Salut,


plusieurs infections ...


/!\ N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
Si tu as un quelconque prb n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ) .
Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .



Anti malware bytes (qui a trouvé des choses)

> poste moi le rapport que tu as obtenu stp (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) .



Puis commence par ceci dans l'ordre :


1- Important :
Désactive le "tea timer" de Spybot S&D en t'aidant de ce tuto animé (merci Balltrap ;) ) :
http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm
( sur la 1er image , clique sur "tea timer" pour lancer l'animation ).

ou de celui-ci > http://www.genproc.com/spybot/spybot.html

En effet , il risque de géner dans le bon déroulement des outils de désinfections et dans la répartion du registre ...

Tu le réactiveras une fois qu'on aura finit de désinfecter ( et pas avant ! ) .
/!\ Mais attention :
à ce moment là, le " TeaTimer " de Spybot proposera, par le biais de plusieurs pop-up, d'accepter ou non des modifications de registre ( survenuent lors de la désinfection )
-> il faudra alors les accepter toutes sans exeptions !

Puis part la suite , il faudra rester vigilant lorsque le "TeaTimer" donnera des alertes : accepter une modification uniquement si on en connait la provenance .


=============================

2- Télécharge SmitfraudFix (de S!Ri, balltrap34 et moe31 ) :
http://siri.urz.free.fr/Fix/SmitfraudFix.exe

Installe le soft sur ton bureau ( et pas ailleurs! ) .

!! Déconnecte toi, ferme toutes tes applications et désactives tes défenses ( anti-virus ,anti-spyware,...) le temps de la manipe !!


Tuto ( aide ) : http://siri.urz.free.fr/Fix/SmitfraudFix.php
Autre tuto animé ( merci balltrapp34 ;) ) : http://pagesperso-orange.fr/rginformatique/section%20virus/smitfraudfix.htm

Utilisation ---> option 1 / Recherche :
Double-clique sur l'icône "Smitfraudfix.exe" et sélectionne 1 (et pas sur autre chose sans notre accord !) pour créer un rapport des fichiers responsables de l'infection.

Poste le rapport ( "rapport.txt" qui se trouve sous C\: ) et attends la suite ...

(Attention : "process.exe", un composant de l'outil, est détecté par certains antivirus comme étant un "RiskTool". Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité.)

"Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne 
vous l'a pas dit !

Merci d'avance:
Voici le rapport:

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2955
Windows 5.1.2600 Service Pack 3

13/10/2009 20:18:58
mbam-log-2009-10-13 (20-18-46).txt

Type de recherche: Examen complet (C:\|D:\|G:\|)
Eléments examinés: 195809
Temps écoulé: 1 hour(s), 1 minute(s), 41 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7

Processus mémoire infecté(s):
C:\Documents and Settings\Famille Galley\pfqorak.exe (Trojan.Backdoor) -> No action taken.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\tdisp.sys (Rootkit.Agent) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\dwimyu (Trojan.Backdoor) -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Backdoor) -> Data: c:\documents and settings\famille galley\pfqorak.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Famille Galley\pfqorak.exe \s) Good: (Userinit.exe) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Famille Galley\pfqorak.exe (Trojan.Backdoor) -> No action taken.
C:\WINDOWS\system32\dwimyu.exe (Trojan.Backdoor) -> No action taken.
C:\Documents and Settings\Famille Galley\Local Settings\Temp\ctv1026.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Famille Galley\Local Settings\Temp\ctv1952.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Famille Galley\Local Settings\Temp\ctv2875.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Famille Galley\Local Settings\Temp\ctv3802.exe (Trojan.Dropper) -> No action taken.
C:\Program Files\Adobe\acrotray.exe (Trojan.Agent) -> No action taken.

Bien ....


fais la suite stp ....


"Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne 
vous l'a pas dit !

Désolé pas vu la fin du message:

Voici le rapport:
SmitFraudFix v2.424

Rapport fait à 22:39:36,87, 13/10/2009
Executé à partir de C:\Documents and Settings\Famille Galley\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Apps\NetDrive\netdrive.exe
C:\PROGRA~1\EPSONS~1\EVENTM~1\EEventManager.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\TomTom HOME 2\HOMERunner.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIFBE.EXE
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Program Files\FinePixViewer\QuickDCF.exe
C:\Apps\PrintKey2000\Printkey2000.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\EPSONS~1\EVENTM~1\EEventManager .exe
C:\Apps\NetDrive\wdService.exe
C:\Program Files\ASUS\Asus Probe\AsusProb .exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Network Associates\VirusScan\shstat.exe
C:\DOCUME~1\FAMILL~1\LOCALS~1\Temp\ctv4751.exe
C:\Program Files\Mozilla Firefox\SmitfraudFix\Policies.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Famille Galley\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Famille Galley


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\FAMILL~1\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Famille Galley\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\FAMILL~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""




»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CS2\Services\Tcpip\..\{395C64AD-8351-4B66-969D-EDE97E3F144F}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Salut;


fais ce qui suit dans l'ordre :


1- Télécharge OTM (de Old_Timer) sur ton Bureau.

http://oldtimer.geekstogo.com/OTM.exe


Double clique sur "OTM.exe" pour ouvrir le prg .
Puis copie ce qui se trouve en citation ci-dessous,


:Reg
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\Documents and Settings\Famille Galley\pfqorak.exe"=-

:Files
C:\WINDOWS\tasks\At1.job
C:\WINDOWS\tasks\At10.job
C:\WINDOWS\tasks\At11.job
C:\WINDOWS\tasks\At12.job
C:\WINDOWS\tasks\At13.job
C:\WINDOWS\tasks\At14.job
C:\WINDOWS\tasks\At15.job
C:\WINDOWS\tasks\At16.job
C:\WINDOWS\tasks\At17.job
C:\WINDOWS\tasks\At18.job
C:\WINDOWS\tasks\At19.job
C:\WINDOWS\tasks\At2.job
C:\WINDOWS\tasks\At20.job
C:\WINDOWS\tasks\At21.job
C:\WINDOWS\tasks\At22.job
C:\WINDOWS\tasks\At23.job
C:\WINDOWS\tasks\At24.job
C:\WINDOWS\tasks\At3.job
C:\WINDOWS\tasks\At4.job
C:\WINDOWS\tasks\At5.job
C:\WINDOWS\tasks\At6.job
C:\WINDOWS\tasks\At7.job
C:\WINDOWS\tasks\At8.job
C:\WINDOWS\tasks\At9.job

:Commands
[purity]
[emptytemp]
[Reboot]


et colle le dans le cadre de gauche de OTM :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)

! Déconnecte toi et ferme toutes tes applications en cours ! ( navigateurs compris )

-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ...

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

Ton PC va redémarrer de lui même pour finir la suppression ...

Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"
( " xxxx2009_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).


=======================


2- Tu vas ré-utiliser Malwarebytes ainsi :

mets le à jour ( onglet "mise à jour" ) .


! Déconnecte toi et ferme toutes applications en cours !

* Lance 'Malwarebytes' .

Fais un examen dit "RAPIDE" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...

=================


3- refais un scan RSIT , poste le nouveau "log.txt" obtenu pour analyse et attends la suite ....

"Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne 
vous l'a pas dit !

Salut,

Je fais tout ça ce soir et te le poste. Juste pour ce qui est des taches programmées, c'était une trace car quand je les ai vues, je les ai virées (avant de poster ici, maintenant promis je touche plus à rien ;=))

Re,

car quand je les ai vues, je les ai virées

oki .... mais fait tout de même le manipe avec OTM et le reste .... à ce soir avec les rapports demandés ....

"Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne 
vous l'a pas dit !

Voici les rapports dans l'ordre:
OTM:
All processes killed
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\shareda­ccess\parameters\firewallpolicy\standardprofile\authorizedap­plications\list\\C:\Documents and Settings\Famille Galley\pfqorak.exe deleted successfully.
========== FILES ==========
C:\WINDOWS\tasks\At1.job moved successfully.
C:\WINDOWS\tasks\At10.job moved successfully.
C:\WINDOWS\tasks\At11.job moved successfully.
C:\WINDOWS\tasks\At12.job moved successfully.
C:\WINDOWS\tasks\At13.job moved successfully.
C:\WINDOWS\tasks\At14.job moved successfully.
C:\WINDOWS\tasks\At15.job moved successfully.
C:\WINDOWS\tasks\At16.job moved successfully.
C:\WINDOWS\tasks\At17.job moved successfully.
C:\WINDOWS\tasks\At18.job moved successfully.
C:\WINDOWS\tasks\At19.job moved successfully.
C:\WINDOWS\tasks\At2.job moved successfully.
C:\WINDOWS\tasks\At20.job moved successfully.
C:\WINDOWS\tasks\At21.job moved successfully.
C:\WINDOWS\tasks\At22.job moved successfully.
C:\WINDOWS\tasks\At23.job moved successfully.
C:\WINDOWS\tasks\At24.job moved successfully.
C:\WINDOWS\tasks\At3.job moved successfully.
C:\WINDOWS\tasks\At4.job moved successfully.
C:\WINDOWS\tasks\At5.job moved successfully.
C:\WINDOWS\tasks\At6.job moved successfully.
C:\WINDOWS\tasks\At7.job moved successfully.
C:\WINDOWS\tasks\At8.job moved successfully.
C:\WINDOWS\tasks\At9.job moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Famille Galley
File delete failed. C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\W5L3IFP2\AAAAAAAAAAAAAWVQUAAAAAAAIAAwAAAAAAswbBTyQBAAAAAAAAAAAAAAAAAAAAAAAAIAaAqyoAAAAYAiC-KwAAAGCpnKAqAAAAQKmcoCoAAAA=,,http%3A%2F%2Fad.seeknet2[1].com%2Fgoad%2F%3Faffil_id%3D8191, scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\W5L3IFP2\AAAAAAAAAAAAAWVQUAAAAAAAIAAwAAAAAAWnnATyQBAAAAAAAAAAAAAAAAAAAAAAAAwICzoCoAAABAkoJbAAAAAGAJdacqAAAAQAl1pyoAAAA=,,http%3A%2F%2Fad.seeknet2[1].com%2Fgoad%2F%3Faffil_id%3D8191, scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\9RXVALO5\AAAAA2wAQAAAAAAAIAAwAAAAAAse2STyQBAAAAAAAAAAAAAAAAAAAAAAAAYNJRlioAAABg0lGWKgAAANDYUf8qAAAAsNhR.yoAAAA=,,http%3A%2F%2Fad.questmedianet[1].com%2Fadserv%2F%3Faffil_id%3D17005, scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\9RXVALO5\AAAAAAAAAAAAWVQUAAAAAAAIAAwAAAAAA72yWTyQBAAAAAAAAAAAAAAAAAAAAAAAAkBfw8ioAAAAY4lGWKgAAAGDfXJ8qAAAAQN9cnyoAAAA=,,http%3A%2F%2Fad.seeknet2[1].com%2Fgoad%2F%3Faffil_id%3D17005, scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\3M8D4LEV\AAAAA2wAQAAAAAAAIAAwAAAAAA0AyPTyQBAAAAAAAAAAAAAAAAAAAAAAAAwLD0nioAAABAwmFTAAAAAFCH4KAqAAAAMIfgoCoAAAA=,,http%3A%2F%2Fad.questmedianet[1].com%2Fadserv%2F%3Faffil_id%3D17005, scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\3M8D4LEV\AAAAAAAAAAAAWVQUAAAAAAAIAAwAAAAAA3U-VTyQBAAAAAAAAAABHLpYEaRQzAAAAAAIAAAAAAAAgzqQAAAAAAAAAAAAAAAAAfANpFDMAAAA=,,http%3A%2F%2Fad.seeknet2[1].com%2Fgoad%2F%3Faffil_id%3D17005, scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\3M8D4LEV\AAAAAAAAAAAAWVQUAAAAAAAIAAwAAAAAAv7adTyQBAAAAAAAAAAAAABgCoL0rAAAAMHHBoCoAAABAoiNmAAAAAFgEoPEqAAAACAKgvSsAAAA=,,http%3A%2F%2Fad.seeknet2[1].com%2Fgoad%2F%3Faffil_id%3D19029, scheduled to be deleted on reboot.
->Temp folder emptied: 7986386 bytes
->Temporary Internet Files folder emptied: 4243085 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 44961039 bytes

User: LocalService
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\History\History.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat scheduled to be deleted on reboot.
->Temp folder emptied: 3596610 bytes
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 1025900 bytes
File delete failed. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 1381944 bytes

%systemdrive% .tmp files removed: 0 bytes
C:\WINDOWS\msdownld.tmp folder deleted successfully.
%systemroot% .tmp files removed: 1139202 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
Windows Temp folder emptied: 125482046 bytes
RecycleBin emptied: 8448 bytes

Total Files Cleaned = 181,10 mb


OTM by OldTimer - Version 3.0.0.6 log created on 10142009_185658

Files moved on Reboot...
File C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\W5L3IFP2\AAAAAAAAAAAAAWVQUAAAAAAAIAAwAAAAAAswbBTyQBAAAAAAAAAAAAAAAAAAAAAAAAIAaAqyoAAAAYAiC-KwAAAGCpnKAqAAAAQKmcoCoAAAA=,,http%3A%2F%2Fad.seeknet2[1].com%2Fgoad%2F%3Faffil_id%3D8191, not found!
File C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\W5L3IFP2\AAAAAAAAAAAAAWVQUAAAAAAAIAAwAAAAAAWnnATyQBAAAAAAAAAAAAAAAAAAAAAAAAwICzoCoAAABAkoJbAAAAAGAJdacqAAAAQAl1pyoAAAA=,,http%3A%2F%2Fad.seeknet2[1].com%2Fgoad%2F%3Faffil_id%3D8191, not found!
File C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\9RXVALO5\AAAAA2wAQAAAAAAAIAAwAAAAAAse2STyQBAAAAAAAAAAAAAAAAAAAAAAAAYNJRlioAAABg0lGWKgAAANDYUf8qAAAAsNhR.yoAAAA=,,http%3A%2F%2Fad.questmedianet[1].com%2Fadserv%2F%3Faffil_id%3D17005, not found!
File C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\9RXVALO5\AAAAAAAAAAAAWVQUAAAAAAAIAAwAAAAAA72yWTyQBAAAAAAAAAAAAAAAAAAAAAAAAkBfw8ioAAAAY4lGWKgAAAGDfXJ8qAAAAQN9cnyoAAAA=,,http%3A%2F%2Fad.seeknet2[1].com%2Fgoad%2F%3Faffil_id%3D17005, not found!
File C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\3M8D4LEV\AAAAA2wAQAAAAAAAIAAwAAAAAA0AyPTyQBAAAAAAAAAAAAAAAAAAAAAAAAwLD0nioAAABAwmFTAAAAAFCH4KAqAAAAMIfgoCoAAAA=,,http%3A%2F%2Fad.questmedianet[1].com%2Fadserv%2F%3Faffil_id%3D17005, not found!
File C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\3M8D4LEV\AAAAAAAAAAAAWVQUAAAAAAAIAAwAAAAAA3U-VTyQBAAAAAAAAAABHLpYEaRQzAAAAAAIAAAAAAAAgzqQAAAAAAAAAAAAAAAAAfANpFDMAAAA=,,http%3A%2F%2Fad.seeknet2[1].com%2Fgoad%2F%3Faffil_id%3D17005, not found!
File C:\Documents and Settings\Famille Galley\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\3M8D4LEV\AAAAAAAAAAAAWVQUAAAAAAAIAAwAAAAAAv7adTyQBAAAAAAAAAAAAABgCoL0rAAAAMHHBoCoAAABAoiNmAAAAAFgEoPEqAAAACAKgvSsAAAA=,,http%3A%2F%2Fad.seeknet2[1].com%2Fgoad%2F%3Faffil_id%3D19029, not found!

Registry entries deleted on Reboot...

Malwarebytes n'a rien trouvé

Enfin RSIT:

Logfile of random's system information tool 1.06 (written by random/random)
Run by Famille Galley at 2009-10-14 19:22:52
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 16 GB (52%) free of 30 GB
Total RAM: 1535 MB (43% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:23:05, on 14/10/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Apps\NetDrive\wdService.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ASUS\Asus Probe\AsusProb.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\ASUS\Asus Probe\AsusProb .exe
C:\Apps\NetDrive\netdrive.exe
C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
C:\PROGRA~1\EPSONS~1\EVENTM~1\EEventManager .exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\TomTom HOME 2\HOMERunner.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Program Files\FinePixViewer\QuickDCF.exe
C:\Apps\PrintKey2000\Printkey2000.exe
C:\DOCUME~1\FAMILL~1\LOCALS~1\Temp\ctv1136.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Sources programmes\telechargements\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Famille Galley.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.windows.fr/ie8/bienvenue
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Ript - {91D9091B-2046-42f7-903E-1215A29E21EA} - C:\Apps\Ript\mscoree.dll
O2 - BHO: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Asus Probe\AsusProb.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [WebDriveTray] C:\Apps\NetDrive\netdrive.exe /trayicon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [EEventManager] C:\PROGRA~1\EPSONS~1\EVENTM~1\EEventManager.exe
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\HOMERunner.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [EPSON SX110 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIFBE.EXE /FU "C:\WINDOWS\TEMP\E_S84.tmp" /EF "HKCU"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Raccourci vers Printkey2000.lnk = C:\Apps\PrintKey2000\Printkey2000.exe
O4 - Global Startup: Exif Launcher.lnk = C:\Program Files\FinePixViewer\QuickDCF.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\e5n5krupcn8o.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\e5n5krupcn8o.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://labo.bellapix.com/XUpload.ocx
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: WebDrive Service (WebDriveService) - Unknown owner - C:\Apps\NetDrive\wdService.exe
End of file - 8851 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\At1.job
C:\WINDOWS\tasks\At10.job
C:\WINDOWS\tasks\At11.job
C:\WINDOWS\tasks\At12.job
C:\WINDOWS\tasks\At13.job
C:\WINDOWS\tasks\At14.job
C:\WINDOWS\tasks\At15.job
C:\WINDOWS\tasks\At16.job
C:\WINDOWS\tasks\At17.job
C:\WINDOWS\tasks\At18.job
C:\WINDOWS\tasks\At19.job
C:\WINDOWS\tasks\At2.job
C:\WINDOWS\tasks\At20.job
C:\WINDOWS\tasks\At21.job
C:\WINDOWS\tasks\At22.job
C:\WINDOWS\tasks\At23.job
C:\WINDOWS\tasks\At24.job
C:\WINDOWS\tasks\At3.job
C:\WINDOWS\tasks\At4.job
C:\WINDOWS\tasks\At5.job
C:\WINDOWS\tasks\At6.job
C:\WINDOWS\tasks\At7.job
C:\WINDOWS\tasks\At8.job
C:\WINDOWS\tasks\At9.job
C:\WINDOWS\tasks\MP Scheduled Scan.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Aide pour le lien d'Adobe PDF Reader - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-23 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
Spybot-S&D IE Protection - C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2009-01-26 1879896]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
SSVHelper Class - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll [2006-11-09 440056]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{91D9091B-2046-42f7-903E-1215A29E21EA}]
Ript - C:\Apps\Ript\mscoree.dll [2007-10-27 276248]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9421DD08-935F-4701-A9CA-22DF90AC4EA6}]
Easy Photo Print - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll [2008-04-02 266240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E99421FB-68DD-40F0-B4AC-B7027CAE2F1A}]
EpsonToolBandKicker Class - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll [2005-02-21 368640]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{EE5D279F-081B-4404-994D-C6B60AAEBA6D} - EPSON Web-To-Page - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll [2005-02-21 368640]
{9421DD08-935F-4701-A9CA-22DF90AC4EA6} - Easy Photo Print - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll [2008-04-02 266240]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"=C:\WINDOWS\SOUNDMAN.EXE [2005-06-14 77824]
"ASUS Probe"=C:\Program Files\ASUS\Asus Probe\AsusProb.exe [2009-10-13 30720]
"ShStatEXE"=C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE [2004-09-22 94208]
"McAfeeUpdaterUI"=C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe [2004-08-06 139320]
"REGSHAVE"=C:\Program Files\REGSHAVE\REGSHAVE.EXE [2002-02-04 53248]
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe [2009-10-14 30720]
"Windows Defender"=C:\Program Files\Windows Defender\MSASCui.exe [2006-11-03 866584]
"WebDriveTray"=C:\Apps\NetDrive\netdrive.exe [2003-06-04 294912]
"QuickTime Task"=C:\Program Files\QuickTime\QTTask.exe [2008-01-10 385024]
"Adobe Reader Speed Launcher"=C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-10-15 39792]
"EEventManager"=C:\PROGRA~1\EPSONS~1\EVENTM~1\EEventManager.exe [2009-10-14 30720]
"Malwarebytes Anti-Malware (reboot)"=C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe [2009-09-10 1312080]
"Network Associates Error Reporting Service"=C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe [2003-10-07 147514]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"TomTomHOME.exe"=C:\Program Files\TomTom HOME 2\HOMERunner.exe [2008-09-26 206184]
"H/PC Connection Agent"=C:\Program Files\Microsoft ActiveSync\wcescomm.exe [2006-11-13 1289000]
"EPSON SX110 Series"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIFBE.EXE [2008-09-26 199680]

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
Exif Launcher.lnk - C:\Program Files\FinePixViewer\QuickDCF.exe

C:\Documents and Settings\Famille Galley\Menu Démarrer\Programmes\Démarrage
Raccourci vers Printkey2000.lnk - C:\Apps\PrintKey2000\Printkey2000.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2005-11-23 47104]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2009-03-10 265088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{091EB208-39DD-417D-A5DD-7E2C2D8FB9CB}"=C:\PROGRA~1\WINDOW~4\MpShHook.dll [2006-11-03 83224]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WinDefend]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\WINDOWS\Temp\NavBrowser.exe"="C:\WINDOWS\Temp\NavBrowser.exe:*:Enabled:NAVBrowser"
"C:\Apps\adslTV\adslTV.exe"="C:\Apps\adslTV\adslTV.exe:*:Enabled:adslTV"
"C:\Apps\adslTV\vlc.exe"="C:\Apps\adslTV\vlc.exe:*:Enabled:VLC media player"
"C:\Appss\adslTV\adslTV.exe"="C:\Appss\adslTV\adslTV.exe:*:Enabled:adslTV"
"C:\Program Files\Microsoft ActiveSync\rapimgr.exe"="C:\Program Files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\Program Files\Microsoft ActiveSync\wcescomm.exe"="C:\Program Files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\Program Files\Microsoft ActiveSync\WCESMgr.exe"="C:\Program Files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"
"C:\Program Files\Pinnacle\VideoSpin\Programs\RM.exe"="C:\Program Files\Pinnacle\VideoSpin\Programs\RM.exe:*:Enabled:Render Manager"
"C:\Program Files\Pinnacle\VideoSpin\Programs\umi.exe"="C:\Program Files\Pinnacle\VideoSpin\Programs\umi.exe:*:Enabled:umi"
"C:\Program Files\Pinnacle\VideoSpin\Programs\VideoSpin.exe"="C:\Program Files\Pinnacle\VideoSpin\Programs\VideoSpin.exe:*:Enabled:Pinnacle VideoSpin"
"C:\Program Files\Epson Software\Event Manager\eeventmanager .exe"="C:\Program Files\Epson Software\Event Manager\eeventmanager .exe:*:Enabled:EEventManager Application"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\Microsoft ActiveSync\rapimgr.exe"="C:\Program Files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\Program Files\Microsoft ActiveSync\wcescomm.exe"="C:\Program Files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\Program Files\Microsoft ActiveSync\WCESMgr.exe"="C:\Program Files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{03284fe6-1cf4-11dc-8aec-0017318e1b88}]
shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL WelcomeVMC.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{150b1778-a32b-11db-8894-0017318e1b88}]
shell\AutoRun\command - E:\PortableApps\PortableApps\PortableAppsMenu\PortableAppsMenu.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1eb355b8-c361-11db-8a98-0017318e1b88}]
shell\AutoRun\command - E:\InstallTomTomHOME.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{612bea56-3810-11de-8cf6-0017318e1b88}]
shell\AutoRun\command - E:\PortableApps\PortableApps\PortableAppsMenu\PortableAppsMenu.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d36958b9-a359-11db-b09c-806d6172696f}]
shell\AutoRun\command - E:\ASUSACPI.exe


======List of files/folders created in the last 1 months======

2009-10-14 18:56:58 ----D---- C:\_OTM
2009-10-13 22:39:58 ----A---- C:\WINDOWS\system32\tmp.txt
2009-10-13 22:39:36 ----A---- C:\rapport.txt
2009-10-13 22:36:56 ----A---- C:\WINDOWS\system32\WS2Fix.exe
2009-10-13 22:36:56 ----A---- C:\WINDOWS\system32\VCCLSID.exe
2009-10-13 22:36:56 ----A---- C:\WINDOWS\system32\VACFix.exe
2009-10-13 22:36:56 ----A---- C:\WINDOWS\system32\swxcacls.exe
2009-10-13 22:36:56 ----A---- C:\WINDOWS\system32\swsc.exe
2009-10-13 22:36:56 ----A---- C:\WINDOWS\system32\swreg.exe
2009-10-13 22:36:56 ----A---- C:\WINDOWS\system32\SrchSTS.exe
2009-10-13 22:36:56 ----A---- C:\WINDOWS\system32\Process.exe
2009-10-13 22:36:56 ----A---- C:\WINDOWS\system32\o4Patch.exe
2009-10-13 22:36:56 ----A---- C:\WINDOWS\system32\IEDFix.exe
2009-10-13 22:36:56 ----A---- C:\WINDOWS\system32\IEDFix.C.exe
2009-10-13 22:36:56 ----A---- C:\WINDOWS\system32\dumphive.exe
2009-10-13 22:36:56 ----A---- C:\WINDOWS\system32\Agent.OMZ.Fix.exe
2009-10-13 22:36:56 ----A---- C:\WINDOWS\system32\404Fix.exe
2009-10-13 21:37:25 ----D---- C:\rsit
2009-10-13 21:26:40 ----D---- C:\Program Files\Trend Micro
2009-10-13 21:25:01 ----D---- C:\Documents and Settings\All Users\Application Data\PrevxCSI
2009-10-13 21:19:33 ----D---- C:\Program Files\Fichiers communs\Cisco Systems
2009-10-13 21:19:01 ----SHD---- C:\Config.Msi
2009-10-13 21:15:27 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-10-13 21:01:44 ----A---- C:\WINDOWS\ntbtlog.txt
2009-10-13 19:02:11 ----D---- C:\Documents and Settings\Famille Galley\Application Data\Malwarebytes
2009-10-13 19:02:05 ----D---- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2009-10-13 19:02:04 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2009-10-11 20:28:19 ----A---- C:\WINDOWS\wininit.ini
2009-10-11 19:53:49 ----D---- C:\Program Files\Spybot - Search & Destroy
2009-10-11 19:53:49 ----D---- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2009-10-11 19:46:44 ----D---- C:\Program Files\CCleaner
2009-10-11 18:50:40 ----D---- C:\Documents and Settings\Famille Galley\Application Data\gtopala
2009-10-11 18:02:42 ----D---- C:\WINDOWS\ie8updates
2009-10-11 18:01:17 ----HDC---- C:\WINDOWS\ie8
2009-10-11 16:08:21 ----A---- C:\WINDOWS\EEventManager .INI
2009-10-11 12:59:05 ----A---- C:\WINDOWS\system32\e5n5krupcn8o.dll
2009-10-11 12:58:20 ----A---- C:\WINDOWS\system32\psdrvcheck.exe -checkreg
2009-10-11 12:58:20 ----A---- C:\WINDOWS\system32\psdrvcheck .exe
2009-10-11 12:57:50 ----A---- C:\WINDOWS\system32\kr_done1.exe
2009-10-11 12:24:28 ----D---- C:\Downloads
2009-10-11 12:15:19 ----D---- C:\Organized Music
2009-10-11 12:12:29 ----A---- C:\WINDOWS\system32\sound3.dll
2009-10-11 12:12:29 ----A---- C:\WINDOWS\system32\sound2.dll
2009-10-11 12:12:28 ----A---- C:\WINDOWS\system32\sound1.dll
2009-10-11 12:12:28 ----A---- C:\WINDOWS\system32\ccrpbds6.dll
2009-10-02 21:03:19 ----A---- C:\WINDOWS\EEventManager.INI
2009-10-02 19:56:55 ----D---- C:\Documents and Settings\Famille Galley\Application Data\Epson
2009-10-02 19:53:27 ----A---- C:\WINDOWS\system32\E_FLBFBE.DLL
2009-10-02 19:53:27 ----A---- C:\WINDOWS\system32\E_FD4BFBE.DLL
2009-10-02 19:52:03 ----D---- C:\Documents and Settings\All Users\Application Data\UDL
2009-10-02 19:49:17 ----D---- C:\Program Files\Epson Software
2009-10-02 19:48:20 ----D---- C:\Program Files\ABBYY FineReader 6.0 Sprint
2009-10-02 19:45:51 ----DC---- C:\WINDOWS\system32\DRVSTORE
2009-10-02 19:45:45 ----D---- C:\Documents and Settings\All Users\Application Data\EPSON
2009-10-02 19:45:36 ----A---- C:\WINDOWS\system32\escdev.dll
2009-10-02 19:45:35 ----A---- C:\WINDOWS\system32\eswiaud.dll
2009-10-02 19:14:22 ----N---- C:\WINDOWS\system32\MpSigStub.exe
2009-10-02 19:08:56 ----D---- C:\WINDOWS\Minidump
2009-09-19 15:06:24 ----D---- C:\WINDOWS\system32\appmgmt

======List of files/folders modified in the last 1 months======

2009-10-14 19:18:45 ----D---- C:\WINDOWS\Temp
2009-10-14 19:18:26 ----D---- C:\Program Files\Mozilla Firefox
2009-10-14 19:03:31 ----SD---- C:\WINDOWS\Tasks
2009-10-14 19:01:49 ----D---- C:\WINDOWS\system32\CatRoot2
2009-10-14 19:01:38 ----D---- C:\WINDOWS\system32
2009-10-14 19:01:38 ----A---- C:\WINDOWS\system32\nerocheck.exe
2009-10-14 18:59:08 ----D---- C:\WINDOWS
2009-10-13 22:45:12 ----A---- C:\WINDOWS\NeroDigital.ini
2009-10-13 22:35:18 ----D---- C:\WINDOWS\Prefetch
2009-10-13 21:26:40 ----RD---- C:\Program Files
2009-10-13 21:22:01 ----SHD---- C:\WINDOWS\Installer
2009-10-13 21:19:55 ----D---- C:\Documents and Settings\All Users\Application Data\Network Associates
2009-10-13 21:19:33 ----D---- C:\Program Files\Fichiers communs
2009-10-13 21:19:14 ----D---- C:\WINDOWS\system32\drivers
2009-10-13 21:19:04 ----D---- C:\Program Files\Fichiers communs\Network Associates
2009-10-13 21:02:18 ----D---- C:\quarantine
2009-10-13 18:49:54 ----D---- C:\Program Files\Adobe
2009-10-13 18:49:40 ----A---- C:\WINDOWS\system32\nerocheck.exe59
2009-10-11 19:48:24 ----D---- C:\WINDOWS\Debug
2009-10-11 18:04:25 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-10-11 18:04:25 ----HD---- C:\WINDOWS\inf
2009-10-11 18:04:25 ----D---- C:\WINDOWS\system32\fr-fr
2009-10-11 18:04:25 ----D---- C:\WINDOWS\Media
2009-10-11 18:04:25 ----D---- C:\WINDOWS\Help
2009-10-11 18:04:25 ----D---- C:\Program Files\Internet Explorer
2009-10-11 18:02:58 ----HD---- C:\WINDOWS\$hf_mig$
2009-10-11 12:12:31 ----RSD---- C:\WINDOWS\Fonts
2009-10-11 12:12:27 ----D---- C:\Apps
2009-10-10 09:47:13 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-10-02 19:51:12 ----HD---- C:\Program Files\InstallShield Installation Information
2009-10-02 19:50:57 ----D---- C:\Program Files\EPSON
2009-10-02 19:50:04 ----SD---- C:\WINDOWS\Downloaded Program Files
2009-10-02 19:50:04 ----D---- C:\Program Files\Fichiers communs\InstallShield
2009-10-02 19:46:06 ----D---- C:\WINDOWS\system32\CatRoot
2009-10-02 19:45:30 ----D---- C:\WINDOWS\twain_32
2009-09-30 20:26:14 ----D---- C:\Documents and Settings\Famille Galley\Application Data\Canon
2009-09-26 09:17:47 ----D---- C:\Documents and Settings\All Users\Application Data\DVD Shrink
2009-09-22 20:35:38 ----D---- C:\Program Files\Fichiers communs\EPSON
2009-09-19 15:07:36 ----D---- C:\Program Files\CyberLink
2009-09-19 15:06:57 ----D---- C:\Program Files\palmOne

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AmdK8;Pilote de processeur AMD Athlon64; C:\WINDOWS\system32\DRIVERS\AmdK8.sys [2004-05-08 38912]
R1 AsIO;AsIO; C:\WINDOWS\system32\drivers\AsIO.sys [2004-10-14 4962]
R1 aslm75;aslm75; \??\C:\WINDOWS\system32\drivers\aslm75.sys []
R1 NaiAvTdi1;NaiAvTdi1; C:\WINDOWS\system32\drivers\mvstdi5x.sys [2004-09-22 58048]
R1 WS2IFSL;Environnement de prise en charge de Fournisseur de services non-IFS Windows Sockets 2.0; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2003-04-24 12032]
R2 ASInsHelp;ASInsHelp; \??\C:\WINDOWS\system32\drivers\AsInsHelp32.sys []
R2 ROB_A;Pinnacle WDM PCTV Audio Capture; C:\WINDOWS\system32\DRIVERS\rob_a.sys [2002-02-07 20064]
R2 ROB_V;Pinnacle WDM PCTV Video Capture; C:\WINDOWS\system32\drivers\rob_v.sys [2002-04-30 133026]
R2 WebDriveFSD;WebDrive File System Driver; \??\C:\Apps\NetDrive\rffsd.sys []
R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2005-06-16 2324160]
R3 Arp1394;Protocole client ARP 1394; C:\WINDOWS\System32\DRIVERS\arp1394.sys [2008-04-13 60800]
R3 ASAPIW2k;ASAPIW2K; C:\WINDOWS\system32\drivers\ASAPIW2k.sys [2004-03-10 11264]
R3 ati2mtag;ati2mtag; C:\WINDOWS\System32\DRIVERS\ati2mtag.sys [2005-11-23 1410560]
R3 EntDrv51;EntDrv51; \??\C:\WINDOWS\system32\drivers\EntDrv51.sys []
R3 hidusb;Pilote de classe HID Microsoft; C:\WINDOWS\System32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 mouhid;Pilote HID de souris; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2003-04-24 12288]
R3 ms_mpu401;Pilote UART MIDI MPU-401 Microsoft; C:\WINDOWS\system32\drivers\msmpu401.sys [2001-08-17 2944]
R3 NaiAvFilter1;NaiAvFilter1; C:\WINDOWS\system32\drivers\naiavf5x.sys [2004-09-22 108256]
R3 NIC1394;Pilote réseau 1394; C:\WINDOWS\System32\DRIVERS\nic1394.sys [2008-04-13 61824]
R3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\WINDOWS\system32\DRIVERS\NVENETFD.sys [2004-07-28 33024]
R3 nvnetbus;NVIDIA Network Bus Enumerator; C:\WINDOWS\system32\DRIVERS\nvnetbus.sys [2004-07-28 12928]
R3 usbehci;Pilote miniport de contrôleur hôte amélioré USB 2.0 Microsoft; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;Concentrateur USB2; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbohci;Pilote miniport de contrôleur hôte ouvert USB Microsoft; C:\WINDOWS\System32\DRIVERS\usbohci.sys [2008-04-13 17152]
S3 CCDECODE;Décodeur sous-titre fermé; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-13 17024]
S3 DSDrv4;DSDrv4; \??\C:\Apps\K!\Plugins\S_Bt8x8\DSDrv4.sys []
S3 MSTEE;Convertisseur en T/site-à-site de répartition Microsoft; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-13 5504]
S3 NABTSFEC;Codec NABTS/FEC VBI; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-13 85248]
S3 NdisIP;Connection TV/vidéo Microsoft; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-13 10880]
S3 PalmUSBD;PalmUSBD; C:\WINDOWS\system32\drivers\PalmUSBD.sys []
S3 SLIP;Détrameur décalage BDA; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-13 11136]
S3 SONYPVU1;Pilote de filtrage Sony USB (SONYPVU1); C:\WINDOWS\system32\DRIVERS\SONYPVU1.SYS [2001-08-17 7552]
S3 streamip;BDA IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-13 15232]
S3 usb_rndisx;Carte ISDN USB; C:\WINDOWS\system32\DRIVERS\usb8023x.sys [2008-04-13 12800]
S3 usbccgp;Pilote parent générique USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
S3 usbprint;Classe d'imprimantes USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
S3 usbscan;Pilote de scanneur USB; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 USBSTOR;Pilote de stockage de masse USB; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 WSTCODEC;Codec Teletext standard; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
S4 RFNP32;WebDrive Provider; C:\WINDOWS\system32\drivers\RFNP32.sys []
S4 sr;Pilote de filtre de restauration système; C:\WINDOWS\System32\DRIVERS\sr.sys [2008-04-14 73600]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2005-11-23 393216]
R2 McAfeeFramework;Service Framework McAfee; C:\Program Files\Network Associates\Common Framework\FrameworkService.exe [2004-08-06 102463]
R2 McShield;Network Associates McShield; C:\Program Files\Network Associates\VirusScan\Mcshield.exe [2004-09-22 221191]
R2 McTaskManager;Network Associates Task Manager; C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe [2004-09-22 28672]
R2 MDM;Machine Debug Manager; C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE [2003-06-20 322120]
R2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2005-01-28 38912]
R2 WebDriveService;WebDrive Service; C:\Apps\NetDrive\wdService.exe [2003-03-26 94208]
R2 WinDefend;Windows Defender; C:\Program Files\Windows Defender\MsMpEng.exe [2006-11-03 13592]
S2 ATI Smart;ATI Smart; C:\WINDOWS\system32\ati2sgag.exe [2005-11-22 520192]
S3 aspnet_state;Service d'état ASP.NET; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 ose;Office Source Engine; C:\Program Files\Fichiers communs\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S4 NetTcpPortSharing;Service de partage de ports Net.Tcp; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------

Avec les mêmes saletés qui trainent

Salut,


effectivement , c'est revenu .... le prb est ailleurs ...



on va faire quelques vérifes avant de poursuivre :


1- Avoir accès aux fichiers cachés :

Va dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
* "Afficher les fichiers et dossiers cachés" ---> coché
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché
* "masquer les fichiers du système" ---> décoché
-> valide la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )



2- Rends toi sur ce site :

http://www.virustotal.com/

Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :
c:\windows\system32\e5n5krupcn8o.dll

Clique sur Send File ( = " Envoyer le fichier " ).

Un rapport va s'élaborer ligne à ligne.

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta prochaine réponse ...

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

petit tuto > http://www.commentcamarche.net/...


Fais de même pour :

C:\WINDOWS\EEventManager .INI
C:\WINDOWS\system32\psdrvcheck .exe
C:\WINDOWS\system32\kr_done1.exe
C:\WINDOWS\system32\nerocheck.exe59


Poste moi donc ces 5 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...



"Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne 
vous l'a pas dit !

C:\windows\system32\e5n5krupcn8o.dll réinitialise la connexion avec le serveur(analyse impossible,ceic dit, il était associé à un exe que j'avais viré au début, j'aurais mieux fait de poster direct!).

eeventmanager (fichier vide, a priori lié à epson, mais il y en a 2 dont un avec un espace, mais dater a priori d'avant l'attaque):
0 bytes size received / Se ha recibido un archivo vacio

C:\WINDOWS\system32\psdrvcheck .exe:

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.41 2009.10.14 Trojan-Downloader.Win32.Small!­IK
AhnLab-V3 5.0.0.2 2009.10.13 -
AntiVir 7.9.1.35 2009.10.14 -
Antiy-AVL 2.0.3.7 2009.10.14 -
Authentium 5.1.2.4 2009.10.14 -
Avast 4.8.1351.0 2009.10.13 -
AVG 8.5.0.420 2009.10.14 Worm/Koobface.K
BitDefender 7.2 2009.10.14 -
CAT-QuickHeal 10.00 2009.10.14 TrojanDownloader.Small.anvz
ClamAV 0.94.1 2009.10.14 -
Comodo 2599 2009.10.13 -
DrWeb 5.0.0.12182 2009.10.14 -
eSafe 7.0.17.0 2009.10.14 -
eTrust-Vet 35.1.7067 2009.10.14 -
F-Prot 4.5.1.85 2009.10.14 -
F-Secure 8.0.14470.0 2009.10.14 Trojan-Downloader.Win32.Smal­l.anvz
Fortinet 3.120.0.0 2009.10.14 W32/Small.ANVZ!tr.dldr
GData 19 2009.10.14 -
Ikarus T3.1.1.72.0 2009.10.14 Trojan-Downloader.Win32.Small
Jiangmin 11.0.800 2009.10.08 -
K7AntiVirus 7.10.870 2009.10.14 -
Kaspersky 7.0.0.125 2009.10.14 Trojan-Downloader.Win32.Small­.anvz
McAfee 5771 2009.10.14 -
McAfee+Artemis 5771 2009.10.14 Artemis!EC3170C08663
McAfee-GW-Edition 6.8.5 2009.10.14 Heuristic.BehavesLike.Win­32.PasswordStealer.H
Microsoft 1.5101 2009.10.14 -
NOD32 4507 2009.10.14 -
Norman 6.01.09 2009.10.14 -
nProtect 2009.1.8.0 2009.10.14 -
Panda 10.0.2.2 2009.10.14 Suspicious file
PCTools 4.4.2.0 2009.10.14 -
Prevx 3.0 2009.10.14 -
Rising 21.51.24.00 2009.10.14 -
Sophos 4.46.0 2009.10.14 -
Sunbelt 3.2.1858.2 2009.10.14 -
Symantec 1.4.4.12 2009.10.14 -
TheHacker 6.5.0.2.041 2009.10.14 -
TrendMicro 8.950.0.1094 2009.10.14 -
VBA32 3.12.10.11 2009.10.14 -
ViRobot 2009.10.14.1984 2009.10.14 -
VirusBuster 4.6.5.0 2009.10.14 -
Information additionnelle
File size: 30720 bytes
MD5...: ec3170c08663951a14a20d4981790521
SHA1..: 23c7ec2432f55d59537b84dc011f6bbcfa6638f9
SHA256: 2ef4cbc616d5574120ef15d118e11c1e213b7a69adf6baaf6b074f136a47­3352
ssdeep: 768:KtJNldbYDMdwnIkmJFustctrUhQFyP+LDkfboboW9Y:KtJJA2cDkfbQo­W+
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3a9f
timedatestamp.....: 0x4acbfd72 (Wed Oct 07 02:31:14 2009)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2b7e 0x2c00 5.86 327a07d66b104d0284f499a4dc2756ca
.rdata 0x4000 0x2c6 0x400 3.68 273c9b096c2382ba84e7db5be3659569
.data 0x5000 0x10af0 0x4400 6.81 6c70b9c9059b2bbb018f92303ade017e

( 1 imports )
> KERNEL32.dll: GetFileAttributesExA, HeapDestroy, Sleep, HeapFree, QueryPerformanceCounter, HeapCreate, HeapAlloc, GetProcessHeap, CloseHandle, GetTickCount, ReadFile, SetFilePointer, CreateFileA, ExitProcess, GetModuleFileNameA, VirtualAlloc, VirtualProtect, VirtualFree, GetProcAddress, LoadLibraryA, IsBadReadPtr, lstrcmpiA, FreeLibrary, HeapReAlloc, GetModuleHandleA, GetStartupInfoA, GetCommandLineA

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

C:\WINDOWS\system32\kr_done1.exe (je l'avais renommé pendant un moment et en fait, pas sur que c'était un exe, oups)

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.41 2009.10.14 -
AhnLab-V3 5.0.0.2 2009.10.13 -
AntiVir 7.9.1.35 2009.10.14 -
Antiy-AVL 2.0.3.7 2009.10.14 -
Authentium 5.1.2.4 2009.10.14 -
Avast 4.8.1351.0 2009.10.13 -
AVG 8.5.0.420 2009.10.14 -
BitDefender 7.2 2009.10.14 -
CAT-QuickHeal 10.00 2009.10.14 -
ClamAV 0.94.1 2009.10.14 -
Comodo 2599 2009.10.13 -
DrWeb 5.0.0.12182 2009.10.14 -
eSafe 7.0.17.0 2009.10.14 -
eTrust-Vet 35.1.7067 2009.10.14 -
F-Prot 4.5.1.85 2009.10.14 -
F-Secure 8.0.14470.0 2009.10.14 -
Fortinet 3.120.0.0 2009.10.14 -
GData 19 2009.10.14 -
Ikarus T3.1.1.72.0 2009.10.14 -
Jiangmin 11.0.800 2009.10.08 -
K7AntiVirus 7.10.870 2009.10.14 -
Kaspersky 7.0.0.125 2009.10.14 -
McAfee 5771 2009.10.14 -
McAfee+Artemis 5771 2009.10.14 -
Microsoft 1.5101 2009.10.14 -
NOD32 4507 2009.10.14 -
Norman 6.01.09 2009.10.14 -
nProtect 2009.1.8.0 2009.10.14 -
Panda 10.0.2.2 2009.10.14 -
PCTools 4.4.2.0 2009.10.14 -
Prevx 3.0 2009.10.14 -
Rising 21.51.24.00 2009.10.14 -
Sophos 4.46.0 2009.10.14 -
Sunbelt 3.2.1858.2 2009.10.14 -
Symantec 1.4.4.12 2009.10.14 -
TheHacker 6.5.0.2.041 2009.10.14 -
TrendMicro 8.950.0.1094 2009.10.14 -
VBA32 3.12.10.11 2009.10.14 -
ViRobot 2009.10.14.1984 2009.10.14 -
VirusBuster 4.6.5.0 2009.10.14 -
Information additionnelle
File size: 10 bytes
MD5...: 45760e93886c401f64e7be658b41650c
SHA1..: c325a28d7c2b251fa6cef60f097f3dba04b4385f
SHA256: b930b5edc993134e3b42bdc6ee0fbde0e23a29264b241ed3d8199e7b8997f1a6
ssdeep: 3:OQ4:OQ4
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Unknown!
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

C:\WINDOWS\system32\nerocheck.exe59

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.41 2009.10.14 Trojan-Downloader.Win32.Small!IK
AhnLab-V3 5.0.0.2 2009.10.13 -
AntiVir 7.9.1.35 2009.10.14 -
Antiy-AVL 2.0.3.7 2009.10.14 -
Authentium 5.1.2.4 2009.10.14 -
Avast 4.8.1351.0 2009.10.13 -
AVG 8.5.0.420 2009.10.14 Worm/Koobface.K
BitDefender 7.2 2009.10.14 -
CAT-QuickHeal 10.00 2009.10.14 TrojanDownloader.Small.anvz
ClamAV 0.94.1 2009.10.14 -
Comodo 2599 2009.10.13 -
DrWeb 5.0.0.12182 2009.10.14 -
eSafe 7.0.17.0 2009.10.14 -
eTrust-Vet 35.1.7067 2009.10.14 -
F-Prot 4.5.1.85 2009.10.14 -
F-Secure 8.0.14470.0 2009.10.14 Trojan-Downloader.Win32.Small.anvz
Fortinet 3.120.0.0 2009.10.14 W32/Small.ANVZ!tr.dldr
GData 19 2009.10.14 -
Ikarus T3.1.1.72.0 2009.10.14 Trojan-Downloader.Win32.Small
Jiangmin 11.0.800 2009.10.08 -
K7AntiVirus 7.10.870 2009.10.14 -
Kaspersky 7.0.0.125 2009.10.14 Trojan-Downloader.Win32.Small.anvz
McAfee 5771 2009.10.14 -
McAfee+Artemis 5771 2009.10.14 Artemis!EC3170C08663
McAfee-GW-Edition 6.8.5 2009.10.14 Heuristic.BehavesLike.Win32.PasswordStealer.H
Microsoft 1.5101 2009.10.14 -
NOD32 4507 2009.10.14 -
Norman 6.01.09 2009.10.14 -
nProtect 2009.1.8.0 2009.10.14 -
Panda 10.0.2.2 2009.10.14 Suspicious file
PCTools 4.4.2.0 2009.10.14 -
Prevx 3.0 2009.10.14 -
Rising 21.51.24.00 2009.10.14 -
Sophos 4.46.0 2009.10.14 -
Sunbelt 3.2.1858.2 2009.10.14 -
Symantec 1.4.4.12 2009.10.14 -
TheHacker 6.5.0.2.041 2009.10.14 -
TrendMicro 8.950.0.1094 2009.10.14 -
VBA32 3.12.10.11 2009.10.14 -
ViRobot 2009.10.14.1984 2009.10.14 -
VirusBuster 4.6.5.0 2009.10.14 -
Information additionnelle
File size: 30720 bytes
MD5...: ec3170c08663951a14a20d4981790521
SHA1..: 23c7ec2432f55d59537b84dc011f6bbcfa6638f9
SHA256: 2ef4cbc616d5574120ef15d118e11c1e213b7a69adf6baaf6b074f136a473352
ssdeep: 768:KtJNldbYDMdwnIkmJFustctrUhQFyP+LDkfboboW9Y:KtJJA2cDkfbQoW+
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3a9f
timedatestamp.....: 0x4acbfd72 (Wed Oct 07 02:31:14 2009)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2b7e 0x2c00 5.86 327a07d66b104d0284f499a4dc2756ca
.rdata 0x4000 0x2c6 0x400 3.68 273c9b096c2382ba84e7db5be3659569
.data 0x5000 0x10af0 0x4400 6.81 6c70b9c9059b2bbb018f92303ade017e

( 1 imports )
> KERNEL32.dll: GetFileAttributesExA, HeapDestroy, Sleep, HeapFree, QueryPerformanceCounter, HeapCreate, HeapAlloc, GetProcessHeap, CloseHandle, GetTickCount, ReadFile, SetFilePointer, CreateFileA, ExitProcess, GetModuleFileNameA, VirtualAlloc, VirtualProtect, VirtualFree, GetProcAddress, LoadLibraryA, IsBadReadPtr, lstrcmpiA, FreeLibrary, HeapReAlloc, GetModuleHandleA, GetStartupInfoA, GetCommandLineA

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

Re,


la suite dans l'ordre :


1- Ré-utilise OTM :

Double clique sur "OTM.exe" pour ouvrir le prg .
Puis copie ce qui se trouve en citation ci-dessous,


:Files
C:\WINDOWS\system32\nerocheck.exe59
C:\WINDOWS\system32\e5n5krupcn8o.dll
C:\WINDOWS\system32\psdrvcheck.exe -checkreg
C:\WINDOWS\system32\psdrvcheck .exe
C:\WINDOWS\system32\kr_done1.exe
C:\WINDOWS\tasks\At1.job
C:\WINDOWS\tasks\At10.job
C:\WINDOWS\tasks\At11.job
C:\WINDOWS\tasks\At12.job
C:\WINDOWS\tasks\At13.job
C:\WINDOWS\tasks\At14.job
C:\WINDOWS\tasks\At15.job
C:\WINDOWS\tasks\At16.job
C:\WINDOWS\tasks\At17.job
C:\WINDOWS\tasks\At18.job
C:\WINDOWS\tasks\At19.job
C:\WINDOWS\tasks\At2.job
C:\WINDOWS\tasks\At20.job
C:\WINDOWS\tasks\At21.job
C:\WINDOWS\tasks\At22.job
C:\WINDOWS\tasks\At23.job
C:\WINDOWS\tasks\At24.job
C:\WINDOWS\tasks\At3.job
C:\WINDOWS\tasks\At4.job
C:\WINDOWS\tasks\At5.job
C:\WINDOWS\tasks\At6.job
C:\WINDOWS\tasks\At7.job
C:\WINDOWS\tasks\At8.job
C:\WINDOWS\tasks\At9.job

:Commands
[purity]
[emptytemp]
[Reboot]


et colle le dans le cadre de gauche de OTM :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)

! Déconnecte toi et ferme toutes tes applications en cours ! ( navigateurs compris )

-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ...

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

Ton PC va redémarrer de lui même pour finir la suppression ...

Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"
( " xxxx2009_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).


========================

2- Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !):

http://download.bleepingcomputer.com/sUBs/ComboFix.exe


--------------------------------- [ ! ATTENTION ! ] ------------------------------------------
!! Déconnecte toi,ferme tes applications en cours ( ainsi que ton navigateur ) et DESACTIVE TOUTES TES DEFENSES (anti-virus, guarde anti spy-ware, pare-feu) le temps de la manipe :
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
--------------------------------------------------------------------------------------------

Ensuite :
> Double-clique sur l'icône "Combofix.exe" pour lancer l'outil .
> A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...


-- Pour XP, l' installation de la Console de Récupération sera demandé :
* Laisse toi guider et fais l'installe de la "console de récupération" ( en anglais, "Windows Recovery Console" ) lorsque l'outil te le demandera ( important ! ).
image > http://img.photobucket.com/albums/v706/ried7/RcAuto1.gif
*Reconnecte toi avant de cliquer sur "yes", et uniquement le temps de cette manipulation.
*Une fois la console installée,
image > http://img.photobucket.com/albums/v706/ried7/whatnext.png
re-déconnecte toi avant de cliquer sur "yes" pour lancer le scan --


Notes importantes :
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un momment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

Le rapport sera crée ici : C:\Combofix.txt

Réactive bien tes défenses .


Poste le rapport Combofix pour analyse ...


"Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne 
vous l'a pas dit !

Problème, OTM plante sur le move de e5n5rupcn80.dll. Plus de son plus d'image. J'ai été obligé de l'arrêté.

Recommence OTM mais avec ce script :


:Files
C:\WINDOWS\system32\nerocheck.exe59
C:\WINDOWS\system32\psdrvcheck.exe -checkreg
C:\WINDOWS\system32\psdrvcheck .exe
C:\WINDOWS\system32\kr_done1.exe
C:\WINDOWS\tasks\At1.job
C:\WINDOWS\tasks\At10.job
C:\WINDOWS\tasks\At11.job
C:\WINDOWS\tasks\At12.job
C:\WINDOWS\tasks\At13.job
C:\WINDOWS\tasks\At14.job
C:\WINDOWS\tasks\At15.job
C:\WINDOWS\tasks\At16.job
C:\WINDOWS\tasks\At17.job
C:\WINDOWS\tasks\At18.job
C:\WINDOWS\tasks\At19.job
C:\WINDOWS\tasks\At2.job
C:\WINDOWS\tasks\At20.job
C:\WINDOWS\tasks\At21.job
C:\WINDOWS\tasks\At22.job
C:\WINDOWS\tasks\At23.job
C:\WINDOWS\tasks\At24.job
C:\WINDOWS\tasks\At3.job
C:\WINDOWS\tasks\At4.job
C:\WINDOWS\tasks\At5.job
C:\WINDOWS\tasks\At6.job
C:\WINDOWS\tasks\At7.job
C:\WINDOWS\tasks\At8.job
C:\WINDOWS\tasks\At9.job

:Commands
[purity]
[emptytemp]
[Reboot]



poste le rapport obtenu et fais la suite ( ComboFix ) ....


"Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne 
vous l'a pas dit !

Voici déjà le log d'OTM:

All processes killed
========== FILES ==========
File/Folder C:\WINDOWS\system32\nerocheck.exe59 not found.
C:\WINDOWS\system32\psdrvcheck.exe -checkreg moved successfully.
C:\WINDOWS\system32\psdrvcheck .exe moved successfully.
C:\WINDOWS\system32\kr_done1.exe moved successfully.
C:\WINDOWS\tasks\At1.job moved successfully.
C:\WINDOWS\tasks\At10.job moved successfully.
C:\WINDOWS\tasks\At11.job moved successfully.
C:\WINDOWS\tasks\At12.job moved successfully.
C:\WINDOWS\tasks\At13.job moved successfully.
C:\WINDOWS\tasks\At14.job moved successfully.
C:\WINDOWS\tasks\At15.job moved successfully.
C:\WINDOWS\tasks\At16.job moved successfully.
C:\WINDOWS\tasks\At17.job moved successfully.
C:\WINDOWS\tasks\At18.job moved successfully.
C:\WINDOWS\tasks\At19.job moved successfully.
C:\WINDOWS\tasks\At2.job moved successfully.
C:\WINDOWS\tasks\At20.job moved successfully.
C:\WINDOWS\tasks\At21.job moved successfully.
C:\WINDOWS\tasks\At22.job moved successfully.
C:\WINDOWS\tasks\At23.job moved successfully.
C:\WINDOWS\tasks\At24.job moved successfully.
C:\WINDOWS\tasks\At3.job moved successfully.
C:\WINDOWS\tasks\At4.job moved successfully.
C:\WINDOWS\tasks\At5.job moved successfully.
C:\WINDOWS\tasks\At6.job moved successfully.
C:\WINDOWS\tasks\At7.job moved successfully.
C:\WINDOWS\tasks\At8.job moved successfully.
C:\WINDOWS\tasks\At9.job moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Famille Galley
->Temp folder emptied: 616010 bytes
->Temporary Internet Files folder emptied: 26557917 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 47582990 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 904 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
File delete failed. C:\WINDOWS\temp\WFV1.tmp scheduled to be deleted on reboot.
Windows Temp folder emptied: 51287315 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 120,33 mb


OTM by OldTimer - Version 3.0.0.6 log created on 10142009_231015

Files moved on Reboot...
File move failed. C:\WINDOWS\temp\WFV1.tmp scheduled to be moved on reboot.

Registry entries deleted on Reboot...

Vu ....


la suite.... ;)

"Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne 
vous l'a pas dit !

Voici le rapport Combo fix:

ComboFix 09-10-14.01 - Famille Galley 14/10/2009 23:29.1.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1535.1007 [GMT 2:00]
Lancé depuis: c:\documents and settings\Famille Galley\Bureau\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Famille Galley\soundman .exe
c:\documents and settings\Famille Galley\soundman.exe
c:\windows\EEventManager .INI
c:\windows\Installer\145019.msi
c:\windows\system32\404Fix.exe
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\ctfmon .exe
c:\windows\system32\drivers\EntDrv51.sys
c:\windows\system32\dumphive.exe
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\nerocheck .exe
c:\windows\system32\o4Patch.exe
c:\windows\system32\Process.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\tmp.reg
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_EntDrv51


((((((((((((((((((((((((((((( Fichiers créés du 2009-09-14 au 2009-10-14 ))))))))))))))))))))))))))))))))))))
.

2009-10-14 21:34 . 2009-10-14 21:34 30720 ----a-w- c:\documents and settings\Famille Galley\soundman.exe
2009-10-14 16:56 . 2009-10-14 20:57 -------- d-----w- C:\_OTM
2009-10-13 19:37 . 2009-10-13 19:37 -------- d-----w- C:\rsit
2009-10-13 19:26 . 2009-10-13 19:26 -------- d-----w- c:\program files\Trend Micro
2009-10-13 19:25 . 2009-10-13 19:25 -------- d-----w- c:\documents and settings\All Users\Application Data\PrevxCSI
2009-10-13 19:19 . 2009-10-13 19:19 -------- d-----w- c:\program files\Fichiers communs\Cisco Systems
2009-10-13 19:19 . 2004-09-22 18:00 58048 ----a-w- c:\windows\system32\drivers\mvstdi5x.sy­s
2009-10-13 17:02 . 2009-10-13 17:02 -------- d-----w- c:\documents and settings\Famille Galley\Application Data\Malwarebytes
2009-10-13 17:02 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissar­my.sys
2009-10-13 17:02 . 2009-10-13 17:02 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-10-13 17:02 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-10-13 17:02 . 2009-10-13 18:18 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-10-11 17:53 . 2009-10-13 19:15 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-10-11 17:53 . 2009-10-13 18:58 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-10-11 17:46 . 2009-10-11 17:46 -------- d-----w- c:\program files\CCleaner
2009-10-11 16:50 . 2009-10-11 16:50 -------- d-----w- c:\documents and settings\Famille Galley\Application Data\gtopala
2009-10-11 16:06 . 2009-10-11 16:06 -------- d-sh--w- c:\documents and settings\Famille Galley\PrivacIE
2009-10-11 16:05 . 2009-10-11 16:05 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache
2009-10-11 16:04 . 2009-10-11 16:04 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache
2009-10-11 16:04 . 2009-10-11 16:04 -------- d-sh--w- c:\documents and settings\Famille Galley\IETldCache
2009-10-11 16:02 . 2009-10-11 16:02 -------- d-----w- c:\windows\ie8updates
2009-10-11 16:01 . 2009-10-11 16:01 -------- dc-h--w- c:\windows\ie8
2009-10-11 15:59 . 2009-08-07 08:48 100352 -c----w- c:\windows\system32\dllcache\iecompat.dll
2009-10-11 15:58 . 2009-07-03 16:57 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2009-10-11 15:58 . 2009-07-03 16:57 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2009-10-11 10:59 . 2009-10-11 17:22 307200 ----a-w- c:\windows\system32\e5n5krupcn8o.dll
2009-10-11 10:24 . 2009-10-11 10:24 -------- d-----w- C:\Downloads
2009-10-11 10:15 . 2009-10-11 10:15 -------- d-----w- C:\Organized Music
2009-10-11 10:12 . 2004-06-05 12:52 159744 ----a-w- c:\windows\system32\sound3.dll
2009-10-11 10:12 . 2004-06-05 12:52 159744 ----a-w- c:\windows\system32\sound2.dll
2009-10-11 10:12 . 2004-06-05 12:52 159744 ----a-w- c:\windows\system32\sound1.dll
2009-10-11 10:12 . 2000-05-01 22:02 110592 ----a-w- c:\windows\system32\ccrpbds6.dll
2009-10-02 17:56 . 2009-10-03 10:24 -------- d-----w- c:\documents and settings\Famille Galley\Application Data\Epson
2009-10-02 17:53 . 2008-08-08 02:09 86528 ----a-w- c:\windows\system32\E_FLBFBE.DLL
2009-10-02 17:53 . 2007-12-07 02:01 78848 ----a-w- c:\windows\system32\E_FD4BFBE.DLL
2009-10-02 17:53 . 2008-04-13 18:45 32128 -c--a-w- c:\windows\system32\dllcache\usbccgp.sys
2009-10-02 17:53 . 2008-04-13 18:45 32128 ----a-w- c:\windows\system32\drivers\usbccgp.sys
2009-10-02 17:52 . 2009-10-02 17:52 -------- d-----w- c:\documents and settings\All Users\Application Data\UDL
2009-10-02 17:49 . 2009-10-02 17:51 -------- d-----w- c:\program files\Epson Software
2009-10-02 17:48 . 2009-10-02 17:49 -------- d-----w- c:\program files\ABBYY FineReader 6.0 Sprint
2009-10-02 17:45 . 2009-10-02 17:45 -------- dc----w- c:\windows\system32\DRVSTORE
2009-10-02 17:45 . 2009-10-02 17:53 -------- d-----w- c:\documents and settings\All Users\Application Data\EPSON
2009-10-02 17:45 . 2006-08-25 00:00 9216 ----a-w- c:\windows\system32\escdev.dll
2009-10-02 17:45 . 2008-11-16 22:00 342016 ----a-w- c:\windows\system32\eswiaud.dll
2009-10-02 17:14 . 2009-10-01 08:29 195440 ------w- c:\windows\system32\MpSigStub.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-14 21:20 . 2007-01-14 10:01 30720 ----a-w- c:\windows\system32\nerocheck.exe
2009-10-13 19:19 . 2007-01-13 15:59 -------- d-----w- c:\documents and settings\All Users\Application Data\Network Associates
2009-10-13 19:19 . 2007-01-13 15:59 -------- d-----w- c:\program files\Fichiers communs\Network Associates
2009-10-11 14:06 . 2007-01-13 15:38 81256 ----a-w- c:\documents and settings\Famille Galley\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-10-10 07:47 . 2003-04-24 12:00 85834 ----a-w- c:\windows\system32\perfc00C.dat
2009-10-10 07:47 . 2003-04-24 12:00 512628 ----a-w- c:\windows\system32\perfh00C.dat
2009-10-02 17:51 . 2007-01-13 15:42 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-10-02 17:50 . 2007-01-13 17:14 -------- d-----w- c:\program files\EPSON
2009-10-02 17:50 . 2007-01-13 15:40 -------- d-----w- c:\program files\Fichiers communs\InstallShield
2009-09-30 18:26 . 2007-01-13 17:13 -------- d-----w- c:\documents and settings\Famille Galley\Application Data\Canon
2009-09-26 07:17 . 2007-12-23 09:16 -------- d-----w- c:\documents and settings\All Users\Application Data\DVD Shrink
2009-09-22 18:35 . 2007-01-13 17:15 -------- d-----w- c:\program files\Fichiers communs\EPSON
2009-09-19 13:07 . 2007-01-14 09:03 -------- d-----w- c:\program files\CyberLink
2009-09-19 13:06 . 2007-01-14 18:14 -------- d-----w- c:\program files\palmOne
2009-09-07 11:41 . 2009-09-07 11:41 -------- d-----w- c:\program files\Fichiers communs\Yahoo!
2009-09-07 11:41 . 2007-01-27 17:00 -------- d-----w- c:\program files\Pinnacle
2009-09-07 11:41 . 2009-09-07 11:41 -------- d-----w- c:\documents and settings\All Users\Application Data\Pinnacle VideoSpin
2009-08-05 09:00 . 2003-04-24 12:00 205312 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-17 19:03 . 2003-04-24 12:00 58880 ----a-w- c:\windows\system32\atl.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TomTomHOME.exe"="c:\program files\TomTom HOME 2\HOMERunner.exe" [2008-09-26 206184]
"H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ASUS Probe"="c:\program files\ASUS\Asus Probe\AsusProb.exe" [2009-10-14 30720]
"ShStatEXE"="c:\program files\Network Associates\VirusScan\SHSTAT.EXE" [2004-09-22 94208]
"McAfeeUpdaterUI"="c:\program files\Network Associates\Common Framework\UpdaterUI.exe" [2004-08-06 139320]
"REGSHAVE"="c:\program files\REGSHAVE\REGSHAVE.EXE" [2002-02-04 53248]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2009-10-14 30720]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2006-11-03 866584]
"WebDriveTray"="c:\apps\NetDrive\netdrive.exe" [2003-06-04 294912]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-01-10 385024]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"EEventManager"="c:\progra~1\EPSONS~1\EVENTM~1\EEventManager.exe" [2009-10-14 30720]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"Network Associates Error Reporting Service"="c:\program files\Fichiers communs\Network Associates\TalkBack\TBMon.exe" [2003-10-07 147514]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2005-06-14 77824]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Famille Galley\Menu D‚marrer\Programmes\D‚marrage\
Raccourci vers Printkey2000.lnk - c:\apps\PrintKey2000\Printkey2000.exe [2007-4-9 869376]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Exif Launcher.lnk - c:\program files\FinePixViewer\QuickDCF.exe [2002-1-9 200704]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Appss\\adslTV\\adslTV.exe"=
"c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Program Files\\Pinnacle\\VideoSpin\\Programs\\RM.exe"=
"c:\\Program Files\\Pinnacle\\VideoSpin\\Programs\\umi.exe"=
"c:\\Program Files\\Pinnacle\\VideoSpin\\Programs\\VideoSpin.exe"=
"c:\\Program Files\\Epson Software\\Event Manager\\eeventmanager .exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R1 NaiAvTdi1;NaiAvTdi1;c:\windows\system32\drivers\mvstdi5x.sys [13/10/2009 21:19 58048]
R2 WebDriveFSD;WebDrive File System Driver;c:\apps\NetDrive\rffsd.sys [12/06/2007 09:18 67032]
R2 WinDefend;Windows Defender;c:\program files\Windows Defender\MsMpEng.exe [03/11/2006 19:19 13592]
S4 RFNP32;WebDrive Provider; [x]
.
Contenu du dossier 'Tâches planifiées'

2009-05-29 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 13:57]

2009-10-14 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Windows Defender\MpCmdRun.exe [2006-11-03 17:20]
.
.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Famille Galley\Application Data\Mozilla\Firefox\Profiles\tbf742ty.default\
FF - prefs.js: browser.startup.homepage - hxxp://fr.my.yahoo.com/
FF - component: c:\documents and settings\Famille Galley\Application Data\Mozilla\Firefox\Profiles\tbf742ty.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\EbayAccessService.dll
FF - component: c:\documents and settings\Famille Galley\Application Data\Mozilla\Firefox\Profiles\tbf742ty.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\EbayFormSubmitObserver.dll
FF - component: c:\documents and settings\Famille Galley\Application Data\Mozilla\Firefox\Profiles\tbf742ty.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll
FF - plugin: c:\program files\Java\jre1.5.0_10\bin\NPJava11.dll
FF - plugin: c:\program files\Java\jre1.5.0_10\bin\NPJava12.dll
FF - plugin: c:\program files\Java\jre1.5.0_10\bin\NPJava13.dll
FF - plugin: c:\program files\Java\jre1.5.0_10\bin\NPJava14.dll
FF - plugin: c:\program files\Java\jre1.5.0_10\bin\NPJava32.dll
FF - plugin: c:\program files\Java\jre1.5.0_10\bin\NPJPI150_10.dll
FF - plugin: c:\program files\Java\jre1.5.0_10\bin\NPOJI610.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - ORPHELINS SUPPRIMES - - - -

AddRemove-VLC media player - c:\apps\adslTV\uninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-14 23:34
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(688)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\RFNP32.DLL
c:\windows\system32\RFHelper.dll
c:\windows\system32\rfhres.dll

- - - - - - - > 'explorer.exe'(1420)
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\program files\WinRAR\rarext.dll
c:\windows\system32\rfshext.dll
c:\windows\system32\RFHelper.dll
c:\windows\system32\rfhres.dll
c:\windows\system32\rfshres.dll
c:\program files\Network Associates\VirusScan\shext.dll
c:\program files\Network Associates\VirusScan\RES0c\ShExtRes.dll
c:\program files\Malwarebytes' Anti-Malware\mbamext.dll
c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
c:\progra~1\SPYBOT~1\SDHelper.dll
c:\program files\Epson Software\Easy Photo Print\EPTBL.dll
c:\program files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
c:\windows\system32\RFNP32.DLL
c:\program files\Microsoft Office\OFFICE11\msohev.dll
c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll
c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\program files\Network Associates\Common Framework\FrameworkService.exe
c:\program files\Network Associates\VirusScan\Mcshield.exe
c:\program files\Network Associates\VirusScan\VsTskMgr.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\wdfmgr.exe
c:\windows\system32\ati2evxx.exe
c:\progra~1\MI3AA1~1\rapimgr.exe
c:\program files\Epson Software\Event Manager\eeventmanager .exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2009-10-14 23:38 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-10-14 21:38

Avant-CF: 16 444 936 192 octets libres
Après-CF: 16 278 892 544 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /NoExecute=OptOut

239 --- E O F --- 2009-10-13 17:10

Petite précision, ctv.exe ne tourne plus et plus d'iexplore qui se lance. En revanche, les taches schedulées sont revenues (elles lancent acrotray et sont indiquées comme crées par NetscheduleJodAdd) et bien sure5n5krupcn8o.dll est toujours là!

Bien ...



fais ceci :


1-Créer un doc texte sur ton bureau :
pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :



File::
c:\windows\system32\e5n5krupcn8o.dll

Driver::
RFNP32

DirLook::
c:\windows\Tasks



Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ...


2-Nettoyage :

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

--->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tape 1 puis valide.

Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

!! Ne touches à rien tant que le scan n'est pas terminé !!

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : poste le accompagné pour analyse ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )


"Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne 
vous l'a pas dit !

OK, je lance ça ce soir (si j'ai le temps car départ en week-end prolongé). Merci encore.