Sujet Précédent Sujet Suivant

Virus centre d'alerte

Résolu/Fermé
-M- - 3 janv. 2010 à 16:43
 -M- - 10 janv. 2010 à 15:04
Bonjour,

En surfant sur internet, j'ai récupéré un (ou des) virus qui me pose(nt) pas mal de problèmes.

Pour faire simple, j'ai une icône centre de sécurité qui est apparue dans ma barre de tâches et qui s'ouvre régulièrement, m'indiquant que mon ordinateur est infecté et que je dois acheter un logiciel de désinfection. Des popups s'ouvrent régulièrement pour me signaler l'infection d'un trojan, toujours différent.

Par ailleurs, je ne peux plus me connecter à internet, ma page de démarrage (google) ne fonctionnant plus.
Mon antivirus (mc afee) est également désactivé et je ne parviens pas à le réactiver. Je peux tout juste faire un scan avec, m'indiquant que je suis infecté par un virus generix.dx et un autre, Qhost.

J'ai également réalisé un scan avec malwarebytes, qui m'indique que 650 clés de registres sont infectées, toutes avec un .exe. Je n'ai rien fait, pas de suppression, ni de mise en quarantaine...

Quelqu'un a-t-il déjà eu le même problème, ou peut-il m'aider? Par avance, merci pour toutes vos réponses.

-M-

29 réponses

  • 1
  • 2
Réponse 1 / 29
Utilisateur anonyme
3 janv. 2010 à 16:46
Bonjour

Peux tu poster le rapport Malwaresbytes?

Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/

Clique sur Parcourir et cherche le fichier : Nom_complet_du_fichier
Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

@+
0
-M-
3 janv. 2010 à 16:53
Merci pour ta réponse rapide, voici le lien du scan malwarebyes :

http://www.cijoint.fr/cjlink.php?file=cj201001/cijdAhH1pR.txt

-M-
0
Utilisateur anonyme > -M-
3 janv. 2010 à 17:03
Re

Relance Malwaresbytes ,mais ce coup là supprime tout ce qu'il trouve.

Ensuite fait ceci:

a) Télécharge et installe le logiciel HijackThis :

https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-->Clique sur le setup pour lancer l'installation : laisse toi guider et ne modifie pas les paramètres d'installation .
A la fin de l’installation, le programme se lance automatiquement : ferme le en cliquant sur la croix rouge.
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

(Ne lance pas ce prg pour l'instant et fais la suite ... )

b) Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.

-> http://images.malwareremoval.com/random/RSIT.exe

! Déconnecte toi et ferme toutes tes applications en cours !

Double-clique sur " RSIT.exe " pour le lancer.

Clic droit sous VISTA (exécuter en tant que…)

-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .

* Devant l'option "List files/folders created ..." , tu choisis : 2 months

* clique ensuite sur " Continue " pour lancer l'analyse ...


-> laisse faire le scan et ne touche pas au PC ...


Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-notes).

Poste le contenu de " log.txt " (c'est celui qui apparaît à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...

Important : poste un rapport, puis l'autre dans la réponse suivante ...
Si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum ...
( Et si "log.txt" seul, ne passe pas non plus , fais le en 2 fois ... merci ... )

( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit

si tu ne peux toujours pas accéder à partir de l'ordinateur malade;télécharge ces logiciels sur une clé usb et installe les sur le PC malade ;ensuite récupère sur cette même clés les différents rapports et poste les ici; merci

@+
0
-M- > Utilisateur anonyme
3 janv. 2010 à 17:07
Ok, j'ai relancé le scan malwarebytes et je m'occupe du reste.
0
-M- > Utilisateur anonyme
3 janv. 2010 à 17:49
J'ai supprimé tous les fichiers trouvés avec malewarebytes. Il m'a redémarré le pc automatiquement... Et désormais, impossible de le redémarrer, que ce soit sous xp ou en mode sans échec.

J'ai un écran bleu et le pc redémarre, dans une boucle sans fin. Que puis-je faire ?

-M-
0
Utilisateur anonyme > -M-
3 janv. 2010 à 20:04
Re

A partir de ce PC,fait ceci.

Tu télécharge un live Cd que tu utiliseras pour nettoyer ton windows
regarde ici ;tu y trouveras les informations nécessaire ,ainsi que le lien utilse pour le téléchargement.

Tiens moi au courant.
Téléchargement:ftp://ftp.drweb.com/pub/drweb/livecd/
Tuto:https://free.drweb.com/aid_admin/

@+
0
Réponse 2 / 29
damran Messages postés 145 Date d'inscription mercredi 6 janvier 2010 Statut Membre Dernière intervention 29 juin 2019 7
6 janv. 2010 à 19:56
Oui ses belle est bien un bon virus qui ses glissé sur ton ordinateur, je vais m'occuper de toi, je t'envoie mon adresse MSN
0
-M-
6 janv. 2010 à 20:07
Bonsoir,

Je n'utilise pas msn, donc si tu souhaites m'aider, il faudrait le faire sur ce site. Par ailleurs, Guillaume est déjà en train de m'aider et je ne pense pas que suivre les conseils de deux personnes à la fois soit une bonne manière de poursuivre la désinfection du pc, à moins que vous soyez sur la même longueur d'onde quant aux mesures à appliquer.
0
Réponse 3 / 29
damran Messages postés 145 Date d'inscription mercredi 6 janvier 2010 Statut Membre Dernière intervention 29 juin 2019 7
7 janv. 2010 à 18:08
Comme tu veux, en tout cas pour qu'il marche un minimum, lance ccleaner, au cas où tu les mais que tu ne t’en servent pas ^^, après utilise avast comme antivirus, tu peux enlever tous les autre que tu as car tous les antivirus sont les même, donc fait une analyse avec, puis tu peux faire une défragmentation via l'utilitaire de Windows. Voilà et si rien ne s'améliore je pense que tu devrais carrément mettre toute tes données sur un disque dur externe et formater tout ton disque dur du pc, élimine tout, même Windows, et après tu le réinstalle via ton cd, tu rentres ta licence et tu ramais tes donné dessus, et il et comme neuf.
0
Utilisateur anonyme
7 janv. 2010 à 18:42
Bonsoir

1)Pour nettoyer toutes traces .
C - Ccleaner :

https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/

.enregistres le sur le bureau
.double-cliques sur le fichier pour lancer l'installation
.sur la fenêtre de l'installation langage bien choisir français et OK
.cliques sur <gras>suivant
.lis la licence et j'accepte
.cliques sur suivant
.la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner
.cliques sur installer
.cliques sur fermer
.double-cliques sur <gras>l'icône de Ccleaner pour l'ouvrir
.une fois ouvert tu cliques sur <gras>option et puis avancé
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures
.cliques sur nettoyeur
.cliques sur windows et dans la colonne avancé
. coches la première case vieilles données du perfetch ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la
.cliques sur analyse une fois l'analyse terminé
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vérifies en appuyant de nouveau sur analyse pour être sur qu'il n'y est plus rien
.clique maintenant sur registre et puis sur rechercher les erreurs
.laisse tout coché et clique sur réparer les erreurs sélectionnées
.il te demande de sauvegarder OUI
.tu lui donnes un nom pour pouvoir la retrouver et enregistre
.clique sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK
.il supprime et <gras>fermer tu vérifies en relançant <gras>rechercher les erreurs
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch
.tu peux fermer Ccleaner.

Tuto : https://jesses.pagesperso-orange.fr/Docs/Logiciels/CCleaner.htm

2)Fait un scan Malwaresbytes stp

3)FindyKill ( de Chiquitine29) sur votre bureau et installe le :

http://findykill.changelog.fr/Setup.exe
ou
http://pagesperso-orange.fr/NosTools/Chiquitine29/Setup.exe

! Déconnecte toi et ferme toutes applications en cours !


* Double clique sur "FindyKill.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut.

* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

* Double-clique sur le raccourci FindyKill qui est sur ton bureau pour lancer l’outil.
* Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

* Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]

Laisse travailler l'outil et ne touche à rien ...

--> Poste le rapport qui apparaît à la fin , sur le forum ...

( le rapport est sauvegardé aussi sous C:\FindyKill.txt )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

@+
0
-M-
7 janv. 2010 à 18:43
Bonsoir,

Merci pour cette réponse... radicale. Je pense que je vais éviter de formater pour l'instant, la situation est loin d'être désespérée.

-M-
0
-M- > Utilisateur anonyme
7 janv. 2010 à 18:48
Bonsoir,

Ok, je m'en occupe.

-M-
0
-M- > Utilisateur anonyme
7 janv. 2010 à 18:59
Dois-je mettre en quarantaine tout ce que trouve malewarebytes avant de lancer Findykill ?
0
Utilisateur anonyme > -M-
7 janv. 2010 à 19:37
Re

Oui,nettoie et poste le rapport stp
et ensuite lance Findykill.
@+
0
Réponse 4 / 29
-M-
7 janv. 2010 à 21:36
J'ai utilisé Zeb restaure.

Dois-je faire autre chose ou redémarrer mon pc ?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 29
-M-
7 janv. 2010 à 22:44
J'ai redémarré mon pc, sans problème.

J'ai refait un scan spybot, c'est bien meilleur, seul un trojan est détecté (Fakealert.ttam), voici le rapport :

Win32.Fakealert.ttam: [SBI $CB1B5484] Class ID (Clé du Registre, nothing done)
HKEY_CLASSES_ROOT\CLSID\{3F2BBC05-40DF-11D2-9455-00104BC936FF}


--- Spybot - Search & Destroy version: 1.6.2 (build: 20090126) ---

2009-01-26 blindman.exe (1.0.0.8)
2009-01-26 SDFiles.exe (1.6.1.7)
2009-01-26 SDMain.exe (1.0.0.6)
2009-01-26 SDShred.exe (1.0.2.5)
2009-01-26 SDUpdate.exe (1.6.0.12)
2009-01-26 SpybotSD.exe (1.6.2.46)
2009-03-05 TeaTimer.exe (1.6.6.32)
2009-08-05 unins000.exe (51.49.0.0)
2009-01-26 Update.exe (1.6.0.7)
2009-07-28 advcheck.dll (1.6.3.17)
2007-04-02 aports.dll (2.1.0.0)
2008-06-14 DelZip179.dll (1.79.11.1)
2009-01-26 SDHelper.dll (1.6.2.14)
2008-06-19 sqlite3.dll
2009-01-26 Tools.dll (2.1.6.10)
2009-01-16 UninsSrv.dll (1.0.0.0)
2009-05-19 Includes\Adware.sbi (*)
2009-07-30 Includes\AdwareC.sbi (*)
2009-01-22 Includes\Cookies.sbi (*)
2009-05-19 Includes\Dialer.sbi (*)
2009-08-04 Includes\DialerC.sbi (*)
2009-01-22 Includes\HeavyDuty.sbi (*)
2009-05-26 Includes\Hijackers.sbi (*)
2009-08-04 Includes\HijackersC.sbi (*)
2009-06-23 Includes\Keyloggers.sbi (*)
2009-07-30 Includes\KeyloggersC.sbi (*)
2004-11-29 Includes\LSP.sbi (*)
2009-07-14 Includes\Malware.sbi (*)
2009-08-05 Includes\MalwareC.sbi (*)
2009-03-25 Includes\PUPS.sbi (*)
2009-08-04 Includes\PUPSC.sbi (*)
2009-01-22 Includes\Revision.sbi (*)
2009-01-13 Includes\Security.sbi (*)
2009-07-30 Includes\SecurityC.sbi (*)
2008-06-03 Includes\Spybots.sbi (*)
2008-06-03 Includes\SpybotsC.sbi (*)
2009-04-07 Includes\Spyware.sbi (*)
2009-08-04 Includes\SpywareC.sbi (*)
2009-06-08 Includes\Tracks.uti
2009-07-22 Includes\Trojans.sbi (*)
2009-08-05 Includes\TrojansC.sbi (*)
2008-03-04 Plugins\Chai.dll
2008-03-05 Plugins\Fennel.dll
2008-02-26 Plugins\Mate.dll
2007-12-24 Plugins\TCPIPAddress.dll
0
Réponse 6 / 29
-M-
7 janv. 2010 à 22:56
Je relance un scan malewarebytes (résultat demain).

Par ailleurs, je ne parviens toujours pas à ouvrir le gestionnaire de tâches à l'aide du raccourci ctrl-alt-sup.
Mon antivirus ne se remet toujours pas en route (mc afee).
J'ai téléchargé un second pare feu (sunbelt), mais comme pour online armor, impossible de l'ouvrir et donc de l'utiliser. Il semble que quelque chose bloque l'utilisation des pare feu et des antivirus.

Je dois encore faire quelques vérifs, car je ne suis pas sûr que tout soit normal avec mon fichier hosts : il existe bien, mais son contenu ne ressemble pas à un fichier hosts normal. Les logiciels tels que RHost ne parviennent pas à restaurer le fichier et je ne suis pas non plus parvenu à le faire manuellement en le recréant (impossible d'enlever la "lecture seule", malgré des tentatives en mode administrateur sans échec, et malgré des tentatives directement par l'invite de commande dos).
Le trojan Generic QHost, que Mc Afee me détecte est peut être la cause de ce problème. Je referai également un scan Mc Afee demain afin de vérifier si le trojan est toujours présent.

Merci en tout cas, je sens que ça progresse doucement :o)

-M-
0
Réponse 7 / 29
-M-
8 janv. 2010 à 13:21
Bonjour,

Le scan malewarebytes est clean, plus de fichiers détectés. J'ai fait un scan en ligne avec panda et j'obtiens le même résultat :o)

Par ailleurs, j'ai réussi à remettre en route mc afee et à supprimer le trojan generic Qhost. Il faudra voir s'il réapparaît, mais je crois que c'est bon.
Par contre, mc afee me détecte le même trojan que spybot (rapport plus haut), à savoir win32.Fakealert. Après avoir consulté le rapport mc afee, il se trouve que c'est ce trojan qui bloque le gestionnaire de tâches et les pare feu. Curieusement, il semble aussi me bloquer l'accès aux pages de téléchargement de certains spywares comme ewido. Autre effet, lié à ce trojan je suppose, l'affichage des pages web est ralenti et je suis redirigé vers un site gala.fr lorsque je fais une recherche google dans la barre de recherche. Par contre, tout est normal lorsque j'effectue ma recherche sur la page google.

Bref, je crois qu'il ne reste plus que ce trojan à éliminer pour que le pc redevienne propre. Il faudra toutefois que je rejette un coup d'oeil sur le fichier hosts.
Voila le contenu de celui que je possède :

74.125.45.100 4-open-davinci.com
74.125.45.100 securitysoftwarepayments.com
74.125.45.100 privatesecuredpayments.com
74.125.45.100 secure.privatesecuredpayments.com

Ca me paraît assez éloigné du fichier normal...
0
Utilisateur anonyme
8 janv. 2010 à 19:08
Bonsoir


***********
XP

Télécharge SmitfraudFix (de de S!Ri, balltrap34 et moe31) : http://www.geekstogo.com/forum/files/file/6-smitfraudfix/

- Enregistres-le sur le bureau

- Double-clique sur SmitfraudFix.exe et choisis l'option 1 puis Entrée

- Un rapport sera généré, poste-le dans ta prochaine réponse.

NB: SmitFraudFix utilise process.exe qui est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


@+
0
Réponse 8 / 29
-M-
8 janv. 2010 à 19:16
Bonsoir,

Voici le rapport :

SmitFraudFix v2.424

Rapport fait à 19:11:37,51, 08/01/2010
Executé à partir de C:\Documents and Settings\Pierre\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\DTS.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\AtService.exe
C:\WINDOWS\system32\FpLogonServ.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\WiFi\bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
C:\PROGRA~1\Lenovo\NPDIRECT\TPFNF7SP.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Intel\WiFi\bin\EvtEng.exe
C:\WINDOWS\system32\TpShocks.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\vsnp2uvc.exe
C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\McAfee\Common Framework\FrameworkService.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Fichiers communs\Lenovo\Scheduler\scheduler_proxy.exe
C:\PROGRA~1\THINKV~1\PrdCtr\LPMGR.exe
C:\PROGRA~1\THINKV~1\PrdCtr\LPMLCHK.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\ThinkPad\ConnectUtilities\ACWLIcon.exe
C:\Program Files\Lenovo\Client Security Solution\cssauth.exe
C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Apoint2K\ApMsgFwd.exe
C:\Program Files\Fichiers communs\Intel\WirelessCommon\RegSrvc.exe
C:\Program Files\McAfee\Common Framework\UdaterUI.exe
C:\WINDOWS\system32\svchost.exe
c:\Program Files\Fichiers communs\Lenovo\tvt_reg_monitor_svc.exe
C:\Program Files\LENOVO\Message Center Plus\MCPLaunch.exe
C:\Program Files\McAfee\Common Framework\McTray.exe
C:\Program Files\Lenovo\Rescue and Recovery\rrpservice.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Lenovo\Rescue and Recovery\rrservice.exe
D:\Pierre\Mes documents\Ma musique\Logiciels utilitaires\iTunesHelper.exe
c:\Program Files\Fichiers communs\Lenovo\Scheduler\tvtsched.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\WINDOWS\system32\igfxtray.exe
C:\Program Files\ThinkPad\Utilities\PWMDBSVC.EXE
C:\WINDOWS\system32\hkcmd.exe
c:\program files\lenovo\system update\suservice.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\ThinkPad\ConnectUtilities\AcSvc.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
C:\WINDOWS\system32\igfxsrvc.exe
D:\Pierre\Mes documents\HP Software Update\HPWuSchd2.exe
C:\Program Files\ThinkPad\Bluetooth Software\bin\btwdins.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\PROGRA~1\THINKV~1\AMSG\Amsg.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\ThinkPad\Bluetooth Software\BTTray.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\PROGRA~1\ThinkPad\BLUETO~1\BTSTAC~1.EXE
C:\Program Files\Lenovo\Client Security Solution\password_manager.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
C:\WINDOWS\system32\WISPTIS.EXE
C:\Documents and Settings\Pierre\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Pierre


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Pierre\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Pierre\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Pierre\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""




»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Intel(R) WiFi Link 5100 AGN - Miniport d'ordonnancement de paquets
DNS Server Search Order: 89.2.0.1
DNS Server Search Order: 89.2.0.2

HKLM\SYSTEM\CCS\Services\Tcpip\..\{86E4F7C9-51E8-43F4-94B4-6E22103C4529}: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS1\Services\Tcpip\..\{86E4F7C9-51E8-43F4-94B4-6E22103C4529}: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS2\Services\Tcpip\..\{86E4F7C9-51E8-43F4-94B4-6E22103C4529}: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS3\Services\Tcpip\..\{86E4F7C9-51E8-43F4-94B4-6E22103C4529}: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=89.2.0.1 89.2.0.2


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Utilisateur anonyme
8 janv. 2010 à 19:41
Re

# Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
------------------------------------------------------------­----------------
# Relance le programme Smitfraud :
Cette fois choisis l’option 2, réponds oui à tous ;
Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum


NB: SmitFraudFix utilise process.exe qui est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

@+
0
Réponse 9 / 29
-M-
8 janv. 2010 à 19:58
Nettoyage effectué. J'ai l'impression que la situation s'est dégradée et qu'un trojan s'est réactivé : je n'ai plus de fond d'écran, première fois que ça arrive, et ma page d'ouverture internet n'est plus celle de google.
Par ailleurs, l'antivirus ne se lance pas automatiquement.

Voilà le rapport :

SmitFraudFix v2.424

Rapport fait à 19:47:11,17, 08/01/2010
Executé à partir de C:\Documents and Settings\Pierre\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts

74.125.45.100 4-open-davinci.com
74.125.45.100 securitysoftwarepayments.com
74.125.45.100 privatesecuredpayments.com
74.125.45.100 secure.privatesecuredpayments.com

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{86E4F7C9-51E8-43F4-94B4-6E22103C4529}: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS1\Services\Tcpip\..\{86E4F7C9-51E8-43F4-94B4-6E22103C4529}: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS2\Services\Tcpip\..\{86E4F7C9-51E8-43F4-94B4-6E22103C4529}: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS3\Services\Tcpip\..\{86E4F7C9-51E8-43F4-94B4-6E22103C4529}: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=89.2.0.1 89.2.0.2


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK.2



»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 10 / 29
-M-
8 janv. 2010 à 20:02
J'ai l'impression que la situation s'est dégradée et qu'un trojan s'est réactivé : je n'ai plus de fond d'écran, première fois que ça arrive, et ma page d'ouverture internet n'est plus celle de google.
---> Je me suis peut être un peu précipité, sans doute que le nettoyage du registre en est la cause. J'ai rétabli les paramètres du bureau et du navigateur.

Par contre, il reste l'antivirus...
0
Réponse 11 / 29
-M-
8 janv. 2010 à 20:04
Point positif, j'ai récupéré le gestionnaire de tâches :o)
0
Utilisateur anonyme
8 janv. 2010 à 20:59
Re.

Poste un RSIT stp. Merci.
@+
0
Réponse 12 / 29
-M-
8 janv. 2010 à 21:19
Voilà le rapport :

Logfile of random's system information tool 1.06 (written by random/random)
Run by Pierre at 2010-01-08 21:02:51
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 9 GB (28%) free of 31 GB
Total RAM: 1944 MB (39% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:03:13, on 08/01/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\DTS.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\AtService.exe
C:\WINDOWS\system32\FpLogonServ.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\WiFi\bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Lenovo\NPDIRECT\TPFNF7SP.exe
C:\WINDOWS\system32\TpShocks.exe
C:\WINDOWS\vsnp2uvc.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Fichiers communs\Lenovo\Scheduler\scheduler_proxy.exe
C:\PROGRA~1\THINKV~1\PrdCtr\LPMGR.exe
C:\PROGRA~1\THINKV~1\PrdCtr\LPMLCHK.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\ThinkPad\ConnectUtilities\ACWLIcon.exe
C:\Program Files\Lenovo\Client Security Solution\cssauth.exe
C:\Program Files\Apoint2K\ApMsgFwd.exe
C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE
C:\Program Files\McAfee\Common Framework\UdaterUI.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\LENOVO\Message Center Plus\MCPLaunch.exe
C:\Program Files\McAfee\Common Framework\McTray.exe
D:\Pierre\Mes documents\Ma musique\Logiciels utilitaires\iTunesHelper.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
D:\Pierre\Mes documents\HP Software Update\HPWuSchd2.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\PROGRA~1\THINKV~1\AMSG\Amsg.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Intel\WiFi\bin\EvtEng.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\McAfee\Common Framework\FrameworkService.exe
C:\Program Files\ThinkPad\Bluetooth Software\BTTray.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Fichiers communs\Intel\WirelessCommon\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
c:\Program Files\Fichiers communs\Lenovo\tvt_reg_monitor_svc.exe
C:\Program Files\Lenovo\Rescue and Recovery\rrpservice.exe
C:\Program Files\Lenovo\Rescue and Recovery\rrservice.exe
c:\Program Files\Fichiers communs\Lenovo\Scheduler\tvtsched.exe
C:\Program Files\ThinkPad\Utilities\PWMDBSVC.EXE
c:\program files\lenovo\system update\suservice.exe
C:\Program Files\ThinkPad\ConnectUtilities\AcSvc.exe
C:\PROGRA~1\ThinkPad\BLUETO~1\BTSTAC~1.EXE
C:\Program Files\ThinkPad\Bluetooth Software\bin\btwdins.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Lenovo\Client Security Solution\password_manager.exe
C:\Program Files\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Pierre\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Pierre.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 74.125.45.100 4-open-davinci.com
O1 - Hosts: 74.125.45.100 securitysoftwarepayments.com
O1 - Hosts: 74.125.45.100 privatesecuredpayments.com
O1 - Hosts: 74.125.45.100 secure.privatesecuredpayments.com
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan Enterprise\scriptcl.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: Password Manager Browser Helper Object - {BF468356-BB7E-42D7-9F15-4F3B9BCFCED2} - C:\Program Files\Lenovo\Client Security Solution\tvtpwm_ie_com.dll
O2 - BHO: PDF-XChange Viewer IE-Plugin - {C5D07EB6-BBCE-4DAE-ACBB-D13A8D28CB1F} - C:\Program Files\Tracker Software\PDF Viewer\PDFXCviewIEPlugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Lenovo ThinkVantage Toolbox - {86B9B5DD-FB75-4035-BD52-3C94F7849CAF} - C:\Program Files\PC-Doctor\ATLPcdToolbar544928.dll
O4 - HKLM\..\Run: [TPFNF7] C:\PROGRA~1\Lenovo\NPDIRECT\TPFNF7SP.exe /r
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [snp2uvc] C:\WINDOWS\vsnp2uvc.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [FingerPrintSoftware] "C:\Program Files\Lenovo Fingerprint Software\fpapp.exe" \s
O4 - HKLM\..\Run: [TVT Scheduler Proxy] C:\Program Files\Fichiers communs\Lenovo\Scheduler\scheduler_proxy.exe
O4 - HKLM\..\Run: [LPManager] C:\PROGRA~1\THINKV~1\PrdCtr\LPMGR.exe
O4 - HKLM\..\Run: [LPMailChecker] C:\PROGRA~1\THINKV~1\PrdCtr\LPMLCHK.exe
O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
O4 - HKLM\..\Run: [BLOG] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog
O4 - HKLM\..\Run: [CreateLMBCShortCut] "C:\Program Files\Lenovo\Mobile Broadband Connect\UserShortcutCreator.exe"
O4 - HKLM\..\Run: [ACWLIcon] C:\Program Files\ThinkPad\ConnectUtilities\ACWLIcon.exe
O4 - HKLM\..\Run: [cssauth] "C:\Program Files\Lenovo\Client Security Solution\cssauth.exe" silent
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Message Center Plus] C:\Program Files\LENOVO\Message Center Plus\MCPLaunch.exe /start
O4 - HKLM\..\Run: [iTunesHelper] "D:\Pierre\Mes documents\Ma musique\Logiciels utilitaires\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [HP Software Update] D:\Pierre\Mes documents\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AMSG] C:\PROGRA~1\THINKV~1\AMSG\Amsg.exe /startup
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [SmartAudio] C:\Program Files\CONEXANT\SAII\SAIICpl.exe /t
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Digital Line Detect.lnk = C:\Program Files\Digital Line Detect\DLG.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Envoyer à Bluetooth - C:\Program Files\ThinkPad\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\ThinkPad\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\ThinkPad\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: (no name) - {F4F55DC8-0B69-4DFE-BA94-CB677B88B2A3} - C:\Program Files\Lenovo\Client Security Solution\tvtpwm_ie_com.dll
O9 - Extra 'Tools' menuitem: Lenovo Password Manager... - {F4F55DC8-0B69-4DFE-BA94-CB677B88B2A3} - C:\Program Files\Lenovo\Client Security Solution\tvtpwm_ie_com.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2DAD3559-2923-4935-AD49-B673D2539944} (IASRunner Class) - http://www-307.ibm.com/pc/support/acpir.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://www.ma-config.com/activex/MaConfig_3_5_3_0.cab
O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing)
O20 - Winlogon Notify: ATFUS - C:\WINDOWS\system32\FpWinLogonNp.dll
O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Lenovo - C:\Program Files\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
O23 - Service: Access Connections Main Service (AcSvc) - Lenovo - C:\Program Files\ThinkPad\ConnectUtilities\AcSvc.exe
O23 - Service: AD Monitor (ADMonitor) - Unknown owner - C:\WINDOWS\system32\ADMonitor.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AuthenTec Fingerprint Service (ATService) - AuthenTec, Inc. - C:\WINDOWS\system32\AtService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\ThinkPad\Bluetooth Software\bin\btwdins.exe
O23 - Service: Data Transfer Service (dtsvc) - Unknown owner - C:\WINDOWS\system32\DTS.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe
O23 - Service: Fingerprint Server (FingerprintServer) - AuthenTec,Inc - C:\WINDOWS\system32\FpLogonServ.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Lenovo - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Power Manager DBC Service - Unknown owner - C:\Program Files\ThinkPad\Utilities\PWMDBSVC.EXE
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Program Files\Fichiers communs\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: RoxMediaDB10 - Sonic Solutions - C:\Program Files\Fichiers communs\Roxio Shared\10.0\SharedCOM\RoxMediaDB10.exe
O23 - Service: Intel(R) PROSet/Wireless WiFi Service (S24EventMonitor) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\S24EvMon.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Fichiers communs\SureThing Shared\stllssvr.exe
O23 - Service: System Update (SUService) - Lenovo Group Limited - c:\program files\lenovo\system update\suservice.exe
O23 - Service: ThinkVantage Registry Monitor Service - Lenovo Group Limited - c:\Program Files\Fichiers communs\Lenovo\tvt_reg_monitor_svc.exe
O23 - Service: ThinkPad HDD APS Logging Service (TPHDEXLGSVC) - Lenovo. - C:\WINDOWS\System32\TPHDEXLG.exe
O23 - Service: TSS Core Service (TSSCoreService) - Lenovo - C:\Program Files\Lenovo\Client Security Solution\tvttcsd.exe
O23 - Service: TVT Backup Protection Service - Unknown owner - C:\Program Files\Lenovo\Rescue and Recovery\rrpservice.exe
O23 - Service: TVT Backup Service - Lenovo Group Limited - C:\Program Files\Lenovo\Rescue and Recovery\rrservice.exe
O23 - Service: TVT Scheduler - Lenovo Group Limited - c:\Program Files\Fichiers communs\Lenovo\Scheduler\tvtsched.exe
O23 - Service: TVT Windows Update Monitor (TVT_UpdateMonitor) - Lenovo Group Limited - C:\Program Files\Lenovo\Rescue and Recovery\UpdateMonitor.exe
0
Utilisateur anonyme
9 janv. 2010 à 13:58
Bonjour

Tu as une infection par support amovible.

# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Télécharge et install UsbFix de C_XX & Chiquitine29

Tutorial de Malekal_Morte si besoin, merci à lui : https://www.malekal.com/usbfix-supprimer-virus-usb/

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau.

# Choisi l option 1 (Recherche)

# Laisse travailler l outil.

# Ensuite post le rapport UsbFix.txt qui apparaîtra.

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )


@+
0
Réponse 13 / 29
-M-
9 janv. 2010 à 15:48
Bonjour,

Voilà le rapport :


############################## | UsbFix V6.072 |

User : Pierre (Administrateurs) # LENOVO-81A7CD62
Update on 08/01/2010 by El Desaparecido , C_XX & Chimay8
Start at: 15:40:08 | 09/01/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Processeur Intel Pentium III Xeon
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : System Defender [ Enabled | Updated ]
AV : McAfee VirusScan Enterprise 8.5.0.781 [ (!) Disabled | Updated ]
FW : Pare-feu Online Armor[ Enabled ]4.0.0.15
FW : System Defender[ Enabled ]

C:\ -> Disque fixe local # 29,89 Go (8,37 Go free) [system] # NTFS
D:\ -> Disque fixe local # 196,75 Go (47,07 Go free) [DATA] # FAT32
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque amovible # 7,47 Go (1,87 Go free) # FAT32
H:\ -> Disque fixe local # 19,99 Go (15,02 Go free) [system] # NTFS
I:\ -> Disque fixe local # 85,14 Go (10,09 Go free) [data] # NTFS

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 500
C:\WINDOWS\system32\csrss.exe 684
C:\WINDOWS\system32\winlogon.exe 708
C:\WINDOWS\system32\services.exe 752
C:\WINDOWS\system32\lsass.exe 764
C:\WINDOWS\system32\DTS.exe 960
C:\WINDOWS\system32\ibmpmsvc.exe 972
C:\WINDOWS\system32\AtService.exe 1004
C:\WINDOWS\system32\FpLogonServ.exe 1016
C:\WINDOWS\system32\svchost.exe 1100
C:\WINDOWS\system32\svchost.exe 1152
C:\WINDOWS\System32\svchost.exe 1192
C:\Program Files\Intel\WiFi\bin\S24EvMon.exe 1244
C:\WINDOWS\system32\svchost.exe 1296
C:\WINDOWS\system32\svchost.exe 1408
C:\Program Files\Tall Emu\Online Armor\OAcat.exe 1556
C:\Program Files\Tall Emu\Online Armor\oasrv.exe 1584
C:\WINDOWS\system32\spoolsv.exe 1932
C:\WINDOWS\system32\svchost.exe 2012
C:\Program Files\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe 320
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 580
C:\Program Files\Bonjour\mDNSResponder.exe 636
C:\Program Files\Intel\WiFi\bin\EvtEng.exe 1280
C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe 1512
C:\WINDOWS\System32\svchost.exe 2008
C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe 2096
C:\Program Files\Java\jre6\bin\jqs.exe 2172
C:\Program Files\McAfee\Common Framework\FrameworkService.exe 2252
C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe 2452
C:\WINDOWS\system32\HPZipm12.exe 2620
C:\Program Files\Fichiers communs\Intel\WirelessCommon\RegSrvc.exe 2732
C:\WINDOWS\system32\svchost.exe 2860
c:\Program Files\Fichiers communs\Lenovo\tvt_reg_monitor_svc.exe 2972
C:\Program Files\Lenovo\Client Security Solution\tvttcsd.exe 3044
C:\Program Files\McAfee\Common Framework\naPrdMgr.exe 3060
C:\Program Files\Lenovo\Rescue and Recovery\rrpservice.exe 3140
C:\Program Files\Lenovo\Rescue and Recovery\rrservice.exe 3256
c:\Program Files\Fichiers communs\Lenovo\Scheduler\tvtsched.exe 3336
C:\Program Files\ThinkPad\Utilities\PWMDBSVC.EXE 3520
c:\program files\lenovo\system update\suservice.exe 3632
C:\Program Files\Windows Media Player\WMPNetwk.exe 3748
C:\Program Files\ThinkPad\ConnectUtilities\AcSvc.exe 3872
C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe 620
C:\Program Files\ThinkPad\Bluetooth Software\bin\btwdins.exe 1824
C:\WINDOWS\system32\wbem\wmiprvse.exe 2276
C:\WINDOWS\System32\alg.exe 2744
C:\Program Files\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe 3012
C:\WINDOWS\system32\wbem\wmiapsrv.exe 284
C:\WINDOWS\Explorer.EXE 3316
C:\PROGRA~1\Lenovo\NPDIRECT\TPFNF7SP.exe 3784
C:\WINDOWS\system32\TpShocks.exe 2444
C:\WINDOWS\vsnp2uvc.exe 3364
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe 2712
C:\Program Files\Apoint2K\Apoint.exe 3396
C:\Program Files\Fichiers communs\Lenovo\Scheduler\scheduler_proxy.exe 1728
C:\PROGRA~1\THINKV~1\PrdCtr\LPMGR.exe 3852
C:\PROGRA~1\THINKV~1\PrdCtr\LPMLCHK.exe 3896
C:\Program Files\Apoint2K\ApMsgFwd.exe 1144
C:\WINDOWS\system32\rundll32.exe 2708
C:\Program Files\ThinkPad\ConnectUtilities\ACWLIcon.exe 1456
C:\Program Files\Lenovo\Client Security Solution\cssauth.exe 3096
C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE 3500
C:\Program Files\McAfee\Common Framework\UdaterUI.exe 1040
C:\Program Files\Apoint2K\Apntex.exe 732
C:\Program Files\LENOVO\Message Center Plus\MCPLaunch.exe 1956
C:\Program Files\McAfee\Common Framework\McTray.exe 4064
D:\Pierre\Mes documents\Ma musique\Logiciels utilitaires\iTunesHelper.exe 1476
C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe 1400
C:\WINDOWS\system32\igfxtray.exe 1060
C:\WINDOWS\system32\igfxpers.exe 1836
C:\WINDOWS\system32\igfxsrvc.exe 3332
D:\Pierre\Mes documents\HP Software Update\HPWuSchd2.exe 3340
C:\Program Files\Java\jre6\bin\jusched.exe 3664
C:\PROGRA~1\THINKV~1\AMSG\Amsg.exe 3752
C:\Program Files\Tall Emu\Online Armor\oaui.exe 4112
C:\WINDOWS\system32\ctfmon.exe 4276
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe 4372
C:\Program Files\DAEMON Tools Lite\daemon.exe 4520
C:\Program Files\Windows Media Player\WMPNSCFG.exe 4608
C:\Program Files\ThinkPad\Bluetooth Software\BTTray.exe 4824
C:\Program Files\Digital Line Detect\DLG.exe 4868
C:\Program Files\Tall Emu\Online Armor\OAhlp.exe 5156
C:\WINDOWS\system32\wuauclt.exe 5224
C:\Program Files\Lenovo\Client Security Solution\password_manager.exe 5408
C:\Program Files\iPod\bin\iPodService.exe 5388
C:\PROGRA~1\ThinkPad\BLUETO~1\BTSTAC~1.EXE 5636
C:\Program Files\Internet Explorer\iexplore.exe 4844
C:\Program Files\Internet Explorer\iexplore.exe 1504
C:\Program Files\Internet Explorer\iexplore.exe 4360
C:\WINDOWS\system32\wbem\wmiprvse.exe 5212

################## | Elements infectieux |

C:\log.txt
G:\autorun.inf
G:\autorun.inf -> fichier appelé : "G:\2id9.exe" ( Absent ! )

################## | Registre |


################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{13fa048a-ab46-11de-a34c-00242cbbf4bd}
Shell\AutoRun\command =2id9.exe
Shell\open\Command =2id9.exe

HKCU\..\..\Explorer\MountPoints2\{d0f888c7-9e26-11de-a31d-00242cbbf4bd}
Shell\AutoRun\command =I:\autorun.exe

################## | Cracks > Keygens > Serials |


################## | ! Fin du rapport # UsbFix V6.072 ! |
0
Utilisateur anonyme
9 janv. 2010 à 15:54
Re

1)Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau

# choisi l option 2 (Suppression)

# Ton bureau disparaîtra et le pc redémarrera.

# Au redémarrage, UsbFix scannera ton pc, laisse travailler l outil.

# Ensuite post le rapport UsbFix.txt qui apparaîtra avec le bureau.

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

2)Télécharge Superantispyware (SAS)

Choisis "enregistrer" et enregistre-le sur ton bureau.

Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions.

Créé une icône sur le bureau.

Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer.

- Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes.
- Sous Configuration and Preferences, clique sur le bouton "Preferences"
- Clique sur l'onglet "Scanning Control "
- Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée :

Close browsers before scanning
Scan for tracking cookies
Terminate memory threats before quarantining
- Laisse les autres lignes décochées.

- Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle.

- Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer".

Dans la colonne de gauche, coche C:\Fixed Drive.

Dans la colonne de droite, sous "Complete scan", clique sur "Perform Complete Scan"

Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan.

A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK.

Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next".

Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes.

Pour recopier les informations sur le forum, fais ceci :

- après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS.
- Clique sur "Preferences" puis sur l'onglet "Statistics/Logs ".
- Dans "scanners logs", double-clique sur SUPERAntiSpyware Scan Log.

- Le rapport va s'ouvrir dans ton éditeur de texte par défaut.

- Copie son contenu dans ta réponse.


Regarde bien le tuto il est très bien expliqué.

https://www.malekal.com/?s=SUPERAntiSpyware

Poste les rapports au fur et à mesure;merci

@+
0
Réponse 14 / 29
-M-
9 janv. 2010 à 16:16
Rapport UsbFix :


############################## | UsbFix V6.072 |

User : Pierre (Administrateurs) # LENOVO-81A7CD62
Update on 08/01/2010 by El Desaparecido , C_XX & Chimay8
Start at: 16:03:16 | 09/01/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Processeur Intel Pentium III Xeon
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : System Defender [ Enabled | Updated ]
AV : McAfee VirusScan Enterprise 8.5.0.781 [ (!) Disabled | Updated ]
FW : Pare-feu Online Armor[ (!) Disabled ]4.0.0.15
FW : System Defender[ Enabled ]

C:\ -> Disque fixe local # 29,89 Go (8,35 Go free) [system] # NTFS
D:\ -> Disque fixe local # 196,75 Go (47,07 Go free) [DATA] # FAT32
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque amovible # 7,47 Go (1,87 Go free) # FAT32
H:\ -> Disque fixe local # 19,99 Go (15,02 Go free) [system] # NTFS
I:\ -> Disque fixe local # 85,14 Go (10,09 Go free) [data] # NTFS

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 500
C:\WINDOWS\system32\csrss.exe 684
C:\WINDOWS\system32\winlogon.exe 712
C:\WINDOWS\system32\services.exe 764
C:\WINDOWS\system32\lsass.exe 776
C:\WINDOWS\system32\DTS.exe 976
C:\WINDOWS\system32\ibmpmsvc.exe 988
C:\WINDOWS\system32\AtService.exe 1020
C:\WINDOWS\system32\FpLogonServ.exe 1032
C:\WINDOWS\system32\logonui.exe 1048
C:\WINDOWS\system32\svchost.exe 1112
C:\WINDOWS\system32\svchost.exe 1160
C:\WINDOWS\System32\svchost.exe 1204
C:\Program Files\Intel\WiFi\bin\S24EvMon.exe 1240
C:\WINDOWS\system32\svchost.exe 1324
C:\WINDOWS\system32\svchost.exe 1420
C:\Program Files\Tall Emu\Online Armor\OAcat.exe 1568
C:\Program Files\Tall Emu\Online Armor\oasrv.exe 1596
C:\WINDOWS\system32\spoolsv.exe 1928
C:\WINDOWS\system32\svchost.exe 1316
C:\Program Files\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe 1640
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 1872
C:\Program Files\Bonjour\mDNSResponder.exe 488
C:\Program Files\Intel\WiFi\bin\EvtEng.exe 624
C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe 1248
C:\WINDOWS\System32\svchost.exe 324
C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe 660
C:\Program Files\Java\jre6\bin\jqs.exe 1484
C:\Program Files\McAfee\Common Framework\FrameworkService.exe 2052
C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe 2184
C:\Program Files\McAfee\Common Framework\naPrdMgr.exe 2344
C:\WINDOWS\system32\HPZipm12.exe 2644
C:\Program Files\Fichiers communs\Intel\WirelessCommon\RegSrvc.exe 2852
C:\WINDOWS\system32\userinit.exe 3132
C:\WINDOWS\Explorer.EXE 3216
C:\WINDOWS\system32\svchost.exe 3384
c:\Program Files\Fichiers communs\Lenovo\tvt_reg_monitor_svc.exe 3568
C:\Program Files\Lenovo\Client Security Solution\tvttcsd.exe 3732
C:\Program Files\Lenovo\Rescue and Recovery\rrpservice.exe 3904
C:\Program Files\Lenovo\Rescue and Recovery\rrservice.exe 580
c:\Program Files\Fichiers communs\Lenovo\Scheduler\tvtsched.exe 1060
C:\Program Files\ThinkPad\ConnectUtilities\AcSvc.exe 2500
C:\WINDOWS\system32\wuauclt.exe 2716
C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe 2888
C:\Program Files\ThinkPad\Utilities\PWMDBSVC.EXE 3484
c:\program files\lenovo\system update\suservice.exe 3772
C:\Program Files\Windows Media Player\WMPNetwk.exe 600
C:\WINDOWS\system32\wbem\wmiprvse.exe 1476
C:\Program Files\ThinkPad\Bluetooth Software\bin\btwdins.exe 2732
C:\WINDOWS\system32\wbem\wmiprvse.exe 3932
C:\Program Files\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe 2192
C:\WINDOWS\System32\alg.exe 2780
C:\WINDOWS\system32\wbem\wmiapsrv.exe 2844

################## | Elements infectieux |

Supprimé ! C:\log.txt
Supprimé ! C:\Recycler\S-1-5-21-1809425386-3873085630-625939690-500
Supprimé ! C:\Recycler\S-1-5-21-711240124-1808898012-3776161634-1008
Supprimé ! C:\Recycler\S-1-5-21-711240124-1808898012-3776161634-500
G:\autorun.inf -> fichier appelé : "G:\2id9.exe" ( Absent ! )
Supprimé ! G:\autorun.inf
Supprimé ! H:\Recycler\S-1-5-21-1220945662-573735546-725345543-1003
Supprimé ! H:\Recycler\S-1-5-21-1537875734-2539146421-1765146668-500
Supprimé ! H:\Recycler\S-1-5-21-711240124-1808898012-3776161634-1008
Supprimé ! I:\$Recycle.Bin\S-1-5-21-1048645988-1985526265-3730374366-1002
Supprimé ! I:\Recycler\S-1-5-21-1220945662-573735546-725345543-1003
Supprimé ! I:\Recycler\S-1-5-21-1537875734-2539146421-1765146668-500
Supprimé ! I:\Recycler\S-1-5-21-711240124-1808898012-3776161634-1008

################## | Registre |


################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{d0f888c7-9e26-11de-a31d-00242cbbf4bd}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[09/01/2010 16:02|--a------|1024] C:\.rnd
[06/01/2010 20:55|--a------|2103] C:\Ad-Report-SCAN[1].log
[06/01/2010 21:01|--a------|1948] C:\Ad-Report-SCAN[2].log
[26/01/2006 22:53|---------|0] C:\AUTOEXEC.BAT
[25/09/2009 16:32|---hs----|212] C:\boot.ini
[05/08/2004 13:00|-r-hs----|4952] C:\bootfont.bin
[26/01/2006 22:53|---------|0] C:\CONFIG.SYS
[?|?|?] C:\hiberfil.sys
[26/01/2006 22:53|-r-hs----|0] C:\IO.SYS
[26/01/2006 22:53|-r-hs----|0] C:\MSDOS.SYS
[07/01/2010 12:32|--a------|460] C:\MyHosts.txt
[05/08/2004 13:00|-r-hs----|47564] C:\NTDETECT.COM
[12/08/2009 13:46|-r-hs----|252240] C:\NTLDR
[?|?|?] C:\pagefile.sys
[08/01/2010 19:49|--a------|2693] C:\rapport.txt
[20/05/2009 10:02|---------|86] C:\setup.log
[09/01/2010 16:03|--a------|93426] C:\sysiclog.txt
[20/05/2009 17:29|---------|83] C:\syslevel.lgl
[09/01/2010 16:11|--a------|5739] C:\UsbFix.txt
[03/01/2010 15:39|--a------|135] C:\VundoFix.txt
[05/07/2009 22:26|---------|448702592] C:\X12-30194.exe
[15/12/2009 08:24|--a------|1556] G:\BOOTEX.LOG
[02/12/2009 17:34|--a------|12910] G:\TEST.docx
[03/01/2010 16:16|--a------|17240] G:\hijackthis.log
[08/10/2009 18:19|--a------|535576] G:\RealPlayerSPGold_fr.exe
[03/01/2010 16:49|--a------|101313] G:\mbam-log-2010-01-03 (16-49-36).txt
[04/01/2010 19:29|--a------|10173] G:\TEST Irregular Verbs.docx
[14/10/2009 16:05|--a------|271219] G:\Video Time Bridges Term.pdf
[20/04/2008 21:07|--a------|0] H:\AUTOEXEC.BAT
[12/06/2009 14:58|---hs----|212] H:\boot.ini
[05/08/2004 13:00|-rahs----|4952] H:\Bootfont.bin
[20/04/2008 21:07|--a------|0] H:\CONFIG.SYS
[20/04/2008 21:07|-rahs----|0] H:\IO.SYS
[20/04/2008 21:07|-rahs----|0] H:\MSDOS.SYS
[05/08/2004 13:00|-rahs----|47564] H:\NTDETECT.COM
[08/11/2008 10:21|-rahs----|252240] H:\ntldr
[26/06/2009 21:07|--ahs----|268435456] H:\pagefile.sys
[26/06/2009 21:55|--ahs----|263192576] I:\pagefile.sys

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.
# D:\autorun.inf -> Dossier créé par UsbFix.
# G:\autorun.inf -> Dossier créé par UsbFix.
# H:\autorun.inf -> Dossier créé par UsbFix.
# I:\autorun.inf -> Dossier créé par UsbFix.

################## | Crack > Keygen > Serial |


################## | Upload |

Veuillez envoyer le fichier : C:\DOCUME~1\Pierre\Bureau\UsbFix_Upload_Me_LENOVO-81A7CD62.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.072 ! |
0
Réponse 15 / 29
-M-
9 janv. 2010 à 17:26
Voilà le rapport SAS :

SUPERAntiSpyware Scan Log
https://www.superantispyware.com/

Generated 01/09/2010 at 05:06 PM

Application Version : 4.33.1000

Core Rules Database Version : 4461
Trace Rules Database Version: 2282

Scan type : Complete Scan
Total Scan Time : 00:39:18

Memory items scanned : 575
Memory threats detected : 0
Registry items scanned : 6886
Registry threats detected : 0
File items scanned : 32683
File threats detected : 5

Adware.Tracking Cookie
C:\Documents and Settings\Administrateur\Cookies\administrateur@doubleclick[1].txt
C:\Documents and Settings\Administrateur\Cookies\administrateur@atdmt[2].txt
C:\Documents and Settings\Administrateur\Cookies\administrateur@microsoftinternetexplorer.112.2o7[1].txt
C:\Documents and Settings\Administrateur\Cookies\administrateur@msnportal.112.2o7[1].txt

Trojan.Agent/Gen-Nullo[Short]
C:\SYSTEM VOLUME INFORMATION\_RESTORE{D44870F8-BB07-46F8-A47D-4CAF911022A6}\RP176\A0093760.SYS
0
Utilisateur anonyme
9 janv. 2010 à 17:32
Re

Telecharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

-Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes. risque de figer l'ordi

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordi (plantage complet)


::Si combofix detecte quelque chose et de demande a redemarer tu accepte


@+
0
Réponse 16 / 29
-M-
9 janv. 2010 à 18:13
Voilà le rapport combofix :

ComboFix 10-01-04.01 - Pierre 09/01/2010 17:50:27.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1944.1368 [GMT 1:00]
Lancé depuis: c:\documents and settings\Pierre\Bureau\ComboFix.exe
AV: McAfee VirusScan Enterprise *On-access scanning disabled* (Updated) {918A2B0B-2C60-4016-A4AB-E868DEABF7F0}
FW: Pare-feu Online Armor *disabled* {B797DAA0-7E2E-4711-8BB3-D12744F1922A}

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Pierre\Application Data\System Defender
c:\documents and settings\Pierre\Application Data\System Defender\Instructions.ini
c:\windows\system32\Thumbs.db
c:\windows\system32\tmp.reg

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-12-09 au 2010-01-09 ))))))))))))))))))))))))))))))))))))
.

2010-01-09 15:22 . 2010-01-09 15:22 52224 ----a-w- c:\documents and settings\Pierre\Application Data\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10005.dll
2010-01-09 15:22 . 2010-01-09 15:22 117760 ----a-w- c:\documents and settings\Pierre\Application Data\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2010-01-09 15:21 . 2010-01-09 15:21 -------- d-----w- c:\documents and settings\All Users\Application Data\SUPERAntiSpyware.com
2010-01-09 15:21 . 2010-01-09 15:21 -------- d-----w- c:\program files\SUPERAntiSpyware
2010-01-09 15:21 . 2010-01-09 15:21 -------- d-----w- c:\documents and settings\Pierre\Application Data\SUPERAntiSpyware.com
2010-01-09 15:21 . 2010-01-09 15:21 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard
2010-01-09 14:38 . 2010-01-09 15:12 -------- d-----w- C:\UsbFix
2010-01-08 23:37 . 2010-01-08 23:37 -------- d-----w- c:\documents and settings\Pierre\Application Data\AdobeUM
2010-01-08 22:56 . 2010-01-08 23:21 -------- d-----w- c:\documents and settings\All Users\Application Data\OnlineArmor
2010-01-08 22:56 . 2010-01-08 22:56 -------- d-----w- c:\documents and settings\Pierre\Application Data\OnlineArmor
2010-01-08 22:55 . 2009-12-05 06:28 24656 ----a-w- c:\windows\system32\drivers\OAmon.sys
2010-01-08 22:55 . 2009-12-05 06:27 29776 ----a-w- c:\windows\system32\drivers\OAnet.sys
2010-01-08 22:55 . 2009-12-05 06:27 223312 ----a-w- c:\windows\system32\drivers\OADriver.sys
2010-01-08 22:55 . 2010-01-08 22:55 -------- d-----w- c:\program files\Tall Emu
2010-01-07 18:00 . 2010-01-07 18:44 -------- d-----w- C:\FindyKill
2010-01-07 16:59 . 2010-01-07 16:59 -------- d-sh--w- c:\documents and settings\Administrateur\PrivacIE
2010-01-07 11:31 . 2010-01-07 11:31 -------- d-----w- C:\MyHosts
2010-01-07 10:29 . 2010-01-07 10:58 -------- d-----w- c:\documents and settings\Pierre\Application Data\Notepad++
2010-01-07 10:29 . 2010-01-07 10:29 -------- d-----w- c:\program files\Notepad++
2010-01-07 09:19 . 2010-01-07 09:19 -------- d-----w- c:\program files\Sunbelt Software
2010-01-06 21:27 . 2009-06-30 08:37 28552 ----a-w- c:\windows\system32\drivers\pavboot.sys
2010-01-06 21:27 . 2010-01-06 21:27 -------- d-----w- c:\program files\Panda Security
2010-01-06 19:49 . 2010-01-07 07:50 -------- d-----w- c:\program files\Ad-Remover
2010-01-05 19:36 . 2010-01-05 19:36 -------- d-----w- C:\_OTM
2010-01-04 22:17 . 2010-01-04 22:17 -------- d-----w- c:\program files\Enigma Software Group
2010-01-04 21:52 . 2010-01-09 15:04 -------- d-----w- C:\rsit
2010-01-03 16:36 . 2010-01-03 16:36 -------- d-----w- c:\program files\Trend Micro
2010-01-03 14:07 . 2010-01-03 14:07 -------- d-----w- C:\VundoFix Backups
2010-01-03 12:51 . 2010-01-03 12:51 -------- d-sh--w- c:\documents and settings\All Users\Application Data\WSOXD_APDM
2010-01-03 12:50 . 2010-01-08 05:52 -------- d-sh--w- c:\documents and settings\All Users\Application Data\c2d9264
2009-12-16 14:08 . 2009-11-21 15:58 471552 ------w- c:\windows\system32\dllcache\aclayers.dll
2009-12-11 10:22 . 2009-08-10 15:53 53248 ------w- c:\windows\system32\CSVer.dll
2009-12-11 10:13 . 2009-07-08 13:19 90016 ------w- c:\windows\system32\drivers\btserial.sys
2009-12-11 10:13 . 2009-05-11 13:45 56992 ------w- c:\windows\system32\drivers\btwhid.sys
2009-12-11 10:13 . 2008-02-04 16:57 37032 ------w- c:\windows\system32\drivers\btwmodem.sys
2009-12-11 10:08 . 2009-12-11 10:10 -------- d-----w- c:\program files\PC-Doctor

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-09 16:58 . 2009-09-15 20:58 1017192 ----a-w- c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat
2010-01-09 01:05 . 2009-08-05 21:34 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-01-08 22:56 . 2006-01-26 20:35 83408 ----a-w- c:\windows\system32\perfc00C.dat
2010-01-08 22:56 . 2006-01-26 20:35 507534 ----a-w- c:\windows\system32\perfh00C.dat
2010-01-05 21:57 . 2009-05-20 09:30 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-01-05 21:56 . 2009-09-25 18:26 -------- d-----w- c:\program files\Microsoft Works
2010-01-04 22:05 . 2006-02-16 15:45 330264 ------w- c:\windows\system32\drivers\iaStor.sys
2010-01-03 10:48 . 2009-10-22 16:57 -------- d-----w- c:\documents and settings\Pierre\Application Data\vlc
2010-01-03 10:48 . 2009-10-22 17:52 -------- d-----w- c:\documents and settings\Pierre\Application Data\dvdcss
2009-12-12 09:00 . 2009-05-20 09:21 -------- d-----w- c:\documents and settings\All Users\Application Data\PCDr
2009-12-11 10:45 . 2009-05-20 09:04 -------- d-----w- c:\program files\Apoint2K
2009-12-11 10:16 . 2009-05-20 08:57 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-12-11 10:11 . 2009-05-20 09:09 -------- d-----w- c:\program files\Lenovo Fingerprint Software
2009-12-11 10:11 . 2009-05-20 09:09 -------- d-----w- c:\documents and settings\Administrateur\Application Data\CachedFiles
2009-12-11 10:10 . 2009-07-28 15:29 -------- d-----w- c:\documents and settings\Pierre\Application Data\CachedFiles
2009-12-10 16:32 . 2009-12-10 16:32 -------- d-----w- c:\program files\iXi Tools
2009-12-10 11:47 . 2009-09-04 10:03 -------- d-----w- c:\program files\ma-config.com
2009-12-10 11:47 . 2009-09-04 10:03 -------- d-----w- c:\documents and settings\All Users\Application Data\ma-config.com
2009-12-09 17:17 . 2009-08-12 22:08 1324 ------w- c:\windows\system32\d3d9caps.dat
2009-11-27 17:42 . 2009-05-20 09:12 -------- d-----w- c:\program files\Java
2009-11-27 17:39 . 2009-11-27 17:39 152576 ------w- c:\documents and settings\Pierre\Application Data\Sun\Java\jre1.6.0_17\lzma.dll
2009-11-27 17:39 . 2009-11-27 17:39 79488 ------w- c:\documents and settings\Pierre\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll
2009-11-21 15:58 . 2006-01-26 20:34 471552 ----a-w- c:\windows\AppPatch\aclayers.dll
2009-10-29 07:42 . 2006-01-26 20:35 916480 ------w- c:\windows\system32\wininet.dll
2009-10-21 05:39 . 2006-01-26 20:35 75776 ------w- c:\windows\system32\strmfilt.dll
2009-10-21 05:39 . 2006-01-26 20:34 25088 ------w- c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2004-08-03 23:00 265728 ------w- c:\windows\system32\drivers\http.sys
2009-10-13 18:00 . 2009-10-22 03:28 85504 ------w- c:\windows\system32\ff_vfw.dll
2009-10-13 10:33 . 2006-01-26 20:34 271360 ------w- c:\windows\system32\oakley.dll
2009-10-12 13:39 . 2006-01-26 20:35 79872 ------w- c:\windows\system32\raschap.dll
2009-10-12 13:39 . 2006-01-26 20:35 150528 ------w- c:\windows\system32\rastls.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656]
"SmartAudio"="c:\program files\CONEXANT\SAII\SAIICpl.exe" [2009-07-16 307768]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]
"SUPERAntiSpyware"="c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2010-01-05 2002160]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FingerPrintSoftware"="c:\program files\Lenovo Fingerprint Software\fpapp.exe \s" [X]
"TPFNF7"="c:\progra~1\Lenovo\NPDIRECT\TPFNF7SP.exe" [2009-08-04 62240]
"TpShocks"="TpShocks.exe" [2009-07-08 337184]
"snp2uvc"="c:\windows\vsnp2uvc.exe" [2006-12-28 569344]
"EZEJMNAP"="c:\progra~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe" [2008-10-08 256576]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2009-09-09 176128]
"TVT Scheduler Proxy"="c:\program files\Fichiers communs\Lenovo\Scheduler\scheduler_proxy.exe" [2008-11-24 487424]
"LPManager"="c:\progra~1\THINKV~1\PrdCtr\LPMGR.exe" [2009-07-23 185688]
"LPMailChecker"="c:\progra~1\THINKV~1\PrdCtr\LPMLCHK.exe" [2009-07-23 124248]
"PWRMGRTR"="c:\progra~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL" [2009-09-09 421888]
"BLOG"="c:\progra~1\ThinkPad\UTILIT~1\BatLogEx.DLL" [2009-09-09 208896]
"CreateLMBCShortCut"="c:\program files\Lenovo\Mobile Broadband Connect\UserShortcutCreator.exe" [2009-01-21 36864]
"ACWLIcon"="c:\program files\ThinkPad\ConnectUtilities\ACWLIcon.exe" [2009-07-29 172032]
"cssauth"="c:\program files\Lenovo\Client Security Solution\cssauth.exe" [2008-06-13 3073336]
"ShStatEXE"="c:\program files\McAfee\VirusScan Enterprise\SHSTAT.EXE" [2006-11-30 112216]
"McAfeeUpdaterUI"="c:\program files\McAfee\Common Framework\UdaterUI.exe" [2006-11-17 136768]
"Message Center Plus"="c:\program files\LENOVO\Message Center Plus\MCPLaunch.exe" [2009-05-27 49976]
"iTunesHelper"="d:\pierre\Mes documents\Ma musique\Logiciels utilitaires\iTunesHelper.exe" [2009-07-13 292128]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-05-26 413696]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2009-06-04 186904]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-05-11 141336]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-05-11 173592]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-05-11 142872]
"HP Software Update"="d:\pierre\Mes documents\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"AMSG"="c:\progra~1\THINKV~1\AMSG\Amsg.exe" [2009-04-29 424512]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"@OnlineArmor GUI"="c:\program files\Tall Emu\Online Armor\oaui.exe" [2009-12-05 6622920]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2008-11-03 435096]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
BTTray.lnk - c:\program files\ThinkPad\Bluetooth Software\BTTray.exe [2009-7-8 607584]
Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2009-5-20 50688]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{4F07DA45-8170-4859-9B5F-037EF2970034}"= "c:\progra~1\TALLEM~1\ONLINE~1\oaevent.dll" [2009-12-05 923336]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 13:21 548352 ----a-w- c:\program files\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ATFUS]
2009-03-19 03:55 180224 ------w- c:\windows\system32\FpWinlogonNp.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=c:\windows\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^PHOTOfunSTUDIO -viewer-.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\PHOTOfunSTUDIO -viewer-.lnk
backup=c:\windows\pss\PHOTOfunSTUDIO -viewer-.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CameraApplicationLauncher]
2008-08-12 12:47 16384 ------w- c:\program files\Lenovo\Camera Center\bin\CameraApplicationLaunchPadLauncher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2005-02-16 22:11 49152 ----a-w- d:\pierre\Mes documents\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2009-07-13 13:03 292128 ----a-w- d:\pierre\Mes documents\Ma musique\Logiciels utilitaires\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-05-26 15:18 413696 ------w- c:\program files\QuickTime\QTTask.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\McAfee\\Common Framework\\FrameworkService.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"d:\\Pierre\\Mes documents\\Ma musique\\Logiciels utilitaires\\iTunes.exe"=
"d:\\Pierre\\Mes documents\\Mes jeux\\Heroes 3\\Heroes3.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"d:\\Pierre\\Mes documents\\Mes jeux\\Anno 1404\\Anno4.exe"=
"d:\\Pierre\\Mes documents\\Mes jeux\\Anno 1404\\tools\\Anno4Web.exe"=
"c:\\Program Files\\Java\\jre6\\launch4j-tmp\\frd.exe"=
"d:\\Pierre\\Mes documents\\Mes jeux\\The Settlers Rise Of An Empire\\base\\bin\\Settlers6.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"d:\\Pierre\\Mes documents\\Digital Imaging\\bin\\hpqste08.exe"=
"d:\\Pierre\\Mes documents\\Digital Imaging\\bin\\hpofxm08.exe"=
"d:\\Pierre\\Mes documents\\Digital Imaging\\bin\\hposfx08.exe"=
"d:\\Pierre\\Mes documents\\Digital Imaging\\bin\\hposid01.exe"=
"d:\\Pierre\\Mes documents\\Digital Imaging\\bin\\hpqscnvw.exe"=
"d:\\Pierre\\Mes documents\\Digital Imaging\\bin\\hpqkygrp.exe"=
"d:\\Pierre\\Mes documents\\Digital Imaging\\bin\\hpqCopy.exe"=
"d:\\Pierre\\Mes documents\\Digital Imaging\\bin\\hpfccopy.exe"=
"d:\\Pierre\\Mes documents\\Digital Imaging\\bin\\hpzwiz01.exe"=
"d:\\Pierre\\Mes documents\\Digital Imaging\\bin\\hpoews01.exe"=
"d:\\Pierre\\Mes documents\\Digital Imaging\\bin\\hpqnrs08.exe"=

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [06/01/2010 22:27 28552]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [06/09/2009 07:49 721904]
R0 TPDIGIMN;TPDIGIMN;c:\windows\system32\drivers\ApsHM86.sys [29/06/2009 13:51 20520]
R1 OADevice;OADriver;c:\windows\system32\drivers\OADriver.sys [08/01/2010 23:55 223312]
R1 OAmon;OAmon;c:\windows\system32\drivers\OAmon.sys [08/01/2010 23:55 24656]
R1 OAnet;OAnet;c:\windows\system32\drivers\OAnet.sys [08/01/2010 23:55 29776]
R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [05/01/2010 07:56 9968]
R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [05/01/2010 07:56 74480]
R2 ATService;AuthenTec Fingerprint Service;c:\windows\system32\AtService.exe [19/03/2009 04:48 1680632]
R2 dtsvc;Data Transfer Service;c:\windows\system32\DTS.exe [19/03/2009 04:53 98304]
R2 FingerprintServer;Fingerprint Server;c:\windows\system32\FpLogonServ.exe [19/03/2009 04:55 118784]
R2 OAcat;Online Armor Helper Service;c:\program files\Tall Emu\Online Armor\oacat.exe [08/01/2010 23:55 1282248]
R2 Power Manager DBC Service;Power Manager DBC Service;c:\program files\ThinkPad\Utilities\PWMDBSVC.exe [20/05/2009 10:20 53248]
R2 SvcOnlineArmor;Online Armor;c:\program files\Tall Emu\Online Armor\oasrv.exe [08/01/2010 23:55 3291336]
R2 TVT Backup Protection Service;TVT Backup Protection Service;c:\program files\Lenovo\Rescue and Recovery\rrpservice.exe [24/11/2008 14:34 520192]
R3 ATSwpWDF;AuthenTec TruePrint USB WDF Driver;c:\windows\system32\drivers\ATSwpWDF.sys [20/05/2009 10:09 482176]
R3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [05/01/2010 07:56 7408]
R3 TVTI2C;Lenovo SM bus driver;c:\windows\system32\drivers\tvti2c.sys [22/02/2008 14:54 37312]
S2 TVT_UpdateMonitor;TVT Windows Update Monitor;c:\program files\Lenovo\Rescue and Recovery\UpdateMonitor.exe [09/05/2008 16:50 360448]
S3 ADMonitor;AD Monitor;c:\windows\system32\ADMonitor.exe [19/03/2009 04:52 106496]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [23/09/2009 14:50 238960]
S3 RoxMediaDB10;RoxMediaDB10;c:\program files\Fichiers communs\Roxio Shared\10.0\SharedCOM\RoxMediaDB10.exe [25/04/2008 07:15 1120752]
.
Contenu du dossier 'Tâches planifiées'

2010-01-08 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2009-12-11 c:\windows\Tasks\PCDoctorBackgroundMonitorTask.job
- c:\program files\PC-Doctor\pcdlauncher.exe [2009-11-20 10:12]

2010-01-09 c:\windows\Tasks\PMTask.job
- c:\progra~1\ThinkPad\UTILIT~1\PWMIDTSK.EXE [2009-05-20 00:03]

2010-01-09 c:\windows\Tasks\SystemToolsDailyTest.job
- c:\program files\PC-Doctor\pcdr5cuiw32.exe [2009-11-22 09:14]

2010-01-09 c:\windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job
- c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-02-12 13:54]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyOverride = *.local
IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Envoyer au périphérique &Bluetooth... - c:\program files\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
IE: Envoyer à Bluetooth - c:\program files\ThinkPad\Bluetooth Software\btsendto_ie.htm
.
- - - - ORPHELINS SUPPRIMES - - - -

Notify-ACNotify - ACNotify.dll
AddRemove-Worms Armageddon - d:\pierre\mes documents\mes jeux\Uninst.isu



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-09 18:00
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll iaStor.sys spau.sys >>UNKNOWN [0x8A83A938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xba0ecf28
\Driver\ACPI -> ACPI.sys @ 0xb9e65cb8
\Driver\iaStor -> iaStor.sys @ 0xb9d5b390
IoDeviceObjectType ->\Device\Harddisk0\DR0 ->user & kernel MBR OK

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(660)
c:\program files\SUPERAntiSpyware\SASWINLO.dll
c:\program files\ThinkPad\ConnectUtilities\ACNotify.dll
c:\program files\ThinkPad\ConnectUtilities\AcSvcStub.dll
c:\program files\ThinkPad\ConnectUtilities\AcLocSettings.dll
c:\program files\ThinkPad\ConnectUtilities\ACHelper.dll
c:\windows\system32\FpWinLogonNp.dll
c:\program files\Lenovo Fingerprint Software\ATCSSINT.dll
c:\program files\Lenovo Fingerprint Software\SharedResources.dll
c:\program files\Lenovo Fingerprint Software\FPResource.dll
c:\program files\Lenovo\Client Security Solution\CSS_Enroll.dll
c:\program files\Lenovo\Client Security Solution\css_banner.dll
c:\windows\system32\cssuserdatadispatcher.dll
c:\windows\system32\tvttsp.dll
c:\windows\system32\tcsrpc.dll

- - - - - - - > 'explorer.exe'(3780)
c:\program files\Tall Emu\Online Armor\OAwatch.dll
c:\windows\system32\btmmhook.dll
c:\program files\PC-Doctor\ATLPcdToolbar544928.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\program files\Lenovo\Drag-to-Disc\Shellex.dll
c:\windows\system32\DLAAPI_W.DLL
c:\program files\Lenovo\Drag-to-Disc\ShellRes.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\ibmpmsvc.exe
c:\program files\Intel\WiFi\bin\S24EvMon.exe
c:\program files\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Intel\WiFi\bin\EvtEng.exe
c:\windows\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
c:\program files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\McAfee\Common Framework\FrameworkService.exe
c:\program files\McAfee\VirusScan Enterprise\VsTskMgr.exe
c:\windows\system32\HPZipm12.exe
c:\program files\Fichiers communs\Intel\WirelessCommon\RegSrvc.exe
c:\program files\McAfee\Common Framework\naPrdMgr.exe
c:\program files\Fichiers communs\Lenovo\tvt_reg_monitor_svc.exe
c:\program files\Lenovo\Client Security Solution\tvttcsd.exe
c:\program files\Lenovo\Rescue and Recovery\rrservice.exe
c:\program files\Fichiers communs\Lenovo\Scheduler\tvtsched.exe
c:\program files\ThinkPad\ConnectUtilities\AcSvc.exe
c:\program files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
c:\program files\lenovo\system update\suservice.exe
c:\program files\Windows Media Player\WMPNetwk.exe
c:\program files\ThinkPad\Bluetooth Software\bin\btwdins.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\TpShocks.exe
c:\windows\system32\rundll32.exe
c:\program files\Apoint2K\ApMsgFwd.exe
c:\program files\McAfee\Common Framework\McTray.exe
c:\program files\Apoint2K\Apntex.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\Tall Emu\Online Armor\OAhlp.exe
c:\progra~1\ThinkPad\BLUETO~1\BTSTAC~1.EXE
c:\program files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Heure de fin: 2010-01-09 18:05:04 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-01-09 17:04

Avant-CF: 8 742 567 936 octets libres
Après-CF: 8 583 688 192 octets libres

- - End Of File - - 03ECB041EF49B6A4B553489413E6C4AE
0
Utilisateur anonyme
9 janv. 2010 à 18:39
Re

___________________________________
|======>/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement cet ordinateur,<=========|
|======>il est fort déconseillé de le transposer sur un autre ordinateur !<==========|
-----------------------------------------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

• Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
• Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
File::
c:\windows\system32\drivers\pavboot.sys
c:\documents and settings\All Users\Application Data\c2d9264
c:\windows\system32\CSVer.dll
c:\windows\system32\FpWinlogonNp.dll

Driver ::
Registry::
------------------------------------------------------------------

• Enregistre ce fichier sur ton Bureau (et pas ailleurs !) Sous le nom CFScript.txt
• Quitte le Bloc Notes

• Fais un glisser/déposer de ce fichier CFScript sur le fichier C-Fix.exe (combofix) comme sur ce lien : http://apu.mabul.org/up/apu/2008/09/06/img-2258535my8h.gif

• Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt

@+
0
Réponse 17 / 29
-M-
9 janv. 2010 à 19:18
Je ne parviens pas à lancer combofix avec ce programme, il me met un message d'erreur comme quoi windows ne parvient pas à accéder....
J'ai tenté de me mettre en mode sans échec sur la session administrateur du pc, mais là, impossible d'utiliser combofix, j'ai un message d'erreur me signalant que le fichier est corrompu.
0
Utilisateur anonyme
9 janv. 2010 à 19:48
Re

Supprime combofix.
retélécharge le ;mais ce coup si n'oublie pas de le renommer.(enregistrer sous...)
Et retente avec le script
0
Réponse 18 / 29
-M-
9 janv. 2010 à 19:59
C'est bon, c'est ce que j'ai fait. Je te poste le rapport. Par contre, il me semble que ça a supprimé une fonctionnalité du pc : le scan d'empreintes digitales. Est-ce normal ?
0
Réponse 19 / 29
-M-
9 janv. 2010 à 20:00
ComboFix 10-01-04.01 - Pierre 09/01/2010 19:49:51.2.2 - x86 MINIMAL
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1944.1659 [GMT 1:00]
Lancé depuis: C:\Documents and Settings\Pierre\Bureau\ComboFix.exe
Commutateurs utilisés :: C:\Documents and Settings\Pierre\Bureau\CFScript.txt
AV: McAfee VirusScan Enterprise *On-access scanning disabled* (Updated) {918A2B0B-2C60-4016-A4AB-E868DEABF7F0}
FW: Pare-feu Online Armor *enabled* {B797DAA0-7E2E-4711-8BB3-D12744F1922A}

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

FILE ::
"c:\documents and settings\All Users\Application Data\c2d9264"
"c:\windows\system32\CSVer.dll"
"c:\windows\system32\drivers\pavboot.sys"
"c:\windows\system32\FpWinlogonNp.dll"
.
0
Réponse 20 / 29
-M-
9 janv. 2010 à 20:06
"c:\windows\system32\FpWinlogonNp.dll"

C'est peut être cette ligne qui commandait le scan d'empreintes. Sera-t-il possible de la rétablir si tel est le cas, en sachant que je n'ai pas installé la console de récupération (pas de connexion internet pendant l'utilisation de combofix)?
0
Utilisateur anonyme
9 janv. 2010 à 20:38
Re

Un scan d'empreintes ???

Regarde ceci ;et si tu veux cherche de ton côté.
http://www.prevx.com/filenames/X1302942214966463568-X1/FPWINLOGONNP.DLL.html

Tu peux également vérifier pour les autres fichiers supprimés.Tu tapes tout simplement dans un moteur de recherche quelconque.

Le rapport Combofix n'est pas complet;poste le stp ;merci

@+
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Que signifie arrivé au centre de transport de départ ?
AlphaFurryWolf -
baladur13 -

3 réponses
Comment savoir si j'ai attrapé un virus sur mon téléphone ?
Infolock -
bell -

66 réponses
Google Chrome Virus
pcordi -
Malekal_morte- -

11 réponses
je viens de recevoir une alerte aux virus sur mon iphone
Hugoboss23 -
zoulou33 -

6 réponses