Fenetres qui s'ouvrent, virus ??Résolu/Fermé

Question

Bonjour,
Depuis une semaine j'ai des fenêtres internet qui s'ouvrent sans mon acoord sur mon pc, et maintenant j'ai des programment qui cessent de fonctionner tout seul tels que 'Ohm.exe' ou Adobe Reader, pour ne pas citer les nombreux autres dont j'ai oublié le nom. Je suis nulle en informatique, mais alors vraiment. Quelqu'un pourrait-il me conseiller sur la marche a suivre ? Merci beaucoup..

Configuration: Windows Vista / Safari 532.5

crapoulou · Accepted Answer

/!\ Procédure réservée à Céline9. Ne tentez pas de la reproduire si vous avez un problème similaire sous peine de planter votre machine /!\ Télécharge OTM (de Old_Timer) sur ton Bureau. = = = = >>> En cliquant ici <<< = = = = Une fois installé sur le bureau, clique droit sur OTM.exe puis `Exécuter en tant qu'administrateur`pour le lancer. Copie la liste qui se trouve en gras ci-dessous, et colle-la dans le cadre de gauche de OTMoveIt : Paste Instructions for Items to be moved. :Procedure is: :files c:\users\MLKT\AppData\Roaming\A908A7EFC84D2865C3D9EA0CF5526AF2 :reg [-HKEY_LOCAL_MACHINE\system\ControlSet001\Services\jbpsy] [-HKEY_LOCAL_MACHINE\system\ControlSet002\Services\jbpsy][-HKEY_LOCAL_MACHINE\system\ControlSet003\Services\jbpsy] [-HKEY_LOCAL_MACHINE\system\ControlSet004\Services\jbpsy] [-HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\jbpsy] :Commands [purity] [emptytemp] [Reboot] Clique sur MoveIt! pour lancer la suppression. Après avoir fait Moveit!, une fenêtre s'affiche : "The system requires a reboot to finish removing files. Do you want to reboot now ?" Réponds Yes. Le résultat apparaîtra dans le cadre "Results". Clique sur Exit pour fermer. Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

Céline9 · Answer

Oh les belles fautes d'ortographe.. Désolée pour vos yeux.

crapoulou · Answer

Salut, Désactive l'UAC (User Account Control) le temps de la désinfection. Démarrer > Panneau de configuration > Comptes d'utilisateurs > Désactiver le contrôle des comptes d'utilisateur. (Manipulation inverse pour le remettre en fin de désinfection). (Cela va permettre aux outils de désinfection de travailler correctement). ********* Pour établir un diagnostic plus en profondeur de ton PC : Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur le Bureau. = = = = >>> En cliquant ici <<< = = = = * Clique droit sur RSIT.exe puis sélectionne `Exécuter en tant qu'administrateur` pour le lancer. * Une première fenêtre s'ouvre, clique alors sur Continue (Disclaimer). * Si la dernière version de HijackThis n'est pas détectée sur ton PC, RSIT le téléchargera et te demandera d'accepter la licence. * Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-notes). * Poste le contenu de log.txt et de info.txt.

Céline9 · Answer

@crapoulou : Impossible de vous envoyer ces rapports, le commentaire charge mais il ne se poste pas. Que faire dans ce cas là ?

Céline9 · Answer

Rapport info : 
http://www.cijoint.fr/cjlink.php?file=cj201004/cijTVcIaBe.txt 

Rapport log : 
http://www.cijoint.fr/cjlink.php?file=cj201004/cijFtaxJRG.txt

Céline9 · Answer

Merci gen-hackman =) 

Crapoulou, quelle est la marche à suivre maintenant ?

crapoulou · Answer

Merci jee pee et gen. Tu as une infection par barre d'outils (Ask Toolbar) et MagicControl (LivePlayer) et une infection Virut. Pour te "rassurer", c'est une des plus coriaces à éradiquer (cela dépend si elle est très présente ou non). On va commencer par celle-là (prioritaire). /!\ Par mesure de précaution, sauvegarde toutes tes données personnelles (documents texte, images, diaporamas, vidéos, ... mais pas d'exécutables ou de fichier à risque !) sur CD ou DVD de préférence. Si tu veux le faire sur clef USB, fais moi signe, on fera quelque chose avant./!\ ************** Ne branche pas de clef USB sur ton PC, cela pourrait l'infecter. Télécharge Dr Web CureIt sur ton Bureau : = = = = =>>> En cliquant ici <<<= = = = = - Clique droit sur "drweb-cureit.exe" et "Exécuter en tant qu'administrateur". - Clique ensuite sur "Analyse". - Clique sur "Ok" à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton "Oui". Note : Une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant sur la croix. - Lorsque le scan rapide est terminé, clique sur le menu "Options puis "Changer la configuration" ; Choisis l'onglet "Scanner, et décoche "Analyse heuristique". Clique ensuite sur "Ok". - De retour à la fenêtre principale, clique pour activer sur "Analyse complète" - Clique le bouton avec flèche verte sur la droite, et le scan débutera. - Clique sur Oui pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter". - Lorsque le scan sera complété, regarde si tu peux cliquer sur l'icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône "Suivant>, au dessous, et choisis "Déplacer en quarantaine l'objet indésirable. - Dans le menu principal de l'outil, en haut à gauche, clique sur le menu "Fichier et choisis "Enregistrer le rapport. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv - Ferme Dr.Web Cureit. - Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage). - Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse.

Céline9 · Answer

J'ai bien peur d'avoir déjà brancher mon mp3 et mon disque dur externe dans la semaine.. Pensez-vous qu'ils soient 'contaminés' ?

Céline9 · Answer

Voici le rapport UsbFix.txt : 


############################## | UsbFix V6.110 |

User : MLKT (Administrateurs) # PC-DE-MLKT
Update on 29/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 20:25:50 | 30/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Turion(tm) X2 Dual-Core Mobile RM-70
Microsoft® Windows Vista(TM) Édition Familiale Premium  (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 8.0.6001.18904
Windows Firewall Status : Disabled

C:\ -> Disque fixe local # 117,54 Go (6,55 Go free) [Vista] # NTFS
D:\ -> Disque fixe local # 232,88 Go (195,89 Go free) [SAVE MATH] # NTFS
E:\ -> Disque fixe local # 113,88 Go (108,97 Go free) [Data] # NTFS
F:\ -> Disque CD-ROM

################## | Elements infectieux |

C:\Users\MLKT\reader_s.exe  
C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job  
C:\Windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job  
C:\Users\MLKT\AppData\Local\Temp\a.dat  
C:\Users\MLKT\AppData\Local\Temp\Omf.exe  
C:\Users\MLKT\AppData\Local\Temp\Omg.exe  
C:\Users\MLKT\AppData\Local\Temp\Omh.exe  
C:\Users\MLKT\AppData\Local\Temp\2086718706.exe  
C:\Users\MLKT\AppData\Local\Temp\sshnas21.dll  
D:\autorun.inf  

################## | Registre |

[HKCU\SOFTWARE\Microsoft\Handle]  
[HKCU\SOFTWARE\QZAIB7KITK]  
[HKCU\SOFTWARE\XML]  
[HKCU\SOFTWARE\YVIBBBHA8C]  
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Canaveral"  
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "YVIBBBHA8C"  
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "reader_s"  
[HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore] "DisableSR"  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFolderOptions"  

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{b9187591-1606-11de-9742-001e6893cc0b}
shell\AutoRun\command =G:\LaunchU3.exe -a

################## | Vaccin |


################## | ! Fin du rapport # UsbFix V6.110 ! |


Je m'attelle à celui du Dr Web maintenant.

crapoulou · Answer

J'envoie ici le rapport (ça peut servir)

Fais bien ceci :

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_PC-de-MLKT.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution.

***************************

Passe à Dr Web CureIt.

***************************

############################## | UsbFix V6.110 |

User : MLKT (Administrateurs) # PC-DE-MLKT
Update on 29/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 20:40:39 | 30/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Turion(tm) X2 Dual-Core Mobile RM-70
Microsoft® Windows Vista(TM) Édition Familiale Premium  (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 8.0.6001.18904
Windows Firewall Status : Disabled

C:\ -> Disque fixe local # 117,54 Go (6,29 Go free) [Vista] # NTFS
D:\ -> Disque fixe local # 232,88 Go (195,89 Go free) [SAVE MATH] # NTFS
E:\ -> Disque fixe local # 113,88 Go (108,97 Go free) [Data] # NTFS
F:\ -> Disque CD-ROM

################## | Elements infectieux |

Supprimé ! C:\Users\MLKTeader_s.exe 
Supprimé ! C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job 
Supprimé ! C:\Windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job 
Supprimé ! C:\Users\MLKT\AppData\Local\Temp\a.dat 
Supprimé ! C:\Users\MLKT\AppData\Local\Temp\Omf.exe 
Supprimé ! C:\Users\MLKT\AppData\Local\Temp\Omg.exe 
Supprimé ! C:\Users\MLKT\AppData\Local\Temp\Omh.exe 
Supprimé ! C:\Users\MLKT\AppData\Local\Temp\2086718706.exe 
Supprimé ! C:\Users\MLKT\AppData\Local\Temp\sshnas21.dll 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-2936046445-2409572216-3739297780-1000 
Supprimé ! D:\autorun.inf 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-2936046445-2409572216-3739297780-1000 
Supprimé ! D:\Recycler\S-1-5-21-473035271-1403909343-2894887015-1005 
Supprimé ! E:\$Recycle.Bin\S-1-5-21-2936046445-2409572216-3739297780-1000 

################## | Registre |

Supprimé ! [HKCU\SOFTWARE\Microsoft\Handle]  
Supprimé ! [HKCU\SOFTWARE\QZAIB7KITK]  
Supprimé ! [HKCU\SOFTWARE\XML]  
Supprimé ! [HKCU\SOFTWARE\YVIBBBHA8C]  
Supprimé ! [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Canaveral"  
Supprimé ! [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "YVIBBBHA8C"  
Supprimé ! [KCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "reader_s"  
Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "reader_s"  
Supprimé ! [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore] "DisableSR"  
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFolderOptions"  

################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{b9187591-1606-11de-9742-001e6893cc0b}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[18/09/2006 23:43|--a------|24] C:\autoexec.bat 
[21/01/2008 04:24|-rahs----|333203] C:\bootmgr 
[29/05/2008 10:18|-ra-s----|8192] C:\BOOTSECT.BAK 
[18/09/2006 23:43|--a------|10] C:\config.sys 
[?|?|?] C:\hiberfil.sys 
[?|?|?] C:\pagefile.sys 
[03/06/2008 18:03|--ah-----|176] C:\SWSTAMP.TXT 
[30/04/2010 20:46|--a------|2818] C:\UsbFix.txt 
[30/05/2008 12:21|--a----t-|35440] C:\_wdsuef.dmp 
[11/01/2010 03:09|--a------|733720576] D:\Boulevard de la mort.avi 
[14/06/2008 16:25|--a------|767956992] D:\Futurama.The.Beast.With.A.Billion.Backs.vostfr.avi 
[13/01/2010 04:18|--a------|38725] D:\Heroes - 4x15 - Close to You.HDTV.LOL.fr.srt 
[10/02/2010 00:56|--a------|366962688] D:\Heroes 418.avi 
[07/02/2010 01:00|--a------|366661632] D:\Heroes.S04E15.Close.to.You.HDTV.XviD-LOL.by.macros.avi 
[11/02/2010 00:34|--a------|365069140] D:\Heroes.S04E19.VOSTFR.HDTV.XviD-GKS-wWw.Extreme-Down.Com(2).avi 
[10/02/2010 23:51|--a------|149] D:\Heroes.S04E19.VOSTFR.HDTV.XviD-GKS-wWw.Extreme-Down.Com.avi 
[15/10/2009 00:50|--a------|732555264] D:\KeBoo.net Upload By WiNkO - Requiem For A Dream - DVDRip.avi 
[15/05/2007 23:35|--a------|411494] D:\mxoicon6.ico 
[12/10/2009 20:13|--a------|24622] D:\The Simpsons - 21x03 - Double  Double  Boy in Trouble.HDTV.XII.en.srt 
[19/10/2009 08:18|--a------|26986] D:\The Simpsons - 21x04 - Treehouse of Horror XX.HDTV.FQM.en.srt 
[24/10/2009 18:59|--a------|23353] D:\The Simpsons - 21x04 - Treehouse of Horror XX.HDTV.fqm.fr.srt 
[18/02/2010 14:57|--a------|26131] D:\The Simpsons - 21x14 - Episode 14.HDTV.fr.srt 
[02/09/2009 01:07|--a------|6518] D:	he.hangover.(3538188).nfo 
[03/12/2009 02:52|--a------|6354] D:	he.hangover.(3603383).nfo 
[14/10/2009 22:45|--a------|23684] D:\The.Simpsons.2103.xii.FR.NoTAG.srt 
[02/10/2009 17:47|--a------|183492040] D:	he.simpsons.s21e01.hdtv.xvid-fqm.avi 
[05/10/2009 10:19|--a------|183529098] D:	he.simpsons.s21e02.hdtv.xvid-fqm.avi 
[07/10/2009 20:43|--a------|25997] D:	he.simpsons.s21e02.hdtv.xvid-fqm.srt 
[12/10/2009 08:55|--a------|185290778] D:	he.simpsons.s21e03.hdtv.xvid-xii.avi 
[19/10/2009 14:40|--a------|183846288] D:	he.simpsons.s21e04.hdtv.xvid-fqm.vx.avi 
[17/11/2009 23:55|--a------|21746] D:	he.simpsons.s21e05.720p.hdtv.x264-immerse.VF.NoTAG.srt 
[17/11/2009 23:55|--a------|22181] D:	he.simpsons.s21e05.720p.hdtv.x264-immerse.VF.TAG.srt 
[17/11/2009 23:56|--a------|21612] D:	he.simpsons.s21e05.720p.hdtv.x264-immerse.VO.NoTAG.srt 
[17/11/2009 23:56|--a------|22047] D:	he.simpsons.s21e05.720p.hdtv.x264-immerse.VO.TAG.srt 
[15/11/2009 21:32|--a------|183500352] D:\The.Simpsons.S21E05.The.Devil.Wears.Nada.HDTV.XviD-FQM.avi 
[16/11/2009 02:50|--a------|8997] D:\The.Simpsons.S21E05.The.Devil.Wears.Nada.HDTV.XviD-FQM.nfo 
[17/11/2009 23:55|--a------|21746] D:\The.Simpsons.S21E05.The.Devil.Wears.Nada.HDTV.XviD-FQM.VF.NoTAG.srt 
[17/11/2009 23:55|--a------|22181] D:\The.Simpsons.S21E05.The.Devil.Wears.Nada.HDTV.XviD-FQM.VF.TAG.srt 
[17/11/2009 23:56|--a------|22989] D:\The.Simpsons.S21E05.The.Devil.Wears.Nada.HDTV.XviD-FQM.VO.NoTAG.srt 
[17/11/2009 23:56|--a------|22047] D:\The.Simpsons.S21E05.The.Devil.Wears.Nada.HDTV.XviD-FQM.VO.TAG.srt 
[18/02/2010 19:41|--a------|183074358] D:	he.simpsons.s21e12.hdtv.xvid-xii.avi 
[08/09/2009 03:40|--a------|716512460] D:\very bad trip vostfr-[DVDrip] -pour www.king-stream.com.avi 
[05/06/2008 03:27|--a------|11] E:\R08748FR.tag 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# E:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 

################## | Upload | 

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_PC-de-MLKT.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.110 ! |

Céline9 · Answer

Bonjour !

Que dois-je faire à présent ? Je n'ai pas bien compris... USBFix c'est bon ? J'ai débranché les sources depuis hier, ai-je bien fait ? Et comme je vous le disais, j'ai un peu regardé le rapport, et j'ai vu qu'il ne faisait présence que des dossiers présents sur le disque dur externe, et pas du tout de ceux du MP3. Est ce parce que, chaque fois que je le branche, je le fais sur mon 'Cooler Master' ? C'est un appareil avec ventilateurs censé refroidir la base du PC, et pour que les ventilos fonctionnent je dois le brancher à mon PC, et dans le cul de cette prise USB il y a un port, pour pas qu'il prenne de place sur mes ports USB. Je sais pas si c'est très clair...
Encore une fois, merci de m'aider :)

Céline9 · Answer

Je ne parviens pas a vous l'envoyer, le rapport est trop long et le format .log n'est pas convertible sur cijoint.fr , que dois je faire ?

gen-hackman · Answer

hello de passage :

&#9654-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses

ensuite :

tu envoies l'archive comme ceci :

clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

Céline9 · Answer

Merci beaucoup, que ferais-je sans vous? 

Voici donc le rapport du DrWebCureIt : 

http://www.cijoint.fr/cjlink.php?file=cj201005/cijwbYmP18.zip

crapoulou · Answer

Très bien. Salut à gen au passage. Télécharge Malwarebytes' Anti-Malware = = = = >>> En cliquant ici <<< = = = = - Enregistre le sur le bureau - Double clique sur le fichier téléchargé pour lancer le processus d'installation - Lorsqu'il te le sera demandé, mets à jour Malwarebytes anti malware - Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes - Une fois la mise à jour terminée, ferme Malwarebytes - Double-clique sur l'icône de malwarebytes pour le relancer - Dans l'onglet, Recherche, probablement ouvert par défaut, - Sélectionne Exécuter un examen complet - Clique sur Rechercher - Le scan démarre - A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur `Afficher les résultats' pour afficher tous les objets trouvés. - Clique sur Ok pour poursuivre. Ne supprime pas tout de suite ce qui a été trouvé : poste le premier rapport qui s'affiche et garde MBAM ouvert : si tu fermes, il faudra recommencer l'analyse. Si tu as besoin d'aide regarde ce tutorial [https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

crapoulou · Answer

On avancez ! Pour vérifications : Suppression avec AD-R : Télécharge AD-R (de C_XX ) sur ton bureau : = = = =>>> En cliquant ici <<<= = = = /!\ Déconnecte-toi et ferme toutes applications en cours, désactive ton antivirus le temps de la manipulation/!\ * Exécute AD-R. * Au menu principal clique sur le bouton "Nettoyer". * Poste le rapport qui apparaît à la fin. (Le rapport est sauvegardé aussi sous Ad-Report-CLEAN[1].txt) ******************* Mets à jour Mc Afee. Fais une analyse complète du système. Poste moi le rapport de fin d'analyse.

Céline9 · Answer

J'aime pas trop ce mec, il est pas très marrant =) 

Voici le rapport AD :

.
======= RAPPORT D'AD-REMOVER 2.0.0.0,D | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 01/05/10 à 19:50
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 22:16:05 le 01/05/2010 | Mode normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft® Windows Vista(TM) HomePremium Service Pack 1 - X86
Nom du PC: PC-DE-MLKT (TOSHIBA Satellite A300D)
Utilisateur actuel: MLKT
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
.
C:\Program Files\Ask Search Assistant
C:\Program Files\live-player
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\live-player
C:\Users\MLKT\AppData\Local\yrlwoac.bat
C:\Users\MLKT\AppData\Roaming\live-player
C:\Users\MLKT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ask Search Assistant

(!) -- Fichiers temporaires supprimés.
.
HKCU\Software\Live-Player
HKLM\Software\Live-Player
HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\AskSearchAsst.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ask.com Search Assistant
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\yrlwoac
.
(Orpheline) HKLM,Run - jhaf897ifhdifhsd9fdiujhndd - C:\Windows\system32\svvchost.exe (Fichier manquant)
(Orpheline) BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} (CLSID manquant)
.
============== SCAN ADDITIONNEL ==============
.
* Mozilla FireFox Version 3.6 (fr) *
.
C:\Users\MLKT\..\2et75lbn.default\prefs.js - browser.search.selectedEngine: Ask
C:\Users\MLKT\..\2et75lbn.default\prefs.js - browser.startup.homepage: hxxp://www.google.fr/
C:\Users\MLKT\..\2et75lbn.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2
.
.
* Internet Explorer Version 8.0.6001.18904 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\System32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
========================================
.
C:\Ad-Remover\Quarantine: 23 Fichier(s)
C:\Ad-Remover\Backup: 15 Fichier(s)
.
C:\Ad-Report-CLEAN[1].txt - 2922 Octet(s)
.
Fin à: 22:23:22, 01/05/2010
.
============== E.O.F - CLEAN[1] ==============

Céline9 · Answer

Voila, j'en ai fini de la configuration, au passage il m'a fait un petit scan, si vous voulez y jeter un coup d'oeil voici le lien :

http://www.cijoint.fr/cjlink.php?file=cj201005/cijjw2r5Te.zip

crapoulou · Answer

Suis cette explication pour désinstaller McAfee :

https://www.commentcamarche.net/faq/7367-desinstaller-proprement-liens-et-astuces#mcafee-virusscan-8-ou-9

********

Concernant ceci, tu as réussi à le supprimer ?
C:/Windows/System32/drivers/jbpsy.sys

Céline9 · Answer

Je ne sais pas du tout... Voici le rapport d'AVIRA suite à l'analyse d'hier soir : Avira AntiVir Personal Date de création du fichier de rapport : dimanche 2 mai 2010 00:03 La recherche porte sur 2062283 souches de virus. Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus Numéro de série : 0000149996-ADJIE-0000001 Plateforme : Windows Vista Version de Windows : (Service Pack 1) [6.0.6001] Mode Boot : Démarré normalement Identifiant : SYSTEM Nom de l'ordinateur : PC-DE-MLKT Informations de version : BUILD.DAT : 9.0.0.74 21698 Bytes 04/12/2009 13:56:00 AVSCAN.EXE : 9.0.3.10 466689 Bytes 13/10/2009 09:25:46 AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 08:21:02 LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 09:35:11 LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 08:21:31 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 05:35:52 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 21:19:09 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 21:19:17 VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 21:19:20 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 21:19:23 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 21:19:29 VBASE006.VDF : 7.10.6.83 2048 Bytes 15/04/2010 21:19:29 VBASE007.VDF : 7.10.6.84 2048 Bytes 15/04/2010 21:19:29 VBASE008.VDF : 7.10.6.85 2048 Bytes 15/04/2010 21:19:29 VBASE009.VDF : 7.10.6.86 2048 Bytes 15/04/2010 21:19:30 VBASE010.VDF : 7.10.6.87 2048 Bytes 15/04/2010 21:19:30 VBASE011.VDF : 7.10.6.88 2048 Bytes 15/04/2010 21:19:30 VBASE012.VDF : 7.10.6.89 2048 Bytes 15/04/2010 21:19:30 VBASE013.VDF : 7.10.6.90 2048 Bytes 15/04/2010 21:19:30 VBASE014.VDF : 7.10.6.123 126464 Bytes 19/04/2010 21:19:30 VBASE015.VDF : 7.10.6.152 123392 Bytes 21/04/2010 21:19:31 VBASE016.VDF : 7.10.6.178 122880 Bytes 22/04/2010 21:19:31 VBASE017.VDF : 7.10.6.206 120320 Bytes 26/04/2010 21:19:31 VBASE018.VDF : 7.10.6.232 99328 Bytes 28/04/2010 21:19:32 VBASE019.VDF : 7.10.7.2 155648 Bytes 30/04/2010 21:19:32 VBASE020.VDF : 7.10.7.3 2048 Bytes 30/04/2010 21:19:32 VBASE021.VDF : 7.10.7.4 2048 Bytes 30/04/2010 21:19:32 VBASE022.VDF : 7.10.7.5 2048 Bytes 30/04/2010 21:19:32 VBASE023.VDF : 7.10.7.6 2048 Bytes 30/04/2010 21:19:33 VBASE024.VDF : 7.10.7.7 2048 Bytes 30/04/2010 21:19:33 VBASE025.VDF : 7.10.7.8 2048 Bytes 30/04/2010 21:19:33 VBASE026.VDF : 7.10.7.9 2048 Bytes 30/04/2010 21:19:33 VBASE027.VDF : 7.10.7.10 2048 Bytes 30/04/2010 21:19:33 VBASE028.VDF : 7.10.7.11 2048 Bytes 30/04/2010 21:19:33 VBASE029.VDF : 7.10.7.12 2048 Bytes 30/04/2010 21:19:33 VBASE030.VDF : 7.10.7.13 2048 Bytes 30/04/2010 21:19:33 VBASE031.VDF : 7.10.7.16 43520 Bytes 30/04/2010 21:19:33 Version du moteur : 8.2.1.224 AEVDF.DLL : 8.1.2.0 106868 Bytes 01/05/2010 21:19:42 AESCRIPT.DLL : 8.1.3.27 1294714 Bytes 01/05/2010 21:19:42 AESCN.DLL : 8.1.5.0 127347 Bytes 01/05/2010 21:19:41 AESBX.DLL : 8.1.3.1 254324 Bytes 01/05/2010 21:19:42 AERDL.DLL : 8.1.4.6 541043 Bytes 01/05/2010 21:19:40 AEPACK.DLL : 8.2.1.1 426358 Bytes 01/05/2010 21:19:40 AEOFFICE.DLL : 8.1.0.41 201083 Bytes 01/05/2010 21:19:39 AEHEUR.DLL : 8.1.1.24 2613623 Bytes 01/05/2010 21:19:38 AEHELP.DLL : 8.1.11.3 242039 Bytes 01/05/2010 21:19:36 AEGEN.DLL : 8.1.3.7 373106 Bytes 01/05/2010 21:19:35 AEEMU.DLL : 8.1.2.0 393588 Bytes 01/05/2010 21:19:34 AECORE.DLL : 8.1.13.1 188790 Bytes 01/05/2010 21:19:34 AEBB.DLL : 8.1.1.0 53618 Bytes 01/05/2010 21:19:34 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 06:47:30 AVPREF.DLL : 9.0.3.0 44289 Bytes 26/08/2009 13:13:31 AVREP.DLL : 8.0.0.7 159784 Bytes 01/05/2010 21:19:42 AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 13:24:42 AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 13:05:22 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 08:36:37 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 13:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 06:20:57 NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 13:40:59 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 11:44:26 RCTEXT.DLL : 9.0.73.0 88321 Bytes 02/11/2009 14:58:32 Configuration pour la recherche actuelle : Nom de la tâche...............................: Contrôle intégral du système Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp Documentation.................................: bas Action principale.............................: interactif Action secondaire.............................: ignorer Recherche sur les secteurs d'amorçage maître..: marche Recherche sur les secteurs d'amorçage.........: marche Secteurs d'amorçage...........................: C:, E:, Recherche dans les programmes actifs..........: marche Recherche en cours sur l'enregistrement.......: marche Recherche de Rootkits.........................: marche Contrôle d'intégrité de fichiers système......: arrêt Fichier mode de recherche.....................: Tous les fichiers Recherche sur les archives....................: marche Limiter la profondeur de récursivité..........: 20 Archive Smart Extensions......................: marche Heuristique de macrovirus.....................: marche Heuristique fichier...........................: moyen Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR, Début de la recherche : dimanche 2 mai 2010 00:03 La recherche d'objets cachés commence. Impossible d'initialiser le pilote. La recherche sur les processus démarrés commence : Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés Processus de recherche 'chrome.exe' - '1' module(s) sont contrôlés Processus de recherche 'chrome.exe' - '1' module(s) sont contrôlés Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés Processus de recherche 'mfpmp.exe' - '0' module(s) sont contrôlés Processus de recherche 'wmplayer.exe' - '1' module(s) sont contrôlés Processus de recherche 'chrome.exe' - '1' module(s) sont contrôlés Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'chrome.exe' - '1' module(s) sont contrôlés Processus de recherche 'chrome.exe' - '1' module(s) sont contrôlés Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés Processus de recherche 'CFSwMgr.exe' - '1' module(s) sont contrôlés Processus de recherche 'hidfind.exe' - '1' module(s) sont contrôlés Processus de recherche 'ApntEx.exe' - '1' module(s) sont contrôlés Processus de recherche 'CCC.exe' - '1' module(s) sont contrôlés Processus de recherche 'HCMSoundChanger.exe' - '1' module(s) sont contrôlés Processus de recherche 'wmpnetwk.exe' - '1' module(s) sont contrôlés Processus de recherche 'ApMsgFwd.exe' - '1' module(s) sont contrôlés Processus de recherche 'MOM.exe' - '1' module(s) sont contrôlés Processus de recherche 'SSScheduler.exe' - '1' module(s) sont contrôlés Processus de recherche 'wmpnscfg.exe' - '1' module(s) sont contrôlés Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés Processus de recherche 'HDMICtrlMan.exe' - '1' module(s) sont contrôlés Processus de recherche 'TCrdMain.exe' - '1' module(s) sont contrôlés Processus de recherche 'SmoothView.exe' - '1' module(s) sont contrôlés Processus de recherche 'TPwrMain.exe' - '1' module(s) sont contrôlés Processus de recherche 'Apoint.exe' - '1' module(s) sont contrôlés Processus de recherche 'Toshiba.Tempo.UI.TrayApplication.exe' - '1' module(s) sont contrôlés Processus de recherche 'GoogleDesktop.exe' - '1' module(s) sont contrôlés Processus de recherche 'PicasaMediaDetector.exe' - '1' module(s) sont contrôlés Processus de recherche 'NDSTray.exe' - '1' module(s) sont contrôlés Processus de recherche 'MSASCui.exe' - '1' module(s) sont contrôlés Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés Processus de recherche 'dwm.exe' - '1' module(s) sont contrôlés Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés Processus de recherche 'SmartFaceVWatchSrv.exe' - '1' module(s) sont contrôlés Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés Processus de recherche 'XAudio.exe' - '1' module(s) sont contrôlés Processus de recherche 'SearchIndexer.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'ULCDRSvr.exe' - '1' module(s) sont contrôlés Processus de recherche 'TosIPCSrv.exe' - '1' module(s) sont contrôlés Processus de recherche 'TosCoSrv.exe' - '1' module(s) sont contrôlés Processus de recherche 'TODDSrv.exe' - '1' module(s) sont contrôlés Processus de recherche 'TNaviSrv.exe' - '1' module(s) sont contrôlés Processus de recherche 'TempoSVC.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'SeaPort.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'o2flash.exe' - '1' module(s) sont contrôlés Processus de recherche 'FsUsbExService.Exe' - '1' module(s) sont contrôlés Processus de recherche 'CFSvcs.exe' - '1' module(s) sont contrôlés Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'Ati2evxx.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'SLsvc.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'audiodg.exe' - '0' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'Ati2evxx.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'PresentationFontCache.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés Processus de recherche 'services.exe' - '1' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés '83' processus ont été contrôlés avec '83' modules La recherche sur les secteurs d'amorçage maître commence : Secteur d'amorçage maître HD0 [INFO] Aucun virus trouvé ! La recherche sur les secteurs d'amorçage commence : Secteur d'amorçage 'C:\' [INFO] Aucun virus trouvé ! Secteur d'amorçage 'E:\' [INFO] Aucun virus trouvé ! La recherche sur les renvois aux fichiers exécutables (registre) commence : Le registre a été contrôlé ( '55' fichiers). La recherche sur les fichiers sélectionnés commence : Recherche débutant dans 'C:\' C:\hiberfil.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! [REMARQUE] Ce fichier est un fichier système Windows. [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche. C:\pagefile.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! [REMARQUE] Ce fichier est un fichier système Windows. [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche. C:\UsbFix_Upload_Me_PC-de-MLKT.zip [0] Type d'archive: ZIP --> UsbFix_Upload_Me/Omf.exe.UsbFix [RESULTAT] Contient le cheval de Troie TR/Drop.A.258560 --> UsbFix_Upload_Me/reader_s.exe.UsbFix [RESULTAT] Contient le cheval de Troie TR/Dldr.Agent.dlhe --> UsbFix_Upload_Me/sshnas21.dll.UsbFix [RESULTAT] Contient le cheval de Troie TR/A.206848 C:\Ad-Remover\Quarantine\C\Program Files\live-player\live-player.exe.vir [RESULTAT] Contient le modèle de détection du programme SPR/Tool.1806336 C:\Ad-Remover\Quarantine\C\Program Files\live-player\uninst.exe.vir [RESULTAT] Contient le cheval de Troie TR/Dldr.Wintrim.BX.315 C:\UsbFix\Quarantine\C\Users\MLKT\reader_s.exe.UsbFix [RESULTAT] Contient le cheval de Troie TR/Dldr.Agent.dlhe C:\UsbFix\Quarantine\C\Users\MLKT\AppData\Local\Temp\Omf.exe.UsbFix [RESULTAT] Contient le cheval de Troie TR/Drop.A.258560 C:\UsbFix\Quarantine\C\Users\MLKT\AppData\Local\Temp\sshnas21.dll.UsbFix [RESULTAT] Contient le cheval de Troie TR/A.206848 C:\Users\MLKT\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\38\2a67daa6-4a838207 [0] Type d'archive: ZIP --> crimepack.class [RESULTAT] Contient le modèle de détection de l'exploit EXP/CVE-2009-3867 C:\Users\MLKT\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\50\d3d12b2-556367ee [0] Type d'archive: ZIP --> zzz/ttt/a13d8.class [RESULTAT] Contient le modèle de détection du virus Java JAVA/Dldr.Agent.CG --> zzz/ttt/a1500b0.class [RESULTAT] Contient le modèle de détection du virus Java JAVA/Dldr.Agent.CI C:\Windows\System32\drivers\jbpsy.sys [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen [AVERTISSEMENT] Impossible d'ouvrir le fichier ! Recherche débutant dans 'E:\' Début de la désinfection : C:\UsbFix_Upload_Me_PC-de-MLKT.zip [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c3ebdd5.qua' ! C:\Ad-Remover\Quarantine\C\Program Files\live-player\live-player.exe.vir [RESULTAT] Contient le modèle de détection du programme SPR/Tool.1806336 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c52bdcb.qua' ! C:\Ad-Remover\Quarantine\C\Program Files\live-player\uninst.exe.vir [RESULTAT] Contient le cheval de Troie TR/Dldr.Wintrim.BX.315 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c45bdd0.qua' ! C:\UsbFix\Quarantine\C\Users\MLKT\reader_s.exe.UsbFix [RESULTAT] Contient le cheval de Troie TR/Dldr.Agent.dlhe [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c3dbdc9.qua' ! C:\UsbFix\Quarantine\C\Users\MLKT\AppData\Local\Temp\Omf.exe.UsbFix [RESULTAT] Contient le cheval de Troie TR/Drop.A.258560 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c42bdd1.qua' ! C:\UsbFix\Quarantine\C\Users\MLKT\AppData\Local\Temp\sshnas21.dll.UsbFix [RESULTAT] Contient le cheval de Troie TR/A.206848 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c44bdd7.qua' ! C:\Users\MLKT\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\38\2a67daa6-4a838207 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c12bdc5.qua' ! C:\Users\MLKT\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\50\d3d12b2-556367ee [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c40bd97.qua' ! C:\Windows\System32\drivers\jbpsy.sys [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen [AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004 [AVERTISSEMENT] Impossible de trouver le fichier source. [REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK. [REMARQUE] Impossible d'initialiser le pilote. [AVERTISSEMENT] Impossible de repérer le fichier pour sa suppression après le redémarrage. Cause possible : Un périphérique attaché au système ne fonctionne pas correctement. Fin de la recherche : dimanche 2 mai 2010 02:18 Temps nécessaire: 1:41:56 Heure(s) La recherche a été effectuée intégralement 26860 Les répertoires ont été contrôlés 316890 Des fichiers ont été contrôlés 12 Des virus ou programmes indésirables ont été trouvés 0 Des fichiers ont été classés comme suspects 0 Des fichiers ont été supprimés 0 Des virus ou programmes indésirables ont été réparés 8 Les fichiers ont été déplacés dans la quarantaine 0 Les fichiers ont été renommés 3 Impossible de contrôler des fichiers 316875 Fichiers non infectés 1652 Les archives ont été contrôlées 3 Avertissements 11 Consignes Cela vous aide-t-il ?

crapoulou · Answer

Télécharge Combofix : = = = = >>> En cliquant ici <<< = = = = * On va enregistrer ce fichier sur le Bureau : pour cela, sur le panneau de gauche, clique sur le Bureau. * Clique enfin sur le bouton Enregistrer en bas de page à droite. * Assure toi que tous les programmes sont fermés avant de lancer le fix ! Ne lance pas le fix tout de suite ! * Fais un clic droit sur combofix.exe et sélectionne "Exécuter en mode administrateur". * Clique sur Oui au message de Limitation de Garantie qui s'affiche. * Il est possible que ton pare-feu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sure : accepte ! Note : Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide ! * Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message. * Note : Le rapport se trouve également là : C:\ComboFix.txt

Céline9 · Answer

Voici le rapport :

http://www.cijoint.fr/cjlink.php?file=cj201005/cijONnb919.txt

Avira a detecté un truc, je n'ai pas eu le temps de lire, et j'ai un message de Microsoft Windows qui me dit que l'Indexeur Microsoft Windows Search a cessé de fonctionner et a été arrêté

crapoulou · Answer

On a presque fini.
On va maintenant passer à une phase importante : la fin de la désinfection.
Suis aussi rigoureusement les étapes que tu l'as fait jusqu'à présent.

****************

Il ne te reste que 5 GB de libre sur 120 GB, ce n'est pas beaucoup.
Pense à faire du vide.

*****************

Poste un dernier rapport RSIT stp. (un nouveau).

Céline9 · Answer

Rapport RSIT : 

http://www.cijoint.fr/cjlink.php?file=cj201005/cijXg2V6RN.txt

Oui, je sais, je prévois de transferer une grosse partie de mes fichiers sur mon DDE ^^

crapoulou · Answer

Lance Hijackthis par clic droit, 'Exécuter en tant qu'administrateur'. Il se situe ici : C:\Program Files rend micro\MLKT.exe Clique sur "Do a system scan only". Coche ces lignes : O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe Clique ensuite sur "Fix checked". Ferme Hijackthis. *********************** Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques : Télécharge Toolscleaner sur ton Bureau = = = =>>> En cliquant ici <<<= = = = * Clique droit sur ToolsCleaner2.exe et clique sur "Exécuter en tant qu'administrateur" pour le lancer. Laisse le travailler (même s'il est écrit "Ne répond plus"). * Clique sur Recherche et laisse le scan se terminer. * Clique sur Suppression pour finaliser. * Tu peux, si tu le souhaites, te servir des Options facultatives. * Clique sur Quitter, pour que le rapport puisse se créer. * Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse. ********************* Tu peux garder Malwarebytes anti malware en tant qu'anti malware, il est très efficace. (Même s'il ne résout pas tous les problèmes, bien entendu ... !) Par contre, il n'a pas de scan résident en mode gratuit ! Il faut donc pour l'utiliser le lancer, faire les mises à jour et faire un scan complet après. ********************* Mets à jour Adobe Acrobat Reader en téléchargeant la version 9 = = = =>>> En cliquant ici <<<= = = =. Il faut le faire car c'est une faille de sécurité de ne pas le tenir à jour. ********************* Installe le SP2 de Vista (mise à jour système) : http://www.microsoft.com/downloads/details.aspx?FamilyID=a4dd31d5-f907-4406-9012-a5c3199ea2b3&DisplayLang=fr ********************* * Télécharge Ccleaner Slim : = = = = >>> En cliquant ici <<< = = = = * Installe le. * Choisis l'onglet Nettoyeur Quitte ton navigateur Internet avant de le lancer, décoche la dernière case (Avancé si elle est cochée) puis clique sur "lancer le nettoyage" quand il aura terminé le scan cliques en bas à droite sur "lancer le nettoyage" et accepte par oui. Attention, il risque de vider ta corbeille : si tu veux récupérer des fichiers effacés par erreur, mieux vaut le faire maintenant. * Choisis l'onglet Registre - Clique sur Chercher des erreurs - Une fois la recherche terminée, clic sur Réparer les erreurs sélectionnées (par défaut, tout est sélectionné, laisse comme ça) - Au message Voulez-vous sauvegarder les changements faits dans le registre, réponds Oui et enregistre le fichier au format « .reg » en le nommant par la date par exemple en le mettant sur le bureau. Puis continue. - A la fenêtre qui s'ouvre ensuite, clique sur Corriger toutes les erreurs sélectionnées puis OK - Recommence jusqu'à ce qu'aucune erreur n'apparaisse (ou une seule récurrente). - Ferme Ccleaner. * Tutoriel en images ICI si besoin. Note : La sauvegarde utilisée permet de remettre tel que la base était avant la manipulation au cas où il y aurait des soucis mais cela ne m'est jamais arrivé ! Il vaut mieux prendre des précautions, c'est tout. ;-) ******** Réactive l'UAC. T'as un problème ? Passe sur CCM! Il n'y a pas de problème sans solution.

Céline9 · Answer

Est-ce le rapport TCleaner ? : 

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Combofix.txt: trouvé !
C:\UsbFix.txt: trouvé !
C:\Combofix: trouvé !
C:\Qoobox: trouvé !
C:\UsbFix: trouvé !
C:\Rsit: trouvé !
C:\Ad-remover: trouvé !
C:\Program Files	rend micro\HijackThis.exe: trouvé !
C:\Program Files	rend micro\hijackthis.log: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\Users\MLKT\AppData\Roaming\Microsoft\Windows\Recent\UsbFix.lnk: trouvé !
C:\Users\MLKT\Desktop\Combofix.txt: trouvé !
C:\Users\MLKT\Documents\UsbFix.txt: trouvé !
C:\Users\MLKT\Documents\Downloads\ComboFix.exe: trouvé !
C:\Users\MLKT\Documents\Downloads\Ad-R.exe: trouvé !
C:\Users\MLKT\Documents\Downloads\UsbFix.exe: trouvé !
C:\Users\MLKT\Documents\Downloads\Rsit.exe: trouvé !
C:\Windows\mbr.exe: trouvé !

---------------------------------
--> Suppression: 

C:\Program Files	rend micro\HijackThis.exe: supprimé !
C:\Users\MLKT\Documents\Downloads\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Users\MLKT\Documents\Downloads\Ad-R.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\UsbFix.txt: supprimé !
C:\Program Files	rend micro\hijackthis.log: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\Users\MLKT\AppData\Roaming\Microsoft\Windows\Recent\UsbFix.lnk: supprimé !
C:\Users\MLKT\Desktop\Combofix.txt: supprimé !
C:\Users\MLKT\Documents\UsbFix.txt: supprimé !
C:\Users\MLKT\Documents\Downloads\UsbFix.exe: supprimé !
C:\Users\MLKT\Documents\Downloads\Rsit.exe: supprimé !
C:\Windows\mbr.exe: supprimé !
C:\Combofix: ERREUR DE SUPPRESSION !!
C:\Qoobox: supprimé !
C:\UsbFix: supprimé !
C:\Rsit: supprimé !
C:\Ad-remover: supprimé !

gen-hackman · Answer

bonsoir

attends crapoulou elle est encore rootkitée....je pense que l'infection va se relancer

crapoulou · Answer

Affiche les fichiers et dossiers cachés :
Dans Mes documents, Outils, Options des dossiers, Onglet Affichage, coche Afficher les fichiers et dossiers cachés.  

Que contient ce dossier ?  
c:\users\MLKT\AppData\Roaming\A908A7EFC84D2865C3D9EA0CF5526AF2  

T'as un problème ? Passe sur CCM!  
Il n'y a pas de problème sans solution.

Céline9 · Answer

Voici le rapport : 

All processes killed
Error: Unable to interpret <:Procedure is: > in the current context!
========== FILES ==========
c:\users\MLKT\AppData\Roaming\A908A7EFC84D2865C3D9EA0CF5526AF2 folder moved successfully.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\system\ControlSet001\Services\jbpsy\ not found.
Registry key HKEY_LOCAL_MACHINE\system\ControlSet002\Services\jbpsy][-system\ControlSet003\Services\jbpsy\ not found.
Registry key HKEY_LOCAL_MACHINE\system\ControlSet004\Services\jbpsy\ not found.
Registry key HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\jbpsy\ not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: MLKT
->Temp folder emptied: 90499 bytes
->Temporary Internet Files folder emptied: 44205 bytes
->Java cache emptied: 76039142 bytes
->FireFox cache emptied: 46377103 bytes
->Google Chrome cache emptied: 295051487 bytes
->Apple Safari cache emptied: 5036365 bytes
->Flash cache emptied: 345790 bytes
 
User: Public
->Temp folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes
%systemroot%\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 7619367 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 411,00 mb
 
 
OTM by OldTimer - Version 3.1.11.0 log created on 05022010_225527

Files moved on Reboot...

Registry entries deleted on Reboot...

crapoulou · Answer

Retélécharge Combofix sur ton bureau. (Tu as le lien plus haut). Ne le lance pas. /!\ Pour les personnes ayant les mêmes problèmes ou similaires /!\ Cette manipulation est spécifique au PC de l'utilisateur ayant créé cette discussion. La reproduire sur un autre ordinateur pourrait endommager le système. Avec Combofix : - Crée un nouveau document texte : clic droit de souris sur le bureau => Nouveau => Document Texte, et copie/colle dedans les lignes suivantes : Killall:: Driver:: jbpsy Rootkit:: C:\WINDOWS\system32\jbpsy.sys - Enregistre ce fichier sous le nom CFScript (Type du fichier : tous les fichiers) - Ferme tous tes navigateurs web (donc copie ou imprime les instructions suivantes avant si besoin est). - Désactive ton antivirus et tes autres protections résidentes (ex : Spybot) si tu en as (c'est important). - Fait un glisser/déposer de ce fichier CFScript sur le programme ComboFix.exe comme sur cette image ICI (Explications du glisser/coller : Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relâche alors le bouton de la souris). - Combofix va démarrer puis une fenêtre bleue va apparaître. Au message qui s'affiche (Type 1 to continue, or 2 to abort) : tape 1 puis valide. - Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! - Ne touche à rien tant que le scan n'est pas terminé sinon le PC peut planter ! - Une fois le scan achevé, un rapport va s'afficher: poste le stp. PS 1 : Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt PS 2 : Il peut s'avérer que le rapport Combofix soit trop long pour être supporter par CCM.net. Dans ce cas utilise ce service http://www.cijoint.fr pour me l'envoyer (dépose le fichier puis poste le lien sur le forum). T'as un problème ? Passe sur CCM! Il n'y a pas de problème sans solution.

Céline9 · Answer

J'ai fait tout comme indiqué, et au moment du glissé/déposé, ComboFix a demarré et a commencé a faire une analyse comme celle de tout a l'heure. Est ce parce que j'ai deposer le document texte sur son raccourci ? Car c'est un raccourci que j'avais sur le bureau. Maintenant, les deux ont disparus du bureau..

Céline9 · Answer

Très bien, alors le voici : 

ComboFix 10-05-02.01 - MLKT 03/05/2010   0:25.3.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium   6.0.6001.1.1252.33.1036.18.3070.2144 [GMT 2:00]
Lancé depuis: c:\users\MLKT\Desktop\ComboFix.exe
Commutateurs utilisés :: c:\users\MLKT\Desktop\CFScript.txt
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_JBPSY
-------\Service_jbpsy


(((((((((((((((((((((((((((((   Fichiers créés du 2010-04-02 au 2010-05-02  ))))))))))))))))))))))))))))))))))))
.

2010-05-02 22:31 . 2010-05-02 22:36	--------	d-----w-	c:\users\MLKT\AppData\Local	emp
2010-05-02 22:31 . 2010-05-02 22:31	--------	d-----w-	c:\users\Public\AppData\Local	emp
2010-05-02 22:31 . 2010-05-02 22:31	--------	d-----w-	c:\users\Default\AppData\Local	emp
2010-05-02 20:55 . 2010-05-02 20:55	--------	d-----w-	C:\_OTM
2010-05-01 21:48 . 2010-02-24 08:16	181632	------w-	c:\windows\system32\MpSigStub.exe
2010-05-01 21:16 . 2009-11-25 09:19	56816	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-05-01 21:16 . 2009-03-30 07:32	96104	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-05-01 21:16 . 2010-05-01 21:16	--------	d-----w-	c:\programdata\Avira
2010-05-01 21:16 . 2010-05-01 21:16	--------	d-----w-	c:\program files\Avira
2010-05-01 16:46 . 2010-05-01 16:46	--------	d-----w-	c:\users\MLKT\AppData\Roaming\Malwarebytes
2010-05-01 16:45 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-05-01 16:45 . 2010-05-01 16:45	--------	d-----w-	c:\programdata\Malwarebytes
2010-05-01 16:45 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-05-01 16:45 . 2010-05-01 16:46	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-05-01 13:58 . 2010-05-01 15:57	--------	d-----w-	c:\users\MLKT\DoctorWeb
2010-04-30 15:57 . 2010-05-02 19:10	--------	d-----w-	c:\program files	rend micro
2010-04-29 13:39 . 2007-01-18 12:00	3968	----a-w-	c:\windows\system32\drivers\AvgArCln.sys
2010-04-29 13:33 . 2010-04-29 13:33	--------	d-----w-	c:\users\MLKT\AppData\Local\BVRP Software
2010-04-24 21:08 . 2008-06-21 02:54	65576	----a-w-	c:\windows\system32\drivers\SbFwIm.sys
2010-04-24 17:52 . 2010-04-24 17:52	--------	d-----w-	c:\program files\Sunbelt Software
2010-04-24 09:16 . 2010-05-02 22:32	823808	----a-w-	c:\windows\system32\drivers\jbpsy.sys
2010-04-15 02:01 . 2010-02-23 11:32	78848	----a-w-	c:\windows\system32\drivers\mrxsmb20.sys
2010-04-15 02:01 . 2010-02-23 11:32	212992	----a-w-	c:\windows\system32\drivers\mrxsmb10.sys
2010-04-15 02:01 . 2010-02-23 11:32	105984	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2010-04-15 02:01 . 2010-02-18 14:49	3598216	----a-w-	c:\windows\system32
tkrnlpa.exe
2010-04-15 02:01 . 2010-02-18 14:49	3545992	----a-w-	c:\windows\system32
toskrnl.exe
2010-04-15 02:01 . 2010-03-05 14:01	420352	----a-w-	c:\windows\system32\vbscript.dll
2010-04-15 01:54 . 2010-02-18 14:49	898952	----a-w-	c:\windows\system32\drivers	cpip.sys
2010-04-15 01:54 . 2010-02-18 14:11	190464	----a-w-	c:\windows\system32\iphlpsvc.dll
2010-04-15 01:54 . 2010-02-18 11:52	25088	----a-w-	c:\windows\system32\drivers	unnel.sys
2010-04-13 22:48 . 2010-01-15 00:04	98304	----a-w-	c:\windows\system32\cabview.dll
2010-04-13 22:48 . 2009-12-23 12:43	171520	----a-w-	c:\windows\system32\wintrust.dll
2010-04-03 09:20 . 2010-04-03 09:20	--------	d-----w-	c:\programdata\WindowsSearch

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-02 21:08 . 2008-01-21 08:40	669566	----a-w-	c:\windows\system32\perfh00C.dat
2010-05-02 21:08 . 2008-01-21 08:40	123556	----a-w-	c:\windows\system32\perfc00C.dat
2010-05-02 13:49 . 2008-05-29 09:42	--------	d-----w-	c:\programdata\McAfee
2010-05-01 19:47 . 2009-06-11 21:39	198	----a-w-	c:\users\MLKT\AppData\Roaming\wklnhst.dat
2010-04-16 05:03 . 2006-11-02 11:18	--------	d-----w-	c:\program files\Windows Mail
2010-04-16 01:07 . 2008-05-30 10:30	--------	d-----w-	c:\programdata\Microsoft Help
2010-04-10 11:32 . 2010-04-10 11:32	653576	----a-w-	c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2010-03-25 22:59 . 2010-03-25 22:41	--------	d-----w-	c:\users\MLKT\AppData\Roaming\Audacity
2010-03-25 22:41 . 2010-03-25 22:41	--------	d-----w-	c:\program files\Audacity 1.3 Beta (Unicode)
2010-03-25 16:29 . 2009-03-23 16:24	680	----a-w-	c:\users\MLKT\AppData\Local\d3d9caps.dat
2010-03-05 20:09 . 2010-03-05 20:07	--------	d-----w-	c:\program files\iTunes
2010-03-05 20:08 . 2010-03-05 20:08	--------	d-----w-	c:\program files\iPod
2010-03-05 20:07 . 2009-03-21 01:28	--------	d-----w-	c:\program files\Common Files\Apple
2010-03-05 19:59 . 2010-03-05 19:59	72488	----a-w-	c:\programdata\Apple Computer\Installer Cache\iTunes 9.0.3.15\SetupAdmin.exe
2010-02-24 12:30 . 2009-03-20 20:12	83672	----a-w-	c:\users\MLKT\AppData\Local\GDIPFONTCACHEV1.DAT
2010-02-23 06:39 . 2010-03-31 11:12	916480	----a-w-	c:\windows\system32\wininet.dll
2010-02-23 06:33 . 2010-03-31 11:12	109056	----a-w-	c:\windows\system32\iesysprep.dll
2010-02-23 06:33 . 2010-03-31 11:12	71680	----a-w-	c:\windows\system32\iesetup.dll
2010-02-23 04:55 . 2010-03-31 11:12	133632	----a-w-	c:\windows\system32\ieUnatt.exe
2010-02-20 23:39 . 2010-03-11 02:01	24064	----a-w-	c:\windows\system32
shhttp.dll
2010-02-20 23:37 . 2010-03-11 02:01	31232	----a-w-	c:\windows\system32\httpapi.dll
2010-02-20 21:18 . 2010-03-11 02:01	411136	----a-w-	c:\windows\system32\drivers\http.sys
2010-02-12 10:48 . 2010-03-15 02:01	293376	----a-w-	c:\windows\system32\browserchoice.exe
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"NDSTray.exe"="NDSTray.exe" [BU]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2008-05-29 1836544]
"Toshiba TEMPO"="c:\program files\Toshiba TEMPRO\Toshiba.Tempo.UI.TrayApplication.exe" [2008-04-24 103824]
"topi"="c:\program files\TOSHIBA\Toshiba Online Product Information	opi.exe" [2007-07-10 581632]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2007-12-15 184320]
"Camera Assistant Software"="c:\program files\Camera Assistant Software for Toshiba	raybar.exe" [2008-03-25 417792]
"TPwrMain"="c:\program files\TOSHIBA\Power Saver\TPwrMain.EXE" [2008-01-17 431456]
"HSON"="c:\program files\TOSHIBA\TBS\HSON.exe" [2007-10-31 54608]
"SmoothView"="c:\program files\Toshiba\SmoothView\SmoothView.exe" [2008-01-25 509816]
"00TCrdMain"="c:\program files\TOSHIBA\FlashCards\TCrdMain.exe" [2008-03-19 716800]
"HDMICtrlMan"="c:\program files\TOSHIBA\HDMICtrlMan\HDMICtrlMan.exe" [2008-04-02 716800]
"Toshiba Registration"="c:\program files\Toshiba\Registration\ToshibaRegistration.exe" [2008-01-11 574864]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Google\GOOGLE~3\GoogleDesktopNetwork3.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001

R3 HDJCtrl;Hercules DJ Control MP3 Service;c:\windows\system32\Drivers\HDJCtrl.sys [2007-02-08 11008]
R3 HDJMidi;Hercules DJ Console MIDI;c:\windows\system32\DRIVERS\HDJMidi.sys [2007-02-08 41984]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
S2 ConfigFree Service;ConfigFree Service;c:\program files\TOSHIBA\ConfigFree\CFSvcs.exe [2008-04-16 40960]
S2 FsUsbExService;FsUsbExService;c:\windows\system32\FsUsbExService.Exe [2009-03-31 233472]


--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - FSUSBEXDISK
.
Contenu du dossier 'Tâches planifiées'

2010-05-02 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2936046445-2409572216-3739297780-1000Core.job
- c:\users\MLKT\AppData\Local\Google\Update\GoogleUpdate.exe [2010-03-05 21:54]

2010-05-02 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2936046445-2409572216-3739297780-1000UA.job
- c:\users\MLKT\AppData\Local\Google\Update\GoogleUpdate.exe [2010-03-05 21:54]

2010-05-02 c:\windows\Tasks\User_Feed_Synchronization-{52523AEA-D07F-4950-B258-019DB174EE95}.job
- c:\windows\system32\msfeedssync.exe [2010-03-31 04:54]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: {{76577871-04EC-495E-A12B-91F7C3600AFA} - https://www.ebay.fr
IE: {{8A918C1D-E123-4E36-B562-5C1519E434CE} - https://www.amazon.fr/exec/obidos/subst/home/home.html/262-6263521-6325360?_encoding=UTF8&link_code=hom&tag=Toshibafrbholink-21
FF - ProfilePath - c:\users\MLKT\AppData\Roaming\Mozilla\Firefox\Profiles\2et75lbn.default\
FF - prefs.js: browser.search.selectedEngine - Ask
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency",   1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug",            false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight",       2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize",       1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight",   25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight",     5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - ORPHELINS SUPPRIMES - - - -

AddRemove-Ad-Remover - c:\ad-remover\Un-ADR.exe



**************************************************************************
Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\O2Micro Flash Memory Card Driver\o2flash.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\Toshiba TEMPRO\TempoSVC.exe
c:\program files\Toshiba\TOSHIBA DVD PLAYER\TNaviSrv.exe
c:\windows\system32\TODDSrv.exe
c:\program files\Toshiba\Power Saver\TosCoSrv.exe
c:\program files\TOSHIBA\SMARTLogService\TosIPCSrv.exe
c:\program files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
c:\windows\system32\DRIVERS\xaudio.exe
c:\program files\Toshiba\SmartFaceV\SmartFaceVWatchSrv.exe
c:\windows\system32\conime.exe
c:\program files\Toshiba\ConfigFree\NDSTray.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\program files\Apoint2K\ApMsgFwd.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\program files\Apoint2K\HidFind.exe
c:\program files\Apoint2K\Apntex.exe
c:\program files\Toshiba\HDMICtrlMan\HCMSoundChanger.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
c:\program files\Toshiba\ConfigFree\CFSwMgr.exe
.
**************************************************************************
.
Heure de fin: 2010-05-03  00:42:44 - La machine a redémarré
ComboFix-quarantined-files.txt  2010-05-02 22:42

Avant-CF: 8 412 987 392 octets libres
Après-CF: 25 503 248 384 octets libres

- - End Of File - - B34C8887E4A75F37DC3385598F5627B0

crapoulou · Answer

Affiche les fichiers et dossiers cachés :
Dans Mes documents, Outils, Options des dossiers, Onglet Affichage, coche Afficher les fichiers et dossiers cachés.

*********

L'élément que je vais te faire analyse est infectieux mais j'aimerais voir une analyse de ce fichier.

Analyse ce fichier :
C:\Windows\System32\drivers\jbpsy.sys
Sur le site de Virustotal :
https://www.virustotal.com/gui/

Parcourir > Sélectionne ton fichier > Analyser, patiente que l'analyse soit terminée.

Poste bien le rapport en indiquant le fichier analysé à chaque fois !

(Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant).

Il est possible que tu n'y arrives pas.
Dans ce cas, laisse tomber et fais moi signe ;-)

Céline9 · Answer

Je crois que j'ai fait une bêtise... Ce matin j'ai branché mon MP3 au PC pour y foutre deux trois sons, et un message s'est affiché sur le bureau : OndblClick failed() ou qlqch comme ca, et la ce soir, mon PC rame enormement, la moindre action prend 15 secondes a s'effectuer... Pfff...

crapoulou · Answer

Recommence l'étape du script en ne mettant que ceci dans le fichier texte.

KillAll::

Rootkit::
c:\windows\system32\drivers\jbpsy.sys

Céline9 · Answer

Voila c'est fini, voici le rapport : 

ComboFix 10-05-03.01 - MLKT 03/05/2010  21:55:29.4.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium   6.0.6001.1.1252.33.1036.18.3070.2142 [GMT 2:00]
Lancé depuis: c:\users\MLKT\Desktop\ComboFix.exe
Commutateurs utilisés :: c:\users\MLKT\Desktop\CFScript.txt
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((   Fichiers créés du 2010-04-03 au 2010-05-03  ))))))))))))))))))))))))))))))))))))
.

2010-05-03 20:01 . 2010-05-03 20:01	--------	d-----w-	c:\users\Public\AppData\Local	emp
2010-05-03 20:01 . 2010-05-03 20:01	--------	d-----w-	c:\users\Default\AppData\Local	emp
2010-05-02 22:42 . 2010-05-03 20:04	--------	d-----w-	c:\users\MLKT\AppData\Local	emp
2010-05-02 20:55 . 2010-05-02 20:55	--------	d-----w-	C:\_OTM
2010-05-01 21:48 . 2010-02-24 08:16	181632	------w-	c:\windows\system32\MpSigStub.exe
2010-05-01 21:16 . 2009-11-25 09:19	56816	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-05-01 21:16 . 2009-03-30 07:32	96104	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-05-01 21:16 . 2010-05-01 21:16	--------	d-----w-	c:\programdata\Avira
2010-05-01 21:16 . 2010-05-01 21:16	--------	d-----w-	c:\program files\Avira
2010-05-01 16:46 . 2010-05-01 16:46	--------	d-----w-	c:\users\MLKT\AppData\Roaming\Malwarebytes
2010-05-01 16:45 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-05-01 16:45 . 2010-05-01 16:45	--------	d-----w-	c:\programdata\Malwarebytes
2010-05-01 16:45 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-05-01 16:45 . 2010-05-01 16:46	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-05-01 13:58 . 2010-05-01 15:57	--------	d-----w-	c:\users\MLKT\DoctorWeb
2010-04-30 15:57 . 2010-05-02 19:10	--------	d-----w-	c:\program files	rend micro
2010-04-29 13:39 . 2007-01-18 12:00	3968	----a-w-	c:\windows\system32\drivers\AvgArCln.sys
2010-04-29 13:33 . 2010-04-29 13:33	--------	d-----w-	c:\users\MLKT\AppData\Local\BVRP Software
2010-04-24 21:08 . 2008-06-21 02:54	65576	----a-w-	c:\windows\system32\drivers\SbFwIm.sys
2010-04-24 17:52 . 2010-04-24 17:52	--------	d-----w-	c:\program files\Sunbelt Software
2010-04-15 02:01 . 2010-02-23 11:32	78848	----a-w-	c:\windows\system32\drivers\mrxsmb20.sys
2010-04-15 02:01 . 2010-02-23 11:32	212992	----a-w-	c:\windows\system32\drivers\mrxsmb10.sys
2010-04-15 02:01 . 2010-02-23 11:32	105984	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2010-04-15 02:01 . 2010-02-18 14:49	3598216	----a-w-	c:\windows\system32
tkrnlpa.exe
2010-04-15 02:01 . 2010-02-18 14:49	3545992	----a-w-	c:\windows\system32
toskrnl.exe
2010-04-15 02:01 . 2010-03-05 14:01	420352	----a-w-	c:\windows\system32\vbscript.dll
2010-04-15 01:54 . 2010-02-18 14:49	898952	----a-w-	c:\windows\system32\drivers	cpip.sys
2010-04-15 01:54 . 2010-02-18 14:11	190464	----a-w-	c:\windows\system32\iphlpsvc.dll
2010-04-15 01:54 . 2010-02-18 11:52	25088	----a-w-	c:\windows\system32\drivers	unnel.sys
2010-04-13 22:48 . 2010-01-15 00:04	98304	----a-w-	c:\windows\system32\cabview.dll
2010-04-13 22:48 . 2009-12-23 12:43	171520	----a-w-	c:\windows\system32\wintrust.dll

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-02 22:41 . 2008-01-21 08:40	669566	----a-w-	c:\windows\system32\perfh00C.dat
2010-05-02 22:41 . 2008-01-21 08:40	123556	----a-w-	c:\windows\system32\perfc00C.dat
2010-05-02 13:49 . 2008-05-29 09:42	--------	d-----w-	c:\programdata\McAfee
2010-05-01 19:47 . 2009-06-11 21:39	198	----a-w-	c:\users\MLKT\AppData\Roaming\wklnhst.dat
2010-04-16 05:03 . 2006-11-02 11:18	--------	d-----w-	c:\program files\Windows Mail
2010-04-16 01:07 . 2008-05-30 10:30	--------	d-----w-	c:\programdata\Microsoft Help
2010-04-10 11:32 . 2010-04-10 11:32	653576	----a-w-	c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2010-04-03 09:20 . 2010-04-03 09:20	--------	d-----w-	c:\programdata\WindowsSearch
2010-03-25 22:59 . 2010-03-25 22:41	--------	d-----w-	c:\users\MLKT\AppData\Roaming\Audacity
2010-03-25 22:41 . 2010-03-25 22:41	--------	d-----w-	c:\program files\Audacity 1.3 Beta (Unicode)
2010-03-25 16:29 . 2009-03-23 16:24	680	----a-w-	c:\users\MLKT\AppData\Local\d3d9caps.dat
2010-03-05 20:09 . 2010-03-05 20:07	--------	d-----w-	c:\program files\iTunes
2010-03-05 20:08 . 2010-03-05 20:08	--------	d-----w-	c:\program files\iPod
2010-03-05 20:07 . 2009-03-21 01:28	--------	d-----w-	c:\program files\Common Files\Apple
2010-03-05 19:59 . 2010-03-05 19:59	72488	----a-w-	c:\programdata\Apple Computer\Installer Cache\iTunes 9.0.3.15\SetupAdmin.exe
2010-02-24 12:30 . 2009-03-20 20:12	83672	----a-w-	c:\users\MLKT\AppData\Local\GDIPFONTCACHEV1.DAT
2010-02-23 06:39 . 2010-03-31 11:12	916480	----a-w-	c:\windows\system32\wininet.dll
2010-02-23 06:33 . 2010-03-31 11:12	109056	----a-w-	c:\windows\system32\iesysprep.dll
2010-02-23 06:33 . 2010-03-31 11:12	71680	----a-w-	c:\windows\system32\iesetup.dll
2010-02-23 04:55 . 2010-03-31 11:12	133632	----a-w-	c:\windows\system32\ieUnatt.exe
2010-02-20 23:39 . 2010-03-11 02:01	24064	----a-w-	c:\windows\system32
shhttp.dll
2010-02-20 23:37 . 2010-03-11 02:01	31232	----a-w-	c:\windows\system32\httpapi.dll
2010-02-20 21:18 . 2010-03-11 02:01	411136	----a-w-	c:\windows\system32\drivers\http.sys
2010-02-12 10:48 . 2010-03-15 02:01	293376	----a-w-	c:\windows\system32\browserchoice.exe
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"NDSTray.exe"="NDSTray.exe" [BU]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2008-05-29 1836544]
"Toshiba TEMPO"="c:\program files\Toshiba TEMPRO\Toshiba.Tempo.UI.TrayApplication.exe" [2008-04-24 103824]
"topi"="c:\program files\TOSHIBA\Toshiba Online Product Information	opi.exe" [2007-07-10 581632]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2007-12-15 184320]
"Camera Assistant Software"="c:\program files\Camera Assistant Software for Toshiba	raybar.exe" [2008-03-25 417792]
"TPwrMain"="c:\program files\TOSHIBA\Power Saver\TPwrMain.EXE" [2008-01-17 431456]
"HSON"="c:\program files\TOSHIBA\TBS\HSON.exe" [2007-10-31 54608]
"SmoothView"="c:\program files\Toshiba\SmoothView\SmoothView.exe" [2008-01-25 509816]
"00TCrdMain"="c:\program files\TOSHIBA\FlashCards\TCrdMain.exe" [2008-03-19 716800]
"HDMICtrlMan"="c:\program files\TOSHIBA\HDMICtrlMan\HDMICtrlMan.exe" [2008-04-02 716800]
"Toshiba Registration"="c:\program files\Toshiba\Registration\ToshibaRegistration.exe" [2008-01-11 574864]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Google\GOOGLE~3\GoogleDesktopNetwork3.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001

R3 HDJCtrl;Hercules DJ Control MP3 Service;c:\windows\system32\Drivers\HDJCtrl.sys [2007-02-08 11008]
R3 HDJMidi;Hercules DJ Console MIDI;c:\windows\system32\DRIVERS\HDJMidi.sys [2007-02-08 41984]
R3 ss_bbus;SAMSUNG USB Mobile Device (WDM);c:\windows\system32\DRIVERS\ss_bbus.sys [2009-03-20 90112]
R3 ss_bmdfl;SAMSUNG USB Mobile Modem (Filter);c:\windows\system32\DRIVERS\ss_bmdfl.sys [2009-03-20 14976]
R3 ss_bmdm;SAMSUNG USB Mobile Modem;c:\windows\system32\DRIVERS\ss_bmdm.sys [2009-03-20 121856]
S1 SbFw;SbFw;c:\windows\system32\drivers\SbFw.sys [2008-10-31 270888]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
S2 ConfigFree Service;ConfigFree Service;c:\program files\TOSHIBA\ConfigFree\CFSvcs.exe [2008-04-16 40960]
S2 FsUsbExService;FsUsbExService;c:\windows\system32\FsUsbExService.Exe [2009-03-31 233472]
S2 TempoMonitoringService;Notebook Performance Tuning Service ;c:\program files\Toshiba TEMPRO\TempoSVC.exe [2008-04-24 99720]
S2 TOSHIBA SMART Log Service;TOSHIBA SMART Log Service;c:\program files\TOSHIBA\SMARTLogService\TosIPCSrv.exe [2007-12-03 126976]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.SYS [2009-03-31 36608]
S3 O2MDRDR;O2MDRDR;c:\windows\system32\DRIVERS\o2media.sys [2008-04-15 51160]
S3 QIOMem;Generic IO & Memory Access;c:\windows\system32\DRIVERS\QIOMem.sys [2007-04-09 8192]
S3 RTL8187B;Adaptateur réseau USB 2.0 54Mbps, 802.11b/g sans fil Realtek RTL8187B;c:\windows\system32\DRIVERS\RTL8187B.sys [2008-03-18 292864]
S3 SBFWIMCL;Sunbelt Software Firewall NDIS IM Filter Miniport;c:\windows\system32\DRIVERS\sbfwim.sys [2008-06-21 65576]
S3 SmartFaceVWatchSrv;SmartFaceVWatchSrv;c:\program files\Toshiba\SmartFaceV\SmartFaceVWatchSrv.exe [2008-04-24 73728]


--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - FSUSBEXDISK
.
Contenu du dossier 'Tâches planifiées'

2010-05-03 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2936046445-2409572216-3739297780-1000Core.job
- c:\users\MLKT\AppData\Local\Google\Update\GoogleUpdate.exe [2010-03-05 21:54]

2010-05-03 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2936046445-2409572216-3739297780-1000UA.job
- c:\users\MLKT\AppData\Local\Google\Update\GoogleUpdate.exe [2010-03-05 21:54]

2010-05-03 c:\windows\Tasks\User_Feed_Synchronization-{52523AEA-D07F-4950-B258-019DB174EE95}.job
- c:\windows\system32\msfeedssync.exe [2010-03-31 04:54]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: {{76577871-04EC-495E-A12B-91F7C3600AFA} - https://www.ebay.fr
IE: {{8A918C1D-E123-4E36-B562-5C1519E434CE} - https://www.amazon.fr/exec/obidos/subst/home/home.html/262-6263521-6325360?_encoding=UTF8&link_code=hom&tag=Toshibafrbholink-21
FF - ProfilePath - c:\users\MLKT\AppData\Roaming\Mozilla\Firefox\Profiles\2et75lbn.default\
FF - prefs.js: browser.search.selectedEngine - Ask
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency",   1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug",            false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight",       2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize",       1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight",   25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight",     5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.

**************************************************************************
Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\O2Micro Flash Memory Card Driver\o2flash.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\Toshiba\TOSHIBA DVD PLAYER\TNaviSrv.exe
c:\windows\system32\TODDSrv.exe
c:\program files\Toshiba\Power Saver\TosCoSrv.exe
c:\program files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
c:\windows\system32\DRIVERS\xaudio.exe
c:\windows\system32\conime.exe
c:\program files\Toshiba\ConfigFree\NDSTray.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\program files\Apoint2K\ApMsgFwd.exe
c:\program files\Apoint2K\Apntex.exe
c:\program files\Apoint2K\HidFind.exe
c:\program files\Toshiba\HDMICtrlMan\HCMSoundChanger.exe
c:\program files\Toshiba\ConfigFree\CFSwMgr.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
c:\windows\servicing\TrustedInstaller.exe
.
**************************************************************************
.
Heure de fin: 2010-05-03  22:11:22 - La machine a redémarré
ComboFix-quarantined-files.txt  2010-05-03 20:11
ComboFix2.txt  2010-05-02 22:42

Avant-CF: 23 911 813 120 octets libres
Après-CF: 23 773 876 224 octets libres

- - End Of File - - 14B13A18305CBB639595CFFA8F143A65

Céline9 · Answer

Fait, le voici : 

1. ========================= SEAF 1.0.0.7 - C_XX
2. 
3. Commencé à: 23:03:33 le 03/05/2010
4. 
5. Valeur(s) recherchée(s):
6. 
7. jbpsy
8. 
9. (!) --- Affichage des ADS
10. (!) --- Informations supplémentaires
11. (!) --- Recherche registre
12. 
13. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
14. 
15. "c:\Qoobox\Quarantine\Registry_backups\Legacy_JBPSY.reg.dat" [ ----A---- | 1064 ]
16. TC: 03/05/2010,00:29:30 | TM: 03/05/2010,00:29:30 | DA: 03/05/2010,00:29:30
17. 
18. 
19. =========================
20. 
21. "c:\Qoobox\Quarantine\Registry_backups\Service_jbpsy.reg.dat" [ ----A---- | 74 ]
22. TC: 03/05/2010,00:29:30 | TM: 03/05/2010,00:29:30 | DA: 03/05/2010,00:29:30
23. 
24. 
25. =========================
26. 
27. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
28. 
29. Aucun dossier trouvé
30. 
31. 
32. ====== Entrée(s) du registre ======
33. 
34. Aucune entrée du registre trouvée
35. 
36. =========================
37. 
38. Fin à: 23:05:51 le 03/05/2010 ( E.O.F )

crapoulou · Answer

Poste un dernier rapport RSIT pour faire le point.

Je te laisse pour ce soir.
Bonne nuit.

Céline9 · Answer

Oui ^^ le voici 

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Combofix.txt: trouvé !
C:\Qoobox: trouvé !
C:\_OTM: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\Users\MLKT\Desktop\ComboFix.exe: trouvé !
C:\Users\MLKT\Documents\Downloads\OTM.exe: trouvé !
C:\Windows\mbr.exe: trouvé !

---------------------------------
--> Suppression: 

C:\Users\MLKT\Desktop\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Users\MLKT\Documents\Downloads\OTM.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\Windows\mbr.exe: supprimé !
C:\Qoobox: supprimé !
C:\_OTM: supprimé !

Fenetres qui s'ouvrent, virus ??

39 réponses

Discussions similaires

Newsletters