Salut jusque là pas encore de reponse

merci de bien vouloir m'aider

Salut newtech83,

Télécharges Autosrch, ici
Dézippes le sur ton bureau.
Connectes clé usb, dd externe etc... susceptibles d'avoir été infectés, puis dans le dossier Autosrch double clic sur le fichier autosearch.bat
Le bloc note va s'ouvrir, copie et colle tout son contenu dans ton prochain message.

Cette variante de ce ver à l'air assez récente, est-ce que ca t'embêterais de me faire parvenir ces trois fichiers ?:
C:\Windows\KAMARA.exe
C:\WINDOWS\WillPolo.vbs
C:\WINDOWS\system32\temp1.exe

à cette adresse:
m1pv4wwxm93wnv7@jetable.org
Pour pouvoir étudier et donc mieux trouver des solutions pour contrer cette saleté.
Merci d'avance.

Si jamais tu ne trouve pas ces fichiers du premier coup, pense à rendre visible les fichiers cachés et système et recommencer leur recherche.

panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extentions des fichiers dont le type est connu"
Décocher la case devant " masquer les fichiers protégés du système"
clic sur [Appliquer] puis sur [ok] pour valider

a++

Ps:
J'allais oublier...ainsi que ce fichier si tu peux:
C:\WINDOWS\svchost.exe
merci

a+

Saluto ;-)) Le moyen d'aimer une chose est de se dire qu'on pourrait la perdre (Gilbert Keith Chesterton)

Hello :-)

Justement tu tombes à pic !

Si ca t'interresse toujours, jettes un oeil ici:
http://cjoint.com/?hlrdAgpMrK

Avec maj et ajout de :
DivoPlayer
Download Plugin
Get-Torrent
TorrentSoftware
WinZix

a++

Super ! ;-)

je mettrai le lien à jour !

Merci :-)
Le moyen d'aimer une chose est de se dire qu'on pourrait la perdre (Gilbert Keith Chesterton)

De rien... :-)

Voila le rapport

C:\Documents and Settings\Administrateur\Bureau\Autosrch\Autosrch\autosearch.­bat

Exécuté le 11/07/2007 à 15:48:49


############################################################­###############

/!\ Détection de script en cours d'exécution:

Le processus wscript.exe pid: 1596
Exécute actuellement C:\WillPolo.vbs

Le processus wscript.exe pid: 1628
Exécute actuellement C:\WillPolo.vbs

Le processus wscript.exe pid: 2920
Exécute actuellement C:\WillPolo.vbs

Listing des fichier *.vbs *.exe du dossier C:\WINDOWS

C:\WINDOWS\WillPolo.vbs
C:\WINDOWS\apptune1020.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\hh.exe
C:\WINDOWS\HPLiteSaver.exe
C:\WINDOWS\NOTEPAD.EXE
C:\WINDOWS\regedit.exe
C:\WINDOWS\RtlUpd.exe
C:\WINDOWS\ST5UNST.EXE
C:\WINDOWS\svchost.exe
C:\WINDOWS\TASKMAN.EXE
C:\WINDOWS\twunk_16.exe
C:\WINDOWS\twunk_32.exe
C:\WINDOWS\UNNeroBackItUp.exe
C:\WINDOWS\UNNeroMediaHome.exe
C:\WINDOWS\UNNeroShowTime.exe
C:\WINDOWS\UNNeroVision.exe
C:\WINDOWS\UNRecode.exe
C:\WINDOWS\winhelp.exe
C:\WINDOWS\winhlp32.exe
C:\WINDOWS\xcopy.exe

Listing des fichier *.vbs autorun.* du dossier C:\WINDOWS\System32

:. Fichiers autorun.* : Néant

C:\WINDOWS\System32\eventquery.vbs
C:\WINDOWS\System32\OeApi.vbs
C:\WINDOWS\System32\pagefileconfig.vbs
C:\WINDOWS\System32\prncnfg.vbs
C:\WINDOWS\System32\prndrvr.vbs
C:\WINDOWS\System32\prnjobs.vbs
C:\WINDOWS\System32\prnmngr.vbs
C:\WINDOWS\System32\prnport.vbs
C:\WINDOWS\System32\prnqctl.vbs
C:\WINDOWS\System32\pubprn.vbs

############################################################­###############

C: - Lecteur fixe



Recherche des fichiers *.vbs et *.exe...

-> C:\WillPolo.vbs
/!\ Script actif, C:\WillPolo.vbs est en cours d'exécution.
/!\ Script actif, C:\WillPolo.vbs est en cours d'exécution.
/!\ Script actif, C:\WillPolo.vbs est en cours d'exécution.

-> C:\copy.exe

-> C:\host.exe
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.



Recherche des fichiers autorun.*...

C:\autorun.inf

Contenu de C:\autorun.inf :

[autorun]
shellexecute=wscript.exe WillPolo.vbs
action="Pas d'action"


###########################################################################

D: - Lecteur r‚seau ou … distance



Recherche des fichiers *.vbs et *.exe...


:. Fichiers vbs: Néant

-> D:\GateEdit.exe

-> D:\GatePro.exe
/!\ L'application GatePro.exe est actuellement en cours d'exécution.

-> D:\GateRotations.exe

-> D:\MMREGOCX.EXE

-> D:\VISDATA.EXE



Recherche des fichiers autorun.*...

:. Fichier autorun.* : Néant


###########################################################################

F: - Lecteur r‚seau ou … distance



Recherche des fichiers *.vbs et *.exe...


:. Fichiers vbs: Néant

:. Fichiers *.exe: Néant


Recherche des fichiers autorun.*...

:. Fichier autorun.* : Néant


###########################################################################

G: - Lecteur amovible



Recherche des fichiers *.vbs et *.exe...

-> G:\WillPolo.vbs

-> G:\LaunchU3.exe

-> G:\copy.exe

-> G:\host.exe
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.



Recherche des fichiers autorun.*...

G:\autorun.inf

Contenu de G:\autorun.inf :

[autorun]
Shellexecute=copy.exe



###########################################################################

T: - Lecteur amovible



Recherche des fichiers *.vbs et *.exe...

-> T:\WillPolo.vbs

-> T:\copy.exe

-> T:\host.exe
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.



Recherche des fichiers autorun.*...

T:\autorun.inf

Contenu de T:\autorun.inf :

[autorun]
Shellexecute=copy.exe



###########################################################################

U: - Lecteur de CD-ROM



Recherche des fichiers *.vbs et *.exe...


:. Fichiers vbs: Néant

-> U:\LaunchU3.exe



Recherche des fichiers autorun.*...

U:\autorun.inf

Contenu de U:\autorun.inf :

[AutoRun]
open=LaunchU3.exe -a
icon=LaunchU3.exe,0

[Definitions]
Launchpad=LaunchPad.exe
Vtype=1

[CopyFiles]
FileNumber=1
File1=LaunchPad.zip

[Update]
URL=http://u3.sandisk.com/download/lp_installer.asp?custom=1.1.0.2&brand=cruzer


[Comment]
brand=cruzer



###########################################################################

Registre :


HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run
CTFMON.EXE REG_SZ C:\WINDOWS\system32\ctfmon.exe
swg REG_SZ C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
MSMSGS REG_SZ "C:\Program Files\Messenger\msmsgs.exe" /background
SsAAD.exe REG_SZ C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} REG_SZ "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
Yahoo! Pager REG_SZ "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
updateMgr REG_SZ C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9


HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run
ATIPTA REG_SZ "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
SetRefresh REG_SZ C:\Program Files\Compaq\SetRefresh\SetRefresh.exe
McRegWiz REG_SZ C:\PROGRA~1\McAfee.com\Agent\mcregwiz.exe /autorun
VSOCheckTask REG_SZ "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
VirusScan Online REG_SZ C:\Program Files\McAfee.com\VSO\mcvsshld.exe
OASClnt REG_SZ C:\Program Files\McAfee.com\VSO\oasclnt.exe
MCAgentExe REG_SZ c:\PROGRA~1\mcafee.com\agent\mcagent.exe
MCUpdateExe REG_SZ c:\PROGRA~1\mcafee.com\agent\mcupdate.exe
_AntiSpyware REG_SZ c:\progra~1\mcafee\MCAFEE~1\masalert.exe
NeroFilterCheck REG_SZ C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
OrderReminder REG_SZ C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
WillPolo REG_SZ C:\WINDOWS\WillPolo.vbs
KernelFaultCheck REG_EXPAND_SZ %systemroot%\system32\dumprep 0 -k
Mswinword REG_SZ C:\Windows\KAMARA.exe

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL
Installed REG_SZ 1

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI
Installed REG_SZ 1
NoChange REG_SZ 1

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS
Installed REG_SZ 1


HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
Shell REG_SZ Explorer.exe


HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
Userinit REG_SZ C:\WINDOWS\system32\userinit.exe,


HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer
NoDriveTypeAutoRun REG_DWORD 145 (0x91)
DisallowRun REG_DWORD 1 (0x1)
NoFind REG_DWORD 1 (0x1)
NoRun REG_DWORD 1 (0x1)
NoFolderOptions REG_DWORD 1 (0x1)

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\DisallowRun
1 REG_SZ Regedit.exe
2 REG_SZ MSConfig.exe
3 REG_SZ taskmgr.exe
4 REG_SZ MMC.exe
5 REG_SZ gpedit.msc
6 REG_SZ Cmd.exe


Error: Key: software\microsoft\windows\currentversion\policies\explorer does not exist!



HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system
dontdisplaylastusername REG_DWORD 0 (0x0)
legalnoticecaption REG_SZ
legalnoticetext REG_SZ
shutdownwithoutlogon REG_DWORD 1 (0x1)
undockwithoutlogon REG_DWORD 1 (0x1)


HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot
AlternateShell REG_SZ cmd.exe


HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\your image file name here without a path
Debugger REG_SZ ntsd -d
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C\Shell
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C\Shell\AutoRun
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C\Shell\AutoRun\command
<NO NAME> REG_SZ C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe WillPolo.vbs
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\AutoRun
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\AutoRun\command
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\explore
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\explore\Command
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\open
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\open\Command
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\open\Default
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1486aa76-d087-11db-9cb9-0019db2d0e5c}\Shell
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1486aa76-d087-11db-9cb9-0019db2d0e5c}\Shell\Autoplay
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1486aa76-d087-11db-9cb9-0019db2d0e5c}\Shell\Autoplay\DropTarget
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1486aa76-d087-11db-9cb9-0019db2d0e5c}\Shell\AutoRun
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1486aa76-d087-11db-9cb9-0019db2d0e5c}\Shell\AutoRun\command
<NO NAME> REG_SZ C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{651273f6-f4c8-11db-9ce1-0019db2d0e5c}\Shell
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{651273f6-f4c8-11db-9ce1-0019db2d0e5c}\Shell\AutoRun
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{651273f6-f4c8-11db-9ce1-0019db2d0e5c}\Shell\AutoRun\command
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9036fe04-f16e-11db-9ce0-0019db2d0e5c}\Shell
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9036fe04-f16e-11db-9ce0-0019db2d0e5c}\Shell\Autoplay
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9036fe04-f16e-11db-9ce0-0019db2d0e5c}\Shell\Autoplay\DropTarget
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9036fe04-f16e-11db-9ce0-0019db2d0e5c}\Shell\AutoRun
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9036fe04-f16e-11db-9ce0-0019db2d0e5c}\Shell\AutoRun\command
<NO NAME> REG_SZ C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ce5bf44-d21c-11db-9cbe-0019db2d0e5c}\Shell
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ce5bf44-d21c-11db-9cbe-0019db2d0e5c}\Shell\Autoplay
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ce5bf44-d21c-11db-9cbe-0019db2d0e5c}\Shell\Autoplay\DropTarget
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ce5bf44-d21c-11db-9cbe-0019db2d0e5c}\Shell\AutoRun
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ce5bf44-d21c-11db-9cbe-0019db2d0e5c}\Shell\AutoRun\command
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aef1f4fc-cd59-11db-9cb0-806d6172696f}\Shell
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aef1f4fc-cd59-11db-9cb0-806d6172696f}\Shell\AutoRun
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aef1f4fc-cd59-11db-9cb0-806d6172696f}\Shell\AutoRun\command
<NO NAME> REG_SZ C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe WillPolo.vbs
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bdad4024-ee57-11db-9cdd-0019db2d0e5c}\Shell
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bdad4024-ee57-11db-9cdd-0019db2d0e5c}\Shell\Autoplay
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bdad4024-ee57-11db-9cdd-0019db2d0e5c}\Shell\Autoplay\DropTarget
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bdad4024-ee57-11db-9cdd-0019db2d0e5c}\Shell\AutoRun
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bdad4024-ee57-11db-9cdd-0019db2d0e5c}\Shell\AutoRun\command
<NO NAME> REG_SZ C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c70ab1a0-0d0d-11dc-9ce8-0019db2d0e5c}\Shell
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c70ab1a0-0d0d-11dc-9ce8-0019db2d0e5c}\Shell\Autoplay
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c70ab1a0-0d0d-11dc-9ce8-0019db2d0e5c}\Shell\Autoplay\DropTarget
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c70ab1a0-0d0d-11dc-9ce8-0019db2d0e5c}\Shell\AutoRun
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c70ab1a0-0d0d-11dc-9ce8-0019db2d0e5c}\Shell\AutoRun\command
<NO NAME> REG_SZ C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe


################################# END ###################################

Je te poste une manip d'ici quelques minutes, mais en attendant, ne redemarre pas ton pc et laisse branché tous les périphériques externes.

A plus tard

Ok j'attend toujours

C'est parti...

Imprime, ou enregistre la manip dans un fichier txt (bloc notes, par exemple) pour etre sur ne rien oublier et de tout faire dans l'ordre.

Avant de commencer quoi que ce soit, il est important que tu fasses ceci:

Télécharges Flash_Disinfector ici:
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfec­tor.exe
Et enregistre le sur ton bureau.

Retélécharge hijackthis :
http://www.spywareinfo.com/downloads/tools/HijackThis.exe
Car actuellement il est dans un dossier temporaire et enregistre-le sur ton bureau
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Répertoire temporaire 1 pour scanner.exe.zip\HijackThis.exe
Ce dossier : C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp est nettoyé de son contenu par l'utilitaire que tu emploieras plus tard et donc tu ne le retrouveras pas au moment ou tu en auras besoin.

Puis déconnecte toi d'internet si tu peux et ferme tout les programmes en cours.


1/

Double clique sur Flash_Disinfector.exe pour le lancer.
Quand le message : "Plug in yours flash drive & clic Ok to begin disinfection" apparaitra :
Assure toi que: clé USB et périphériques USB externes susceptibles d'avoir été infectés, soient bien connectés.
Puis clique sur Ok
Les icônes sur le bureau vont disparaitre jusqu'à l'apparition du message: "Done!!"
Appuies sur OK, pour faire réapparaitre le bureau.


2/

� Lance hijackthis et clic sur [Do a system scan only]

coche la case au début des lignes suivantes:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Piraté par WillPolo ---- Ingénieur en hacking -------- fuck u ---------- 
F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [WillPolo] C:\WINDOWS\WillPolo.vbs
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Mswinword] C:\Windows\KAMARA.exe

Salut

la je crois que le message a disparu dans ma fenetre . le seul probleme sait qu'il ya des restriction sur ma session quand je suis dans executer rien ne passe .
ps : je ne sais pas si j'ai supprimer le fichier c:\windows\kamara mais je ne le vois plus nulle part

voila les rapport

Logfile of HijackThis v1.97.7
Scan saved at 18:36:33, on 11/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\progra~1\mcafee\mcafee antispyware\massrv.exe
c:\program files\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\WINDOWS\system32\Ati2evxx.exe
c:\PROGRA~1\mcafee.com\vso\OasClnt.exe
c:\program files\mcafee.com\vso\mcvsshld.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\program files\mcafee.com\agent\mcagent.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\McAfee.com\Agent\mcregwiz.exe
C:\progra~1\mcafee\MCAFEE~1\masalert.exe
C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolb­arNotifier.exe
C:\Program Files\Messenger\msmsgs.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Fichiers communs\Sonic Shared\CineTray.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\Program Files\TP-LINK\TL-WN321G Wireless Utility\Installer\WINXP\TWCU.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Administrateur\Application Data\U3\0000184FC860FDE2\LaunchPad.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.hp.com/
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SetRefresh] C:\Program Files\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [McRegWiz] C:\PROGRA~1\McAfee.com\Agent\mcregwiz.exe /autorun
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Program Files\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [OASClnt] C:\Program Files\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [_AntiSpyware] c:\progra~1\mcafee\MCAFEE~1\masalert.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [OrderReminder] C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Display LiteSaver Startup.lnk = C:\WINDOWS\HPLiteSaver.exe
O4 - Global Startup: Sonic CinePlayer Quick Launch.lnk = C:\Program Files\Fichiers communs\Sonic Shared\CineTray.exe
O4 - Global Startup: TL-WN321G Wireless Utility.lnk = C:\Program Files\TP-LINK\TL-WN321G Wireless Utility\Installer\WINXP\TWCU.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O9 - Extra button: Recherche (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7F468D68-877E-4579-A77A-9D0371755C0B}: NameServer = 213.136.96.2,213.136.96.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB78C74D-AE54-4DC3-A069-BCDEFB3763F7}: NameServer = 213.138.96.12



et l'autre

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\R‚pertoire temporaire 1 pour Autosrch.zip\Autosrch\autosearch.bat

Exécuté le 11/07/2007 à 18:37:26


###########################################################################

Listing des fichier *.vbs *.exe du dossier C:\WINDOWS

:. Fichiers *.vbs : Néant

C:\WINDOWS\apptune1020.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\hh.exe
C:\WINDOWS\HPLiteSaver.exe
C:\WINDOWS\NOTEPAD.EXE
C:\WINDOWS\regedit.exe
C:\WINDOWS\RtlUpd.exe
C:\WINDOWS\ST5UNST.EXE
C:\WINDOWS\TASKMAN.EXE
C:\WINDOWS\twunk_16.exe
C:\WINDOWS\twunk_32.exe
C:\WINDOWS\UNNeroBackItUp.exe
C:\WINDOWS\UNNeroMediaHome.exe
C:\WINDOWS\UNNeroShowTime.exe
C:\WINDOWS\UNNeroVision.exe
C:\WINDOWS\UNRecode.exe
C:\WINDOWS\winhelp.exe
C:\WINDOWS\winhlp32.exe

Listing des fichier *.vbs autorun.* du dossier C:\WINDOWS\System32

:. Fichiers autorun.* : Néant

C:\WINDOWS\System32\eventquery.vbs
C:\WINDOWS\System32\OeApi.vbs
C:\WINDOWS\System32\pagefileconfig.vbs
C:\WINDOWS\System32\prncnfg.vbs
C:\WINDOWS\System32\prndrvr.vbs
C:\WINDOWS\System32\prnjobs.vbs
C:\WINDOWS\System32\prnmngr.vbs
C:\WINDOWS\System32\prnport.vbs
C:\WINDOWS\System32\prnqctl.vbs
C:\WINDOWS\System32\pubprn.vbs

###########################################################################

C: - Lecteur fixe



Recherche des fichiers *.vbs et *.exe...


:. Fichiers vbs: Néant

:. Fichiers *.exe: Néant


Recherche des fichiers autorun.*...

:. Dossier autorun.inf Présent: Flash_Disinfector a été utilisé.


###########################################################################

D: - Lecteur de CD-ROM



Recherche des fichiers *.vbs et *.exe...


:. Fichiers vbs: Néant

-> D:\LaunchU3.exe



Recherche des fichiers autorun.*...

D:\autorun.inf

Contenu de D:\autorun.inf :

[AutoRun]
open=LaunchU3.exe
icon=LaunchU3.exe,0

[Definitions]
Launchpad=LaunchPad.exe

[CopyFiles]
FileNumber=1
File1=LaunchPad.zip



###########################################################################

G: - Lecteur amovible



Recherche des fichiers *.vbs et *.exe...


:. Fichiers vbs: Néant

-> G:\LaunchU3.exe



Recherche des fichiers autorun.*...

:. Dossier autorun.inf Présent: Flash_Disinfector a été utilisé.


###########################################################################

M: - Lecteur amovible



Recherche des fichiers *.vbs et *.exe...


:. Fichiers vbs: Néant

-> M:\INVITATION.exe

-> M:\Keygen Swish V2.EXE



Recherche des fichiers autorun.*...

:. Dossier autorun.inf Présent: Flash_Disinfector a été utilisé.


###########################################################################

T: - Lecteur amovible



Recherche des fichiers *.vbs et *.exe...


:. Fichiers vbs: Néant

:. Fichiers *.exe: Néant


Recherche des fichiers autorun.*...

:. Fichier autorun.* : Néant


###########################################################################

U: - Lecteur de CD-ROM



Recherche des fichiers *.vbs et *.exe...


:. Fichiers vbs: Néant

-> U:\LaunchU3.exe



Recherche des fichiers autorun.*...

U:\autorun.inf

Contenu de U:\autorun.inf :

[AutoRun]
open=LaunchU3.exe -a
icon=LaunchU3.exe,0

[Definitions]
Launchpad=LaunchPad.exe
Vtype=1

[CopyFiles]
FileNumber=1
File1=LaunchPad.zip

[Update]
URL=http://u3.sandisk.com/download/lp_installer.asp?custom=1.1.0.2&brand=cruzer


[Comment]
brand=cruzer



###########################################################################

Registre :


################################# END ###################################

C'est beaucoup mieux cette fois !!

Apparement tout à l'heure, tu n'avais pas branché M:\ et il y a deux fichiers à l'intérieur dont le nom est assez suspect:

M:\INVITATION.exe

M:\Keygen Swish V2.EXE

Tu connais ?

Rends toi sur http:\\www.virustotal.com
Clic sur parcourir, puis recherche et selectionnes
M:\INVITATION.exe
Clic sur Send file
Fais pareil avec:
M:\Keygen Swish V2.EXE
Et poste les deux rapports.

Pour les restrictions, t'inquiètes on y arrive, mais vu que tu ne peux pas utiliser regedit.exe pour aller dans le registre, je pensais utiliser un utilitaire de remplacement qui est d'ailleur dans le dossier autosrch.
Mais je vois dans le dernier rapport autosrch.bat qu'il n'y a aucun topo du registre comme prévu, ton AV à bloqué un de ces fichiers ?
C'est important de les autoriser tous, sinon il va manquer pas mal d'infos et de moyens d'action en conséquence.

Reposte donc un rapport autosrch.bat, que je puisse voir les restrictions qu'à déjà levé Flash_disinfector et celles qui restent à virer.

a++

Bon je ne sais pas comment mon AV aurait bloqué le fichier

beh voici le rapport des 2 fichiers suspect

AhnLab-V3 2007.7.11.1 20070711 no virus found
AntiVir 7.4.0.39 20070711 no virus found
Authentium 4.93.8 20070711 no virus found
Avast 4.7.997.0 20070711 no virus found
AVG 7.5.0.476 20070711 no virus found
BitDefender 7.2 20070711 no virus found
CAT-QuickHeal 9.00 20070711 (Suspicious) - DNAScan
ClamAV devel-20070416 20070711 no virus found
DrWeb 4.33 20070711 no virus found
eSafe 7.0.15.0 20070710 Suspicious Trojan/Worm
eTrust-Vet 30.8.3779 20070711 no virus found
Ewido 4.0 20070711 no virus found
FileAdvisor 1 20070711 no virus found
Fortinet 2.91.0.0 20070711 no virus found
F-Prot 4.3.2.48 20070710 no virus found
Ikarus T3.1.1.8 20070711 no virus found
Kaspersky 4.0.2.24 20070711 no virus found
McAfee 5072 20070711 no virus found
Microsoft 1.2704 20070711 no virus found
NOD32v2 2394 20070711 no virus found
Norman 5.80.02 20070711 no virus found
Panda 9.0.0.4 20070711 Suspicious file
Sophos 4.19.0 20070706 no virus found
Sunbelt 2.2.907.0 20070711 VIPRE.Suspicious
Symantec 10 20070711 no virus found
TheHacker 6.1.6.144 20070709 no virus found
VBA32 3.12.0.2 20070710 no virus found
VirusBuster 4.3.23:9 20070711 no virus found
Webwasher-Gateway 6.0.1 20070711 Win32.Malware.gen#Petite!94 (suspicious)
Aditional information
File size: 5578 bytes
MD5: 438778b92532ad7efaff3967ded070d1
SHA1: b9901d8a162090f74d01d85c947bb31f637eeed7
packers: PETITE
packers: Petite
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.


l'autre fichier

Antivirus Versión Last Update Result
AhnLab-V3 2007.7.11.1 20070711 Win-Trojan/Disabler.53248
AntiVir 7.4.0.39 20070711 HEUR/Malware
Authentium 4.93.8 20070711 no virus found
Avast 4.7.997.0 20070711 no virus found
AVG 7.5.0.476 20070711 Generic.YZW
BitDefender 7.2 20070711 Trojan.Disabler.K
CAT-QuickHeal 9.00 20070711 no virus found
ClamAV devel-20070416 20070711 no virus found
DrWeb 4.33 20070711 BackDoor.Generic.1497
eSafe 7.0.15.0 20070710 no virus found
eTrust-Vet 30.8.3779 20070711 Win32/Disackt.A
Ewido 4.0 20070711 Trojan.Disabler.k
FileAdvisor 1 20070711 no virus found
Fortinet 2.91.0.0 20070711 no virus found
F-Prot 4.3.2.48 20070710 no virus found
Ikarus T3.1.1.8 20070711 no virus found
Kaspersky 4.0.2.24 20070711 Virus.Win32.VB.fm
McAfee 5072 20070711 Disackt
Microsoft 1.2704 20070711 Trojan:Win32/Disabler
NOD32v2 2394 20070711 Win32/VB.AMN
Norman 5.80.02 20070711 no virus found
Panda 9.0.0.4 20070711 Trj/WindowsDisabler.C
Sophos 4.19.0 20070706 no virus found
Sunbelt 2.2.907.0 20070711 no virus found
Symantec 10 20070711 Trojan.Killfiles
TheHacker 6.1.6.144 20070709 Trojan/generic
VBA32 3.12.0.2 20070710 Trojan.Win32.VB.AMN
VirusBuster 4.3.23:9 20070711 Trojan.Disabler.H
Webwasher-Gateway 6.0.1 20070711 Heuristic.Malware
Aditional information
File size: 73728 bytes
MD5: cded169fc6fc617431efb8f5c13e512f
SHA1: c622f0d0e20174abd9721d7b199da565249479dd

pour hijackthis

Logfile of HijackThis v1.97.7
Scan saved at 19:33:28, on 11/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\progra~1\mcafee\mcafee antispyware\massrv.exe
c:\program files\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\WINDOWS\system32\Ati2evxx.exe
c:\PROGRA~1\mcafee.com\vso\OasClnt.exe
c:\program files\mcafee.com\vso\mcvsshld.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\program files\mcafee.com\agent\mcagent.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\McAfee.com\Agent\mcregwiz.exe
C:\progra~1\mcafee\MCAFEE~1\masalert.exe
C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolb­arNotifier.exe
C:\Program Files\Messenger\msmsgs.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Fichiers communs\Sonic Shared\CineTray.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\Program Files\TP-LINK\TL-WN321G Wireless Utility\Installer\WINXP\TWCU.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Administrateur\Application Data\U3\0C803360F172D894\LaunchPad.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.hp.com/
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SetRefresh] C:\Program Files\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [McRegWiz] C:\PROGRA~1\McAfee.com\Agent\mcregwiz.exe /autorun
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Program Files\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [OASClnt] C:\Program Files\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [_AntiSpyware] c:\progra~1\mcafee\MCAFEE~1\masalert.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [OrderReminder] C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Display LiteSaver Startup.lnk = C:\WINDOWS\HPLiteSaver.exe
O4 - Global Startup: Sonic CinePlayer Quick Launch.lnk = C:\Program Files\Fichiers communs\Sonic Shared\CineTray.exe
O4 - Global Startup: TL-WN321G Wireless Utility.lnk = C:\Program Files\TP-LINK\TL-WN321G Wireless Utility\Installer\WINXP\TWCU.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O9 - Extra button: Recherche (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7F468D68-877E-4579-A77A-9D0371755C0B}: NameServer = 213.136.96.2,213.136.96.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB78C74D-AE54-4DC3-A069-BCDEFB3763F7}: NameServer = 213.138.96.12

et enfin pour autosrch

C:\Documents and Settings\Administrateur\Bureau\Autosrch\Autosrch\autosearch.bat

Exécuté le 11/07/2007 à 19:34:16


###########################################################################

Listing des fichier *.vbs *.exe du dossier C:\WINDOWS

:. Fichiers *.vbs : Néant

C:\WINDOWS\apptune1020.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\hh.exe
C:\WINDOWS\HPLiteSaver.exe
C:\WINDOWS\NOTEPAD.EXE
C:\WINDOWS\regedit.exe
C:\WINDOWS\RtlUpd.exe
C:\WINDOWS\ST5UNST.EXE
C:\WINDOWS\TASKMAN.EXE
C:\WINDOWS\twunk_16.exe
C:\WINDOWS\twunk_32.exe
C:\WINDOWS\UNNeroBackItUp.exe
C:\WINDOWS\UNNeroMediaHome.exe
C:\WINDOWS\UNNeroShowTime.exe
C:\WINDOWS\UNNeroVision.exe
C:\WINDOWS\UNRecode.exe
C:\WINDOWS\winhelp.exe
C:\WINDOWS\winhlp32.exe

Listing des fichier *.vbs autorun.* du dossier C:\WINDOWS\System32

:. Fichiers autorun.* : Néant

C:\WINDOWS\System32\eventquery.vbs
C:\WINDOWS\System32\OeApi.vbs
C:\WINDOWS\System32\pagefileconfig.vbs
C:\WINDOWS\System32\prncnfg.vbs
C:\WINDOWS\System32\prndrvr.vbs
C:\WINDOWS\System32\prnjobs.vbs
C:\WINDOWS\System32\prnmngr.vbs
C:\WINDOWS\System32\prnport.vbs
C:\WINDOWS\System32\prnqctl.vbs
C:\WINDOWS\System32\pubprn.vbs

###########################################################################

C: - Lecteur fixe



Recherche des fichiers *.vbs et *.exe...


:. Fichiers vbs: Néant

:. Fichiers *.exe: Néant


Recherche des fichiers autorun.*...

:. Fichier autorun.* : Néant


###########################################################################

D: - Lecteur de CD-ROM



Recherche des fichiers *.vbs et *.exe...


:. Fichiers vbs: Néant

-> D:\LaunchU3.exe



Recherche des fichiers autorun.*...

D:\autorun.inf

Contenu de D:\autorun.inf :

[AutoRun]
open=LaunchU3.exe
icon=LaunchU3.exe,0

[Definitions]
Launchpad=LaunchPad.exe

[CopyFiles]
FileNumber=1
File1=LaunchPad.zip



###########################################################################

F: - Lecteur amovible



Recherche des fichiers *.vbs et *.exe...


:. Fichiers vbs: Néant

-> F:\LaunchU3.exe



Recherche des fichiers autorun.*...

:. Fichier autorun.* : Néant


###########################################################################

M: - Lecteur amovible



Recherche des fichiers *.vbs et *.exe...


:. Fichiers vbs: Néant

-> M:\INVITATION.exe

-> M:\Keygen Swish V2.EXE



Recherche des fichiers autorun.*...

:. Fichier autorun.* : Néant


###########################################################################

Registre :


HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run
CTFMON.EXE REG_SZ C:\WINDOWS\system32\ctfmon.exe
swg REG_SZ C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
MSMSGS REG_SZ "C:\Program Files\Messenger\msmsgs.exe" /background
SsAAD.exe REG_SZ C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} REG_SZ "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
Yahoo! Pager REG_SZ "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
updateMgr REG_SZ C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9


HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run
ATIPTA REG_SZ "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
SetRefresh REG_SZ C:\Program Files\Compaq\SetRefresh\SetRefresh.exe
McRegWiz REG_SZ C:\PROGRA~1\McAfee.com\Agent\mcregwiz.exe /autorun
VSOCheckTask REG_SZ "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
VirusScan Online REG_SZ C:\Program Files\McAfee.com\VSO\mcvsshld.exe
OASClnt REG_SZ C:\Program Files\McAfee.com\VSO\oasclnt.exe
MCAgentExe REG_SZ c:\PROGRA~1\mcafee.com\agent\mcagent.exe
MCUpdateExe REG_SZ c:\PROGRA~1\mcafee.com\agent\mcupdate.exe
_AntiSpyware REG_SZ c:\progra~1\mcafee\MCAFEE~1\masalert.exe
NeroFilterCheck REG_SZ C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
OrderReminder REG_SZ C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL
Installed REG_SZ 1

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI
Installed REG_SZ 1
NoChange REG_SZ 1

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS
Installed REG_SZ 1


HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
Shell REG_SZ Explorer.exe


HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
Userinit REG_SZ C:\WINDOWS\system32\userinit.exe,


HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer
NoDriveTypeAutoRun REG_DWORD 36 (0x24)
DisallowRun REG_DWORD 1 (0x1)
NoDriveAutoRun REG_BINARY ffffffff

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\DisallowRun
1 REG_SZ Regedit.exe
2 REG_SZ MSConfig.exe
3 REG_SZ taskmgr.exe
4 REG_SZ MMC.exe
5 REG_SZ gpedit.msc
6 REG_SZ Cmd.exe

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run


HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\Run


HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system
dontdisplaylastusername REG_DWORD 0 (0x0)
legalnoticecaption REG_SZ
legalnoticetext REG_SZ
shutdownwithoutlogon REG_DWORD 1 (0x1)
undockwithoutlogon REG_DWORD 1 (0x1)


HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot
AlternateShell REG_SZ cmd.exe


HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\your image file name here without a path
Debugger REG_SZ ntsd -d
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C\Shell
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C\Shell\AutoRun
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C\Shell\AutoRun\command
<NO NAME> REG_SZ C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe WillPolo.vbs
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\AutoRun
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\AutoRun\command
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\explore
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\explore\Command
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\open
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\open\Command
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\open\Default
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1486aa76-d087-11db-9cb9-0019db2d0e5c}\Shell
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1486aa76-d087-11db-9cb9-0019db2d0e5c}\Shell\Autoplay
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1486aa76-d087-11db-9cb9-0019db2d0e5c}\Shell\Autoplay\DropTarget
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1486aa76-d087-11db-9cb9-0019db2d0e5c}\Shell\AutoRun
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1486aa76-d087-11db-9cb9-0019db2d0e5c}\Shell\AutoRun\command
<NO NAME> REG_SZ C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ce5bf44-d21c-11db-9cbe-0019db2d0e5c}\Shell
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ce5bf44-d21c-11db-9cbe-0019db2d0e5c}\Shell\Autoplay
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ce5bf44-d21c-11db-9cbe-0019db2d0e5c}\Shell\Autoplay\DropTarget
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ce5bf44-d21c-11db-9cbe-0019db2d0e5c}\Shell\AutoRun
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ce5bf44-d21c-11db-9cbe-0019db2d0e5c}\Shell\AutoRun\command
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bdad4024-ee57-11db-9cdd-0019db2d0e5c}\Shell
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bdad4024-ee57-11db-9cdd-0019db2d0e5c}\Shell\Autoplay
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bdad4024-ee57-11db-9cdd-0019db2d0e5c}\Shell\Autoplay\DropTarget
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bdad4024-ee57-11db-9cdd-0019db2d0e5c}\Shell\AutoRun
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bdad4024-ee57-11db-9cdd-0019db2d0e5c}\Shell\AutoRun\command
<NO NAME> REG_SZ C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c70ab1a0-0d0d-11dc-9ce8-0019db2d0e5c}\Shell
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c70ab1a0-0d0d-11dc-9ce8-0019db2d0e5c}\Shell\Autoplay
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c70ab1a0-0d0d-11dc-9ce8-0019db2d0e5c}\Shell\Autoplay\DropTarget
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c70ab1a0-0d0d-11dc-9ce8-0019db2d0e5c}\Shell\AutoRun
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c70ab1a0-0d0d-11dc-9ce8-0019db2d0e5c}\Shell\AutoRun\command
<NO NAME> REG_SZ C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe


################################# END ###################################

merci beaucoup j'attend

Désolé d'insister mais, tu pourrais m'envoyer une copie zippé de ces deux:

M:\INVITATION.exe
M:\Keygen Swish V2.EXE

Dis moi franchement si tu n'as pas envie , je le comprendrais très bien et j'insisterais plus :-).

Ils sont vérolés tout les deux et très peu d'AV sont en mesure de les détecter si on en crois le faible taux de détection sur virustotal.

Bon, sinon laisse moi quelques minutes et je te poste la suite des manips.

A plus tard !

Ok j'attend car je part dans quelques minutes

Merci Newtech83, c'est reçu :-)

Télécharge newtech.bat et enregistre le sur ton bureau.
Important, place ce fichier dans le dossier autosrch, sinon il ne fonctionnera pas.
Il permettra de lever certaines restriction comme l'accès à:
Regedit.exe
MSConfig.exe
taskmgr.exe
MMC.exe
gpedit.msc
Cmd.exe

Pour l'instant, n'utilise pas ce fichier.

D'abord, vas dans le Poste de travail:
Fais un clic droit >> Explorer sur l'icône du disque/clé -> M:\

Et supprime:
M:\INVITATION.exe
M:\Keygen Swish V2.EXE

(n'oublies pas de vider la corbeille ensuite ;-) )

Sur le bureau et dans le dossier autosrch, lance le fichier que tu viens de télécharger, newtech.bat.
Une fenêtre va tres rapidement s'ouvrir et se refermer, c'est normal.

Redémarre le pc pour que les modifications soit prises en compte.

Après avoir redémarré, fais moi le point sur les restrictions:
Du gestionnaire des tâches
De l'éditeur du registre
De l'invite de commande (demarrer > executer > tape cmd)
De l'utilitaire de configuration système (demarrer > executer > tape msconfig)
De l'éditeur de stratégies (demarrer > executer > tape gpedit.msc) <- Uniquement si tu es sous XP Pro
De la console de Management (demarrer > executer > tape mmc)
En me disant si tu y as de nouveau accès ou pas...Et si tu as d'autres restrictions et lesquelles.

A+ tard

Salut

Tous marche a merveille tous les restrictions ont disparu . bon jusuqe la tous je crois bien .
merci bien à demain

J'oubliai je voulais que tu me donne des conseils pour un tres bon antivirus selon toi car tous sont bon mais chacun a une preference car le poste que j'utilise est connecter en permanence et je crois que Macaffe ne fais pas trop le poids en plus il es en reseau avec d'autres poste

merci et a demain