Pour phil2000

c'est royal, je suis la ... pret a apprendre !

ok remets ton rapport ici pour le suivi

merci

voila mon rapport list and kill them :
Merci !

List'em by g3n-h@ckm@n 1.0.5.0

Thx to Chiquitine29.....

User : Nicole (Administrateurs) # SYSTEM-LAP
Update on 05/11/2009 by g3n-h@ckm@n ::::: 19.00
Start at: 08:57:16 | 07.11.2009
Contact : g3n-h@ckm@n sur CCM

Intel(R) Core(TM)2 CPU T5600 @ 1.83GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.11
Windows Firewall Status : Disabled
AV : Norton Internet Security 16.5.0.135 [ (!) Disabled | Updated ]
FW : Norton Internet Security[ (!) Disabled ]16.5.0.135

C:\ -> Disque fixe local | 141.15 Go (43.65 Go free) | NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque fixe local | 7.9 Go (3.26 Go free) [HP_RECOVERY] | NTFS

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processus en cours

C:\WINDOWS\System32\smss.exe 776
C:\WINDOWS\system32\csrss.exe 1336
C:\WINDOWS\system32\winlogon.exe 1360
C:\WINDOWS\system32\services.exe 1404
C:\WINDOWS\system32\lsass.exe 1416
C:\WINDOWS\system32\svchost.exe 1572
C:\WINDOWS\system32\svchost.exe 1652
C:\WINDOWS\System32\svchost.exe 1692
C:\WINDOWS\system32\svchost.exe 1944
C:\WINDOWS\system32\svchost.exe 168
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe 484
C:\WINDOWS\system32\spoolsv.exe 632
C:\WINDOWS\System32\SCardSvr.exe 684
C:\WINDOWS\system32\svchost.exe 764
C:\WINDOWS\system32\msdtc.exe 2012
C:\Program Files\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe 248
C:\WINDOWS\system32\agrsmsvc.exe 280
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 292
C:\WINDOWS\System32\svchost.exe 324
C:\Program Files\Bonjour\mDNSResponder.exe 340
C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe 368
C:\WINDOWS\System32\svchost.exe 940
C:\WINDOWS\system32\IFXSPMGT.exe 952
C:\WINDOWS\system32\IFXTCS.exe 1000
C:\Program Files\Java\jre6\bin\jqs.exe 1008
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe 1064
C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe 1080
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe 1096
C:\Program Files\Norton Internet Security\Norton Internet Security\Engine\16.7.2.11\ccSvcHst.exe 1228
C:\Program Files\ProtectTools\Embedded Security Software\PSDsrvc.EXE 1264
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe 1300
C:\WINDOWS\system32\svchost.exe 1784
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe 1832
C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe 352
C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe 396
C:\WINDOWS\system32\mqsvc.exe 660
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe 1792
C:\Program Files\Windows Media Player\WMPNetwk.exe 2168
C:\WINDOWS\system32\wuauclt.exe 3012
C:\WINDOWS\system32\mqtgsvc.exe 3464
C:\Program Files\TeamViewer\Version4\TeamViewer.exe 3492
C:\WINDOWS\system32\wbem\wmiprvse.exe 3612
C:\WINDOWS\system32\wbem\unsecapp.exe 3816
C:\Program Files\Norton Internet Security\Norton Internet Security\Engine\16.7.2.11\ccSvcHst.exe 2052
C:\Program Files\HPQ\IAM\bin\asghost.exe 2116
C:\Program Files\ProtectTools\Embedded Security Software\PSDrt.exe 2284
C:\WINDOWS\Explorer.EXE 2676
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe 3980
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe 856
C:\WINDOWS\SMINST\Scheduler.exe 1744
C:\WINDOWS\AGRSMMSG.exe 1772
C:\WINDOWS\system32\hkcmd.exe 2784
C:\WINDOWS\system32\igfxsrvc.exe 2828
C:\WINDOWS\system32\igfxpers.exe 2844
C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe 2668
C:\Program Files\Adobe\Photoshop Elements 4.0\apdproxy.exe 3588
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe 3948
C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe 3960
C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe 3972
C:\Program Files\Java\jre6\bin\jusched.exe 900
C:\Program Files\Analog Devices\Core\smax4pnp.exe 2300
C:\Program Files\iTunes\iTunesHelper.exe 3172
C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe 3336
C:\WINDOWS\system32\ctfmon.exe 3724
C:\Program Files\Skype\Phone\Skype.exe 3912
C:\Program Files\Logitech\Logitech Vid\vid.exe 4100
C:\Program Files\Windows Media Player\WMPNSCFG.exe 4116
C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe 4232
C:\Program Files\Hp\Digital Imaging\bin\hpqtra08.exe 4340
C:\Program Files\Fichiers communs\Nikon\Monitor\NkMonitor.exe 4360
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe 4588
C:\WINDOWS\system32\wbem\wmiapsrv.exe 4700
C:\WINDOWS\System32\alg.exe 5328
C:\Program Files\Skype\Plugin Manager\skypePM.exe 5620
C:\Program Files\Internet Explorer\iexplore.exe 4436
C:\Program Files\iPod\bin\iPodService.exe 2460
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe 3600
C:\Program Files\Java\jre6\bin\jucheck.exe 180
C:\WINDOWS\system32\wuauclt.exe 3916
C:\Documents and Settings\Nicole\Mes documents\Philippe\List_Killem.exe 596
C:\WINDOWS\system32\cmd.exe 4740
C:\WINDOWS\system32\wbem\wmiprvse.exe 2880
C:\Documents and Settings\Nicole\Local Settings\Temp\45.tmp\pv.exe 2912

======================
Cles de demarrage "Run"
======================
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"NBJ"="\"C:\\Program Files\\Ahead\\Nero BackItUp\\NBJ.exe\""
"TomTomHOME.exe"="\"C:\\Program Files\\TomTom HOME 2\\TomTomHOMERunner.exe\""
"Skype"="\"C:\\Program Files\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"
"Logitech Vid"="\"C:\\Program Files\\Logitech\\Logitech Vid\\vid.exe\" -bootmode"
"WMPNSCFG"="C:\\Program Files\\Windows Media Player\\WMPNSCFG.exe"
"swg"="C:\\Program Files\\Google\\GoogleToolbarNotifier\\GoogleToolbarNotifier.exe"

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsmqIntCert"="regsvr32 /s mqrt.dll"
"SoundMAX"="C:\\Program Files\\Analog Devices\\SoundMAX\\Smax4.exe /tray"
"SynTPEnh"="C:\\Program Files\\Synaptics\\SynTP\\SynTPEnh.exe"
"QlbCtrl"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,00,\
6c,00,65,00,73,00,25,00,5c,00,48,00,65,00,77,00,6c,00,65,00,74,00,74,00,2d,\
00,50,00,61,00,63,00,6b,00,61,00,72,00,64,00,5c,00,48,00,50,00,20,00,51,00,\
75,00,69,00,63,00,6b,00,20,00,4c,00,61,00,75,00,6e,00,63,00,68,00,20,00,42,\
00,75,00,74,00,74,00,6f,00,6e,00,73,00,5c,00,51,00,6c,00,62,00,43,00,74,00,\
72,00,6c,00,2e,00,65,00,78,00,65,00,20,00,2f,00,53,00,74,00,61,00,72,00,74,\
00,00,00
"Cpqset"="C:\\Program Files\\HPQ\\Default Settings\\cpqset.exe"
"Recguard"="C:\\WINDOWS\\Sminst\\Recguard.exe"
"Scheduler"="C:\\WINDOWS\\SMINST\\Scheduler.exe"
"AGRSMMSG"="AGRSMMSG.exe"
"PTHOSTTR"="C:\\Program Files\\HPQ\\HP ProtectTools Security Manager\\PTHOSTTR.EXE /Start"
"igfxtray"="C:\\WINDOWS\\system32\\igfxtray.exe"
"igfxhkcmd"="C:\\WINDOWS\\system32\\hkcmd.exe"
"igfxpers"="C:\\WINDOWS\\system32\\igfxpers.exe"
"CognizanceTS"="rundll32.exe C:\\PROGRA~1\\HPQ\\IAM\\Bin\\AsTsVcc.dll,RegisterModule"
"hpWirelessAssistant"="C:\\Program Files\\hpq\\HP Wireless Assistant\\HP Wireless Assistant.exe"
"WatchDog"="C:\\Program Files\\InterVideo\\DVD Check\\DVDCheck.exe"
"SCS'in - www.scsin.ch"="c:\\dokan\\dokan.exe /AUTO"
"Adobe Photo Downloader"="\"C:\\Program Files\\Adobe\\Photoshop Elements 4.0\\apdproxy.exe\""
"HP Software Update"="\"C:\\Program Files\\Hp\\HP Software Update\\HPWuSchd2.exe\""
"Symantec PIF AlertEng"="\"C:\\Program Files\\Fichiers communs\\Symantec Shared\\PIF\\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\\PIFSvc.exe\" /a /m \"C:\\Program Files\\Fichiers communs\\Symantec Shared\\PIF\\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\\AlertEng.dll\""
"AppleSyncNotifier"="C:\\Program Files\\Fichiers communs\\Apple\\Mobile Device Support\\bin\\AppleSyncNotifier.exe"
"LogitechQuickCamRibbon"="\"C:\\Program Files\\Logitech\\Logitech WebCam Software\\LWS.exe\" /hide"
"SunJavaUpdateSched"="\"C:\\Program Files\\Java\\jre6\\bin\\jusched.exe\""
"QuickTime Task"="\"C:\\Program Files\\QuickTime Alternative\\qttask.exe\" -atboottime"
"SynTPStart"="C:\\Program Files\\Synaptics\\SynTP\\SynTPStart.exe"
"SoundMAXPnP"="C:\\Program Files\\Analog Devices\\Core\\smax4pnp.exe"
"Picasa Media Detector"="C:\\Program Files\\Picasa2\\PicasaMediaDetector.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"Adobe Reader Speed Launcher"="\"C:\\Program Files\\Adobe\\Reader 9.0\\Reader\\Reader_sl.exe\""
"Adobe ARM"="\"C:\\Program Files\\Fichiers communs\\Adobe\\ARM\\1.0\\AdobeARM.exe\""
"iTunesHelper"="\"C:\\Program Files\\iTunes\\iTunesHelper.exe\""
"DWQueuedReporting"="\"C:\\PROGRA~1\\FICHIE~1\\MICROS~1\\DW\\dwtrig20.exe\" -t"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"
@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"
@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"
@=""

=====================
cles additionnelles
=====================
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

===============
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000

===============
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"WPDShServiceObj"="{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
"UPnPMonitor"="{e57ce738-33e8-4c51-8354-bb4de9d215d1}"

===============
======
BHO :
======
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
@="AcroIEHelperStub"
"NoExplorer"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1E8A6170-7264-4D0F-BEAE-D42A53123C75}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{22BF413B-C6D2-4d91-82A9-A0F997BA588C}]
@="Skype add-on (mastermind)"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}]
"NoExplorer"=dword:00000001
@="Symantec NCO BHO"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6D53EC84-6AAE-4787-AEEE-F4628F01010C}]
"NoExplorer"=dword:00000001
@="Symantec Intrusion Prevention"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
"NoExplorer"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DF21F1DB-80C6-11D3-9483-B03D0EC10000}]
@="HP Credential Manager for ProtectTools"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
@="JQSIEStartDetectorImpl"
"NoExplorer"=dword:00000001

==========================

contenu des autoruns presents
-----------------------------

E:\Autorun.inf :
----------------
[autorun]
OPEN=setupSNK.exe
ICON=\SMRTNTKY\fcw.ico
ACTION=Assistant Réseau sans fil
===============
Path : C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\wbem;C:\Program Files\HPQ\IAM\bin;C:\Program Files\QuickTime Alternative\QTSystem;C:\WINDOWS\system32\WindowsPowerShell\v1.0
===============
¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents :

C:\Documents and Settings\All Users\Application Data\QTSBandwidthCache
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
C:\WINDOWS\System32\drivers\etc\hosts.msn

¤¤¤¤¤¤¤¤¤¤ Clés de registre Presentes :

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe

¤¤¤¤¤¤¤¤¤¤ C:\WINDOWS\Prefetch :

AAWSERVICE.EXE-3B93EBA3.pf
AAWTRAY.EXE-1858AE3F.pf
AAWWSC.EXE-248CAA52.pf
ACRORD32INFO.EXE-242CE4AA.pf
AD-AWAREADMIN.EXE-102E374C.pf
ADOBEARM.EXE-1095AC0A.pf
AGRSMMSG.EXE-0034A7F7.pf
ALG.EXE-0F138680.pf
APDPROXY.EXE-0DF66F23.pf
APPLESYNCNOTIFIER.EXE-38620255.pf
ASGHOST.EXE-073D1344.pf
AUPDATE.EXE-2253CB60.pf
BTTRAY.EXE-16EEC97F.pf
CCSEUPDT.EXE-03F5E803.pf
CCSVCHST.EXE-20373D14.pf
CLTLMH.EXE-05130B96.pf
COCIMANAGER.EXE-046DBC57.pf
CPQSET.EXE-2B4136E6.pf
CTFMON.EXE-0E17969B.pf
DEFRAG.EXE-273F131E.pf
DFRGNTFS.EXE-269967DF.pf
DIFXINSTALL32.EXE-2C1A388E.pf
DLLHOST.EXE-205D880D.pf
DOKAN.EXE-34E9B693.pf
DUMPREP.EXE-1B46F901.pf
DVDCHECK.EXE-210ADC09.pf
DW20.EXE-0F7C73AD.pf
DWTRIG20.EXE-1B5A890A.pf
DWWIN.EXE-30875ADC.pf
EPSCANSV.EXE-2F22B574.pf
EXPLORER.EXE-082F38A9.pf
FOIENUM.EXE-10A47BDE.pf
HELPSVC.EXE-2878DDA2.pf
HIJACKTHIS-2.0.2.EXE-367CC699.pf
HKCMD.EXE-1D05234B.pf
HP WIRELESS ASSISTANT.EXE-16269BEA.pf
HPQGALRY.EXE-07140C25.pf
HPQTHB08.EXE-060DCF16.pf
HPQTRA08.EXE-17E37E7E.pf
HPRBLOG.EXE-35C0D80C.pf
HPRBUPDATE.EXE-2A868BA4.pf
HPWUSCHD2.EXE-02F6D2DD.pf
HPZENG12.EXE-07E42CEC.pf
HPZIPM12.EXE-145E7369.pf
HPZSTC12.EXE-2A807C2C.pf
HPZTBX12.EXE-1D337D89.pf
IEXPLORE.EXE-27122324.pf
IGFXPERS.EXE-2C07C174.pf
IGFXSRVC.EXE-2FB63FE8.pf
IGFXTRAY.EXE-3391579A.pf
IMAPI.EXE-0BF740A4.pf
INSTALL.DLL-1C3EBFA1.pf
IPODSERVICE.EXE-3192DE38.pf
ITUNES.EXE-1A268432.pf
ITUNESHELPER.EXE-15823303.pf
ITUNESPHOTOPROCESSOR.EXE-24970A75.pf
JAVA.EXE-0C263507.pf
JAVAW.EXE-2DC32ABC.pf
JAVAWS.EXE-021AC9A9.pf
JUCHECK.EXE-395165C8.pf
JUSCHED.EXE-25206883.pf
Layout.ini
LIST_KILLEM.EXE-004F21A2.pf
LOGITECHUPDATE.EXE-09DF4673.pf
LOGON.SCR-151EFAEA.pf
LUCOMS~1.EXE-02DB5950.pf
LULNCHR.EXE-016ABA85.pf
LWS.EXE-0829AF3E.pf
MODE.COM-31685BAE.pf
MPNOTIFY.EXE-3631A846.pf
MSFEEDSSYNC.EXE-25E13438.pf
MSIEXEC.EXE-2F8A8CAE.pf
MSOHTMED.EXE-1BD4AAD2.pf
NBJ.EXE-157B039B.pf
NDP1.1SP1-KB953297-X86.EXE-33E8E47A.pf
NEROCHECK.EXE-092C6DFA.pf
NKMONITOR.EXE-2F5083F8.pf
NOTEPAD.EXE-336351A9.pf
NTOSBOOT-B00DFAAD.pf
OUTLOOK.EXE-106351DB.pf
PIFSVC.EXE-2CA08DB5.pf
POWERPNT.EXE-2F940E7E.pf
PSDRT.EXE-159F01F6.pf
PTHOSTTR.EXE-2A14C485.pf
PTSERVS.EXE-3040B05D.pf
QLBCTRL.EXE-0325C50A.pf
QLBPRES.EXE-34B537FB.pf
QTTASK.EXE-0E9D96C5.pf
READER_SL.EXE-2B4EA1CB.pf
RECGUARD.EXE-3990548D.pf
REGSVR32.EXE-25EEFE2F.pf
RUNDLL32.EXE-13761084.pf
RUNDLL32.EXE-1F45243D.pf
RUNDLL32.EXE-2576181F.pf
RUNDLL32.EXE-268BFF96.pf
RUNDLL32.EXE-2DE3B28B.pf
RUNDLL32.EXE-3179E190.pf
RUNDLL32.EXE-41070E42.pf
RUNDLL32.EXE-43CFFEB8.pf
SAFARI.EXE-238FF382.pf
SCHEDULER.EXE-129B180F.pf
SETUPADMIN.EXE-3351DAA3.pf
SETUP_WM.EXE-3135CBD6.pf
SKYPE.EXE-30AE1A60.pf
SKYPEPM.EXE-2BC7DD5C.pf
SMAX4.EXE-3ABA87F8.pf
SMAX4PNP.EXE-381239AF.pf
SOFTWAREUPDATE.EXE-1415D1B8.pf
SOL.EXE-1C0C14EB.pf
SPUPGRADE.EXE-1EAE8B19.pf
SYKNLU.EXE-1CAFF01B.pf
SYNTPENH.EXE-315D3ABC.pf
SYNTPSTART.EXE-25038CFE.pf
THREATWORK.EXE-0F50642D.pf
TOMTOMHOMERUNNER.EXE-27D8E119.pf
UNSECAPP.EXE-1A95A33B.pf
UPDATE.EXE-38080E46.pf
USERINIT.EXE-30B18140.pf
VERCLSID.EXE-3667BD89.pf
VID.EXE-1FC712A3.pf
WGATRAY.EXE-0ED38BED.pf
WIAACMGR.EXE-212ED878.pf
WINWORD.EXE-37F6AE09.pf
WMIADAP.EXE-2DF425B2.pf
WMIAPSRV.EXE-1E2270A5.pf
WMIPRVSE.EXE-28F301A9.pf
WMPLAYER.EXE-18DDEFA3.pf
WMPLAYER.EXE-18DDEFA5.pf
WMPNSCFG.EXE-18926138.pf
WUAUCLT.EXE-399A8E72.pf




¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

REDEMARRE EN MODE SANS ECHEC , puis :

▶ Relance List&Kill'em comme tu as fait pour l'option 1 (soit en clic droit pour vista),

mais cette fois-ci :

▶ choisis l'option 2 = Mode Destruction

laisse travailler l'outil

apres les verifications , un rapport va s'ouvrir.

▶ ferme-le.

un deuxieme rapport va s'ouvrir ,

▶ colle son contenu dans ta reponse apres avoir redemarré en mode normal

et voila le deuxieme rapport, qu´en pensez vous ? merci d'avance !

Kill'em by g3n-h@ckm@n 1.0.5.0

User : Nicole () # SYSTEM-LAP
Update on 05/11/2009 by g3n-h@ckm@n ::::: 19.00
Start at: 12:34:50 | 07.11.2009
Contact : g3n-h@ckm@n sur CCM



Internet Explorer 7.0.5730.11
Windows Firewall Status : Enabled



¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processus en cours
C:\WINDOWS\System32\smss.exe 724
C:\WINDOWS\system32\csrss.exe 1336
C:\WINDOWS\system32\winlogon.exe 1360
C:\WINDOWS\system32\services.exe 1408
C:\WINDOWS\system32\lsass.exe 1420
C:\WINDOWS\system32\svchost.exe 1588
C:\WINDOWS\system32\svchost.exe 1644
C:\Program Files\HPQ\IAM\bin\asghost.exe 1040
C:\WINDOWS\system32\userinit.exe 1116
C:\WINDOWS\Explorer.EXE 1180
C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe 1672
C:\WINDOWS\system32\ctfmon.exe 1332
C:\Documents and Settings\Nicole\Mes documents\Philippe\List_Killem.exe 1808
C:\WINDOWS\system32\cmd.exe 1820
C:\Documents and Settings\Nicole\Local Settings\Temp\1.tmp\pv.exe 1920

Fichiers analysés :
=================


¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents :

C:\Documents and Settings\All Users\Application Data\QTSBandwidthCache
"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat"
"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat"
"C:\WINDOWS\System32\drivers\etc\hosts.msn"


¤¤¤¤¤¤¤¤¤¤ Action sur les fichiers :

Quarantaine :

hosts.msn.Kill'em
qmgr0.dat.Kill'em
qmgr1.dat.Kill'em
QTSBandwidthCache.Kill'em


===================================
tentative de correction du registre
===================================
¤¤¤¤¤¤¤¤¤¤ Verification :


===============
Path : C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\wbem;C:\Program Files\HPQ\IAM\bin;C:\Program Files\QuickTime Alternative\QTSystem;C:\WINDOWS\system32\WindowsPowerShell\v1.0
===============
¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents :


¤¤¤¤¤¤¤¤¤¤ Clés de registre Presentes :

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe

¤¤¤¤¤¤¤¤¤¤ C:\WINDOWS\Prefetch :

Layout.ini
NTOSBOOT-B00DFAAD.pf




¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Télécharge OTL de OLDTimer

▶ enregistre le sur ton Bureau.

▶ Double clic ( pour vista => clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer.

▶ Coche les 2 cases Lop et Purity

▶ Coche la case devant scan all users

▶ règle-le sur "60 Days"

▶ dans la colonne de gauche , mets tout sur all

ne modifie pas ceci :

"files created whithin" et "files modified whithin"

▶Clic sur Run Scan.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

▶▶▶ NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://cjoint.com/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

Tu feras la meme chose avec le "Extra.txt".

c'est parti ....

pour otl :
http://cjoint.com/?lhoi41Oeyc

pour extra :
http://cjoint.com/?lhojz5jTTu

encore merci ! avez vous deja vu des trucs bizarres ?
philippe

▶ Télécharge HostXpert sur ton Bureau :

▶ Décompresse-le (Clic droit >> Extraire ici)

▶ Double-clique sur HostsXpert pour le lancer

▶ clique sur le bouton "Restore MS Hosts File" puis ferme le programme

PS : Avant de cliquer sur le bouton "Restore MS Hosts File", vérifie que le cadenas en haut à gauche est ouvert sinon tu vas avoir un message d'erreur.

▶ s'il est fermé , clique dessus :)

ensuite :

▶ Télécharge Zeb-Restoreet enregistre ce fichier sur le bureau.

▶-Clic droit Zeb-Restore.zip ==> Extraire tout choisis comme lieu d'enregistrement le bureau.

▶-Ouvre le dossier ZR_1.0.0.37 ==> double clic sur Zeb-Restore.exe

▶- Coche la case devant :sites de confiance

▶- Ne coche aucune autre case

▶-Clique sur Restaurer

▶-Redémarre ton PC

ensuite :

▶ Télécharge et install UsbFix par Chiquitine29

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

▶ Double clic sur le raccourci UsbFix présent sur ton bureau .

▶ Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

▶ Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]

▶ Laisse travailler l'outil.

▶ Ensuite post le rapport UsbFix.txt qui apparaitra.

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

ensuite :

▶ Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
* - Coche Afficher les fichiers et dossiers cachés
* - Décoche Masquer les extensions des fichiers dont le type est connu
* - Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)

▶ clique sur Appliquer, puis OK.

N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

* Clique sur Parcourir en haut, choisis Poste de travail et cherche ces fichiers :

C:\WINDOWS\SMINST\Scheduler.exe

* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
* Une nouvelle fenêtre de ton navigateur va apparaître
* Clique alors sur les deux fleches
* Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
* Enfin colle le résultat dans ta prochaine réponse.

ensuite :

▶ Double clic sur OTL.exe pour le lancer.


▶Copie la liste qui se trouve en gras ci-dessous,

▶ colle-la dans la zone sous Customs Scans/Fixes :

:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - No CLSID value found.
O7 - HKU\S-1-5-21-827303157-3453440450-720153993-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 0
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} Reg Error: Value error. (Reg Error: Key error.)
O4 - Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe File not found
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} Reg Error: Value error. (Reg Error: Key error.)

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrenVersion\Run]
"Adobe Reader Speed Launcher"=-
"HP Software Update"=-
"iTunesHelper"=-
"NeroFilterCheck"=-
"Picasa Media Detector"=-
"SoundMAX"=-
"QuickTime Task"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
"DisableMonitoring"=0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Program Files\MSN Messenger\msnmsgr.exe"=-
"C:\Program Files\MSN Messenger\livecall.exe"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\LimeWire\LimeWire.exe"-
"C:\Program Files\MSN Messenger\msnmsgr.exe"=-
"C:\Program Files\MSN Messenger\livecall.exe"=-
"C:\Program Files\MioNet\MioNetManager.exe"=-
"C:\Program Files\MioNet\jvm\bin\MioNet.exe"=-
"C:\Documents and Settings\Nicole\Bureau\Skype.exe"=-


:files
C:\Kill'em
C:\WINDOWS\System32\pmsbfn32.dll
C:\Documents and Settings\All Users\Application Data\espionServerData
C:\Documents and Settings\All Users\Application Data\{755AC846-7372-4AC8-8550-C52491DAA8BD}
C:\Documents and Settings\All Users\Application Data\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
C:\Documents and Settings\All Users\Application Data\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6}

:commands
[emptytemp]
[start explorer]
[reboot]

▶ Clique sur RunFix pour lancer la suppression.


▶ Poste le rapport.

hello maitre !

alors ci dessous le rapport usbfix (mais comme c'est le pc de ma belle mere, j'ai pas son disque externe, je ferai ca une prochaine fois) et virus total

par contre quand je lance OTL, il plante (5mns et plus rien de ne passe) avec la ligne suivante en bas :
processing regstry data "C:\Program Files\LimeWire\LimeWire.exe"-

en regardant il semble qu'il ait balayer tous les autres fichier, skype, ...
t'as une idee ?
encore un grand merci d'avance,
Phil

Virus total sur schedeuler :
Fichier Scheduler.exe reçu le 2009.11.07 15:13:24 (UTC)Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.41 2009.11.07 -
AhnLab-V3 5.0.0.2 2009.11.06 -
AntiVir 7.9.1.61 2009.11.06 -
Antiy-AVL 2.0.3.7 2009.11.05 -
Authentium 5.2.0.5 2009.11.07 -
Avast 4.8.1351.0 2009.11.07 -
AVG 8.5.0.423 2009.11.07 -
BitDefender 7.2 2009.11.07 -
CAT-QuickHeal 10.00 2009.11.07 -
ClamAV 0.94.1 2009.11.07 -
Comodo 2873 2009.11.07 -
DrWeb 5.0.0.12182 2009.11.07 -
eSafe 7.0.17.0 2009.11.05 -
eTrust-Vet 35.1.7108 2009.11.06 -
F-Prot 4.5.1.85 2009.11.06 -
F-Secure 9.0.15370.0 2009.11.04 -
Fortinet 3.120.0.0 2009.11.07 -
GData 19 2009.11.07 -
Ikarus T3.1.1.74.0 2009.11.07 -
Jiangmin 11.0.800 2009.11.07 -
K7AntiVirus 7.10.891 2009.11.07 -
Kaspersky 7.0.0.125 2009.11.07 -
McAfee 5794 2009.11.06 -
McAfee+Artemis 5794 2009.11.06 -
McAfee-GW-Edition 6.8.5 2009.11.07 -
Microsoft 1.5202 2009.11.07 -
NOD32 4581 2009.11.07 -
Norman 6.03.02 2009.11.06 -
nProtect 2009.1.8.0 2009.11.07 -
Panda 10.0.2.2 2009.11.06 -
PCTools 7.0.3.5 2009.11.06 -
Prevx 3.0 2009.11.07 -
Rising 21.54.52.00 2009.11.07 -
Sophos 4.47.0 2009.11.07 -
Sunbelt 3.2.1858.2 2009.11.06 -
Symantec 1.4.4.12 2009.11.07 -
TheHacker 6.5.0.2.063 2009.11.06 -
TrendMicro 9.0.0.1003 2009.11.07 -
VBA32 3.12.10.11 2009.11.06 -
ViRobot 2009.11.6.2025 2009.11.06 -
VirusBuster 4.6.5.0 2009.11.07 -

USBFIX:

############################## | UsbFix V6.049 |

User : Nicole (Administrateurs) # SYSTEM-LAP
Update on 06/11/2009 by Chiquitine29, C_XX & Chimay8
Start at: 15:59:58 | 07.11.2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 CPU T5600 @ 1.83GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.11
Windows Firewall Status : Disabled
AV : Norton Internet Security 16.5.0.135 [ Enabled | Updated ]
FW : Norton Internet Security[ Enabled ]16.5.0.135

C:\ -> Disque fixe local # 141.15 Go (48.11 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque fixe local # 7.9 Go (3.26 Go free) [HP_RECOVERY] # NTFS

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 1200
C:\WINDOWS\system32\csrss.exe 1336
C:\WINDOWS\system32\winlogon.exe 1364
C:\WINDOWS\system32\services.exe 1408
C:\WINDOWS\system32\lsass.exe 1420
C:\WINDOWS\system32\svchost.exe 1576
C:\WINDOWS\system32\svchost.exe 1656
C:\WINDOWS\System32\svchost.exe 1696
C:\WINDOWS\system32\svchost.exe 2040
C:\WINDOWS\system32\svchost.exe 176
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe 484
C:\WINDOWS\system32\spoolsv.exe 616
C:\WINDOWS\System32\SCardSvr.exe 664
C:\WINDOWS\system32\svchost.exe 732
C:\WINDOWS\system32\msdtc.exe 2020
C:\Program Files\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe 268
C:\WINDOWS\system32\agrsmsvc.exe 320
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 332
C:\WINDOWS\System32\svchost.exe 348
C:\Program Files\Bonjour\mDNSResponder.exe 364
C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe 388
C:\WINDOWS\System32\svchost.exe 800
C:\WINDOWS\system32\IFXSPMGT.exe 904
C:\WINDOWS\system32\IFXTCS.exe 948
C:\Program Files\Java\jre6\bin\jqs.exe 984
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe 1036
C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe 1060
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe 1224
C:\Program Files\Norton Internet Security\Norton Internet Security\Engine\16.7.2.11\ccSvcHst.exe 1264
C:\Program Files\ProtectTools\Embedded Security Software\PSDsrvc.EXE 1324
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe 1344
C:\WINDOWS\system32\svchost.exe 1936
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe 804
C:\Program Files\HPQ\IAM\bin\asghost.exe 1328
C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe 1792
C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe 1892
C:\Program Files\ProtectTools\Embedded Security Software\PSDrt.exe 2148
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe 2168
C:\WINDOWS\system32\mqsvc.exe 2264
C:\Program Files\TeamViewer\Version4\TeamViewer.exe 2372
C:\Program Files\Windows Media Player\WMPNetwk.exe 2452
C:\WINDOWS\Explorer.EXE 2888
C:\WINDOWS\system32\mqtgsvc.exe 3412
C:\Program Files\Norton Internet Security\Norton Internet Security\Engine\16.7.2.11\ccSvcHst.exe 3776
C:\WINDOWS\system32\wbem\unsecapp.exe 3784
C:\WINDOWS\system32\wbem\wmiprvse.exe 848
C:\WINDOWS\system32\wbem\wmiapsrv.exe 1800
C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe 4016
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe 1824
C:\Program Files\Analog Devices\Core\smax4pnp.exe 2556
C:\WINDOWS\SMINST\Scheduler.exe 3524
C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe 3932
C:\Program Files\iTunes\iTunesHelper.exe 3956
C:\WINDOWS\system32\igfxpers.exe 4076
C:\WINDOWS\system32\igfxsrvc.exe 312
C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe 1964
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe 208
C:\WINDOWS\AGRSMMSG.exe 3928
C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe 3972
C:\Program Files\Adobe\Photoshop Elements 4.0\apdproxy.exe 4036
C:\Program Files\Java\jre6\bin\jusched.exe 4216
C:\WINDOWS\system32\ctfmon.exe 4244
C:\Program Files\Windows Media Player\WMPNSCFG.exe 4296
C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe 4320
C:\Program Files\Skype\Phone\Skype.exe 4400
C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe 4544
C:\Program Files\Hp\Digital Imaging\bin\hpqtra08.exe 4644
C:\Program Files\Fichiers communs\Nikon\Monitor\NkMonitor.exe 4692
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe 4760
C:\Program Files\Skype\Plugin Manager\skypePM.exe 5988
C:\WINDOWS\System32\alg.exe 3008
C:\Program Files\iPod\bin\iPodService.exe 4120
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe 5136
C:\WINDOWS\system32\wuauclt.exe 5524
C:\Program Files\Internet Explorer\iexplore.exe 3672
C:\WINDOWS\system32\wbem\wmiprvse.exe 5284

################## | Fichiers # Dossiers infectieux |

E:\autorun.inf
E:\AUTORUN.FCB

################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{49a95da6-e0fa-11db-ac14-0017a4d54171}
Shell\AutoRun\command =F:\scsin.exe

HKCU\..\..\Explorer\MountPoints2\{49a95da7-e0fa-11db-ac14-0017a4d54171}
Shell\AutoRun\command =G:\USBNB.exe

HKCU\..\..\Explorer\MountPoints2\{84c8582c-34a0-11dc-aca8-0017a4d54171}
Shell\AutoRun\command =F:\LaunchU3.exe -a

HKCU\..\..\Explorer\MountPoints2\{e89dd48e-a36b-11dd-ae76-0017a4d54171}
Shell\AutoRun\command =G:\WDSetup.exe

HKCU\..\..\Explorer\MountPoints2\{f526d6f3-7764-11dc-acf0-0017a4d54171}
Shell\AutoRun\command =F:\InstallTomTomHOME.exe

################## | Suspect | http://www.virustotal.com |


################## | Cracks / Keygens / Serials |

"C:\source\Change_Volume_Serial.exe"
21.02.2004 11:30 |Size 24576 |Crc32 7f65b22c |Md5 642f163af2d2600185e9894df5fa5fea

"C:\source\Clone CD\keygen_clonecd.exe"
07.01.2001 04:13 |Size 13621 |Crc32 c18db50d |Md5 94bdfbae0e33c0e74e87ff42e3f4c328

"C:\source\winzip\Crack.exe"
19.09.2004 16:05 |Size 18991 |Crc32 4cc53240 |Md5 b67c5f9c3bb27d77ee6c9103ec11b6f6


################## | ! Fin du rapport # UsbFix V6.049 ! |

usbfix option "suppression," ensuite relancer puis , option "desinstaller"

ensuite :

refais OTM avec ca y'a un "=" qui m'a echappé :

:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - No CLSID value found.
O7 - HKU\S-1-5-21-827303157-3453440450-720153993-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 0
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} Reg Error: Value error. (Reg Error: Key error.)
O4 - Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe File not found
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} Reg Error: Value error. (Reg Error: Key error.)

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrenVersion\Run]
"Adobe Reader Speed Launcher"=-
"HP Software Update"=-
"iTunesHelper"=-
"NeroFilterCheck"=-
"Picasa Media Detector"=-
"SoundMAX"=-
"QuickTime Task"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
"DisableMonitoring"=0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Program Files\MSN Messenger\msnmsgr.exe"=-
"C:\Program Files\MSN Messenger\livecall.exe"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\LimeWire\LimeWire.exe"=-
"C:\Program Files\MSN Messenger\msnmsgr.exe"=-
"C:\Program Files\MSN Messenger\livecall.exe"=-
"C:\Program Files\MioNet\MioNetManager.exe"=-
"C:\Program Files\MioNet\jvm\bin\MioNet.exe"=-
"C:\Documents and Settings\Nicole\Bureau\Skype.exe"=-


:files
C:\Kill'em
C:\WINDOWS\System32\pmsbfn32.dll
C:\Documents and Settings\All Users\Application Data\espionServerData
C:\Documents and Settings\All Users\Application Data\{755AC846-7372-4AC8-8550-C52491DAA8BD}
C:\Documents and Settings\All Users\Application Data\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
C:\Documents and Settings\All Users\Application Data\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6}

:commands
[emptytemp]
[start explorer]
[reboot]

puis runfix

tout fait, dois-je poster un des rapports ?

IE marche bcp mieux:
Peux-tu me me dire grosso-modo ce qu'avait ce PC, que reste-t-il a faire ?

Grand merci

oui poste les deux rapports (suppresion de usbfix + suppression d otl

on arrive a la fin demain c est fini

il restera un scan de securité et un menagee d'hiver lol

voila le log OTL, mais je rechereche celui d'usbfix, encore merci !

All processes killed
========== PROCESSES ==========
Process explorer.exe killed successfully!
Process iexplore.exe killed successfully!
No active process named firefox.exe was found!
No active process named msnmsgr.exe was found!
No active process named Teatimer.exe was found!
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1E8A6170-7264-4D0F-BEAE-D42A53123C75}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1E8A6170-7264-4D0F-BEAE-D42A53123C75}\ not found.
Registry value HKEY_USERS\S-1-5-21-827303157-3453440450-720153993-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools not found.
Starting removal of ActiveX control {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} Reg Error: Value error.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} Reg Error: Value error.\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} Reg Error: Value error.\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} Reg Error: Value error.\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} Reg Error: Value error.\ not found.
File move failed. C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Outil de mise à jour Google.lnk scheduled to be moved on reboot.
Starting removal of ActiveX control {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} Reg Error: Value error.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} Reg Error: Value error.\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} Reg Error: Value error.\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} Reg Error: Value error.\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} Reg Error: Value error.\ not found.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrenVersion\Run not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrenVersion\Run not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrenVersion\Run not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrenVersion\Run not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrenVersion\Run not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrenVersion\Run not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrenVersion\Run not found.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\\"DisableMonitoring"|0 /E : value set successfully!
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List\\C:\Program Files\MSN Messenger\msnmsgr.exe not found.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List\\C:\Program Files\MSN Messenger\livecall.exe not found.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\Program Files\LimeWire\LimeWire.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\Program Files\MSN Messenger\msnmsgr.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\Program Files\MSN Messenger\livecall.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\Program Files\MioNet\MioNetManager.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\Program Files\MioNet\jvm\bin\MioNet.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\Documents and Settings\Nicole\Bureau\Skype.exe deleted successfully.
========== FILES ==========
C:\Kill'em folder moved successfully.
C:\WINDOWS\System32\pmsbfn32.dll moved successfully.
C:\Documents and Settings\All Users\Application Data\espionServerData folder moved successfully.
C:\Documents and Settings\All Users\Application Data\{755AC846-7372-4AC8-8550-C52491DAA8BD}\x86\x86 folder moved successfully.
C:\Documents and Settings\All Users\Application Data\{755AC846-7372-4AC8-8550-C52491DAA8BD}\x86 folder moved successfully.
C:\Documents and Settings\All Users\Application Data\{755AC846-7372-4AC8-8550-C52491DAA8BD} folder moved successfully.
C:\Documents and Settings\All Users\Application Data\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}\x86 folder moved successfully.
C:\Documents and Settings\All Users\Application Data\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906} folder moved successfully.
C:\Documents and Settings\All Users\Application Data\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6} folder moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrateur
->Temp folder emptied: 0 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes

User: Gil
->Temp folder emptied: 98507 bytes
->Java cache emptied: 31503125 bytes
->Apple Safari cache emptied: 2122995 bytes

User: LocalService
->Temp folder emptied: 66016 bytes

User: NetworkService
->Temp folder emptied: 0 bytes

User: Nicole
->Temp folder emptied: 87127005 bytes
->Java cache emptied: 13689556 bytes
->Apple Safari cache emptied: 326489 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
Windows Temp folder emptied: 2558658 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 131.14 mb


OTL by OldTimer - Version 3.1.4.0 log created on 11072009_175422

Files\Folders moved on Reboot...
File\Folder C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Outil de mise à jour Google.lnk not found!
File\Folder C:\Documents and Settings\Nicole\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\DMLD7Y3V\;var7=153;var7=credit;var7=immosoft;var7=pourelles;var7=48;var7=truetarget;var7=150;var7=157;var7=158;var7=265;;var8=;var9=;var10=;var11=;sz=300x250;ord=5970474292008201[1] not found!
File\Folder C:\WINDOWS\temp\JETFE93.tmp not found!
File\Folder C:\WINDOWS\temp\Perflib_Perfdata_4d4.dat not found!

Registry entries deleted on Reboot...

salut j ai du m absenter ^^


Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.



▶ Télécharge :

Malwarebytes

ou :

Malwarebytes

▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

▶ Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

▶ Lance Malwarebyte's .

Fais un examen dit "Complet" .

▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
▶ Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

▶ Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


▶ Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

Salut Gene,

Je voulais te remercier sincerement pour ton aide ....

Malheureusement, hier j'ai peté un cable car outlook deconnait complet et j'ai donc decidé de tout reinstaller :-((
Ca fait 5h que je suis sur le pc :-(
Mais bon je pense que ca va etre clean

Merci encore bcp pour ton aide experte.

Une derniere question: que conseilles tu comme suite de securité à installer sur le pc pour son fonctionnement de tous les jours ? (Norton, Kaspersky + adware, malware ??)

Merci merci merci,
Philippe

norton poubelle , AD-Aware poubelle

kaspersky + malwarebytes oui