TR/Downloader.Gen mdm.exe [Résolu]

Bonjour,

[x] Suis la procédure jusqu'au bout. Même si le PC semble aller mieux, ce n'est pas pour autant qu'il est totalement désinfecté !

[x] Si tu as des difficultés pour effectuer une procédure ou bien une simple question, n'hésite pas à me demander.

-+-+-+-+-> ZHPDiag <-+-+-+-+-


[x] Nous allons effectuer un diagnostic de ton ordinateur, pour ce faire, télécharge ZHPDiag ( de Nicolas Coolman ).

[x] Exécute l'installateur -> /!\ Coche la case " créer une icône sur le bureau " /!\

[x] Lance le en double cliquant sur l'icône ZHPDiag qui se trouve sur ton bureau ( Sous Vista/Seven : Clic droit sur l'icône -> " Exécuter en tant qu'administrateur " )

[x] Clique sur l'icône en forme de loupe en haut à gauche ( Lancer le diagnostic ).

[x] Une fois l'analyse terminée, clique sur l'icône en forme de disquette bleue puis sauvegarde le fichier sur ton bureau.

[x] Rend toi sur cjoint puis clique sur " Parcourir ".

[x] Sélectionne le fichier ZHPDiag.txt présent sur ton bureau, puis clique sur " Ouvrir ".

[x] Clique ensuite sur " Créer le lien cjoint " puis copie/colle dans ta prochaine réponse le lien créé.

bonjour Xplode,
voivi le lien CJOINT:
http://cjoint.com/data/hEnFdDOtqO.htm

Ton PC est bien infecté, on va supprimer tout ça.

-+-+-+-+-> ComboFix <-+-+-+-


[x] Télécharge ComboFix ( de sUBs ) à cette adresse.

/!\ Ferme toutes les fenêtres de programme ouvertes /!\

/!\ Désactive temporairement toutes les protections résidentes ( Antivirus, Pare-Feu, AntiSpyware ) /!\

[x] Double clique sur " Combofix.exe "

[x] Suis les indications qui sont données à l'écran, à un moment tu auras un message te demandant d'installer la console de récupération, fais le.

[x] Pendant le scan, ne touche à rien ( souris, clavier )

[x] Tu seras peut être invité à redémarrer ton PC. A la fin du scan, combofix ouvrira un rapport, copie/colle le dans ta prochaine réponse.

Note : Si jamais il ne s'ouvrait pas, il se trouve sous C:\Combofix.txt

ComboFix 10-07-29.02 - Jork'n9 30/07/2010 13:59:57.1.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.1023.716 [GMT 2:00]
Lancé depuis: c:\documents and settings\Jork'n9\Mes documents\programmes\AntiVirus\ComboFix.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Jork'n9\Application Data\cisvc.exe
c:\documents and settings\Jork'n9\Application Data\comrepl.exe
c:\documents and settings\Jork'n9\Application Data\logman.exe
c:\documents and settings\Jork'n9\Application Data\Microsoft\cmstp.exe
c:\documents and settings\Jork'n9\Application Data\Microsoft\dllhst3g.exe
c:\documents and settings\Jork'n9\Application Data\Microsoft\sessmgr.exe
c:\documents and settings\Jork'n9\Application Data\Microsoft\spoolsv.exe
c:\documents and settings\Jork'n9\Application Data\mstsc.exe
c:\documents and settings\Jork'n9\Local Settings\Application Data\Microsoft\comrepl.exe
c:\documents and settings\Jork'n9\Local Settings\Application Data\Microsoft\mstinit.exe
c:\documents and settings\Jork'n9\Local Settings\Application Data\Microsoft\mstsc.exe
c:\documents and settings\Jork'n9\Local Settings\Application Data\mstinit.exe
c:\documents and settings\Jork'n9\Local Settings\Application Data\mstsc.exe
c:\documents and settings\Jork'n9\Local Settings\Application Data\sessmgr.exe
c:\documents and settings\Jork'n9\Local Settings\Application Data\spoolsv.exe
c:\windows\cmstp.exe
c:\windows\dllhst3g.exe
c:\windows\esentutl.exe
c:\windows\mqtgsvc.exe
c:\windows\rsvp.exe
c:\windows\system\clipsrv.exe
c:\windows\system\comrepl.exe
c:\windows\system\ieudinit.exe
c:\windows\system\logman.exe
c:\windows\system\sessmgr.exe
c:\windows\system32\drivers\cisvc.exe
c:\windows\system32\drivers\cmstp.exe
c:\windows\system32\drivers\hwdrv.sys
c:\windows\system32\drivers\logman.exe
c:\windows\system32\drivers\mstsc.exe
c:\windows\system32\drivers\rsvp.exe
c:\windows\system32\Ijl11.dll

----- Cloneurs de fichier -----

c:\documents and settings\Jork'n9\Application Data\Microsoft\Installer\{89661B04-C646-4412-B6D3-5E19F02F1F37}\ARPPRODUCTICON.exe
c:\windows\Installer\{02F719D7-95B0-6A85-062F-516ADCDA821C}\ARPPRODUCTICON.exe
c:\windows\Installer\{15ED4AC8-983F-B054-0D80-04330387F26C}\ARPPRODUCTICON.exe
c:\windows\Installer\{18941178-396B-0CC4-2168-17112315EBB8}\ARPPRODUCTICON.exe
c:\windows\Installer\{2DDBE461-3A0D-A6C2-6944-92D694AFB12A}\ARPPRODUCTICON.exe
c:\windows\Installer\{30D12BB8-0C96-CD1E-ADA4-2407E8EE6462}\ARPPRODUCTICON.exe
c:\windows\Installer\{3373AFA7-672F-407C-68F0-955FB5930A47}\ARPPRODUCTICON.exe
c:\windows\Installer\{421D1CB2-0C0B-AC1D-06E5-14B0974376B5}\ARPPRODUCTICON.exe
c:\windows\Installer\{451CEE76-0FFE-802D-1F5E-615D69BC7007}\ARPPRODUCTICON.exe
c:\windows\Installer\{4545ACF9-21CC-9ADB-B790-2B01ADAB5DBA}\ARPPRODUCTICON.exe
c:\windows\Installer\{45512BCE-97C7-4784-92E0-1FADFD1509A0}\ARPPRODUCTICON.exe
c:\windows\Installer\{4609F28C-0BDB-F2B2-9DC7-B35A28478312}\ARPPRODUCTICON.exe
c:\windows\Installer\{46BCAA06-7F30-1172-0014-D84B0AA9946F}\ARPPRODUCTICON.exe
c:\windows\Installer\{46E1C9E1-9CC6-D432-F2BB-7CFC27B32EC9}\ARPPRODUCTICON.exe
c:\windows\Installer\{49A79380-2203-ED07-B25B-2DC87D4FBA8F}\ARPPRODUCTICON.exe
c:\windows\Installer\{4F27FC00-7FD7-8914-051F-20D196E01198}\ARPPRODUCTICON.exe
c:\windows\Installer\{5325AF31-8FEF-EEA6-084E-6784F834B5C0}\ARPPRODUCTICON.exe
c:\windows\Installer\{63F50131-953D-3BA3-F537-ED401EA08FB1}\ARPPRODUCTICON.exe
c:\windows\Installer\{6782B259-804B-301D-0DE9-13000375C2D2}\ARPPRODUCTICON.exe
c:\windows\Installer\{6B59DAA5-4313-C492-0CE0-F168C1E25685}\ARPPRODUCTICON.exe
c:\windows\Installer\{6FA439F8-EBD8-FF4D-8EE5-A52FE69A4248}\ARPPRODUCTICON.exe
c:\windows\Installer\{75EAFDA9-E726-EC03-8F86-98A0AAD0DF72}\ARPPRODUCTICON.exe
c:\windows\Installer\{777079F5-AC3B-3E2C-16CF-98186F14BBDB}\ARPPRODUCTICON.exe
c:\windows\Installer\{793E79A5-B52D-E287-37F2-398F530D74C7}\ARPPRODUCTICON.exe
c:\windows\Installer\{7D920042-A1BA-E3E6-59A6-A5B066C367C7}\ARPPRODUCTICON.exe
c:\windows\Installer\{8D0B39A5-3F3A-AD72-7D4A-15BEBFB50B59}\ARPPRODUCTICON.exe
c:\windows\Installer\{8E9BA9AF-6A06-C7AC-5863-4A40CF29CE05}\ARPPRODUCTICON.exe
c:\windows\Installer\{90E5D6A9-C373-357B-6659-8BF019E3C1D4}\ARPPRODUCTICON.exe
c:\windows\Installer\{9366C5C6-9434-C4C9-9804-FB4D7142874D}\ARPPRODUCTICON.exe
c:\windows\Installer\{942DD738-A9F7-BBFA-3960-4558CB0EE272}\ARPPRODUCTICON.exe
c:\windows\Installer\{A0857F54-AE2D-F453-4069-C7D65AE36426}\ARPPRODUCTICON.exe
c:\windows\Installer\{AFA10540-2565-A1DC-9953-89457AAF5C55}\ARPPRODUCTICON.exe
c:\windows\Installer\{B614E6EE-5299-AA80-7380-D654F77C621F}\ARPPRODUCTICON.exe
c:\windows\Installer\{BB36A7AC-AEB0-28D8-0436-6008A66D132C}\ARPPRODUCTICON.exe
c:\windows\Installer\{BE2686A1-ECF2-FF0E-9DF5-EC7A806AEED8}\ARPPRODUCTICON.exe
c:\windows\Installer\{C731F57F-BD70-CDF0-D7D6-58B531535232}\ARPPRODUCTICON.exe
c:\windows\Installer\{C9989922-56CD-C96C-54D5-AC093E947E6B}\ARPPRODUCTICON.exe
c:\windows\Installer\{D47CBDF4-FC1F-6D88-D963-9B9FADE5C8FC}\ARPPRODUCTICON.exe
c:\windows\Installer\{D4F3A4D4-84B1-3A40-14AA-422DE60EF96A}\ARPPRODUCTICON.exe
c:\windows\Installer\{D51D9840-FABE-390B-24D2-D052332B311A}\ARPPRODUCTICON.exe
c:\windows\Installer\{D9E96902-5743-D105-BCB7-FBD3C0DF3989}\ARPPRODUCTICON.exe
c:\windows\Installer\{DCE27619-6822-0D22-1405-9D2899DC1896}\ARPPRODUCTICON.exe
c:\windows\Installer\{E16FB11E-ECD9-3270-40A4-00B0843743E1}\ARPPRODUCTICON.exe
c:\windows\Installer\{E698F77C-216C-8409-F4DC-E4AAECF5DEFF}\ARPPRODUCTICON.exe
c:\windows\Installer\{E7DAAF26-A0B0-1D77-0794-20D1314297F1}\ARPPRODUCTICON.exe
c:\windows\Installer\{E8244BEE-DAAA-63F6-7689-D19F35DE3BCD}\ARPPRODUCTICON.exe
c:\windows\Installer\{F0F91137-D866-CAC2-E032-A65CBE515BD7}\ARPPRODUCTICON.exe
c:\windows\Installer\{F16A317A-6128-39E2-9607-20B5C70132E6}\ARPPRODUCTICON.exe
c:\windows\Installer\{F2BDC47D-18FA-5B10-58C0-9FFBDBE0B031}\ARPPRODUCTICON.exe
c:\windows\Installer\{F9AB0D25-0085-8345-3F1A-5E5C714092B9}\ARPPRODUCTICON.exe
c:\windows\Installer\{FD8CF142-160D-C87D-FAAB-3564240AC566}\ARPPRODUCTICON.exe
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-06-28 au 2010-07-30 ))))))))))))))))))))))))))))))))))))
.

2010-07-30 11:25 . 2010-07-30 11:27 -------- d-----w- c:\program files\ZHPDiag
2010-07-29 20:19 . 2010-07-30 11:52 -------- d-----w- c:\windows\system32\LogFiles
2010-07-27 16:42 . 2010-07-27 16:42 91648 ----a-w- c:\windows\clipsrv.exe
2010-07-24 18:49 . 2010-07-30 10:06 -------- d-----w- c:\program files\Steam
2010-07-24 18:46 . 2008-10-10 02:52 4379984 ----a-w- c:\windows\system32\D3DX9_40.dll
2010-07-24 18:46 . 2008-10-27 08:04 514384 ----a-w- c:\windows\system32\XAudio2_3.dll
2010-07-24 18:46 . 2008-10-27 08:04 23376 ----a-w- c:\windows\system32\X3DAudio1_5.dll
2010-07-24 18:46 . 2008-10-27 08:04 70992 ----a-w- c:\windows\system32\XAPOFX1_2.dll
2010-07-24 18:46 . 2008-07-30 04:20 68616 ----a-w- c:\windows\system32\XAPOFX1_1.dll
2010-07-24 18:46 . 2008-07-30 04:20 509448 ----a-w- c:\windows\system32\XAudio2_2.dll
2010-07-24 18:46 . 2008-07-10 09:00 3851784 ----a-w- c:\windows\system32\D3DX9_39.dll
2010-07-24 18:46 . 2008-05-30 12:17 25608 ----a-w- c:\windows\system32\X3DAudio1_4.dll
2010-07-24 18:45 . 2010-07-24 18:45 -------- d-----w- c:\windows\Logs
2010-07-21 10:23 . 2004-06-24 16:57 172032 ----a-w- c:\windows\system32\NVUNINST.EXE
2010-07-21 10:23 . 2004-01-28 18:22 31744 ----a-r- c:\windows\system32\NVCOE.DLL
2010-07-21 10:23 . 2004-01-28 18:22 159744 ----a-w- c:\windows\system32\nvuenet.exe
2010-07-21 10:23 . 2004-01-28 17:45 93764 ----a-r- c:\windows\system32\drivers\NVENET.sys
2010-07-16 18:35 . 2006-02-26 21:46 81408 ----a-r- c:\windows\system32\drivers\Rtnicxp.sys
2010-07-14 13:53 . 2007-07-19 16:14 444776 ----a-w- c:\windows\system32\d3dx10_35.dll
2010-07-14 13:53 . 2007-07-19 16:14 1358192 ----a-w- c:\windows\system32\D3DCompiler_35.dll
2010-07-14 13:53 . 2007-07-19 16:14 3727720 ----a-w- c:\windows\system32\d3dx9_35.dll
2010-07-14 13:53 . 2007-05-16 14:45 443752 ----a-w- c:\windows\system32\d3dx10_34.dll
2010-07-14 13:53 . 2007-05-16 14:45 1124720 ----a-w- c:\windows\system32\D3DCompiler_34.dll
2010-07-14 13:53 . 2007-05-16 14:45 3497832 ----a-w- c:\windows\system32\d3dx9_34.dll
2010-07-14 13:53 . 2007-04-04 16:53 81768 ----a-w- c:\windows\system32\xinput1_3.dll
2010-07-14 08:25 . 2010-07-14 08:25 -------- d-----w- c:\program files\Core Design
2010-07-13 10:54 . 2010-07-13 10:54 -------- d-----w- c:\documents and settings\All Users\Application Data\Ubisoft
2010-07-13 10:54 . 2010-07-13 10:54 -------- d--h--r- c:\documents and settings\Jork'n9\Application Data\SecuROM
2010-07-05 19:47 . 2010-07-05 21:29 -------- d-----w- c:\program files\Everest Poker.fr

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-28 19:03 . 2009-05-30 12:38 -------- d-----w- c:\program files\UrbanTerror
2010-07-28 08:01 . 2009-06-09 11:26 -------- d-----w- c:\program files\GtkRadiant-1.4
2010-07-27 08:21 . 2009-07-02 10:15 -------- d-----w- c:\program files\eMule
2010-07-25 19:57 . 2009-06-05 12:14 -------- d-s---w- c:\program files\mIRC Power Pack
2010-07-21 08:27 . 2010-03-01 11:13 -------- d-----w- c:\documents and settings\Jork'n9\Application Data\vlc
2010-07-14 13:58 . 2009-10-27 09:32 107888 ----a-w- c:\windows\system32\CmdLineExt.dll
2010-07-14 13:39 . 2009-11-09 11:07 -------- d-----w- c:\program files\Electronic Arts
2010-07-13 10:22 . 2009-05-30 11:16 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-07-13 09:18 . 2009-06-10 12:41 -------- d-----w- c:\documents and settings\Jork'n9\Application Data\dvdcss
2010-07-05 21:26 . 2010-03-23 15:03 -------- d-----w- c:\program files\Everest Poker
2010-06-23 08:20 . 2010-06-23 08:20 501936 ----a-w- c:\documents and settings\All Users\Application Data\Google\Google Toolbar\Update\gtb6.tmp.exe
2010-05-27 10:13 . 2010-05-27 10:13 503808 ----a-w- c:\documents and settings\Jork'n9\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-6ab09a2e-n\msvcp71.dll
2010-05-27 10:13 . 2010-05-27 10:13 499712 ----a-w- c:\documents and settings\Jork'n9\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-6ab09a2e-n\jmc.dll
2010-05-27 10:13 . 2010-05-27 10:13 348160 ----a-w- c:\documents and settings\Jork'n9\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-6ab09a2e-n\msvcr71.dll
2010-05-27 10:13 . 2010-05-27 10:13 12800 ----a-w- c:\documents and settings\Jork'n9\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-7a03b738-n\decora-d3d.dll
2010-05-27 10:13 . 2010-05-27 10:13 61440 ----a-w- c:\documents and settings\Jork'n9\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-7a03b738-n\decora-sse.dll
2010-05-09 09:41 . 2010-05-09 09:40 21304816 ----a-w- c:\documents and settings\Jork'n9\Application Data\Real\Update\setup3.08\rp\RealPlayerSPGold_fr.exe
2009-09-25 16:41 . 2009-09-25 16:41 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-09-25 16:41 . 2009-09-25 16:41 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-05-31 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"XMouseButton"="c:\program files\Highresolution Enterprises\X-Mouse Button Control (32bit Version)\XMouseButtonControl.exe" [2007-07-18 356352]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"AtiPTA"="atiptaxx.exe" [2006-02-22 344064]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ABIT uGuru]
2003-09-22 19:34 192512 ----a-w- c:\program files\ABIT\ABIT uGuru\uGuru.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-06-09 08:06 976832 ----a-w- c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Quick Search Box]
2010-02-05 10:04 126976 ----a-w- c:\program files\Google\Quick Search Box\GoogleQuickSearchBox.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2004-08-19 14:10 1667584 ----a-w- c:\program files\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVMixerTray]
2004-06-03 18:51 131072 ----a-w- c:\program files\NVIDIA Corporation\NvMixer\NvMixerTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
2010-07-24 18:49 1238352 ----a-w- c:\program files\Steam\steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-02-18 10:43 248040 ----a-w- c:\program files\Fichiers communs\Java\Java Update\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2009-05-31 10:34 39408 ----a-w- c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\UrbanTerror\\ioUrbanTerror.exe"=
"c:\\Program Files\\mIRC Power Pack\\mirc.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\GtkRadiant-1.4\\GtkRadiant-1.4.0.exe"=
"c:\\Program Files\\Qtracker\\qtracker.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\UrbanTerror\\ioUrTded.exe"=
"c:\\Program Files\\GtkRadiant 1.5.0\\GtkRadiant.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\java.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\ooVoo\\ooVoo.exe"=
"c:\\Documents and Settings\\Jork'n9\\Mes documents\\programmes\\ioProball Windows_Linux_310310\\ioProball\\ioProball.x86.exe"=
"c:\\WINDOWS\\system32\\mmc.exe"=
"d:\\JEUX\\SplinterCell\\SCDA-Offline\\System\\SplinterCell4.exe"=
"c:\\Program Files\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"c:\\Program Files\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5900:TCP"= 5900:TCP:vnc5900
"5800:TCP"= 5800:TCP:vnc5800
"443:TCP"= 443:TCP:*:Disabled:TCP port 443 ooVoo
"443:UDP"= 443:UDP:*:Disabled:UDP port 443 ooVoo
"37674:TCP"= 37674:TCP:*:Disabled:TCP port 37674 ooVoo
"37674:UDP"= 37674:UDP:*:Disabled:UDP port 37674 ooVoo
"37675:UDP"= 37675:UDP:*:Disabled:UDP port 37675 ooVoo

R0 AC2003;AC2003;c:\windows\system32\drivers\AC2003.sys [30/05/2009 11:58 4224]
R0 uGuru;uGuru;c:\windows\system32\drivers\uGuru.SYS [17/07/2009 14:03 10752]
R1 atitray;atitray;c:\program files\Radeon Omega Drivers\v4.8.442\ATI Tray Tools\atitray.sys [02/10/2009 11:28 17952]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [30/05/2009 14:04 108289]
R2 vnccom;vnccom;c:\windows\system32\drivers\vnccom.SYS [02/07/2009 12:32 6016]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [05/02/2010 12:04 135664]
S3 ovt530;Webcam Deluxe;c:\windows\system32\drivers\ov530vid.sys [17/06/2009 10:41 161792]
S3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:\windows\system32\drivers\VBoxNetAdp.sys [27/08/2009 17:24 91472]
S3 VBoxNetFlt;VBoxNetFlt Service;c:\windows\system32\DRIVERS\VBoxNetFlt.sys --> c:\windows\system32\DRIVERS\VBoxNetFlt.sys [?]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - Winflash
.
Contenu du dossier 'Tâches planifiées'

2010-07-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-05 10:04]

2010-07-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-05 10:04]
.
.
------- Examen supplémentaire -------
.
uStart Page = about:blank
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Jork'n9\Application Data\Mozilla\Firefox\Profiles\1uiadmtm.default\
FF - prefs.js: browser.startup.homepage - about:blank
FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npdeployJava1.dll

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Explorer_Run-Logman - c:\docume~1\Jork'n9\APPLIC~1\logman.exe
AddRemove-2kv4.8.442 - c:\windows\Radeon Omega Drivers v4.8.442



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-07-30 14:03
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-789336058-1417001333-682003330-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:96,6b,ea,e9,d1,8f,a0,5c,9c,0f,42,ec,a3,14,3a,f7,26,34,e2,e5,a7,bb,78,
73,7c,dd,fa,f1,7b,bd,7e,25,82,4b,53,20,82,33,d5,1a,2b,e4,ac,c9,b4,0b,1b,bf,\
"??"=hex:a1,5e,47,db,25,65,bb,27,8b,92,55,34,10,3f,d9,49
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(632)
c:\windows\system32\Ati2evxx.dll
.
Heure de fin: 2010-07-30 14:04:50
ComboFix-quarantined-files.txt 2010-07-30 12:04

Avant-CF: 34 529 464 320 octets libres
Après-CF: 34 511 753 216 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect /NoExecute=OptIn

- - End Of File - - 3CCE3A2DAF396EFF16698D99E70D09FD

Ok, combofix a fait un bon ménage, mais il reste quand même des traces d'infection.

Clique sur démarrer -> exécuter et tape " combofix /uninstall " ( sans les guillemets ) pour désinstaller combofix.

Ensuite fais ceci :

-+-+-+-+-> Malwarebytes' Anti-Malware <-+-+-+-+-


[x] Télécharge Malwarebytes' Anti-malware sur ton bureau.

[x] Installe le en laissant les options par défaut ( Cocher seulement " Créer une icône sur le bureau " )

[x] A la fin de l'installation, MBAM se mettra à jour automatiquement puis s'exécutera.

[x] Une fois lancé, clique sur " Exécuter un examen complet " puis sur " Rechercher "

[x] Sélectionne tout tes disques locaux et amovibles

[x] Patiente pendant toute la durée du scan, puis clique sur " Ok " une fois l'analyse effectuée.

[x] Clique ensuite sur " Afficher les résultats " puis sur " Supprimer la sélection ". Valide ensuite par " Ok ".

[x] MBAM ouvrira un rapport, copie/colle son contenu dans ta prochaine réponse.

[x] Tu peux ensuite vider la quarantaine de MBAM.

[x] Note : MBAM t'invitera peut être à redémarrer ton PC, fais le. Le rapport se trouve dans la partie " Rapports/Logs " de MBAM.

[x] Si tu as des soucis, un tutoriel est disponible à cette adresse.

*******************************************************
re,
j'ai choisi de ne pas les supprimer, car les 3 fichiers 'infectés'(lol), sont 2 fichiers de jeux, et 1 fichier Mirc 'multi personne tchat engine' (cracké O_o).

merci pour ton aide que me reste-t-il a faire ?
*******************************************************


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4369

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11

30/07/2010 15:23:01
mbam-log-2010-07-30 (15-23-01).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 192514
Temps écoulé: 41 minute(s), 43 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Jork'n9\Mes documents\programmes\Everest_Poker.exe (PUP.Casino) -> No action taken.
C:\Program Files\mIRC Power Pack\system\msnmirc\dll\nHTMLn.dll (Trojan.Agent) -> No action taken.
C:\Program Files\Eidos\Just Cause\pdjustcausetrn4\pdtrain.exe (Malware.Packer.Mew) -> No action taken.

Ok, un nouveau rapport ZHPDiag maintenant, on arrive au bout.

ok, voilà le rapport ZHPDIAG :
http://cjoint.com/data/hEpTqs2Jok.htm

Bien, il y a quelques restes d'infections.

-+-+-+-+-> ZHPFix <-+-+-+-+-


/!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\

[x] Lance ZHPFix ( sur ton bureau ) puis clique sur le H bleu " Coller les lignes helper ".

[x] Copie/Colle le texte en gras ci-dessous dans l'encadré blanc puis clique sur [Ok]


O44 - LFC:[MD5.6354DD8536B5B49052410A2E54CB7AC3] - 27/07/2010 - 17:42:24 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\clipsrv.exe [91648]
O4 - HKLM\..\Policies\Explorer: [NoDrives] Data=0
[HKLM\Software\Trad-FR]


[x] Clique maintenant sur [Tous] , puis sur [Nettoyer]

[x] Copie/Colle le contenu du rapport à l'écran dans ton prochain message.

[x] Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt

Rapport de ZHPFix v1.12.3130 par Nicolas Coolman, Update du 29/07/2010
Fichier d'export Registre : C:\ZHPExportRegistry-30-07-2010-17-01-05.txt
Run by Jork'n9 at 30/07/2010 17:01:05
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
HKLM\Software\Trad-FR => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKLM\..\Policies\Explorer: [NoDrives] Data=0 => Valeur supprimée avec succès

========== Fichier(s) ==========
c:\windows\clipsrv.exe => Supprimé et mis en quarantaine


========== Récapitulatif ==========
1 : Clé(s) du Registre
1 : Valeur(s) du Registre
1 : Fichier(s)


End of the scan

Ok, on termine maintenant par la mise à jour ton PC, la suppression des outils utilisés ainsi que divers nettoyages.

-+-+-+-+-> Mise à jour du PC <-+-+-+-+-


[x] Il est important d'avoir les dernières mises à jour sur ton PC. En effet, celles ci corrigent des failles de sécurité qui peuvent parfois être exploitée par un programme malveillant.


1ère étape : Java

[o] Télécharge JavaRa puis décompresse le sur ton bureau.
[o] Ouvre le dossier JavaRa puis exécute JavaRa.exe.
[o] Clique sur "Search For Updates".
[o] Sélectionne "Update Using jucheck.exe" puis clique sur "Search".
[o] Autorise le processus à se connecter s'il te le demande, clique sur "install" et suis la procédure d'installation.
[o] Une fois l'installation terminée, revient à l'écran de JavaRa et clique sur "Remove Older Versions".
[o] Clique sur " Oui " pour confirmer. Laisse l'outil travailler, puis clique sur " Ok " et une nouvelle fois sur " Ok ".
[o] Un rapport s'ouvrira, copie/colle son contenu dans ton prochain message.

2ème étape : Adobe Reader

[x] Si tu utilises adobe reader, il est important qu'il soit à jour.
[x] Si il n'est pas à jour, certains programmes malveillants peuvent exploiter différentes failles et infecter ton PC ( Voir http://forum.malekal.com/exploitation-swf-pdf-java-systeme-non-jour-danger-t13629.html ici] )
[x] Pour vérifier qu'adobe reader est à jour, lance le puis clique sur [Aide] -> [Rechercher les mises à jour]

3ème étape : Internet Explorer

[x] Même si tu n'utilises pas Internet Explorer pour naviguer, il est important de le mettre à jour !
[o] Télécharge Internet Explorer 8 puis installe le.

4ème étape : Mise à jour du système

Tu as le SP2 de Windows XP, il faut que tu installes le SP3 qui corrige de nombreuses failles de sécurité et qui apporte diverses améliorations.

[o] Windows XP SP3

Il est important de faire toutes les mises à jour windows update.

5ème étape : Mise à jour des logiciels

[o] Il est également important de garder tes logiciels à jour. Pour ce faire, il existe un petit utilitaire, Update Checker.
[o] Télécharge le
[o] Un tutoriel pour son utilisation est disponible ici.


-+-+-+-+-> Vacciner les supports amovibles <-+-+-+-+-

[x] Si nous n'avons pas utilisé USBfix lors de la procédure, tu peux vacciner tes supports amovibles pour éviter qu'ils ne s'infectent.
[x] Télécharge USBfix puis lance le.
[x] Note : Si ton anvirus émet une alerte, désactive le momentanément ( il s'agit d'un faux positif )
[x] Branche tout tes médias amovibles ( Clé USB, Disque dur externe, carte SD ) puis sélectionne l'option [Vacciner].
[x] Appuie sur [Ok] au message de confirmation.


-+-+-+-+-> Toolscleaner <-+-+-+-+-


[x] Télécharge ToolsCleaner ( d'A.Rothstein & Dj Quiou ) sur ton bureau.

/!\ Utilisateurs de vista/seven , faites un clic droit sur l'icône de toolscleaner puis " Exécuter en tant qu'administrateur " /!\

[x] Lance le puis clique sur [Recherche]

[x] Patiente pendant le scan puis clique sur [Suppression]

[x] Clique maintenant sur [Quitter] ( pas sur la croix rouge ) pour afficher le rapport.

[x] Copie/Colle le contenu du rapport dans ta prochaine réponse.

Note : Le rapport se trouve également sous C:\TCleaner.txt
Note : Il se peut que le logiciel affiche la mention "Ne répond pas" car il consomme beaucoup de ressources. Il faut patienter quelques minutes.

[x] Un tutoriel est disponible ici.


-+-+-+-+-> Optimisation <-+-+-+-+-


1ère étape : Suppression des fichiers inutiles

[o] Télécharge CCleaner
[o] Installe le, puis lance le.
[o] Va dans l'onglet "Options" puis " Avancé " et décoche " Effacer uniquement les fichiers[...] ".
[o] Cliques sur l'onglet " Nettoyeur " puis cliques sur [Analyser] . A la fin de l'analyse, clique sur [Nettoyer].
[o] Rends toi à l'onglet " Registre " puis cliques sur [Chercher les erreurs]. Cliques ensuite sur [Corriger les erreurs séléctionnées.
[o] Accepte la sauvegarde puis enregistre la dans tes documents ( tu pourras la supprimer si aucun problème n'apparaît après la suppression )
[o] Cliques ensuite sur [Corriger toutes les erreurs sélectionnées] puis sur [Fermer]
[o] Tu peux renouveller ces opérations tous les jours.

2ème étape : Défragmentation

[x] Au fur et à mesure que tu installes des logiciels, copies des fichiers etc.. le disque dur se fragmente et les accès en lecture/écriture sont plus longs.
[o] Télécharge Defraggler.
[o] Un tutoriel pour son utilisation est disponible ici.

3ème étape : Vérification des disques

[x] Ouvre l'explorateur, puis fais un clique droit sur ta partition principale ( généralement C:\ )
[x] Clique sur [Propriété] puis sur l'onglet [Outils]
[x] Clique sur [Vérifier maintenant] puis coche les deux cases présentes.
[x] Clique sur [Démarrer] ( Tu devras éventuellement redémarrer ton PC et le scan du disque s'effectuera au prochain démarrage )

4ème étape : Désactivation des programmes au démarrage

[x] Clique sur [Démarrer] puis [Exécuter].
[x] Tape msconfig et valide par [ok].
[x] A l'onglet [Démarrage] , décoche tout les éléments sauf ceux se rapportant à ton antivirus / pare-feu.
[x] Clique sur [Appliquer] puis [ok] et redémarre ton PC.


-+-+-+-+-> Purger la restauration système <-+-+-+-+-


[x] La restauration système est un endroit que windows utilise pour créer des sauvegardes. En cas de soucis, tu peux utiliser ces sauvegardes pour revenir à un état antérieur au problème.

[x] Après une désinfection, il faut purger la restauration système pour supprimer toutes traces de malwares y résidant.

[x] Tutoriels :

- Windows XP
- Windows Vista
- Windows 7


-+-+-+-+-> UAC ( Uniquement pour Vista/Seven ) <-+-+-+-+-

[x] Si tu as désactivé l'UAC, il est important de la réactiver.

-> Pourquoi garder l'UAC activée?


-+-+-+-+-> Liens utiles <-+-+-+-+-

- Les dangers du P2P
- La sécurité de son PC, c'est quoi?
- Sécuriser son ordinateur
- Pourquoi maintenir son navigateur à jour?
- Les toolbars c'est pas obligatoire

Salut Xplode et merci pour ton aide surtout ;)

pour java: apres avoir lancé javara, il me dit qu'il faut JRE pour faire la mise a jour, donc jai installé JRE(jre-6u21-windows-i586), mais la fonction mise a jour de javara ne fonctionne pas via longlet jushek.
donc je ne sais pas comment mettre a jour a partir de la page net de sun (ya tellement de java differents lol).

adobereader est a jour.

je garde win XP SP2 sans mises a jour automatique (je prefere).

je garde Internetexplorer 7 (je prefere et jai firefox a jour).

j'ai executé toolscleaner(supressions faites).

4ème étape : Désactivation des programmes au démarrage:
supressions des fichiers inutiles de demarrage dans msconfig:
tu me dis tous sauf antivirus parefeu, heu lol mais j'ai dejà bien galeré pour installé les pilotes de ma carte graphique alors jvais pas supprimer ceux qui se lancent au demarrage...:D ;
puis ctfmon.exe c quoi? puis-je le decocher?

la defragementation jla ferais bientot com dhab 1 coup de tant en tant.

Ccleaner jle fais tt les jours.

3ème étape : Vérification des disques (jle ferais bientot aussi)

purger la restaurationsysteme: (jle ferais bientot aussi)

Bonjour,

Télécharge la dernière version de Java ici : http://www.java.com/fr/download/
Puis passe à la partie " remove older version ".

Pour le reste, c'est toi qui voit mais il faut savoir que même si tu n'utilises pas IE, il faut qu'il soit à jour.

J'attends ta réponse pour mettre ce sujet en "résolu" ;-)

salut Xplode,
désolé pour le retard, jattendais de faire les dernieres manip que tu m'avais préconisé pour revenir clore le sujet :)
me reste qu'a purger la restauration systeme, mais comme ya plus de soucis,
tu peux donc clore le sujet en te remerciant coordialement.

@+, bonne continuation,
Sk8ordie:)