Bonjour, Après une analyse de mon système, Antivir a détecté un cheval de Troie TR/PWS.Sinowal.Gen2. Suite à quelques recherches sur Internet, j'ai effectué certaines manipulations comme un nettoyage Ccleaner (comme d'habitude) puis une Désactivation/Activation de la Restauration système pour la purger. Cependant, le virus est toujours présent. Je fais donc appel à vous ! Voici la fin du rapport Antivir qui précise l'emplacement du cheval de troie : Je vous remercie d'avance de votre aide ey je vous souhaite une bonne journée. La recherche sur les secteurs d'amorçage commence : Secteur d'amorçage 'C:\' [INFO] Aucun virus trouvé ! La recherche sur les renvois aux fichiers exécutables (registre) commence : Le registre a été contrôlé ( '56' fichiers). La recherche sur les fichiers sélectionnés commence : Recherche débutant dans 'C:\' <Disque Local> C:\hiberfil.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! [REMARQUE] Ce fichier est un fichier système Windows. [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche. C:\pagefile.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! [REMARQUE] Ce fichier est un fichier système Windows. [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche. C:\Documents and Settings\LocalService\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\BHFYJ19V\JnteZavorp1rfx[1].phpZxU230d9c2eH682d421fV03003f36002R27d57dee 102T23d77869Q000002fe901801F002d000aJ11000601l000c325 [0] Type d'archive: ZIP --> i.dat [RESULTAT] Contient le cheval de Troie TR/PWS.Sinowal.Gen2 C:\WINDOWS\system32\drivers\sptd.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! Début de la désinfection : C:\Documents and Settings\LocalService\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\BHFYJ19V\JnteZavorp1rfx[1].phpZxU230d9c2eH682d421fV03003f36002R27d57dee 102T23d77869Q000002fe901801F002d000aJ11000601l000c325 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c7562e3.qua' ! Fin de la recherche : samedi 29 mai 2010 20:52 Temps nécessaire: 3:31:21 Heure(s) La recherche a été effectuée intégralement Configuration: Windows XP / Firefox 3.6.3

Re, Effectivement, il y a bien une infection au niveau de l'MBR. Fais ce qui suit dans l'ordre: Télécharge AD-Remover ( de C_XX ) sur ton bureau ! Déconnecte toi et ferme toutes applications en cours ! ▶ Double clique sur "AD-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut . ▶ Double-clique sur le raccourci AD-Remover qui est sur ton bureau pour lancer l'outil . ▶ Sur la page, clique sur le bouton « Nettoyer » -> Confirme l'opération ▶ Laisse travailler l'outil et ne touche à rien ! . → Poste le rapport qui apparait à la fin sur le forum. Note: Le rapport est sauvegardé aussi sous C:\Ad-report-clean.log ============ → Affiche tous les fichiers et dossiers : &#x25B6 Clique sur Démarrer > Panneau de configuration (en affichage classique) > Option des dossiers/affichage &#x25B6 [Coche] « Afficher les dossiers et fichiers cachés » &#x25B6 [Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) » &#x25B6 [Décoche] « Masquer les extensions dont le type est connu » &#x25B6 Puis fais [Appliquer] pour valider les changements puis [OK] => Tuto ▶ Rends toi sur ce site : VirusTotal.com ▶ Copie ce qui suit et colle le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) : C:\Documents and Settings\-Damien-\Mes documents\WinInstSoft.exe ▶ Clique sur " Envoyer le fichier " . → Un rapport va s'élaborer ligne à ligne. → Attends bien la fin ... Il doit comprendre la taille du fichier envoyé. ▶ Une fois terminé , Copie colle l'adresse HTTP obtenue . (tu la verra dans la barre d'adresses) ( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyser le fichier maintenant ) Tutoriel : Comment Utiliser VirusTotal ?

Cheval de Troie TR/PWS.Sinowal.Gen2 [Résolu]

Réponse 1 / 26

fix200 Messages postés 3243 Date d'inscription dimanche 28 décembre 2008 Statut Contributeur sécurité Dernière intervention 7 février 2011 158
30 mai 2010 à 12:01

Salut,

ça ressemble a un dropper ça...

Fais ce qui suit dans l'ordre:

1- Fais un coup CCleaner (nettoyage & registre)

2- Télécharge ZHPDiag (de Nicolas Coolman) et enregistre le sur ton Bureau.

▶ Double clique sur ZHPDiag.exe pour lancer l'installation et suis les instructions , n'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

▶ Double clique sur le raccourci ZHPDiag sur ton Bureau. (l'outil a créé 2 icônes ZHPDiag et ZHPFix)
(Sous Vista/7: clic droit puis "exécuter en tant qu'administrateur")

▶ Clique sur la loupe pour lancer l'analyse.

⇒ Laisse l'outil travailler, il peut être assez long ...

▶ Une fois terminé , le rapport s'affiche : clique sur bouton "Disquette" pour sauvegarder le rapport obtenu .

▶ Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

▶ Pour le transmettre ouvre ce lien

* Clique sur Parcourir et cherche le fichier ci-dessus.

* Clique sur Ouvrir.

* Clique sur "Cliquez ici pour déposer le fichier".

* Un lien de cette forme est ajouté dans la page :

hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

▶ Copie ce lien dans ta réponse.

@+

Réponse 2 / 26

Barney_Stinson
30 mai 2010 à 12:56

Merci de ta réponse fix200 !
J'ai suivi tes conseils et voici le lien du rapport :
http://www.cijoint.fr/cjlink.php?file=cj201005/cijENWRARe.txt

Réponse 3 / 26

fix200 Messages postés 3243 Date d'inscription dimanche 28 décembre 2008 Statut Contributeur sécurité Dernière intervention 7 février 2011 158
30 mai 2010 à 15:24

Re,

Effectivement, il y a bien une infection au niveau de l'MBR.

Fais ce qui suit dans l'ordre:

Télécharge AD-Remover ( de C_XX ) sur ton bureau

! Déconnecte toi et ferme toutes applications en cours !

▶ Double clique sur "AD-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .

▶ Double-clique sur le raccourci AD-Remover qui est sur ton bureau pour lancer l'outil .

▶ Sur la page, clique sur le bouton « Nettoyer »

-> Confirme l'opération

▶ Laisse travailler l'outil et ne touche à rien ! .

→ Poste le rapport qui apparait à la fin sur le forum.

Note:
Le rapport est sauvegardé aussi sous C:\Ad-report-clean.log

============

→ Affiche tous les fichiers et dossiers :

▶ Clique sur Démarrer > Panneau de configuration (en affichage classique) > Option des dossiers/affichage

▶ [Coche] « Afficher les dossiers et fichiers cachés »

▶ [Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

▶ [Décoche] « Masquer les extensions dont le type est connu »

▶ Puis fais [Appliquer] pour valider les changements puis [OK]

=> Tuto

▶ Rends toi sur ce site : VirusTotal.com

▶ Copie ce qui suit et colle le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :

C:\Documents and Settings\-Damien-\Mes documents\WinInstSoft.exe

▶ Clique sur " Envoyer le fichier " .

→ Un rapport va s'élaborer ligne à ligne.

→ Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

▶ Une fois terminé , Copie colle l'adresse HTTP obtenue . (tu la verra dans la barre d'adresses)

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyser le fichier maintenant )

Tutoriel : Comment Utiliser VirusTotal ?

Réponse 4 / 26

suuuif Messages postés 25 Date d'inscription mardi 26 février 2008 Statut Membre Dernière intervention 20 avril 2012 1
30 mai 2010 à 15:39

cela n'est pas forcement un trojan. il peut etre un rootkit et la avira n'y peut rien. c'est ca le probleme des antivirus gratuit. si apres les solutions proposées par les autres tu n'as pas sastifaction alors cherche toi un internet security

Réponse 5 / 26

fix200 Messages postés 3243 Date d'inscription dimanche 28 décembre 2008 Statut Contributeur sécurité Dernière intervention 7 février 2011 158
30 mai 2010 à 15:47

si apres les solutions proposées par les autres tu n'as pas sastifaction alors cherche toi un internet security
Lol, tu penses que "l'internet security" va nettoyer ça :

called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x86F651F8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x86f651f8
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !
Use "ZHPFix" command "MBRFix" to clear infection !

???

Barney_Stinson: la suite > https://forums.commentcamarche.net/forum/affich-17896290-cheval-de-troie-tr-pws-sinowal-gen2#3

++

suuuif Messages postés 25 Date d'inscription mardi 26 février 2008 Statut Membre Dernière intervention 20 avril 2012 1
1 juin 2010 à 18:39

moi j'ai reussi a le faire avec un internet security

Réponse 6 / 26

Barney_Stinson
30 mai 2010 à 17:53

Re,

Alors voici, tout d'abord, l'adresse de Virus Total : http://www.virustotal.com/fr/analisis/f6d0f07c5f53b9051b836626dc564ff4e47cd35057a956ada94451f58675a816-1275234534

Et ensuite, le rapport AD-Remover :

.
======= RAPPORT D'AD-REMOVER 2.0.0.0,D | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 19/05/10 à 19:20
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 15:47:58 le 30/05/2010 | Mode normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft Windows XP Professionnel (Service Pack 2 - X86)
Nom du PC: DAMIEN
Utilisateur actuel: -Damien-
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
Service: *winsvc*
.

(!) -- Fichiers temporaires supprimés.
.
HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\winusr
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}
.
.
============== SCAN ADDITIONNEL ==============
.
* Mozilla FireFox Version 3.6.3 (fr) *
.
C:\Documents and Settings\-Damien-\..\b57v9hh4.default\prefs.js - browser.download.dir: C:\\Documents and Settings\\-Damien-\\Mes documents
C:\Documents and Settings\-Damien-\..\b57v9hh4.default\prefs.js - browser.download.lastDir: C:\\Documents and Settings\\-Damien-\\Mes documents
C:\Documents and Settings\-Damien-\..\b57v9hh4.default\prefs.js - browser.search.defaultenginename: Google
C:\Documents and Settings\-Damien-\..\b57v9hh4.default\prefs.js - browser.search.defaulturl: hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
C:\Documents and Settings\-Damien-\..\b57v9hh4.default\prefs.js - browser.startup.homepage: hxxp://www.google.com/
C:\Documents and Settings\-Damien-\..\b57v9hh4.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2.3
C:\Documents and Settings\-Damien-\..\b57v9hh4.default\prefs.js - keyword.URL: hxxp://www.wibeez.com/france?search&q=
.
.
* Internet Explorer Version 8.0.6001.18702 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
========================================
.
C:\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Ad-Remover\Backup: 13 Fichier(s)
.
C:\Ad-Report-CLEAN[1].txt - 2945 Octet(s)
.
Fin à: 16:04:45, 30/05/2010
.
============== E.O.F - CLEAN[1] ==============

Je te remercie une nouvelle fois de ton aide.

Réponse 7 / 26

fix200 Messages postés 3243 Date d'inscription dimanche 28 décembre 2008 Statut Contributeur sécurité Dernière intervention 7 février 2011 158
30 mai 2010 à 20:51

Re,

▶ Lance ZHPFix depuis le raccourci qui est sur ton bureau .
(Sous Vista/7: clic droit puis "exécuter en tant qu'administrateur")

▶ Une fois l'outil ouvert , clique sur le bouton [ H ] ( "coller les ligne Helper" ) .

▶ Copie colle tout ce texte et colle le dans l'encadré principal:

MBRFix

▶ Clique sur le bouton [ OK ] .

> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !

▶ Clique sur le bouton [ Tous ] . Vérifie que toutes les lignes soient bien cochées .

▶ Enfin clique sur le bouton [ Nettoyer ] .

⇒ ! Laisse travailler l'outil et ne touche à rien !

⇒ Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

▶ Une fois terminé, un rapport s'affiche : copie-colle tout son contenu dans ta prochaine réponse.

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPFix\ZHPFixReport.txt )

===============

/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\

▶ Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer.

▶ Lance Gmer.

▶ Clique sur l'onglet " Rootkit ",lance le scan. des lignes rouges peuvent apparaitre.

* Les lignes rouges indiquent la présence d'un rootkit. Poste moi le rapport gmer :

▶ Clique sur copy.

▶ Ouvre le bloc note > Edition > Coller.

▶ Poste le rapport .

Réponse 8 / 26

fix200 Messages postés 3243 Date d'inscription dimanche 28 décembre 2008 Statut Contributeur sécurité Dernière intervention 7 février 2011 158
7 juin 2010 à 11:55

Re,

Suite a ton rapport posté en MP,

Voilà la suite:

Télécharge load_tdsskiller de Loup Blanc sur ton Bureau en cliquant sur ce lien

- Lance load_tdsskiller en double-cliquant dessus : l'outil va se connecter au Net pour télécharger une copie à jour de TDSSKiller, puis va lancer le scan

- A la fin du scan, appuie sur une touche pour continuer, comme l'indique le message dans la fenêtre noire d'invite de commande

- Le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (le fichier est également présent ici : C:\tdsskiller\report.txt)

- Fais redémarrer ton PC

- Refais un scan ZHPDiag et colle le rapport obtenu via cijoint.fr

++

Réponse 9 / 26

Barney_Stinson
7 juin 2010 à 21:19

Voici le rapport TDSSKiller :

20:48:20:125 2308 TDSS rootkit removing tool 2.3.2.0 May 31 2010 10:39:48
20:48:20:125 2308 ================================================================================
20:48:20:125 2308 SystemInfo:

20:48:20:125 2308 OS Version: 5.1.2600 ServicePack: 2.0
20:48:20:125 2308 Product type: Workstation
20:48:20:125 2308 ComputerName: DAMIEN
20:48:20:125 2308 UserName: -Damien-
20:48:20:125 2308 Windows directory: C:\WINDOWS
20:48:20:125 2308 Processor architecture: Intel x86
20:48:20:125 2308 Number of processors: 2
20:48:20:125 2308 Page size: 0x1000
20:48:20:125 2308 Boot type: Normal boot
20:48:20:125 2308 ================================================================================
20:48:21:171 2308 Initialize success
20:48:21:171 2308
20:48:21:171 2308 Scanning Services ...
20:48:21:906 2308 Raw services enum returned 379 services
20:48:21:921 2308
20:48:21:921 2308 Scanning Drivers ...
20:48:23:843 2308 ACPI (0bd94fbfc14ea3606cd6ca4c0255baa3) C:\WINDOWS\system32\DRIVERS\ACPI.sys
20:48:23:921 2308 ACPIEC (e4abc1212b70bb03d35e60681c447210) C:\WINDOWS\system32\DRIVERS\ACPIEC.sys
20:48:24:015 2308 aec (1ee7b434ba961ef845de136224c30fec) C:\WINDOWS\system32\drivers\aec.sys
20:48:24:078 2308 AegisP (15e655baa989444f56787ef558823643) C:\WINDOWS\system32\DRIVERS\AegisP.sys
20:48:24:171 2308 AFD (55e6e1c51b6d30e54335750955453702) C:\WINDOWS\System32\drivers\afd.sys
20:48:24:250 2308 AgereSoftModem (c41a5740468d0b9cb46e6390a0e15ce3) C:\WINDOWS\system32\DRIVERS\AGRSM.sys
20:48:24:437 2308 AR5211 (65b963f05458a7ee00473eb21ce3789d) C:\WINDOWS\system32\DRIVERS\ar5211.sys
20:48:24:531 2308 Arp1394 (f0d692b0bffb46e30eb3cea168bbc49f) C:\WINDOWS\system32\DRIVERS\arp1394.sys
20:48:24:625 2308 AsyncMac (02000abf34af4c218c35d257024807d6) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
20:48:24:796 2308 atapi (cdfe4411a69c224bd1d11b2da92dac51) C:\WINDOWS\system32\DRIVERS\atapi.sys
20:48:24:890 2308 ati2mtag (221f0a33229cce7bf2f7640d3bb8845d) C:\WINDOWS\system32\DRIVERS\ati2mtag.sys
20:48:25:015 2308 Atmarpc (ec88da854ab7d7752ec8be11a741bb7f) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
20:48:25:062 2308 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
20:48:25:156 2308 AVG Anti-Rootkit (e8054a423e5d2bdae6062bab6da159c4) C:\WINDOWS\system32\DRIVERS\avgarkt.sys
20:48:25:187 2308 AvgArCln (ec08d1625f5c6cf2a57b79eb35186f8c) C:\WINDOWS\system32\DRIVERS\AvgArCln.sys
20:48:25:312 2308 avgio (f1d43170fdd7399ee17ea32d4f868b0c) C:\Program Files\Avira\AntiVir Desktop\avgio.sys
20:48:25:437 2308 avgntflt (14fe36d8f2c6a2435275338d061a0b66) C:\WINDOWS\system32\DRIVERS\avgntflt.sys
20:48:25:671 2308 avipbb (ad9bd66a862116e79cb45bb6be46055f) C:\WINDOWS\system32\DRIVERS\avipbb.sys
20:48:25:843 2308 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
20:48:26:015 2308 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
20:48:26:046 2308 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
20:48:26:109 2308 Cdfs (cd7d5152df32b47f4e36f710b35aae02) C:\WINDOWS\system32\drivers\Cdfs.sys
20:48:26:187 2308 Cdrom (af9c19b3100fe010496b1a27181fbf72) C:\WINDOWS\system32\DRIVERS\cdrom.sys
20:48:26:250 2308 CmBatt (4266be808f85826aedf3c64c1e240203) C:\WINDOWS\system32\DRIVERS\CmBatt.sys
20:48:26:296 2308 Compbatt (df1b1a24bf52d0ebc01ed4ece8979f50) C:\WINDOWS\system32\DRIVERS\compbatt.sys
20:48:26:390 2308 Disk (00ca44e4534865f8a3b64f7c0984bff0) C:\WINDOWS\system32\DRIVERS\disk.sys
20:48:26:468 2308 DLABOIOM (ee4325becef51b8c32b4329097e4f301) C:\WINDOWS\system32\DLA\DLABOIOM.SYS
20:48:26:515 2308 DLACDBHM (d979bebcf7edcc9c9ee1857d1a68c67b) C:\WINDOWS\system32\Drivers\DLACDBHM.SYS
20:48:26:578 2308 DLADResN (1519522fd0cc96e84bd0eaf585cdbf65) C:\WINDOWS\system32\DLA\DLADResN.SYS
20:48:26:625 2308 DLAIFS_M (752376e109a090970bfa9722f0f40b03) C:\WINDOWS\system32\DLA\DLAIFS_M.SYS
20:48:26:687 2308 DLAOPIOM (62ee7902e74b90bf1ccc4643fc6c07a7) C:\WINDOWS\system32\DLA\DLAOPIOM.SYS
20:48:26:734 2308 DLAPoolM (5c220124c5afeaee84a9bb89d685c17b) C:\WINDOWS\system32\DLA\DLAPoolM.SYS
20:48:26:843 2308 DLARTL_N (7ee0852ae8907689df25049dcd2342e8) C:\WINDOWS\system32\Drivers\DLARTL_N.SYS
20:48:26:906 2308 DLAUDFAM (4ebb78d9bbf072119363b35b9b3e518f) C:\WINDOWS\system32\DLA\DLAUDFAM.SYS
20:48:26:921 2308 DLAUDF_M (333b770e52d2cea7bd86391120466e43) C:\WINDOWS\system32\DLA\DLAUDF_M.SYS
20:48:27:031 2308 dmboot (e2d3b7620310fe56685f9b15a6b404b3) C:\WINDOWS\system32\drivers\dmboot.sys
20:48:27:328 2308 dmio (c77f5c20aa70197a69aa84baa9de43c8) C:\WINDOWS\system32\drivers\dmio.sys
20:48:27:375 2308 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
20:48:27:437 2308 DMusic (a6f881284ac1150e37d9ae47ff601267) C:\WINDOWS\system32\drivers\DMusic.sys
20:48:27:468 2308 drmkaud (1ed4dbbae9f5d558dbba4cc450e3eb2e) C:\WINDOWS\system32\drivers\drmkaud.sys
20:48:27:515 2308 DRVMCDB (fd0f95981fef9073659d8ec58e40aa3c) C:\WINDOWS\system32\Drivers\DRVMCDB.SYS
20:48:27:593 2308 DRVNDDM (b4869d320428cdc5ec4d7f5e808e99b5) C:\WINDOWS\system32\Drivers\DRVNDDM.SYS
20:48:27:625 2308 E100B (83403675cab29e7a4b885b11e7c855d8) C:\WINDOWS\system32\DRIVERS\e100b325.sys
20:48:27:687 2308 Fastfat (3117f595e9615e04f05a54fc15a03b20) C:\WINDOWS\system32\drivers\Fastfat.sys
20:48:27:828 2308 Fdc (ced2e8396a8838e59d8fd529c680e02c) C:\WINDOWS\system32\drivers\Fdc.sys
20:48:27:890 2308 Fips (8b121ff880683607ab2aef0340721718) C:\WINDOWS\system32\drivers\Fips.sys
20:48:27:937 2308 Flpydisk (0dd1de43115b93f4d85e889d7a86f548) C:\WINDOWS\system32\drivers\Flpydisk.sys
20:48:28:109 2308 FltMgr (3d234fb6d6ee875eb009864a299bea29) C:\WINDOWS\system32\DRIVERS\fltMgr.sys
20:48:28:156 2308 FNETDEVI (92fc10e8fcf01c36abd567f646b74658) C:\WINDOWS\system32\drivers\FNETDEVI.SYS
20:48:28:203 2308 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
20:48:28:281 2308 Ftdisk (a86859b77b908c18c2657f284aa29fe3) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
20:48:28:328 2308 GEARAspiWDM (8182ff89c65e4d38b2de4bb0fb18564e) C:\WINDOWS\system32\DRIVERS\GEARAspiWDM.sys
20:48:28:375 2308 gmer (b56eb0a2210980e76390bd670bcb618b) C:\WINDOWS\system32\DRIVERS\gmer.sys
20:48:28:484 2308 Gpc (c0f1d4a21de5a415df8170616703debf) C:\WINDOWS\system32\DRIVERS\msgpc.sys
20:48:28:562 2308 HDAudBus (3fcc124b6e08ee0e9351f717dd136939) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
20:48:28:640 2308 HidUsb (1de6783b918f540149aa69943bdfeba8) C:\WINDOWS\system32\DRIVERS\hidusb.sys
20:48:28:734 2308 HTTP (9f8b0f4276f618964fd118be4289b7cd) C:\WINDOWS\system32\Drivers\HTTP.sys
20:48:28:781 2308 i8042prt (d1efcbd693b5ba21314d06368c471070) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
20:48:28:953 2308 ialm (0f0194c4b635c10c3f785e4fee52d641) C:\WINDOWS\system32\DRIVERS\ialmnt5.sys
20:48:29:046 2308 Imapi (f8aa320c6a0409c0380e5d8a99d76ec6) C:\WINDOWS\system32\DRIVERS\imapi.sys
20:48:29:296 2308 IntcAzAudAddService (7c09d605fcae64e3cb11ebf90fb1e3a1) C:\WINDOWS\system32\drivers\RtkHDAud.sys
20:48:29:578 2308 intelppm (dd5ad1e79ac26d3f8d8828ad4627f160) C:\WINDOWS\system32\DRIVERS\intelppm.sys
20:48:29:640 2308 Ip6Fw (4448006b6bc60e6c027932cfc38d6855) C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
20:48:29:687 2308 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
20:48:29:765 2308 IpInIp (e1ec7f5da720b640cd8fb8424f1b14bb) C:\WINDOWS\system32\DRIVERS\ipinip.sys
20:48:29:828 2308 IpNat (e2168cbc7098ffe963c6f23f472a3593) C:\WINDOWS\system32\DRIVERS\ipnat.sys
20:48:29:843 2308 IPSec (64537aa5c003a6afeee1df819062d0d1) C:\WINDOWS\system32\DRIVERS\ipsec.sys
20:48:29:906 2308 IRENUM (50708daa1b1cbb7d6ac1cf8f56a24410) C:\WINDOWS\system32\DRIVERS\irenum.sys
20:48:29:953 2308 isapnp (54632f1a7de61dc3615d756f2a90fa72) C:\WINDOWS\system32\DRIVERS\isapnp.sys
20:48:30:000 2308 Iviaspi (f59c3569a2f2c464bb78cb1bdcdca55e) C:\WINDOWS\system32\drivers\iviaspi.sys
20:48:30:062 2308 k600bus (53d606019bb0f0c6b3e6ec9d2e0f7622) C:\WINDOWS\system32\DRIVERS\k600bus.sys
20:48:30:109 2308 k600mdfl (c0d81f66557847bbb7f5b9980bc2ea2e) C:\WINDOWS\system32\DRIVERS\k600mdfl.sys
20:48:30:156 2308 k600mdm (646900b2921bad4757b427d2d328ec96) C:\WINDOWS\system32\DRIVERS\k600mdm.sys
20:48:30:203 2308 k600mgmt (3990320cfef38b038c012029257e2300) C:\WINDOWS\system32\DRIVERS\k600mgmt.sys
20:48:30:250 2308 k600obex (1578cb8176d08cc4d3dbe094c62fc236) C:\WINDOWS\system32\DRIVERS\k600obex.sys
20:48:30:328 2308 Kbdclass (e798705e8dc7fab596ef6bfdf167e007) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
20:48:30:437 2308 kbdhid (62dd5eefcec4ef4163f1168d4262a9e4) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
20:48:30:500 2308 klmd23 (67e1faa88fb397b3d56909d7e04f4dd3) C:\WINDOWS\system32\drivers\klmd.sys
20:48:30:562 2308 kmixer (ba5deda4d934e6288c2f66caf58d2562) C:\WINDOWS\system32\drivers\kmixer.sys
20:48:30:625 2308 KSecDD (1be7cc2535d760ae4d481576eb789f24) C:\WINDOWS\system32\drivers\KSecDD.sys
20:48:30:703 2308 MHNDRV (7f2f1d2815a6449d346fcccbc569fbd6) C:\WINDOWS\system32\DRIVERS\mhndrv.sys
20:48:30:750 2308 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
20:48:30:765 2308 Modem (5ac7e16f5b40a6da14b5f2b3ada4693e) C:\WINDOWS\system32\drivers\Modem.sys
20:48:30:843 2308 Mouclass (7d4f19411bd941e1d432a99e24230386) C:\WINDOWS\system32\DRIVERS\mouclass.sys
20:48:30:906 2308 mouhid (124d6846040c79b9c997f78ef4b2a4e5) C:\WINDOWS\system32\DRIVERS\mouhid.sys
20:48:30:937 2308 MountMgr (65653f3b4477f3c63e68a9659f85ee2e) C:\WINDOWS\system32\drivers\MountMgr.sys
20:48:31:015 2308 MRxDAV (29414447eb5bde2f8397dc965dbb3156) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
20:48:31:093 2308 MRxSmb (fb6c89bb3ce282b08bdb1e3c179e1c39) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
20:48:31:125 2308 Msfs (561b3a4333ca2dbdba28b5b956822519) C:\WINDOWS\system32\drivers\Msfs.sys
20:48:31:187 2308 MSKSSRV (ae431a8dd3c1d0d0610cdbac16057ad0) C:\WINDOWS\system32\drivers\MSKSSRV.sys
20:48:31:343 2308 MSPCLOCK (13e75fef9dfeb08eeded9d0246e1f448) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
20:48:31:390 2308 MSPQM (1988a33ff19242576c3d0ef9ce785da7) C:\WINDOWS\system32\drivers\MSPQM.sys
20:48:31:421 2308 mssmbios (469541f8bfd2b32659d5d463a6714bce) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
20:48:31:468 2308 Mup (82035e0f41c2dd05ae41d27fe6cf7de1) C:\WINDOWS\system32\drivers\Mup.sys
20:48:31:546 2308 NDIS (558635d3af1c7546d26067d5d9b6959e) C:\WINDOWS\system32\drivers\NDIS.sys
20:48:31:609 2308 NdisTapi (08d43bbdacdf23f34d79e44ed35c1b4c) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
20:48:31:671 2308 Ndisuio (eefa1ce63805d2145978621be5c6d955) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
20:48:31:718 2308 NdisWan (0b90e255a9490166ab368cd55a529893) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
20:48:31:796 2308 NDProxy (59fc3fb44d2669bc144fd87826bb571f) C:\WINDOWS\system32\drivers\NDProxy.sys
20:48:31:828 2308 NetBIOS (3a2aca8fc1d7786902ca434998d7ceb4) C:\WINDOWS\system32\DRIVERS\netbios.sys
20:48:31:875 2308 NetBT (0c80e410cd2f47134407ee7dd19cc86b) C:\WINDOWS\system32\DRIVERS\netbt.sys
20:48:31:921 2308 Netdevio (1265eb253ed4ebe4acb3bd5f548ff796) C:\WINDOWS\system32\DRIVERS\netdevio.sys
20:48:32:078 2308 NETw3x32 (50f5de54e1d1646c02078f3eddc15a8e) C:\WINDOWS\system32\DRIVERS\NETw3x32.sys
20:48:32:296 2308 NIC1394 (5c5c53db4fef16cf87b9911c7e8c6fbc) C:\WINDOWS\system32\DRIVERS\nic1394.sys
20:48:32:328 2308 Npfs (4f601bcb8f64ea3ac0994f98fed03f8e) C:\WINDOWS\system32\drivers\Npfs.sys
20:48:32:437 2308 Ntfs (19a811ef5f1ed5c926a028ce107ff1af) C:\WINDOWS\system32\drivers\Ntfs.sys
20:48:32:500 2308 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
20:48:32:687 2308 nv (ac5267c71f72fb42511ed5790ba0e9f5) C:\WINDOWS\system32\DRIVERS\nv4_mini.sys
20:48:32:906 2308 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
20:48:32:937 2308 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
20:48:32:968 2308 ohci1394 (0951db8e5823ea366b0e408d71e1ba2a) C:\WINDOWS\system32\DRIVERS\ohci1394.sys
20:48:33:125 2308 Parport (318696359ac7df48d1e51974ec527dd2) C:\WINDOWS\system32\drivers\Parport.sys
20:48:33:187 2308 PartMgr (3334430c29dc338092f79c38ef7b4cd0) C:\WINDOWS\system32\drivers\PartMgr.sys
20:48:33:265 2308 ParVdm (9575c5630db8fb804649a6959737154c) C:\WINDOWS\system32\drivers\ParVdm.sys
20:48:33:296 2308 PCI (7c5da5c1ed801ad8b0309d5514f0b75e) C:\WINDOWS\system32\DRIVERS\pci.sys
20:48:33:343 2308 PCIIde (f4bfde7209c14a07aaa61e4d6ae69eac) C:\WINDOWS\system32\DRIVERS\pciide.sys
20:48:33:406 2308 Pcmcia (641da274e163617ea7a33506bc6da8e3) C:\WINDOWS\system32\DRIVERS\pcmcia.sys
20:48:33:531 2308 Pfc (444f122e68db44c0589227781f3c8b3f) C:\WINDOWS\system32\drivers\pfc.sys
20:48:33:593 2308 PptpMiniport (1c5cc65aac0783c344f16353e60b72ac) C:\WINDOWS\system32\DRIVERS\raspptp.sys
20:48:33:640 2308 PSched (48671f327553dcf1d27f6197f622a668) C:\WINDOWS\system32\DRIVERS\psched.sys
20:48:33:671 2308 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
20:48:33:750 2308 PxHelp20 (153d02480a0a2f45785522e814c634b6) C:\WINDOWS\system32\Drivers\PxHelp20.sys
20:48:33:843 2308 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
20:48:33:890 2308 Rasl2tp (98faeb4a4dcf812ba1c6fca4aa3e115c) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
20:48:33:906 2308 RasPppoe (7306eeed8895454cbed4669be9f79faa) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
20:48:33:953 2308 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
20:48:34:000 2308 Rdbss (03b965b1ca47f6ef60eb5e51cb50e0af) C:\WINDOWS\system32\DRIVERS\rdbss.sys
20:48:34:140 2308 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
20:48:34:187 2308 rdpdr (a2cae2c60bc37e0751ef9dda7ceaf4ad) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
20:48:34:281 2308 RDPWD (b54cd38a9ebfbf2b3561426e3fe26f62) C:\WINDOWS\system32\drivers\RDPWD.sys
20:48:34:312 2308 redbook (2cc30b68dd62b73d444a41322cd7fc4c) C:\WINDOWS\system32\DRIVERS\redbook.sys
20:48:34:375 2308 s24trans (2862adb14481ac28f98105ff33a99eb0) C:\WINDOWS\system32\DRIVERS\s24trans.sys
20:48:34:421 2308 sdbus (a1ab8355ecf5ace3f2d5a47fc8a231e9) C:\WINDOWS\system32\DRIVERS\sdbus.sys
20:48:34:500 2308 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
20:48:34:531 2308 Serial (653201755ca96ab4aaa4131daf6da356) C:\WINDOWS\system32\drivers\Serial.sys
20:48:34:593 2308 sffdisk (6d669b3532b54c5ffafca6d80aea260a) C:\WINDOWS\system32\DRIVERS\sffdisk.sys
20:48:34:656 2308 sffp_sd (9a1cb664621383746c9e2ae350cb02db) C:\WINDOWS\system32\DRIVERS\sffp_sd.sys
20:48:34:703 2308 Sfloppy (0d13b6df6e9e101013a7afb0ce629fe0) C:\WINDOWS\system32\DRIVERS\sfloppy.sys
20:48:34:781 2308 splitter (0ce218578fff5f4f7e4201539c45c78f) C:\WINDOWS\system32\drivers\splitter.sys
20:48:34:859 2308 sptd (71e276f6d189413266ea22171806597b) C:\WINDOWS\system32\Drivers\sptd.sys
20:48:34:859 2308 Suspicious file (NoAccess): C:\WINDOWS\system32\Drivers\sptd.sys. md5: 71e276f6d189413266ea22171806597b
20:48:34:968 2308 sr (b52181023b827acda36c1b76751ebffd) C:\WINDOWS\system32\DRIVERS\sr.sys
20:48:35:078 2308 Srv (7a4f147cc6b133f905f6e65e2f8669fb) C:\WINDOWS\system32\DRIVERS\srv.sys
20:48:35:125 2308 ssmdrv (3ad0362cf68de3ac500e981700242cca) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
20:48:35:203 2308 swenum (03c1bae4766e2450219d20b993d6e046) C:\WINDOWS\system32\DRIVERS\swenum.sys
20:48:35:250 2308 swmidi (94abc808fc4b6d7d2bbf42b85e25bb4d) C:\WINDOWS\system32\drivers\swmidi.sys
20:48:35:500 2308 symlcbrd (b226f8a4d780acdf76145b58bb791d5b) C:\WINDOWS\system32\drivers\symlcbrd.sys
20:48:35:609 2308 SynTP (a6cc8c28d5aad4179ef32f05bed55e91) C:\WINDOWS\system32\DRIVERS\SynTP.sys
20:48:35:671 2308 sysaudio (650ad082d46bac0e64c9c0e0928492fd) C:\WINDOWS\system32\drivers\sysaudio.sys
20:48:35:781 2308 Tcpip (2a5554fc5b1e04e131230e3ce035c3f9) C:\WINDOWS\system32\DRIVERS\tcpip.sys
20:48:35:828 2308 TDPIPE (38d437cf2d98965f239b0abcd66dcb0f) C:\WINDOWS\system32\drivers\TDPIPE.sys
20:48:35:875 2308 TDTCP (ed0580af02502d00ad8c4c066b156be9) C:\WINDOWS\system32\drivers\TDTCP.sys
20:48:35:937 2308 TermDD (a540a99c281d933f3d69d55e48727f47) C:\WINDOWS\system32\DRIVERS\termdd.sys
20:48:36:078 2308 tosrfec (cc069342ee0eae55b32a0ae99cf6185c) C:\WINDOWS\system32\DRIVERS\tosrfec.sys
20:48:36:109 2308 TVALD (676db15ddf2e0ff6ec03068dea428b8b) C:\WINDOWS\system32\DRIVERS\NBSMI.sys
20:48:36:187 2308 Tvs (546dfba6486569120d33f7ad6e94efdd) C:\WINDOWS\system32\DRIVERS\Tvs.sys
20:48:36:250 2308 Udfs (7cef3e36843bf5dd55120fcce88800ce) C:\WINDOWS\system32\drivers\Udfs.sys
20:48:36:359 2308 Update (ced744117e91bdc0beb810f7d8608183) C:\WINDOWS\system32\DRIVERS\update.sys
20:48:36:437 2308 USBAAPL (e8c1b9ebac65288e1b51e8a987d98af6) C:\WINDOWS\system32\Drivers\usbaapl.sys
20:48:36:500 2308 usbehci (15e993ba2f6946b2bfbbfcd30398621e) C:\WINDOWS\system32\DRIVERS\usbehci.sys
20:48:36:531 2308 usbhub (c72f40947f92cea56a8fb532edf025f1) C:\WINDOWS\system32\DRIVERS\usbhub.sys
20:48:36:609 2308 usbprint (a42369b7cd8886cd7c70f33da6fcbcf5) C:\WINDOWS\system32\DRIVERS\usbprint.sys
20:48:36:703 2308 USBSTOR (6cd7b22193718f1d17a47a1cd6d37e75) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
20:48:36:734 2308 usbuhci (f8fd1400092e23c8f2f31406ef06167b) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
20:48:36:781 2308 VgaSave (8a60edd72b4ea5aea8202daf0e427925) C:\WINDOWS\System32\drivers\vga.sys
20:48:36:921 2308 VolSnap (313b1a0d5db26dfe1c34a6c13b2ce0a7) C:\WINDOWS\system32\drivers\VolSnap.sys
20:48:36:984 2308 Wanarp (984ef0b9788abf89974cfed4bfbaacbc) C:\WINDOWS\system32\DRIVERS\wanarp.sys
20:48:37:093 2308 wdmaud (efd235ca22b57c81118c1aeb4798f1c1) C:\WINDOWS\system32\drivers\wdmaud.sys
20:48:37:171 2308 WudfPf (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
20:48:37:250 2308 WudfRd (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
20:48:37:296 2308 X10Hid (81e8da36ce70858898d5eb81e28a47d2) C:\WINDOWS\system32\Drivers\x10hid.sys
20:48:37:312 2308
20:48:37:312 2308 Completed
20:48:37:312 2308
20:48:37:312 2308 Results:
20:48:37:312 2308 Registry objects infected / cured / cured on reboot: 0 / 0 / 0
20:48:37:312 2308 File objects infected / cured / cured on reboot: 0 / 0 / 0
20:48:37:312 2308
20:48:37:328 2308 KLMD(ARK) unloaded successfully

-------------------------

Et tu trouveras le rapport ZHP à cette adresse :
http://www.cijoint.fr/cjlink.php?file=cj201006/cijDH9tKCN.txt

Merci de ton aide.

Réponse 10 / 26

fix200 Messages postés 3243 Date d'inscription dimanche 28 décembre 2008 Statut Contributeur sécurité Dernière intervention 7 février 2011 158
7 juin 2010 à 23:46

Re,

O43 - CFD:Common File Directory ----D- C:\Program Files\DAEMON Tools Lite
--> C'est Deamon tools qui hooke atapi.sys, légitime donc pas d'inquiétude.

On continue :

Télécharge MalwareBytes' Anti-Malware (MBAM) .

▶ Double clique sur le fichier téléchargé pour lancer le processus d'installation , choisis "Français" et accepte lorsqu'il te le sera demandé de le mettre a jour.

▶ Regarde bien ce Tuto pour bien utiliser le programme.

! Déconnecte toi ferme toutes applications en cours !

⇒ Lance MBAM.

⇒ Mets le à jour via l'onglet mises à jours.

▶ Sous l'onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression"

▶ Clique maintenant sur l'onglet recherche et coche la case : "Exécuter un examen complet".

▶ Puis clique sur " Rechercher ".

▶ Laisse le scanner le PC...

▶ Une fois l'analyse terminée, clique sur "OK", Ensuite sur "Afficher les résultats".

▶ Vérifie que tout est bien coché et clique sur "Supprimer la sélection".

▶ Il se peut qu'il te demande de redémarrer pour finir la suppression des nuisibles, accepte en cliquant sur "Yes".

▶ A la fin un rapport va s'ouvrir, sauvegarde le de manière a le retrouver en vu et le poster sur le forum.

▶ Reviens sur le forum et copie et colle le rapport dans ta prochaine réponse .

Note: les rapports sont aussi rangés dans l'onglet Rapport/Log .

===============

Refais un scan ZHPDiag et colle le rapport obtenu via cijoint.fr

++

Réponse 11 / 26

BarneyStinson
9 juin 2010 à 00:06

Re !

Voici le rapport MBAM :

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4180

Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

09/06/2010 00:02:04
mbam-log-2010-06-09 (00-02-04).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 355091
Temps écoulé: 3 heure(s), 0 minute(s), 18 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Ainsi que le fichier ZHP à cette adresse :
http://www.cijoint.fr/cjlink.php?file=cj201006/cijyKiQ5na.txt

Réponse 12 / 26

fix200 Messages postés 3243 Date d'inscription dimanche 28 décembre 2008 Statut Contributeur sécurité Dernière intervention 7 février 2011 158
9 juin 2010 à 11:53

Bonjour,

▶ Lance ZHPFix depuis le raccourci qui est sur ton bureau .
(Sous Vista/7: clic droit puis "exécuter en tant qu'administrateur")

▶ Une fois l'outil ouvert , clique sur le bouton [ H ] ( "coller les ligne Helper" ) .

▶ Ouvre ce lien puis copie colle tout le texte qui se trouve dedans et colle le dans l'encadré principal:

https://www.cjoint.com/?gjlYD4pRld

▶ Clique sur le bouton [ OK ] .

> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !

▶ Clique sur le bouton [ Tous ] . Vérifie que toutes les lignes soient bien cochées .

▶ Enfin clique sur le bouton [ Nettoyer ] .

⇒ ! Laisse travailler l'outil et ne touche à rien !

⇒ Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

▶ Une fois terminé, un rapport s'affiche : copie-colle tout son contenu dans ta prochaine réponse.

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPFix\ZHPFixReport.txt )

==========================

Désinstalle Avast-- tuto
https://www.avast.com/fr-fr/uninstall-utility

System drive C: has 1 GB (0%) free of 93 GB

> Supprime tout de suite les fichiers/programmes inutiles de ton pc.

==========================

Refais un scan ZHPDiag, coche bien toutes les options (sauf la 045 et 061), poste le nouveau rapport obtenu (via Cijoint).

Réponse 13 / 26

Barney_Stinson
9 juin 2010 à 20:44

Bonjour !

C'est dingue, même après de multiples manoeuvres pour le supprimer, il reste des bribes de Avast ! Tenace cet antivirus!

Voici le rapport ZHPfix :

ZHPFix v1.12.3102 by Nicolas Coolman - Rapport de suppression du 09/06/2010 20:16:37
Fichier Registre :
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
O53 - SMSR:HKLM\...\startupreg\avast! [Key] . (.Pas de propriétaire - Pas de description.) -- C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - avast! Asynchronous Virus Monitor (Aavmker4) .(.Pas de propriétaire - Pas de description.) - LEGACY_AAVMKER4 => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - aswFsBlk (aswFsBlk) .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWFSBLK => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - avast! Standard Shield Support (aswMon2) .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWMON2 => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - aswRdr (aswRdr) .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWRDR => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - avast! Self Protection (aswSP) .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWSP => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - avast! Network Shield Support (aswTdi) .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWTDI => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - avast! Antivirus (avast! Antivirus) .(.Pas de propriétaire - Pas de description.) - LEGACY_AVAST!_ANTIVIRUS => Clé supprimée avec succès
HKCU\Software\ALWIL Software => Clé supprimée avec succès
HKLM\Software\ALWIL Software => Clé supprimée avec succès

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Préférences navigateur :
(Néant)

Dossier :
(Néant)

Fichier :
c:\progra~1\alwils~1\avast4\ashdisp.exe => Fichier absent

Logiciel :
(Néant)

Script Registre :
(Néant)

Master Boot Record :
(Néant)

Autre :
(Néant)

Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 10
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 0
Fichier : 1
Logiciel : 0
Master Boot Record : 0
Préférences navigateur : 0
Autre : 0

End of the scan

-------------------

Et ci-après le lien pour le rapport ZHP : http://www.cijoint.fr/cjlink.php?file=cj201006/cijYQ1FYI9.txt

Réponse 14 / 26

fix200 Messages postés 3243 Date d'inscription dimanche 28 décembre 2008 Statut Contributeur sécurité Dernière intervention 7 février 2011 158
9 juin 2010 à 22:32

Ce fichier est à toi ?

C:\Documents and Settings\-Damien-\Mes documents\WinInstSoft.exe

Toujours des soucis ?

Réponse 15 / 26

BarneyStinson
9 juin 2010 à 23:09

Le fichier est bien présent dans mes documents. Je ne sais pas à quoi il sert et quel logiciel l'a installé sur mon bureau mais je n'arrive pas à le supprimer depuis que je l'ai (accès refusé)!

Sinon, je pense que le dropper à été éradiqué.
Merci beaucoup de ton aide, de ton temps et de ta patience !

Si tu avais des réponses pour le fichier WinInstSoft.exe cela serait la cerise sur le gâteau ! ;)

Réponse 16 / 26

fix200 Messages postés 3243 Date d'inscription dimanche 28 décembre 2008 Statut Contributeur sécurité Dernière intervention 7 février 2011 158
9 juin 2010 à 23:21

Re,

Bon on le supprime:

> Refais ZHPFix comme ici, mais avec ce texte:

[MD5.86499601674C12CF5627C6597798EB90] - (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\-Damien-\Mes documents\WinInstSoft.exe [643129]
O4 - HKLM\..\Run: [WinInstSoft] . (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\-Damien-\Mes documents\WinInstSoft.exe

Colle le rapport obtenu.

_____________________________________________________

1: Pour supprimer les outils spécifiques utilisés lors la désinfection :

Télécharge ToolsCleaner2 (de A.Rothstein) sur ton Bureau

▶ Sous XP : Double-clique sur ToolsCleaner2.exe
▶ Sous Vista/7: Fais un clic droit sur ToolsCleaner2.exe et sélectionne "Exécuter en tant qu'administrateur"
▶ Clique sur Recherche et laisse le scan se terminer.
▶ Clique sur Suppression pour finaliser.
▶ Tu peux, si tu le souhaites, te servir des Options facultatives.
▶ Clique sur Quitter (et pas sur la croix rouge!) , pour que le rapport puisse se créer.
▶ Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\), colle le dans ta réponse.

______________________________________________________

2: Nettoyage des fichiers temporaires :

Télécharge ATF Cleaner par Atribune

Sous XP : Double-clique ATF-Cleaner.exe afin de lancer le programme.
Sous Vista/7: Fais un clic droit sur ATF-Cleaner.exe et choisis " Exécuter en tant qu'admin..."
▶ Dans l'onglet Main, coche simplement la case Select All (toutes les cases vont se cocher) puis sur le bouton Empty Selected.
▶ Si tu possèdes : Firefox ou Opera comme navigateur, pense à choisir ton navigateur en haut a gauche avant de sélectionner Select All puis Empty Selected.
▶ Puis réponds Non au message qui s'affiche, si tu ne souhaites pas perdre tes mots de passes .

Aide : Comment utiliser ATF-Cleaner.

Télécharge CCleaner sur ton bureau

▶ Installe le programme.
▶ Lance CCleaner puis Clique sur "Options" → "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".
▶ Dans le menu " Nettoyeur " → "Analyse" .
▶ Ensuite clique sur le bouton "Lancer le nettoyage" et laisse le faire.
▶ Maintenant dans l'onglet "Registre" → "Chercher des erreurs .
▶ Réponds a Oui a la question qui te sera posée.
▶ Enfin , répare les erreurs en cliquant sur " Réparer les erreurs sélectionnés "
.

* Note : Refais trois fois , une réparation du registre pour que cela soit efficace !

Aide : Comment utiliser CCleaner ?

______________________________________________________

3 : Purge de la restauration du système :

⇒ Sous XP :

* Désactivation :

▶ Clic droit sur le Poste de travail → Propriétés → Onglet "Restauration du système" → coche la case "Désactiver la Restauration du système sur tous les lecteurs" → Appliquer.
▶ Patiente jusqu'à que cela soit marqué "désactivée" puis OK.
⇒ Redémarre le PC.

* Activation :

▶ Suis le même chemin ; décoche la case "Désactiver la Restauration du système sur tous les lecteurs" > Appliquer.
▶ Attends que cela soit a nouveau sur "Surveillance" puis OK.
⇒ Redémarre le PC.

⇒ Sous Vista/7:

Tutoriel

______________________________________________________

4: Création d'un point de restauration sain :

⇒ Sous XP

⇒ Sous Vista

⇒ Sous Seven

______________________________________________________

5: Ménage & Optimisation :

* Nettoyage de disque:

▶ Clic droit sur "Poste de travail" → "Ouvrir" > Clic droit sur le disque C → Propriétés → Onglet "Général"
▶ Clique sur le bouton "Nettoyage de disque" → OK
▶ Fais la même chose pour chacun de tes disques

* Défragmentation:

● Menu "Démarrer" → "Tous les programmes" → Accessoires → Outils système → "Défragumenteur de disque"
▶ Clique sur Analyser, s'il te demande de défragmenter , tu Défragmentes.
› › Fais le même chose pour chacun de tes disques.

Note : si tu as un utilitaire pour défragmenter , utilise le à la place

* Vérifications des erreurs :

▶ Clic droit sur "Poste de travail" / "Ordinateur" → "ouvrir" → clic droit sur le disque C → Propriétés → Onglet "Outil" → "Vérifier maintenant", une boîte s'ouvre, coche les cases :

- Réparer automatiquement les erreurs...
- Rechercher et tenter une récupération...

⇒ Démarrer, OK

Note : s'il te dis de redémarrer ton PC pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal

______________________________________________________

6: Remise en place des paramètres système par défaut :

▶ Démarrer → Panneau de configuration → Options des dossiers → onglet 'Affichage'
- [Décoche] Afficher les fichiers et dossiers cachés
- [Coche] Masquer les fichiers protégés du système d'exploitation (recommandé)
- Clique sur Appliquer, puis OK.

▶ Tu peux maintenant à réactiver toutes tes protections résidentes (Antivirus, Antispyware, Firewall).

▶ Si tu as Vista/7: Tu peux réactiver l'UAC :
- Sous Seven
- Sous Vista

▶ Tu peux vider la quarantaine de ton antivirus , ton anti-spyware et celle de MalwareBytes' .

7: Maintenir son système a jour contre les failles de sécurité :

⇒ Windows :

• Installe ces quelque mises a jours critiques :

Windows XP SP3

• Rends toi ICI (avec internet explorer !)

! Ferme tes applications en cours (seulement le navigateur) !
• Installe TOUTES les mises a jours critiques (M.A.J's de sécurité, framwork etc...)

• Laisse toi guider ...

⇒ Adobe Reader :

• Désinstalle Adobe Reader depuis le menu Ajout/ suppression des programmes (programmes et fonctionnalités pour vista) .

• Installe cette version

⇒ Autres Mises a jours a effectuer :

• Tu peux aussi mettre a jour tes logiciels grâce a Update Checker

• Tutoriel

~~> Je t'invite a lire ça: Le danger des failles de sécurité

______________________________________________________

Télécharge TrendMicro(TM) HijackThis(TM) sur ton bureau.

▶ Fais un double-clic sur HJTInstall.exe afin de lancer l'installation

▶ Clique sur Install ensuite sur I Accept

▶ Lance un scan en cliquant sur " do a system scan and save a logfile " .

▶ Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note

▶ Copie-colle son contenu A ta prochaine réponse.

⇒ Aide :
› Démonstration animée (Merci baltrap34)
› Tutoriel HijackThis

@+

Réponse 17 / 26

Barney_Stinson
13 juin 2010 à 21:56

Bonjour,

Après avoir réalisé les manips conseillées, voici les différents rapports :

Tout d'abord, le ZHPfix :

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"THotkey"="C:\\Program Files\\Toshiba\\Toshiba Applet\\thotkey.exe"
"TPSMain"="TPSMain.exe"
"avgnt"="\"C:\\Program Files\\Avira\\AntiVir Desktop\\avgnt.exe\" /min"
"Acrobat Assistant 8.0"="\"C:\\Program Files\\Adobe\\Adobe Master Collection\\Acrobat 8.0\\Acrobat\\Acrotray.exe\""
@=""
"SunJavaUpdateSched"="\"C:\\Program Files\\Fichiers communs\\Java\\Java Update\\jusched.exe\""
"TkBellExe"="\"C:\\Program Files\\Fichiers communs\\Real\\Update_OB\\realsched.exe\" -osboot"
"QuickTime Task"="\"C:\\Program Files\\QuickTime\\QTTask.exe\" -atboottime"
"iTunesHelper"="\"C:\\Program Files\\iTunes\\iTunesHelper.exe\""
"WinInstSoft"="C:\\Documents and Settings\\-Damien-\\Mes documents\\WinInstSoft.exe"
"DivXUpdate"="\"C:\\Program Files\\DivX\\DivX Update\\DivXUpdate.exe\" /CHECKNOW"
"Adobe Reader Speed Launcher"="\"C:\\Program Files\\Adobe\\Reader 9.0\\Reader\\Reader_sl.exe\""
"Adobe ARM"="\"C:\\Program Files\\Fichiers communs\\Adobe\\ARM\\1.0\\AdobeARM.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
@=""
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
@=""
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
@=""
"Installed"="1"

----------------------------------------------
ToolsCleaner (effectué 2 fois)

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\Program Files\ZHPDiag: trouvé !

---------------------------------
--> Suppression:

C:\Program Files\ZHPDiag: ERREUR DE SUPPRESSION !!

--------------------------------------------------------

Et enfin Hijack This :

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 21:36:27, on 13/06/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Toshiba\TOSHIBA Applet\TAPPSRV.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Adobe\Adobe Master Collection\Acrobat 8.0\Acrobat\Acrotray.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\DivX\DivX Update\DivXUpdate.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\trend micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local;*.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: ::1 localhost
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Program Files\Adobe\Adobe Master Collection\/Adobe Contribute CS3/contributeieplugin.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Documents and Settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Adobe Master Collection\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Master Collection\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Program Files\Adobe\Adobe Master Collection\/Adobe Contribute CS3/contributeieplugin.dll
O4 - HKLM\..\Run: [THotkey] C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Adobe Master Collection\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [DivXUpdate] "C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Adobe Master Collection\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Adobe Master Collection\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Adobe Master Collection\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Master Collection\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Adobe Master Collection\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Master Collection\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://c:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Master Collection\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: SWF Capture tool - C:\Program Files\Eltima Software\Flash Decompiler\iebt.html
O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Flash Decompiler SWF Capture tool - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - C:\Program Files\Eltima Software\Flash Decompiler\iebt.dll (HKCU)
O9 - Extra 'Tools' menuitem: Flash Decompiler SWF Capture tool menu - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - C:\Program Files\Eltima Software\Flash Decompiler\iebt.dll (HKCU)
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} - https://www.f-secure.com/en/home/support
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS3 {fr_FR} (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Program Files\Fichiers communs\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Program Files\Toshiba\TOSHIBA Applet\TAPPSRV.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Réponse 18 / 26

fix200 Messages postés 3243 Date d'inscription dimanche 28 décembre 2008 Statut Contributeur sécurité Dernière intervention 7 février 2011 158
13 juin 2010 à 22:44

'Soir,

- Supprime C:\Program Files\ZHPDiag

- Le log ZHPFix n'est pas le bon.

- T'a mal suivit les consignes :

"* Désinstalle Adobe Reader depuis le menu Ajout/ suppression des programmes (programmes et fonctionnalités pour vista) .

* Installe cette version "

> Une fois fait, reposte un nouveau log Hijackthis.

Réponse 19 / 26

Barney_Stinson
13 juin 2010 à 22:55

Re,

Si si j'ai bien désinstallé la version A.Reader 9.3.2 puis installé la version prescrite mais je n'ai pas supprimé la version 8 Profesionnal que j'ai car je trouve cette dernière plus complète...
Est-ce problématique de garder la version 8 ? Elle est beaucoup plus soumise au faille ?

Réponse 20 / 26

fix200 Messages postés 3243 Date d'inscription dimanche 28 décembre 2008 Statut Contributeur sécurité Dernière intervention 7 février 2011 158
14 juin 2010 à 00:34

Re,

Je te déconseille de la garder.

Est-ce problématique de garder la version 8 ? Elle est beaucoup plus soumise au faille ?

Exact, c'est un risque pour ton PC.

Cheval de Troie TR/PWS.Sinowal.Gen2

26 réponses

Discussions similaires

Newsletters