Analyse de rapport hijackthisRésolu/Fermé

Question

Bonjour,
Bonjour,

Depuis quelques jours il m'est devenu impossible de faire l'entretien de la machine avec avira, spybot, super antispyware et impossible de faire un en mode sans échec car celui ne veux pas démarrer non plus; de plus des pages de pub intempestivement s'ouvrent au démarrage de la machine par le biais ie alors que mon navigateur par défaut est fire fox. C'est pourquoi je sollicite vos conseil pour un dépannage réglementaire, merci à tous, je vous souhaite une bonne journée en attendant de vos nouvelles rapidement.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:56:32, on 02/01/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS	snpstd3.exe
C:\WINDOWS\vVX3000.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\Program Files\Multimedia Combo Set Driver\PS2USBKbdDrv.exe
C:\Program Files\Multimedia Combo Set Driver\MouseDrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Live\Toolbar\wltuser.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32	askmgr.exe
C:\Program Files\Internet Explorer\Iexplore.exe
C:\Documents and Settings\Philippe\Bureau\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [WireLessMouse] C:\Program Files\Multimedia Combo Set Driver\StartAutorun.exe MouseDrv.exe
O4 - HKLM\..\Run: [WireLessKeyboard] C:\Program Files\Multimedia Combo Set Driver\StartAutorun.exe PS2USBKbdDrv.exe
O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS	snpstd3.exe
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [VX3000] C:\WINDOWS\vVX3000.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [hpqSRMon] C:\Program Files\HP\Digital Imaging\bin\hpqSRMon.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe"
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Image Transfer.lnk.disabled
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Livre de reliures HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Sélection intelligente HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/default.aspx
O17 - HKLM\System\CCS\Services\Tcpip\..\{F901A65E-EB8F-4134-9F3D-F4A2631E197A}: NameServer = 212.27.53.252,212.27.54.252
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero 7\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe
End of file - 7961 bytes



Merci à tous.

Configuration: Windows XP
Firefox 3.5.5

jfkpresident · Answer

Hello ; Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. ==>Double-clique sur RSIT.exe afin de lancer RSIT. ==>Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions). ==>Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. ==>Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront : log.txt (<Rend toi sur ce site: http://www.cijoint.fr/index.php ==>Clique sur "parcourir" et sélectionne ces fichiers ,un lien va etre créer . ==>Copie/colle ce lien dans ta prochaine réponse . Aide en images si besoin

ludsfa · Answer

bonjour,

Je ne vois pas d'infection sur ton rapport hijackthis .

voyons voir télécharge FindyKill sur ton bureau.

# Une nouvelle icone est alors crée sur le bureau qui permet de démarrer le programme. Double-cliquez dessus.
# Le programme se lance... 
# Vous arrivez alors sur le menu principal de FindyKill

    *Faites L'option 1 :  rechercher l'infection tapez sur la touche 1 du clavier puis validez par entrée.
Une fois l'analyse terminé, un rapport de scan vous est proposé... appuyez sur une touche pour ouvrir ce rapport.

Envoyez ce rapport.

tuto:https://www.malekal.com/tutorial-findykill/

caporalblutch · Answer

bonjour jfkpresident, voila les liens pour les logs que tu m'a demander d'effectuer, merci encore.
J'attends avec impatience ta réponse.
Cordialement.


http://www.cijoint.fr/cjlink.php?file=cj201001/cijcKvKRu9.txt


http://www.cijoint.fr/cjlink.php?file=cj201001/cijwMdjgJA.txt

caporalblutch · Answer

Bonjour ludsfa, voici le rapport findkill que tu m'as demandé d'effectuer, merci pour le temps que tu veux bien m'accorder.
Cordialement.






############################## | FindyKill V5.023 |

# User : Philippe (Administrateurs) # X-QPACK-3
# Update on 31/12/2009 by El Desaparecido
# Start at: 17:32:19 | 02/01/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# AMD Athlon(tm) 64 X2 Dual Core Processor 4400+
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | (!) Outdated ]

# C:\ # Disque fixe local # 20 Go (1,8 Go free) [Système] # NTFS
# D:\ # Disque fixe local # 278,08 Go (155,75 Go free) [Stock] # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque CD-ROM # 681 Mo (0 Mo free) [FIRE_2] # CDFS
# G:\ # Disque CD-ROM # 440,8 Mo (0 Mo free) [ZOOTYCN2] # CDFS
# H:\ # Disque CD-ROM
# I:\ # Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\tsnpstd3.exe
C:\WINDOWS\vVX3000.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Multimedia Combo Set Driver\MouseDrv.exe
C:\Program Files\Multimedia Combo Set Driver\PS2USBKbdDrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Live\Toolbar\wltuser.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\Iexplore.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | C: |

Présent ! F:\autorun.inf  
Présent ! G:\autorun.inf  

################## | C:\WINDOWS |


################## | C:\WINDOWS\system32 |

Présent ! C:\WINDOWS\system32\AutoRun.inf  

################## | C:\WINDOWS\system32\drivers |


################## | C:\Documents and Settings\Philippe\Application Data |


################## | Temporary Internet Files |


################## | Registre / Clés infectieuses |


################## | Etat / Services / Informations |

# Affichage des fichiers cachés : OK
 
# Mode sans echec : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 ) 
# Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )  


################## | Cracks / Keygens / Serials |

"D:\Jeux\Fire Department 3 French Nocd By Da Scrush\[PC GAME] Fire Department 3 FRENCH by Da Scrush\Crack\FD3.EXE"  
09/12/2004 11:31 |Size 5419008 |Crc32 64f15c42 |Md5 a19407651f5be50997efc754b04dd44f  
 

################## | ! Fin du rapport # FindyKill V5.023 ! |

ludsfa · Answer

re,


ok relance findykill ,

L'option 2 :    * Dans le menu principal, tapez 2 puis validez par entrée.
    * Le menu démarrer et les icônes vont à nouveau disparaître.. c'est normal.
    * Le nettoyage va prendre quelques minutes... Appuez sur OK sur la fenêtre d'informations

    *  Le fix peux avoir besoin de redémarrer l'ordinateur, un message vous en averti, vous devez appuyer sur une touche.

Au redémarrage, le fix se relance... laissez l'opération s'effectuer.
    *  Un rapport de nettoyage vous est proposé... appuyez sur une touche pour ouvrir ce rapport.

envoyez ce rapport.

caporalblutch · Answer

re ludsfa, voici le nouveau rapport findykill je t'ai mis en gras Website : http://pagesperso-orange.fr/NosTools/index.htmlparce que moi orange je ne sais pas d'où ça sort . Merci pour ta rapidité et la précision de tes réponses.
Cordialement.



############################## | FindyKill V5.023 |

# User : Philippe (Administrateurs) # X-QPACK-3
# Update on 31/12/2009 by El Desaparecido
# Start at: 18:13:18 | 02/01/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# AMD Athlon(tm) 64 X2 Dual Core Processor 4400+
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | (!) Outdated ]

# C:\ # Disque fixe local # 20 Go (1,81 Go free) [Système] # NTFS
# D:\ # Disque fixe local # 278,08 Go (155,75 Go free) [Stock] # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque CD-ROM
# G:\ # Disque CD-ROM
# H:\ # Disque CD-ROM
# I:\ # Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Internet Explorer\Iexplore.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe

################## | C: |


################## | C:\WINDOWS |


################## | C:\WINDOWS\system32 |

Supprimé ! C:\WINDOWS\system32\autorun.inf  

################## | C:\WINDOWS\system32\drivers |


################## | C:\Documents and Settings\Philippe\Application Data |


################## | Autres suppressions ... |

################## | Temporary Internet Files |


################## | Registre / Clés infectieuses | 


################## | Etat / Services / Informations |

# Mode sans echec : OK


# Affichage des fichiers cachés : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 ) 
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )  

################## | PEH ... |


################## | Cracks / Keygens / Serials |

"D:\Jeux\Fire Department 3 French Nocd By Da Scrush\[PC GAME] Fire Department 3 FRENCH by Da Scrush\Crack\FD3.EXE"  
09/12/2004 11:31 |Size 5419008 |Crc32 64f15c42 |Md5 a19407651f5be50997efc754b04dd44f  
 

################## | ! Fin du rapport # FindyKill V5.023 ! |

caporalblutch · Answer

Bonsoir à tous,

j'ai rencontré de nouveaux problèmes: je perds la main sur la machine plus rien ne fonctionne (pas de sourie etc), je suis donc obligé de relancer la machine avec le bouton reset car je ne peux pas non plus faire apparaitre le gestionnaire des taches. Avira ( d'ailleur le centre de sécurité de windows me dit que celui-ci est désactivé), spybot mbam ne veulent toujours pas se lancer, j'ai beau cliquer dessus rien ne se passe mais je les voie qui apparaissent dans le gestionnaire de tache dans l'onglet process.
Merci pour votre aide, j'attends vos conseils.
Cordialement.

jfkpresident · Answer

Tu est infecté par le rootkit TDSS ...

-Télécharge Combofix en cliquant sur ce lien : combokill (combokill correspond a combofix renommé).

Et important, enregistre le sur le bureau.

Avant d'utiliser ComboFix :

? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
la protection en temps réel de ton Antivirus et de tes Antispywares,
qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.


Une fois fait, sur ton bureau double-clic sur Combokill.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt,.
est automatiquement sauvegardé et rangé à C:\Combofix.txt)

? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares,
avant de te reconnecter à internet.

? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

caporalblutch · Answer

re jfkpresident, cela n'a pas été sans mal mais voici enfin le rapport du fix que tu ma demandé. Merci encore pour le temps que tu m'accorde.
Cordialement.

ComboFix 10-01-01.05 - Philippe 02/01/2010  21:44:16.1.2 - x86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.895.606 [GMT 1:00]
Lancé depuis: d:\download\Combokill.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\LOG.TXT
c:\windows\system32\drivers\H8SRTuylamtnmyl.sys
c:\windows\system32\H8SRTargrkvsxmm.dll
c:\windows\system32\H8SRTenojbpjdlv.dat
c:\windows\system32\H8SRTsmrvafecxn.dll
c:\windows\system32\H8SRTwtjkuocvop.dll
c:\windows\system32\srcr.dat

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_H8SRTd.sys
-------\Legacy_H8SRTd.sys


(((((((((((((((((((((((((((((   Fichiers créés du 2009-12-02 au 2010-01-02  ))))))))))))))))))))))))))))))))))))
.

2010-01-02 16:31 . 2010-01-02 17:36	--------	d-----w-	C:\FindyKill
2010-01-02 16:18 . 2010-01-02 16:18	--------	d-----w-	C:sit
2010-01-02 13:42 . 2009-03-30 08:32	96104	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-01-02 13:42 . 2009-02-13 10:28	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2010-01-02 13:42 . 2009-02-13 10:17	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2010-01-02 13:42 . 2010-01-02 13:42	--------	d-----w-	c:\program files\Avira
2010-01-02 13:42 . 2010-01-02 13:42	--------	d-----w-	c:\documents and settings\All Users\Application Data\Avira
2010-01-01 11:31 . 2010-01-01 11:31	--------	d-----w-	c:\documents and settings\Philippe\Application Data\HTML Executable
2010-01-01 09:58 . 2010-01-02 07:38	876	----a-w-	c:\windows\system32\krl32mainweq.dll
2009-12-22 09:07 . 2009-12-30 18:55	52224	----a-w-	c:\documents and settings\Philippe\Application Data\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10005.dll
2009-12-21 22:46 . 2009-11-21 15:58	471552	-c----w-	c:\windows\system32\dllcache\aclayers.dll

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-01 18:26 . 2009-10-12 20:50	--------	d-----w-	c:\program files\SUPERAntiSpyware
2009-12-31 16:00 . 2009-10-04 21:34	--------	d-----w-	c:\documents and settings\Philippe\Application Data\vlc
2009-12-31 16:00 . 2008-05-18 21:08	--------	d-----w-	c:\documents and settings\Philippe\Application Data\dvdcss
2009-12-30 18:55 . 2009-03-24 11:01	117760	----a-w-	c:\documents and settings\Philippe\Application Data\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2009-12-12 18:37 . 2008-02-27 20:00	--------	d-----w-	c:\documents and settings\All Users\Application Data\Microsoft Help
2009-12-05 09:03 . 2008-08-22 21:14	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2009-12-05 09:03 . 2008-09-06 17:22	4844296	----a-w-	c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2009-12-03 15:14 . 2008-08-22 21:14	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-03 15:13 . 2008-08-22 21:14	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-11-26 21:17 . 2008-11-19 18:27	--------	d-----w-	c:\program files\QuickTime
2009-11-26 21:17 . 2008-08-23 18:42	--------	d-----w-	c:\program files\Microsoft LifeCam
2009-11-25 10:19 . 2009-05-01 17:16	56816	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-11-21 15:58 . 2004-08-19 14:09	471552	----a-w-	c:\windows\AppPatch\aclayers.dll
2009-11-20 14:34 . 2008-05-18 18:48	--------	d-----w-	c:\program files\Spybot - Search & Destroy
2009-11-06 18:10 . 2008-06-07 10:08	--------	d-----w-	c:\program files\Java
2009-11-06 18:10 . 2002-08-30 12:00	81244	----a-w-	c:\windows\system32\perfc00C.dat
2009-11-06 18:10 . 2002-08-30 12:00	501610	----a-w-	c:\windows\system32\perfh00C.dat
2009-11-06 18:10 . 2009-11-06 18:10	152576	----a-w-	c:\documents and settings\Philippe\Application Data\Sun\Java\jre1.6.0_17\lzma.dll
2009-10-29 07:42 . 2004-08-19 14:09	916480	----a-w-	c:\windows\system32\wininet.dll
2009-10-28 13:27 . 2008-02-27 18:55	721904	----a-w-	c:\windows\system32\drivers\sptd.sys
2009-10-21 05:39 . 2004-08-19 14:09	75776	----a-w-	c:\windows\system32\strmfilt.dll
2009-10-21 05:39 . 2004-08-19 14:09	25088	----a-w-	c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2004-08-03 21:00	265728	----a-w-	c:\windows\system32\drivers\http.sys
2009-10-13 10:33 . 2004-08-19 14:09	271360	----a-w-	c:\windows\system32\oakley.dll
2009-10-12 13:39 . 2004-08-19 14:09	79872	----a-w-	c:\windows\system32aschap.dll
2009-10-12 13:39 . 2004-08-19 14:09	150528	----a-w-	c:\windows\system32astls.dll
2009-10-11 03:17 . 2008-12-08 18:18	411368	----a-w-	c:\windows\system32\deploytk.dll
2009-10-08 17:24 . 2008-02-27 15:25	47440	----a-w-	c:\documents and settings\Philippe\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2007-12-15 482760]
"SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2006-07-07 1052672]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"AlcoholAutomount"="c:\program files\Alcohol Soft\Alcohol 120\axcmd.exe" [2009-04-24 203928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-10-17 7307264]
"nwiz"="nwiz.exe" [2005-10-17 1519616]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-10-17 86016]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 61952]
"RTHDCPL"="RTHDCPL.EXE" [2007-10-16 16855552]
"WireLessMouse"="c:\program files\Multimedia Combo Set Driver\StartAutorun.exe" [2005-11-30 94208]
"WireLessKeyboard"="c:\program files\Multimedia Combo Set Driver\StartAutorun.exe" [2005-11-30 94208]
"tsnpstd3"="c:\windows	snpstd3.exe" [2005-11-04 90112]
"LifeCam"="c:\program files\Microsoft LifeCam\LifeExp.exe" [2007-05-17 279912]
"VX3000"="c:\windows\vVX3000.exe" [2007-04-10 709992]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-09-06 413696]
"hpqSRMon"="c:\program files\HP\Digital Imaging\bin\hpqSRMon.exe" [2008-08-20 150016]
"NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2008-3-25 214360]
Image Transfer.lnk.disabled [2008-4-27 715]
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Readereader_sl.exe [2005-9-23 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun-]
"HP Software Update"=c:\program files\HP\HP Software Update\HPWuSchd2.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\RealVNC\VNC4\winvnc4.exe"=
"c:\Program Files\eMule\emule.exe"=
"c:\Program Files\Mozilla Firefox\firefox.exe"=
"c:\Program Files\Microsoft LifeCam\LifeCam.exe"=
"c:\Program Files\Microsoft LifeCam\LifeExp.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Skype\Phone\Skype.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqpse.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqsudi.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqpsapp.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"=
"c:\Program Files\Fichiers communs\Ahead\Nero Web\SetupX.exe"=
"d:\Jeux\Medal of honor\mohpa.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [02/01/2010 14:42 108289]
R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [16/04/2009 10:48 54752]
S1 SASKUTIL;SASKUTIL;\??\c:\program files\SUPERAntiSpyware\SASKUTIL.sys --> c:\program files\SUPERAntiSpyware\SASKUTIL.sys [?]
S3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\windows\system32\drivers\fbxusb32.sys [02/05/2008 15:37 21344]
S3 fsssvc;Service Windows Live Contrôle parental;c:\program files\Windows Live\Family Safety\fsssvc.exe [05/08/2009 21:48 704864]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [27/02/2008 19:55 721904]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - mchInjDrv

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
.
Contenu du dossier 'Tâches planifiées'

2010-01-02 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-04-14 20:18]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Connection Wizard,ShellNext = iexplore
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: {F901A65E-EB8F-4134-9F3D-F4A2631E197A} = 212.27.53.252,212.27.54.252
FF - ProfilePath - c:\documents and settings\Philippe\Application Data\Mozilla\Firefox\Profiles\divqbcwc.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - plugin: c:\program files\Microsoft\Office Live
pOLW.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-SUPERAntiSpyware - c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe
HKLM-Run-NBKeyScan - c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe
HKLM-Run-NWEReboot - (no file)
Notify-!SASWinLogon - (no file)
AddRemove-HijackThis - d:\download\HijackThis.exe
AddRemove-Mozilla Firefox (3.0.16) - k:\framakey\Apps\PortableFirefox\firefox\uninstall\helper.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-02 21:50
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\c:\docume~1\Philippe\LOCALS~1\Temp\mc22.tmp"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(1996)
c:\program files\SuperCopier2\SC2Hook.dll
c:\windows\system32
view.dll
c:\windows\system32\NVWRSFR.DLL
c:\windows\system32
vwddi.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Microsoft LifeCam\MSCamS32.exe
c:\windows\system32undll32.exe
c:\windows\RTHDCPL.EXE
c:\program files\Multimedia Combo Set Driver\PS2USBKbdDrv.exe
c:\program files\Multimedia Combo Set Driver\MouseDrv.exe
c:\windows\system32
vsvc32.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
c:\program files\RealVNC\VNC4\WinVNC4.exe
c:\windows\system32\imapi.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\program files\HP\Digital Imaging\bin\hpqSTE08.exe
c:\program files\HP\Digital Imaging\bin\hpqbam08.exe
.
**************************************************************************
.
Heure de fin: 2010-01-02  21:51:40 - La machine a redémarré
ComboFix-quarantined-files.txt  2010-01-02 20:51

Avant-CF: 1 723 146 240 octets libres
Après-CF: 3 081 003 008 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

- - End Of File - - 03F67D13E1C26F4F39205E6620DC63CC

jfkpresident · Answer

> Ferme tout tes navigateurs (donc copie ou imprime les instructions avant)
- Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie/colle dedans les lignes suivantes :

           


File::
c:\windows\system32\krl32mainweq.dll       


- Enregistre ce fichier sous le nom CFScript
- Fait un glisser/déposer de ce fichier CFScrïpt sur le fichier ComboFix.exe comme sur cette image. (Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris.) Combofix va démarrer.
- Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
- Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
- Ne touche à rien tant que le scan n'est pas terminé sinon le PC peut planter !
- Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Note : Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt 

=====================================================

Ensuite met a jour MBAM puis lance un scan complet .
Copie/colle le rapport généré .

caporalblutch · Answer

re, voilà le dernier rapport combofix merci pour ta patience.
J'effectue mbam.
Cordialement.


ComboFix 10-01-02.01 - Philippe 02/01/2010  22:27:13.2.2 - x86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.895.502 [GMT 1:00]
Lancé depuis: d:\download\Combokill.exe
Commutateurs utilisés :: c:\documents and settings\Philippe\Bureau\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}

FILE ::
"c:\windows\system32\krl32mainweq.dll"
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\krl32mainweq.dll

.
(((((((((((((((((((((((((((((   Fichiers créés du 2009-12-02 au 2010-01-02  ))))))))))))))))))))))))))))))))))))
.

2010-01-02 20:30 . 2010-01-02 20:51	--------	d-----w-	C:\Combokill
2010-01-02 16:31 . 2010-01-02 17:36	--------	d-----w-	C:\FindyKill
2010-01-02 16:18 . 2010-01-02 16:18	--------	d-----w-	C:sit
2010-01-02 13:42 . 2009-03-30 08:32	96104	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-01-02 13:42 . 2009-02-13 10:28	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2010-01-02 13:42 . 2009-02-13 10:17	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2010-01-02 13:42 . 2010-01-02 13:42	--------	d-----w-	c:\program files\Avira
2010-01-02 13:42 . 2010-01-02 13:42	--------	d-----w-	c:\documents and settings\All Users\Application Data\Avira
2010-01-01 11:31 . 2010-01-01 11:31	--------	d-----w-	c:\documents and settings\Philippe\Application Data\HTML Executable
2009-12-22 09:07 . 2009-12-30 18:55	52224	----a-w-	c:\documents and settings\Philippe\Application Data\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10005.dll
2009-12-21 22:46 . 2009-11-21 15:58	471552	-c----w-	c:\windows\system32\dllcache\aclayers.dll

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-02 21:25 . 2008-05-15 13:30	--------	d-----w-	c:\program files\SuperCopier2
2010-01-01 18:26 . 2009-10-12 20:50	--------	d-----w-	c:\program files\SUPERAntiSpyware
2009-12-31 16:00 . 2009-10-04 21:34	--------	d-----w-	c:\documents and settings\Philippe\Application Data\vlc
2009-12-31 16:00 . 2008-05-18 21:08	--------	d-----w-	c:\documents and settings\Philippe\Application Data\dvdcss
2009-12-30 18:55 . 2009-03-24 11:01	117760	----a-w-	c:\documents and settings\Philippe\Application Data\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2009-12-12 18:37 . 2008-02-27 20:00	--------	d-----w-	c:\documents and settings\All Users\Application Data\Microsoft Help
2009-12-05 09:03 . 2008-08-22 21:14	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2009-12-05 09:03 . 2008-09-06 17:22	4844296	----a-w-	c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2009-12-03 15:14 . 2008-08-22 21:14	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-03 15:13 . 2008-08-22 21:14	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-11-26 21:17 . 2008-11-19 18:27	--------	d-----w-	c:\program files\QuickTime
2009-11-26 21:17 . 2008-08-23 18:42	--------	d-----w-	c:\program files\Microsoft LifeCam
2009-11-25 10:19 . 2009-05-01 17:16	56816	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-11-21 15:58 . 2004-08-19 14:09	471552	----a-w-	c:\windows\AppPatch\aclayers.dll
2009-11-20 14:34 . 2008-05-18 18:48	--------	d-----w-	c:\program files\Spybot - Search & Destroy
2009-11-06 18:10 . 2008-06-07 10:08	--------	d-----w-	c:\program files\Java
2009-11-06 18:10 . 2002-08-30 12:00	81244	----a-w-	c:\windows\system32\perfc00C.dat
2009-11-06 18:10 . 2002-08-30 12:00	501610	----a-w-	c:\windows\system32\perfh00C.dat
2009-11-06 18:10 . 2009-11-06 18:10	152576	----a-w-	c:\documents and settings\Philippe\Application Data\Sun\Java\jre1.6.0_17\lzma.dll
2009-10-29 07:42 . 2004-08-19 14:09	916480	------w-	c:\windows\system32\wininet.dll
2009-10-28 13:27 . 2008-02-27 18:55	721904	----a-w-	c:\windows\system32\drivers\sptd.sys
2009-10-21 05:39 . 2004-08-19 14:09	75776	----a-w-	c:\windows\system32\strmfilt.dll
2009-10-21 05:39 . 2004-08-19 14:09	25088	----a-w-	c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2004-08-03 21:00	265728	----a-w-	c:\windows\system32\drivers\http.sys
2009-10-13 10:33 . 2004-08-19 14:09	271360	----a-w-	c:\windows\system32\oakley.dll
2009-10-12 13:39 . 2004-08-19 14:09	79872	----a-w-	c:\windows\system32aschap.dll
2009-10-12 13:39 . 2004-08-19 14:09	150528	----a-w-	c:\windows\system32astls.dll
2009-10-11 03:17 . 2008-12-08 18:18	411368	----a-w-	c:\windows\system32\deploytk.dll
2009-10-08 17:24 . 2008-02-27 15:25	47440	----a-w-	c:\documents and settings\Philippe\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2007-12-15 482760]
"SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2006-07-07 1052672]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"AlcoholAutomount"="c:\program files\Alcohol Soft\Alcohol 120\axcmd.exe" [2009-04-24 203928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-10-17 7307264]
"nwiz"="nwiz.exe" [2005-10-17 1519616]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-10-17 86016]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 61952]
"RTHDCPL"="RTHDCPL.EXE" [2007-10-16 16855552]
"WireLessMouse"="c:\program files\Multimedia Combo Set Driver\StartAutorun.exe" [2005-11-30 94208]
"WireLessKeyboard"="c:\program files\Multimedia Combo Set Driver\StartAutorun.exe" [2005-11-30 94208]
"tsnpstd3"="c:\windows	snpstd3.exe" [2005-11-04 90112]
"LifeCam"="c:\program files\Microsoft LifeCam\LifeExp.exe" [2007-05-17 279912]
"VX3000"="c:\windows\vVX3000.exe" [2007-04-10 709992]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-09-06 413696]
"hpqSRMon"="c:\program files\HP\Digital Imaging\bin\hpqSRMon.exe" [2008-08-20 150016]
"NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2008-3-25 214360]
Image Transfer.lnk.disabled [2008-4-27 715]
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Readereader_sl.exe [2005-9-23 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun-]
"HP Software Update"=c:\program files\HP\HP Software Update\HPWuSchd2.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\RealVNC\VNC4\winvnc4.exe"=
"c:\Program Files\eMule\emule.exe"=
"c:\Program Files\Mozilla Firefox\firefox.exe"=
"c:\Program Files\Microsoft LifeCam\LifeCam.exe"=
"c:\Program Files\Microsoft LifeCam\LifeExp.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Skype\Phone\Skype.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqpse.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqsudi.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqpsapp.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"=
"c:\Program Files\Fichiers communs\Ahead\Nero Web\SetupX.exe"=
"d:\Jeux\Medal of honor\mohpa.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [02/01/2010 14:42 108289]
R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [16/04/2009 10:48 54752]
S1 SASKUTIL;SASKUTIL;\??\c:\program files\SUPERAntiSpyware\SASKUTIL.sys --> c:\program files\SUPERAntiSpyware\SASKUTIL.sys [?]
S3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\windows\system32\drivers\fbxusb32.sys [02/05/2008 15:37 21344]
S3 fsssvc;Service Windows Live Contrôle parental;c:\program files\Windows Live\Family Safety\fsssvc.exe [05/08/2009 21:48 704864]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [27/02/2008 19:55 721904]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - mchInjDrv

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
.
Contenu du dossier 'Tâches planifiées'

2010-01-02 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-04-14 20:18]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Connection Wizard,ShellNext = iexplore
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: {F901A65E-EB8F-4134-9F3D-F4A2631E197A} = 212.27.53.252,212.27.54.252
FF - ProfilePath - c:\documents and settings\Philippe\Application Data\Mozilla\Firefox\Profiles\divqbcwc.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - plugin: c:\program files\Microsoft\Office Live
pOLW.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-02 22:29
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\c:\docume~1\Philippe\LOCALS~1\Temp\mc22.tmp"
.
Heure de fin: 2010-01-02  22:31:02
ComboFix-quarantined-files.txt  2010-01-02 21:31
ComboFix2.txt  2010-01-02 20:51

Avant-CF: 3 087 245 312 octets libres
Après-CF: 3 073 773 568 octets libres

- - End Of File - - 5F9DBCBD9EF4D755207B16B058E35BA7

caporalblutch · Answer

re, voici le rapport mbam, merci encore.

cordialement.


Malwarebytes' Anti-Malware 1.43
Version de la base de données: 3482
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

02/01/2010 23:09:14
mbam-log-2010-01-02 (23-09-01).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 183932
Temps écoulé: 29 minute(s), 54 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Qoobox\Quarantine\C\WINDOWS\system32\H8SRTsmrvafecxn.dll.vir (Rootkit.TDSS) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\H8SRTuylamtnmyl.sys.vir (Malware.Packer) -> No action taken.
C:\System Volume Information\_restore{8DC82489-A1FA-47BE-8BA3-8D3171AEED76}\RP0\A0000002.sys (Malware.Packer) -> No action taken.
C:\System Volume Information\_restore{8DC82489-A1FA-47BE-8BA3-8D3171AEED76}\RP0\A0000004.dll (Rootkit.TDSS) -> No action taken.

jfkpresident · Answer

Recolle moi un nouveau log RSIT ,je regarderais demain .

Bonne nuit .

caporalblutch · Answer

re, voilà le nouveau rapport rsit, encore merci, bonne nuit et à demain.
cordialement.



Logfile of random's system information tool 1.06 (written by random/random)
Run by Philippe at 2010-01-02 23:27:07
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 3 GB (14%) free of 20 GB
Total RAM: 895 MB (42% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:27:17, on 02/01/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32undll32.exe
C:\WINDOWS	snpstd3.exe
C:\WINDOWS\vVX3000.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Multimedia Combo Set Driver\PS2USBKbdDrv.exe
C:\Program Files\Multimedia Combo Set Driver\MouseDrv.exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe
C:\Program Files\Avira\AntiVir Desktop\avcenter.exe
D:\Download\RSIT.exe
C:\Program Files	rend micro\Philippe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [WireLessMouse] C:\Program Files\Multimedia Combo Set Driver\StartAutorun.exe MouseDrv.exe
O4 - HKLM\..\Run: [WireLessKeyboard] C:\Program Files\Multimedia Combo Set Driver\StartAutorun.exe PS2USBKbdDrv.exe
O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS	snpstd3.exe
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [VX3000] C:\WINDOWS\vVX3000.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [hpqSRMon] C:\Program Files\HP\Digital Imaging\bin\hpqSRMon.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe"
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Image Transfer.lnk.disabled
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Livre de reliures HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Sélection intelligente HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{F901A65E-EB8F-4134-9F3D-F4A2631E197A}: NameServer = 212.27.53.252,212.27.54.252
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\WINDOWS\
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero 7\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe

jfkpresident · Answer

Utilise le site cijoint pour héberger le rapport (il n'est pas complet) comme tu l'as fait post#3 .

caporalblutch · Answer

Bonjours jfk president, désolé pour le rapport qui n'était pas complet, hier soir j'avais plus les yeux en face des trous. Tu trouveras ci-joint les liens pour le site du même nom. Comme tu pourras le constater j'ai refait un fix rsit il y a quelques minutes. Encore merci pour tes explications et tes très bon conseils, je te souhaite un bon dimanche et une bonne année par la même occasion, à tout à l'heure, je reste à ta disposition.
Cordialement.


http://www.cijoint.fr/cjlink.php?file=cj201001/cijRBWpcqN.txt


http://www.cijoint.fr/cjlink.php?file=cj201001/cijlJStafG.txt

jfkpresident · Answer

Télécharge OTM de OldTimer sur ton Bureau en cliquant sur ce lien :

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

Double-clique sur OTMoveIt3.exe pour le lancer.

Vérifie que la case devant "Unregister Dll's and Ocx's est bien cochée.

Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans le cadre de gauche de OTMoveIt : "Paste instructions for item to be moved".


:processes
explorer.exe

:files
C:\Documents and Settings\All Users\Application Data\sysReserve.ini       


:commands
[purity]
[emptytemp]
[start explorer]
[reboot]



Clique sur "MoveIt!" pour lancer la suppression.

Le résultat apparaitra dans le cadre "Results".

Clique sur "Exit" pour fermer.

Poste le rapport situé dans C:\_OTMoveIt\MovedFiles sous le nom xxxxxx_xxxxxxxxxx.log .

Il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

Ensuite dis moi comment va le pc ?

caporalblutch · Answer

re, désolé mais je ne trouve pas cette case: Vérifie que la case devant "Unregister Dll's and Ocx's est bien cochée. , quand je le lance j'arrive directement sur "Paste instructions for item to be moved".  et la fenêtre résultats alors avant de faire n'importe quoi je viens encore te demander conseil. Est-ce que je le lance sans savoir si cette case est coché ? De plus hier j'ai donc lancé mbam il a trouvé 4 infection que j'ai supprimer, notamment le fameux rootkit tds je te post le log à tout hasard.
J'attends donc ton feu vert avant de lancer OTM, encore merci.
Cordialement.


Malwarebytes' Anti-Malware 1.43
Version de la base de données: 3482
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

02/01/2010 23:09:14
mbam-log-2010-01-02 (23-09-01).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 183932
Temps écoulé: 29 minute(s), 54 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Qoobox\Quarantine\C\WINDOWS\system32\H8SRTsmrvafecxn.dll.vir (Rootkit.TDSS) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\H8SRTuylamtnmyl.sys.vir (Malware.Packer) -> No action taken.
C:\System Volume Information\_restore{8DC82489-A1FA-47BE-8BA3-8D3171AEED76}\RP0\A0000002.sys (Malware.Packer) -> No action taken.
C:\System Volume Information\_restore{8DC82489-A1FA-47BE-8BA3-8D3171AEED76}\RP0\A0000004.dll (Rootkit.TDSS) -> No action taken.

caporalblutch · Answer

re , pour plus de précision la version d'otm est 3.1.4.0.
Cordialement.

jfkpresident · Answer

C:\Qoobox\Quarantine\C\WINDOWS\system32\H8SRTsmrvafecxn.dll.vir

C'est la quarantaine de combofix .

C:\System Volume Information\_restore{8DC82489-A1FA-47BE-8BA3-8D3171AEED76}\RP0\A0000004.dll

C'est ta resto systeme que l'on purgera a la fin .

Lance OTM ,puis copie/colle les instructions dans la partie gauche puis clique sur "move-it".

caporalblutch · Answer

Re, voila j'ai effectué la manip que tu m'as demander et comme prévu je te post le rapport otm. En ce qui concerne la machine elle est toujours un peu longue au chargement mais beaucoup moins qu'avant ton intervention. Je n'ai rien essayé d'autre pour le moment j'attends ton feu vers pour lancer quelques programmes pour connaitre sont comportement. Merci.
Cordialement.


All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== FILES ==========
C:\Documents and Settings\All Users\Application Data\sysReserve.ini moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
 
User: Philippe
->Temp folder emptied: 1000229 bytes
->Temporary Internet Files folder emptied: 9149461 bytes
->Java cache emptied: 27052728 bytes
->FireFox cache emptied: 49780131 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2133582 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
Windows Temp folder emptied: 7841 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 67 bytes
RecycleBin emptied: 82984 bytes
 
Total Files Cleaned = 85,00 mb
 
 
OTM by OldTimer - Version 3.1.4.0 log created on 01032010_152140

Files moved on Reboot...

Registry entries deleted on Reboot...

caporalblutch · Answer

Re, voila j'ai effectué la manip que tu m'as demander et comme prévu je te post le rapport otm. En ce qui concerne la machine elle est toujours un peu longue au chargement mais beaucoup moins qu'avant ton intervention. Je n'ai rien essayé d'autre pour le moment j'attends ton feu vers pour lancer quelques programmes pour connaitre sont comportement. Merci.
Cordialement.


All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== FILES ==========
C:\Documents and Settings\All Users\Application Data\sysReserve.ini moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: Philippe
->Temp folder emptied: 1000229 bytes
->Temporary Internet Files folder emptied: 9149461 bytes
->Java cache emptied: 27052728 bytes
->FireFox cache emptied: 49780131 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2133582 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
Windows Temp folder emptied: 7841 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 67 bytes
RecycleBin emptied: 82984 bytes

Total Files Cleaned = 85,00 mb


OTM by OldTimer - Version 3.1.4.0 log created on 01032010_152140

Files moved on Reboot...

Registry entries deleted on Reboot...

jfkpresident · Answer

Fais ce scan anti-virus en ligne avec Internet Explorer, accepte l'active X : https://www.bitdefender.com/toolbox/ 

la barre anti-popup du SP2 (en haut) va se mettre à clignoter, 
clic dessus et choisis "accepter l'active X" pour faire fonctionner le scan anti-virus. 
Une fois qu'il a terminé colle le rapport ici stp 

Copie/Colle le rapport 

tutoriel

caporalblutch · Answer

Je suis désolé, Je ne peut pas la manip avant demain matin, ce soir il faut prévoir le retour en classe du petit . merci encore à demain.

jfkpresident · Answer

Je suis désolé, Je ne peut pas la manip avant demain matin, ce soir il faut prévoir le retour en classe du petit . merci encore à demain.

Zut...Je pensais finir ce soir parceque je serait absent pendant 2 voir 3 jours .

Colle moi le rapport de Bitdefender et je regarderais a mon retour si tu peux patienter jusque la -;)

caporalblutch · Answer

Bonjour, comme prévu je te post le rapport bitdefender, pendant le scan de celui-ci (bitdefender) antvir a trouvé les fameux rootkit dans la quarantaine de comdofix et les points de restauration infectés, dont voici les chemins:

 C:\System Volume information\_restore{8dc82....\A0000005.dll
 C:\System volume information\_restore{8dc82.....\A0000003.dll

 C:\Qoobox\Quarantaine\C\WINDOWS\system 32\H8SRT wtjkuovop.dll.vir,
 C:\Qoobox\Quarantaine\C\WINDOWS\system 32\H8SRT agrgkvsxmm.dll.vir

Je les ai donc mis en quarantaine dans avira , (j'aurai peut être dû les ignorer avec antivir car comme tu me la présisé plus haut dans un précédent post c'est la quarantaine de combofix mais je ne m'en suis aperçu qu'après)  avant de les supprimer de la quarantaine, d'avira donc, j'attends ton accord, j'espère ne pas avoir fait une bêtise.

Je te souhaite bon courage pour la suite, j'attends ton retour dans 2 à 3 jours avant de faire quoi que ce soit. Encore merci pour ta disponibilité, tes réponses rapides et du temps que tu passe pour me dépanner.

Cordialement Caporal blutch.



BitDefender Online Scanner - Real Time Virus Report

Generated at: Mon, Jan 04, 2010 - 13:00:42 

Scan Info
	
Scanned Files
	
457625

Infected Files
	
0

Virus Detected

No virus found.
	
This summary of the scan process will be used by the BitDefender Antivirus Lab to create agregate statistics about virus activity around the world.

jfkpresident · Answer

salut ,on va pouvoir conclure :

Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques : 

· Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.
http://pc-system.fr/
· Clique sur Recherche et laisse le scan se terminer.
· Clique, sur Suppression pour finaliser.
· Tu peux, si tu le souhaites, te servir des Options facultatives.
· Clique sur Quitter, pour que le rapport puisse se créer.
· Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

==================================

Maintenant que ton PC n'est plus infecté, désactive ta "Restauration du système" puis réactive la afin de créer un point de restauration sain. 

* Désactivation : 
Cliquer droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > cocher la case "Désactiver la Restauration du système sur tous les lecteurs" 
> Appliquer patiente jusqu a que cela soit marqué "désactivée" puis Ok. 

* Activation : 
Suivre le même chemin ; décocher la case "Désactiver la Restauration du système sur tous les lecteurs" 
> Appliquer attends que cela soit a nouveau sur "surveillance" puis Ok. Redémarrer l'ordinateur.. 

=================================

mettre à jour java
https://www.java.com/fr/download/manual.jsp

microsoft live one car et spybot ne sont pas indispensables sur ton pc ,tu peu les supprimer .

En revanche garde antivir ,superantispyware et MBAM .

================================

Tu utilise E-mule ,je te conseille de lire ceci :

danger du P2P et des cracks

également un exemple concret ici ou l'internaute ne pouvait plus rien faire de sa machine ...

si tu as des questions ?

caporalblutch · Answer

Bonsoir jfk président, comme convenu je te post le rapport toolcleaner2. Je te remercie pour tout le travail que tu as effectué pour moi, ainsi que le temps que tu m'as consacré. Tu remerciera aussi ta famille ;-)
 Une petite question: Pourquoi spybot n'est pas indispensable ? de plus je compte installer Kerio comme firewall quand pense tu ? Voilà encore merci pour ta disponibilité et tes précieux conseils. Je suis ton obligé...
(J'ai effectué aussi la manip pour le point de restauration)
Très cordialement.


[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Combofix.txt: trouvé !
C:\Qoobox: trouvé !
C:\_OTM: trouvé !
C:\FindyKill: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\Philippe\Bureau\OTM.exe: trouvé !
C:\Documents and Settings\Philippe\Bureau\hijackthis.log: trouvé !
C:\Documents and Settings\Philippe\Bureau\Rsit.exe: trouvé !
C:\Documents and Settings\Philippe\Recent\HijackThis.lnk: trouvé !
C:\Program Files	rend micro\HijackThis.exe: trouvé !
C:\Program Files	rend micro\hijackthis.log: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\WINDOWS\mbr.exe: trouvé !

---------------------------------
--> Suppression: 

C:\Documents and Settings\Philippe\Bureau\OTM.exe: supprimé !
C:\Documents and Settings\Philippe\Recent\HijackThis.lnk: supprimé !
C:\Program Files	rend micro\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\Documents and Settings\Philippe\Bureau\hijackthis.log: supprimé !
C:\Documents and Settings\Philippe\Bureau\Rsit.exe: supprimé !
C:\Program Files	rend micro\hijackthis.log: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\WINDOWS\mbr.exe: supprimé !
C:\Qoobox: supprimé !
C:\_OTM: supprimé !
C:\FindyKill: supprimé !
C:\Rsit: supprimé !

Corbeille vidée!
Fichiers temporaires nettoyés !
Sauvegarde du registre crée !

jfkpresident · Answer

Une petite question: Pourquoi spybot n'est pas indispensable ? de plus je compte installer Kerio comme firewall quand pense tu ?

tu as déja superantispyware donc inutile de surcharger betement ton pc et de plus tu ne sera pas mieux protégé -;)

kerio est tres bien mais n'oubli pas de désactiver celui de xp avant /!\

bon surf sur la toile !

caporalblutch · Answer

Bonjours, merci encore pour ton dépannage. Pour spybot, il me trouve des choses que superantispyware ne me trouve pas et vis et versa, alors je pense que je vais le garder et comme j'ai un gros proco ça ne me dérange pas plus que ça. Merci beaucoup, tu m'as vraiment retirer une épine du pied, à charge de revanche (si c'est possible, mais j'en doute ;-), je commence à potasser pour apprendre à interpréter de rapports hijackthis, au passage merci malekal tes tuto sont super) je te souhaite une bonne année 2010 ainsi qu'à ta famille. Bonne continuation pour la suite.

Très cordialement (je me prosterne...:-), merci, merci, merci.

jfkpresident · Answer

meilleurs voeux a toi aussi -;)

Si ça t'intéresse : tutoriel hijackthis

Bye ^^

Analyse de rapport hijackthis

31 réponses

Discussions similaires

Newsletters