mon absence , patiente et ne fais rien d'autre ! : /!\ ATTENTION SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS /!\ _________________________________________________________________ >>>>>>>>>> ! Le logiciel qui suit n'est pas a utiliser a la légère ! <<<<<<<<<< > /!\ Ce logiciel est TRÈS PUISSANT et peut causer des dégâts sur ton système /!\ < >>>>>>>> ! Prends ton temps pour lire les tutoriels et les indications ! <<<<<<<< ========================================================= ==========>>> !! A lire, Impératif !! <<<========== Télécharge ComboFix (de sUBs)et enregistre le sur ton bureau et pas ailleurs , pour cela : Fais un clic droit ici Choisis "Enregistrer la cible du lien..." Au lieu de Combofix.exe -> Tape Moi.exe . Clique sur "Enregistrer" et laisse le téléchargement ce faire. AVANT d'utiliser ComboFix : ▶ /!\ Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours. /!\ ▶ (!) Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares et de TOUT tes logiciels de protection (!). ( Tutoriel si besoin ) ▶ Double clique sur Moi.exe afin de le lancer (Sous Vista: Clique droit et choisir " Exécuter en tant qu'administrateur") ▶ Note : Sous XP : L'outil va te demander si tu souhaite installer la console de récupération (image) . Reconnecte toi , Puis clique sur "YES" , et une fois la console installée : ! Déconnecte toi d'internet , (très important) ! . ▶ Répond par Oui / Yes au message d'avertissement , pour que le programme commence à procéder à l'analyse du pc. > !!!!! NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS, CLAVIER.....) !!!!! ▶ A la fin du scan , il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection , laisse le travailler. ▶ Après le redémarrage du PC, un rapport s'ouvrira dans le Bloc Notes en fin d'analyse, ▶ Réactive toutes tes défenses , reviens sur le forum puis copie et colle le rapport dans ton a ta prochaine réponse * Note : (Le fichier rapport Combofix.txt , est ensuite automatiquement sauvegardé dans C:\Combofix.txt) A+

GeekReiper · Answer

Bon là, honnêtement, je vais remettre ça à plus tard. Je pars demain matin de chez mes beau parents, et je sais pas encore quand je reviendrai. 
Pour le moment le pc tourne largement mieux et total emmerdeur s'est pas remontré. 
Je vais pas prendre le risque d'utiliser ComboFix , de faire une connerie, et de rien pouvoir y changer. 

Merci pour ton aide ! Si je reviens et que j'ai le temps je reviendrai sur ce pc. Mais bon, j'ai pas trop de regrets à post poser, parce que je donne un coup de main à mes parents, sauf qu'un des membres de la famille ... euh, vas sur des sites à risques disons ^^ Et donc va de toute façon tout bousiller en trois secondes. Donc du moment que la tour explose pas, ils seront content. 

Encore merci, 

GR

fix200 · Answer

Je vais pas prendre le risque d'utiliser ComboFix , de faire une connerie, et de rien pouvoir y changer

Non , si tu exécute combofix comme expliqué , tous ira nickel  , prends le temps pour lire et exécute le .

J'attends donc que tu reviens et tu colles le rapport de combofix ;)

EDIT : coucou sKe :)

A+

fix200 · Answer

Si tu as supprimé manuellement le virus tu n'auras plus de problème, 

>>> FAUX !


plusieurs personnes à qui j'ai donné cette méthode ne sont pas revenu sur le forum demander de l'aide donc je suis d'accord avec toi ne prend pas de risque

lui il n'as eu aucun problème , la suppression manuelle va laisser bcp de traces et le virus peut revenir facilement après le redémarrage.

Ces personnes qui ne sont pas revenu , c'est normal psuique pour eux l'alerte a disparu donc pas de virus.

Donc GeekReiper , n'écoute les bêtises de bloc note . et fais ça stp : 
> https://forums.commentcamarche.net/forum/affich-14023788-total-security-demande-aide-personnalisee#22

++

fix200 · Answer

Re ,

Peut-tu me donner le pseudo de cette personne stp ?

GeekReiper · Answer

Bon, j'ai tenu bon et repris mon courage à deux mains ^^

Voici le rapport de combofix : 

ComboFix 09-08-22.06 - Kwak 23/08/2009 19:24.1.1 - NTFSx86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.32.1036.18.511.194 [GMT 2:00]
Running from: c:\documents and settings\Kwak\Bureau\PYCF.exe
AV: avast! antivirus 4.8.1351 [VPS 090822-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
AV: ESET NOD32 antivirus system 2.70 *On-access scanning disabled* (Outdated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Kwak\Application Data\wiaserva.log
c:\windows\system32\404Fix.exe
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\dumphive.exe
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\o4Patch.exe
c:\windows\system32\Process.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32	mp.reg
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe

.
(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Service_npf


(((((((((((((((((((((((((   Files Created from 2009-07-23 to 2009-08-23  )))))))))))))))))))))))))))))))
.

2009-08-23 13:28 . 2009-08-23 15:39	--------	d-----w-	c:\program files\Ad-remover
2009-08-23 12:05 . 2009-08-23 12:09	--------	d-----w-	C:\WORT
2009-08-23 10:50 . 2009-08-23 15:45	--------	d-----w-	c:\program files	rend micro
2009-08-23 10:50 . 2009-08-23 10:50	--------	d-----w-	C:sit
2009-08-22 15:45 . 2009-08-22 16:00	--------	d-s---w-	C:\PY
2009-08-22 15:14 . 2009-08-17 16:04	23152	----a-w-	c:\windows\system32\drivers\aswRdr.sys
2009-08-22 15:14 . 2009-08-17 16:04	51376	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2009-08-22 15:14 . 2009-08-17 16:03	26944	----a-w-	c:\windows\system32\drivers\aavmker4.sys
2009-08-22 15:14 . 2009-08-17 16:02	97480	----a-w-	c:\windows\system32\AvastSS.scr
2009-08-22 15:14 . 2009-08-17 16:05	20560	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2009-08-22 15:14 . 2009-08-17 16:06	93392	----a-w-	c:\windows\system32\drivers\aswmon.sys
2009-08-22 15:14 . 2009-08-17 16:06	94160	----a-w-	c:\windows\system32\drivers\aswmon2.sys
2009-08-22 15:14 . 2009-08-17 16:05	114768	----a-w-	c:\windows\system32\drivers\aswSP.sys
2009-08-22 15:14 . 2009-08-17 16:10	1279456	----a-w-	c:\windows\system32\aswBoot.exe
2009-08-22 15:13 . 2009-08-22 15:13	--------	d-----w-	c:\program files\Alwil Software
2009-08-22 14:46 . 2009-08-22 14:59	--------	d-----w-	c:\program files\Enigma Software Group
2009-08-18 07:16 . 2009-08-23 12:30	394	----a-w-	C:ecover.vbs
2009-08-12 16:16 . 2009-07-10 13:27	1315328	-c----w-	c:\windows\system32\dllcache\msoe.dll
2009-08-10 18:55 . 2009-08-10 18:55	766	----a-r-	c:\documents and settings\P-H\Application Data\Microsoft\Installer\{8B9852AF-B0B0-47B7-9BC5-89A95D77B6C9}\_6FEFF9B68218417F98F549.exe
2009-08-10 18:55 . 2009-08-10 18:55	2550	----a-r-	c:\documents and settings\P-H\Application Data\Microsoft\Installer\{8B9852AF-B0B0-47B7-9BC5-89A95D77B6C9}\_9DF4AD1D7C2BADB4D91EF4.exe
2009-08-10 18:55 . 2009-08-10 18:55	16262	----a-r-	c:\documents and settings\P-H\Application Data\Microsoft\Installer\{8B9852AF-B0B0-47B7-9BC5-89A95D77B6C9}\_478B033043A80EFBED1415.exe
2009-08-10 18:55 . 2009-08-10 18:55	1518	----a-r-	c:\documents and settings\P-H\Application Data\Microsoft\Installer\{8B9852AF-B0B0-47B7-9BC5-89A95D77B6C9}\_C8CDAD466254BCD5A97C07.exe
2009-08-10 18:55 . 2009-08-10 18:55	1078	----a-r-	c:\documents and settings\P-H\Application Data\Microsoft\Installer\{8B9852AF-B0B0-47B7-9BC5-89A95D77B6C9}\_EECFB164DB09E91CF44948.exe
2009-08-10 18:55 . 2009-08-10 18:55	1078	----a-r-	c:\documents and settings\P-H\Application Data\Microsoft\Installer\{8B9852AF-B0B0-47B7-9BC5-89A95D77B6C9}\_B19098237E81ADBF63C9AB.exe
2009-08-10 18:55 . 2009-08-10 18:55	10134	----a-r-	c:\documents and settings\P-H\Application Data\Microsoft\Installer\{8B9852AF-B0B0-47B7-9BC5-89A95D77B6C9}\_6C64C98C73FF0E810A4198.exe
2009-08-10 18:55 . 2009-08-10 18:55	--------	d-----w-	c:\program files\MP3 Player Utilities 4.24
2009-08-10 18:43 . 2009-08-10 18:43	--------	d-----w-	c:\windows\system32\drivers\UMDF
2009-08-10 18:43 . 2008-03-21 11:57	14640	------w-	c:\windows\system32\spmsgXP_2k3.dll
2009-08-05 20:57 . 2009-08-05 20:57	--------	d-----w-	c:\documents and settings\All Users\Application Data\Google Updater
2009-08-05 09:00 . 2009-08-05 09:00	205312	-c----w-	c:\windows\system32\dllcache\mswebdvd.dll
2009-08-03 16:30 . 2009-08-03 16:31	--------	d-----w-	c:\documents and settings\P-H\.gimp-2.6
2009-08-03 16:30 . 2009-08-03 16:30	--------	d-----w-	c:\documents and settings\P-H\.gegl-0.0
2009-08-02 13:02 . 2009-08-02 13:21	--------	d-----w-	c:\documents and settings\Kwak\.gimp-2.6
2009-08-02 13:01 . 2009-08-02 13:02	--------	d-----w-	c:\documents and settings\Kwak\.gegl-0.0
2009-07-31 19:36 . 2009-08-23 12:30	396	----a-w-	C:\update404.vbs

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-23 16:14 . 2006-03-02 14:01	--------	d-----w-	c:\program files\eMule
2009-08-22 17:53 . 2009-04-15 20:57	--------	d-----w-	c:\program files\Common Files
2009-08-22 14:59 . 2006-10-31 11:07	--------	d-----w-	c:\program files\SpywareHeal
2009-08-20 22:00 . 2007-02-20 19:20	--------	d-----w-	c:\program files\PokerStars
2009-08-18 07:13 . 2005-10-10 13:35	1080	----a-w-	c:\windows\AUTOLNCH.REG
2009-08-10 21:06 . 2006-05-28 19:45	77048	----a-w-	c:\documents and settings\Kwak\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-08-10 18:43 . 2009-08-10 18:43	0	---ha-w-	c:\windows\system32\drivers\MsftWdf_user_01_07_00.Wdf
2009-08-05 20:58 . 2006-11-21 21:58	--------	d-----w-	c:\program files\Google
2009-08-05 09:00 . 2004-08-05 12:00	205312	----a-w-	c:\windows\system32\mswebdvd.dll
2009-07-17 19:03 . 2004-08-05 12:00	58880	----a-w-	c:\windows\system32\atl.dll
2009-07-14 11:46 . 2005-10-17 14:36	77048	----a-w-	c:\documents and settings\P-H\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-07-13 08:08 . 2004-08-05 12:00	286720	----a-w-	c:\windows\system32\wmpdxm.dll
2009-07-03 16:57 . 2004-08-05 12:00	915456	----a-w-	c:\windows\system32\wininet.dll
2009-06-25 08:26 . 2004-08-05 12:00	736768	----a-w-	c:\windows\system32\lsasrv.dll
2009-06-25 08:26 . 2004-08-05 12:00	56832	----a-w-	c:\windows\system32\secur32.dll
2009-06-25 08:26 . 2004-08-05 12:00	54272	----a-w-	c:\windows\system32\wdigest.dll
2009-06-25 08:26 . 2004-08-05 12:00	147456	----a-w-	c:\windows\system32\schannel.dll
2009-06-25 08:26 . 2004-08-05 12:00	136192	----a-w-	c:\windows\system32\msv1_0.dll
2009-06-25 08:26 . 2004-08-05 12:00	301568	----a-w-	c:\windows\system32\kerberos.dll
2009-06-24 11:18 . 2004-08-05 12:00	92928	----a-w-	c:\windows\system32\drivers\ksecdd.sys
2009-06-16 14:40 . 2004-08-05 12:00	81920	----a-w-	c:\windows\system32\fontsub.dll
2009-06-16 14:40 . 2004-08-05 12:00	119808	----a-w-	c:\windows\system32	2embed.dll
2009-06-15 21:22 . 2004-08-05 12:00	49494	----a-w-	c:\windows\system32\perfc00C.dat
2009-06-15 21:22 . 2004-08-05 12:00	370414	----a-w-	c:\windows\system32\perfh00C.dat
2009-06-15 10:44 . 2004-08-05 12:00	78848	----a-w-	c:\windows\system32	elnet.exe
2009-06-10 14:14 . 2004-08-05 12:00	85504	----a-w-	c:\windows\system32\avifil32.dll
2009-06-10 07:21 . 2005-10-10 11:53	2066432	----a-w-	c:\windows\system32\mstscax.dll
2009-06-10 06:15 . 2004-08-05 12:00	132096	----a-w-	c:\windows\system32\wkssvc.dll
2009-06-03 19:10 . 2004-08-05 12:00	1297408	----a-w-	c:\windows\system32\quartz.dll
2009-08-22 19:54 . 2007-07-12 21:24	67688	----a-w-	c:\program files\mozilla firefox\components\jar50.dll
2009-08-22 19:54 . 2007-07-12 21:24	54368	----a-w-	c:\program files\mozilla firefox\components\jsd3250.dll
2009-08-22 19:54 . 2007-07-12 21:24	34944	----a-w-	c:\program files\mozilla firefox\components\myspell.dll
2009-08-22 19:55 . 2007-07-12 21:24	46712	----a-w-	c:\program files\mozilla firefox\components\spellchk.dll
2009-08-22 19:55 . 2007-07-12 21:24	172136	----a-w-	c:\program files\mozilla firefox\components\xpinstal.dll
.

------- Sigcheck -------

[-] 2004-08-10 23:45	25088	A477391B7A8B0A0DAABADB17CF533A4B	c:\windows\RegisteredPackages\{30C7234B-6482-4A55-A11D-ECD9030313F2}\MsPMSNSv.dll
[-] 2004-08-05 12:00	52736	762B2A5F0E8B0164A5DB6741959DFB0C	c:\windows\RegisteredPackages\{30C7234B-6482-4A55-A11D-ECD9030313F2}$BACKUP$\System\MsPMSNSv.dll
[-] 2004-08-10 23:45	25088	A477391B7A8B0A0DAABADB17CF533A4B	c:\windows\system32\MsPMSNSv.dll
[-] 2004-08-10 23:45	25088	A477391B7A8B0A0DAABADB17CF533A4B	c:\windows\system32\dllcache\mspmsnsv.dll
.
(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-29 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"diagent"="c:\program files\Creative\SBLive\Diagnostics\diagent.exe" [2002-04-02 135264]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-10 90112]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-04-27 282624]
"SpeedTouch USB Diagnostics"="c:\program files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-04-07 877568]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 49152]
"nod32kui"="c:\program files\Eset
od32kui.exe" [2007-05-29 949376]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2007-07-09 270648]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-08-17 81000]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Contr“leur de calendrier Ulead.lnk - c:\program files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe [2007-8-4 69632]
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2005-5-12 282624]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\eMule\emule.exe"=
"c:\Program Files\SpeedTouch\Dr SpeedTouch\drst.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\iTunes\iTunes.exe"=
"c:\WINDOWS\system32\usmt\migwiz.exe"=
"c:\Program Files\DNA\btdna.exe"=
"c:\Program Files\BitTorrent\bittorrent.exe"=
"c:\Program Files\MSN Messenger\msnmsgr.exe"=
"c:\Program Files\MSN Messenger\livecall.exe"=
"c:\Program Files\Soulseek-Test\slsk.exe"=
"c:\Program Files\Soulseek\slsk.exe"=

R0 MrFilter;EasyWrite Driver;c:\windows\system32\drivers\MRFilter.sys [10/12/2007 20:25 12992]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [22/08/2009 17:14 114768]
R1 nod32drv;nod32drv;c:\windows\system32\drivers
od32drv.sys [29/05/2007 13:00 15424]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [22/08/2009 17:14 20560]
S2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [21/07/2009 15:09 133104]
S3 alcan5ln;SpeedTouch(tm) USB ADSL RFC1483 Networking Driver (NDIS);c:\windows\system32\drivers\alcan5ln.sys [15/10/2005 14:46 36256]
S3 SNCP106;PC Camera (6009 CIF);c:\windows\system32\drivers\sncp106.sys [4/08/2007 15:51 243712]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32undll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Contents of the 'Scheduled Tasks' folder

2009-08-12 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-06-03 11:42]

2009-08-23 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-07-20 20:56]

2009-08-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-07-21 13:09]

2009-08-23 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-07-21 13:09]

2009-08-23 c:\windows\Tasks\HPpromotions journeysoftware.job
- c:\program files\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe [2005-04-22 16:36]

2009-08-23 c:\windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job
- c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 10:20]
.
- - - - ORPHANS REMOVED - - - -

HKCU-Run-Internet Antivirus Pro - c:\program files\Internet Antivirus Pro\IAPro.exe
HKLM-Run-11578594 - c:\documents and settings\All Users\Application Data\11578594\11578594.exe
HKLM-Run-10744534 - c:\documents and settings\All Users\Application Data\10744534\10744534.exe


.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.com/
uSearchURL,(Default) = hxxp://glamour-x.com/helper404.php?q=/?url=%s
IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm
IE: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: {{B723B1B8-9788-4684-ADA7-D1DB02E1D516} - c:\poker\Noble Poker\casino.exe
LSP: c:\windows\system32\imon.dll
FF - ProfilePath - c:\documents and settings\Kwak\Application Data\Mozilla\Firefox\Profiles\fq3a2znp.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll
FF - component: c:\program files\Mozilla Firefox\extensions	alkback@mozilla.org\components\qfaservices.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-23 19:53
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...  

scanning hidden autostart entries ... 

scanning hidden files ...  

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]
"C040110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'lsass.exe'(760)
c:\windows\system32\imon.dll
c:\program files\Eset\pr_imon.dll

- - - - - - - > 'explorer.exe'(3308)
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
.
------------------------ Other Running Processes ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\windows\system32\CTsvcCDA.EXE
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\program files\ESET
od32krn.exe
c:\windows\system32\HPZipm12.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\MsPMSPSv.exe
c:\program files\HP\Digital Imaging\bin\hpqste08.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\program files\iPod\bin\iPodService.exe
c:\windows\system32\WGATray.exe
.
**************************************************************************
.
Completion time: 2009-08-23 20:00 - machine was rebooted
ComboFix-quarantined-files.txt  2009-08-23 18:00

Pre-Run: 38.415.364.096 octets libres
Post-Run: 45.996.093.440 octets libres

240	--- E O F ---	2009-08-14 15:21





Je m'inquiète d'avoir vu, pendant le scan, que combofix a supprimé plusieurs fichiers présents dans le dossier system32. J'espère que ça ne va pas me porter préjudice. 
(Concernant le problème initial, cela fait quelques fois que je redémarre et je n'ai toujours pas vu total security se réouvrir).

fix200 · Answer

Hello ,

Oui c'est vrai , je ne vois pas de trace de total sécurity !

J'ai besoin de quelque informations :

Affiche les fichiers / dossiers cachés : Tutoriel

- Rends toi sur ce site : Virus Total


&#x25B6; Copie ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :

C:\recover.vbs 

&#x25B6; Clique sur Send File ( = " Envoyer le fichier " ).

-> Un rapport va s'élaborer ligne à ligne.

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

&#x25B6;  Sauvegarde le rapport avec le bloc-note.

&#x25B6; Copie le dans ta prochaine réponse ...

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

Fais de même pour : 

C:\update404.vbs 

++

GeekReiper · Answer

Re

Si je comprend bien, ces fichiers ne semblent pas infectés :

Fichier recover.vbs reçu le 2009.08.24 11:07:45 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE 


Résultat: 0/41 (0%)
en train de charger les informations du serveur... 
Votre fichier est dans la file d'attente, en position: 3.
L'heure estimée de démarrage est entre 70 et 100 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse. 
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier. 
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération. 
 Formaté Impression des résultats  Votre fichier a expiré ou n'existe pas. 
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.
Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.  Email:  
  

Antivirus Version Dernière mise à jour Résultat 
a-squared 4.5.0.24 2009.08.24 - 
AhnLab-V3 5.0.0.2 2009.08.24 - 
AntiVir 7.9.1.3 2009.08.24 - 
Antiy-AVL 2.0.3.7 2009.08.24 - 
Authentium 5.1.2.4 2009.08.23 - 
Avast 4.8.1335.0 2009.08.23 - 
AVG 8.5.0.406 2009.08.24 - 
BitDefender 7.2 2009.08.24 - 
CAT-QuickHeal 10.00 2009.08.24 - 
ClamAV 0.94.1 2009.08.23 - 
Comodo 2079 2009.08.24 - 
DrWeb 5.0.0.12182 2009.08.24 - 
eSafe 7.0.17.0 2009.08.23 - 
eTrust-Vet 31.6.6697 2009.08.24 - 
F-Prot 4.4.4.56 2009.08.23 - 
F-Secure 8.0.14470.0 2009.08.24 - 
Fortinet 3.120.0.0 2009.08.24 - 
GData 19 2009.08.24 - 
Ikarus T3.1.1.68.0 2009.08.24 - 
Jiangmin 11.0.800 2009.08.23 - 
K7AntiVirus 7.10.825 2009.08.22 - 
Kaspersky 7.0.0.125 2009.08.24 - 
McAfee 5718 2009.08.23 - 
McAfee+Artemis 5718 2009.08.23 - 
McAfee-GW-Edition 6.8.5 2009.08.24 - 
Microsoft 1.4903 2009.08.24 - 
NOD32 4362 2009.08.24 - 
Norman 6.01.09 2009.08.21 - 
nProtect 2009.1.8.0 2009.08.24 - 
Panda 10.0.0.14 2009.08.24 - 
PCTools 4.4.2.0 2009.08.23 - 
Prevx 3.0 2009.08.24 - 
Rising 21.43.62.00 2009.08.24 - 
Sophos 4.44.0 2009.08.24 - 
Sunbelt 3.2.1858.2 2009.08.22 - 
Symantec 1.4.4.12 2009.08.24 - 
TheHacker 6.3.4.3.386 2009.08.22 - 
TrendMicro 8.950.0.1094 2009.08.24 - 
VBA32 3.12.10.9 2009.08.24 - 
ViRobot 2009.8.24.1899 2009.08.24 - 
VirusBuster 4.6.5.0 2009.08.23 - 
Information additionnelle 
File size: 394 bytes 
MD5...: d367a60aeb01025d778a1e2da9de6d04 
SHA1..: 6fb3cc4347d934068d28cc46a579976efe91dd65 
SHA256: 32854fdfdf59939dc034047bd5dbcb622419858d8d054b4232e6489f90ae0c3d 
ssdeep: 12:J0+xkkF2ePzRxPYeyezWfCzjsKtgizROEltI7j0:b12e1xPYejwCzjsuROWuo
 
PEiD..: - 
TrID..: File type identification
HyperText Markup Language with DOCTYPE (80.6%)
HyperText Markup Language (19.3%) 
PEInfo: - 
PDFiD.: - 
RDS...: NSRL Reference Data Set
- 




Fichier update404.vbs reçu le 2009.08.24 11:05:10 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE 


Résultat: 0/41 (0%)
en train de charger les informations du serveur... 
Votre fichier est dans la file d'attente, en position: 1.
L'heure estimée de démarrage est entre 46 et 66 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse. 
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier. 
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération. 
 Formaté Impression des résultats  Votre fichier a expiré ou n'existe pas. 
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.
Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.  Email:  
  

Antivirus Version Dernière mise à jour Résultat 
a-squared 4.5.0.24 2009.08.24 - 
AhnLab-V3 5.0.0.2 2009.08.24 - 
AntiVir 7.9.1.3 2009.08.24 - 
Antiy-AVL 2.0.3.7 2009.08.24 - 
Authentium 5.1.2.4 2009.08.23 - 
Avast 4.8.1335.0 2009.08.23 - 
AVG 8.5.0.406 2009.08.24 - 
BitDefender 7.2 2009.08.24 - 
CAT-QuickHeal 10.00 2009.08.24 - 
ClamAV 0.94.1 2009.08.23 - 
Comodo 2079 2009.08.24 - 
DrWeb 5.0.0.12182 2009.08.24 - 
eSafe 7.0.17.0 2009.08.23 - 
eTrust-Vet 31.6.6697 2009.08.24 - 
F-Prot 4.4.4.56 2009.08.23 - 
F-Secure 8.0.14470.0 2009.08.24 - 
Fortinet 3.120.0.0 2009.08.24 - 
GData 19 2009.08.24 - 
Ikarus T3.1.1.68.0 2009.08.24 - 
Jiangmin 11.0.800 2009.08.23 - 
K7AntiVirus 7.10.825 2009.08.22 - 
Kaspersky 7.0.0.125 2009.08.24 - 
McAfee 5718 2009.08.23 - 
McAfee+Artemis 5718 2009.08.23 - 
McAfee-GW-Edition 6.8.5 2009.08.24 - 
Microsoft 1.4903 2009.08.24 - 
NOD32 4362 2009.08.24 - 
Norman 6.01.09 2009.08.21 - 
nProtect 2009.1.8.0 2009.08.24 - 
Panda 10.0.0.14 2009.08.24 - 
PCTools 4.4.2.0 2009.08.23 - 
Prevx 3.0 2009.08.24 - 
Rising 21.43.62.00 2009.08.24 - 
Sophos 4.44.0 2009.08.24 - 
Sunbelt 3.2.1858.2 2009.08.22 - 
Symantec 1.4.4.12 2009.08.24 - 
TheHacker 6.3.4.3.386 2009.08.22 - 
TrendMicro 8.950.0.1094 2009.08.24 - 
VBA32 3.12.10.9 2009.08.24 - 
ViRobot 2009.8.24.1899 2009.08.24 - 
VirusBuster 4.6.5.0 2009.08.23 - 
Information additionnelle 
File size: 396 bytes 
MD5...: 0c9a5776053998ccf82984bfa7b28de0 
SHA1..: d8d2393f43f08e5299e004b9bd328d3007086a13 
SHA256: 3ec8001caa14a3b74c077d9d9eb1273152bfdb4ac49e29dffdc162b1380c1248 
ssdeep: 12:J0+xkkF2ePzRxri3yezWfCzjsKtgizROEltI7j0:b12e1xrCjwCzjsuROWuo
 
PEiD..: - 
TrID..: File type identification
HyperText Markup Language with DOCTYPE (80.6%)
HyperText Markup Language (19.3%) 
PEInfo: - 
PDFiD.: - 
RDS...: NSRL Reference Data Set
- 

a+ ^^

(Je quitte ce PC dans l'aprem ...)

fix200 · Answer

Re ,

Bien !! :)

Fais ceci :


Télécharge List&Kill'em (par Gen-Hackman) et enregistre l'exécutable sur ton bureau. 

! Désactive ton antivirus le temps de la manip ainsi que ton Pare-feu si présent !

! Déconnecte toi ferme toutes tes applications en cours !

&#x25B6; Double-clic sur l'icône présente sur le bureau pour le lancer (sous vista : clic droit > "exécuter en tant qu'administrateur").

&#x25B6; Choisis la langue souhaitée et valide par "entrée".

&#x25B6; Au second menu choisis l'option 1 : Mode Recherche 

&#x25B6; Laisse travailler l'outil.

&#x25B6; Une fois le scan Terminé ,un rapport s'ouvre .

>> /!\ ATTENTION /!\ : !!!!!  SUPPRIME TON ADRESSE IP DU RAPPORT !!!!


Pour cela , regarde les lignes en gras et supprime les de ton rapport :

[121]: KB973815 - Update
[122]: KB973869 - Update
[123]: XpsEPSC
Carte(s) r‚seau: 4 carte(s) r‚seau install‚e(s).
[01]: Bluetooth PAN Network Adapter
Nom de la connexion : Connexion au r‚seau local 2
tat : Support d‚connect‚
[02]: Intel(R) PRO/1000 CT Network Connection
Nom de la connexion : Connexion au r‚seau local
DHCP activ‚ : Non
Adresse(s) IP
[01] : 192.168.0.11
[03]: VirtualBox Host-Only Ethernet Adapter
Nom de la connexion : VirtualBox Host-Only Network
DHCP activ‚ : Non
Adresse(s) IP
[01] : 192.168.56.1
[04]: VirtualBox Host-Only Ethernet Adapter
Nom de la connexion : VirtualBox Host-Only Network #2
DHCP activ‚ : Non
Adresse(s) IP
[01] : 192.168.217.1

Nom de l'image PIDÿ Nom de la session Num‚ro d Utilisation
========================= ====== ================ ======== ============
System Idle Process 0 Console 0 16 Ko
System 4 Console 0 244 Ko
smss.exe 916 Console 0 400 Ko
csrss.exe 972 Console 0 4ÿ456 Ko
winlogon.exe 996 Console 0 3ÿ536 Ko 

&#x25B6; Poste le contenu du rapport dans ta prochaine reponse

Note: le Rapport sur trouve en outre a cet emplacement: C:\List'em.txt

GeekReiper · Answer

Euh ... Héhé... J'ai choisis le mode destruction par défaillance neuronalle momentannée. Voici le rapport :

 
Infections : 
========== 
 

¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents : 

"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat"  
"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat"  
 
¤¤¤¤¤¤¤¤¤¤ Clés de registre Presentes : 

HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Components\(là y'a un numéro qu'il me semble préférable de supprimer)
 
¤¤¤¤¤¤¤¤¤¤ C:\WINDOWS\Prefetch : 

Layout.ini
NTOSBOOT-B00DFAAD.pf
REG.EXE-0D2A95F7.pf
 
 
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤


Je vais refaire le truc en mode recherche en attendant la réponse.

fix200 · Answer

mdr :D

ne fais pas le mode recherche.

T'as eu normalement deux rapports non ? poste le deuxième.

++

GeekReiper · Answer

Bon alors j'ai fais recherche. J'y vois pas d'Ip à priori... Juste, encore une fois, je sup la clef de registre. Le rapport ressemble pas à ton exemple ... 

List'em by g3n-h@ckm@n 1.0.2.8 

updated on 23.08.2009 ::::: 13.00 


Microsoft Windows XP [version 5.1.2600]
 

lun. 24/08/2009    13:52:01,71 
 
 
Infections : 
========== 
 

¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents : 

"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat"  
"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat"  
 
¤¤¤¤¤¤¤¤¤¤ Clés de registre Presentes : 

HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Components\(est ce que je fais bien de le sup ^^ ?)
 
¤¤¤¤¤¤¤¤¤¤ C:\WINDOWS\Prefetch : 

ASHMAISV.EXE-12E27032.pf
ASHWEBSV.EXE-0548EF0A.pf
CMD.EXE-087B4001.pf
Layout.ini
LIST_KILLEM[1].EXE-2D6473E5.pf
MODE.COM-31685BAE.pf
MSNTBUP.EXE-0D913FB9.pf
NOTEPAD.EXE-336351A9.pf
NTOSBOOT-B00DFAAD.pf
RASAUTOU.EXE-18B88A68.pf
REG.EXE-0D2A95F7.pf
WUAUCLT.EXE-399A8E72.pf
 
 
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

GeekReiper · Answer

Ah, trop tard. Nan un seul rapport s'est ouvert à chaque fois...

fix200 · Answer

Bon , LAISSE tomber !!

Télécharge MalwareBytes' Anti-Malware 


&#x25B6; Installe le ,il va se mettre a jour automatiquement

&#x25B6; Commence par regarder le Tutoriel Malwarebytes pour bien l'utiliser...

! Déconnecte toi ferme toutes applications en cours !

==> Lance Malwarebyte's 

&#x25B6; Sous l'onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression"

&#x25B6; Clique maintenant sur l'onglet recherche et coche la case : "Exécuter un examen rapide".

&#x25B6; Puis clique sur " Rechercher ". 

&#x25B6; Laisse le scanner le PC... 

&#x25B6; Une fois l'analyse terminée, clique sur "OK", Ensuite sur "Afficher les résultats"

&#x25B6; Vérifie que tout est bien coché et clique sur " Supprimer la sélection.. "

&#x25B6; Il se peut qu'il te demande de redémarrer pour finir la suppression des nuisibles, accepte en cliquant sur "Yes". 

&#x25B6; A la fin un rapport va s'ouvrir, sauvegarde le de manière a le retrouver en vu de le poster sur le forum. 

&#x25B6;  Reviens sur le forum et copie et colle le rapport dans ta prochaine réponse .

Note: les rapport sont aussi rangé dans l'onglet Rapport/Log 

@pluche !

GeekReiper · Answer

Je dois y aller, j'ai stoppé en cours et supprimé un fichier infecté. Voici le rapport : 

Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2687
Windows 5.1.2600 Service Pack 3

24/08/2009 15:18:48
mbam-log-2009-08-24 (15-18-48).txt

Type de recherche: Examen rapide
Eléments examinés: 28736
Temps écoulé: 1 hour(s), 9 minute(s), 15 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\~WRF0409.tmp (Malware.Packer) -> Quarantined and deleted successfully.

Merci pour tout. Si tu peux me dire ce que je devrais faire la prochaine fois que je viens, ce serait sympathique. 

Bye !

fix200 · Answer

Re ,

Bye !

quand tu retournes , mets a jour MalwareBytes , refais un scan rapide vire ce qu'il trouve puis colle le rapport.

@pluche ;-p

Total security : demande aide personnalisée

30 réponses

Discussions similaires

Newsletters