High-Tech Santé Médecine Droit-Finances

Auto-Entrepreneur

Comment faire ?

Rechercher : dans
Par :

Désinstaller antivirus pro

Dernière réponse le 21 oct 2008 à 12:44:35 ace, le 20 oct 2008 à 10:57:39 
 Signaler ce message aux modérateurs

Bonjour,

J'ai moi-même un grave problème avec mon PC qui reboot au démarrage au moins 10 fois avant de fonctionner (pas très correctement)! J'ai installé (avec les mises à jour?) Internet antivirus pro qui semble être un virus.

J'ai d'abord essayé de faire un scan avec mon antivirus Nod 32, sans grand résultat. Après quelques recherches sur les forums, j'ai fait un scan de mon ordinateur avec CCleaner, Malwarebytes anti-malware (l'ordi a buggé après ce scan et je n'ai pas pu sauvegarder le rapport), Zone Alarm, SDFix, ComboFix et enfin Spybot. Rien de tout cela n'a fonctionné, je ne sais plus quoi faire!!!

Est-il possible de me donner un coup de main?
Je poste un Hijackthis de l'état actuel de mon PC.
Merci beaucoup par avance!


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:54:57, on 20/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\VIA\VIAudioi\SBADeck\ADeck.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Documents and Settings\ubuntu\Local Settings\Application Data\Microsoft\Windows\procgdld32.exe
c:\program files\Internet Antivirus Pro\IAPro.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIA\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Internet Antivirus Pro] "C:\program files\Internet Antivirus Pro\IAPro.exe" /s
O4 - HKCU\..\RunOnce: [3P_UDEC_IA] "C:\Documents and Settings\ubuntu\Bureau\IAInstall.exe" 0;C;
O4 - HKCU\..\Policies\Explorer\Run: [procgdld32.exe] C:\Documents and Settings\ubuntu\Local Settings\Application Data\Microsoft\Windows\procgdld32.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
End of file - 5057 bytes

Configuration: Windows XP
Firefox 3.0.3

Meilleures réponses pour « désinstaller antivirus pro » dans :
Adobe Reader - Désinstallation et mise à jour impossibles Voir
Supprimer/Désinstaller Norton Antivirus/Norton Internet Security Voir
Désinstaller proprement Avast VoirPour supprimer correctement et proprement Avast édition Familiale (ou Avast Pro), il suffit d'utiliser l'utilitaire de désinstallation. Il se peut que vous ayez un message d'erreur dans ce genre : "The avast! self protection module is enabled. For...
Télécharger RemoveIT Pro 4 SE VoirParfois, vous avez des virus ou des spyware en tout genre que les antivirus n'arrive pas détecter, donc à supprimer. Si vous ne savez plus quoi faire, essayez ce programme. RemoveIT Pro détecte et supprime la plupart des virus et autres malwares que...
Posez votre question Répondre

1

tchaning, le 20 oct 2008 à 11:06:49

Salut,

Télécharge SDFIX installe le

redemarre ton pc en mode sans echec : F8 plusieurs fois au demarrage de ton pc

Au menu noir et blanc , choisir : mode sans echec

Entre dans la session vas sur poste de travail ==> disque dur C
c:\SDFIX

lance alor "Run.this.bat "

Valide par " Y"

Laisse le programme travailler, suis les instruction

et le pc va redemarrer .

Relance et colle moi un nouveau rapport hijackthis N'oubliez pas de mettre vos posts en Résolu si c'est le cas . 
Merci 

   
Répondre à tchaning

2

sKe69, le 20 oct 2008 à 11:09:48

Salut,

un cas spécial ...


Avant de commencer les hostilités :

* postes moi les rapports que tu as obtenu avec SDFix et Combofix


* Désactiver le redémarrage automatique :

A) Allez dans le menu "Démarrer", puis "Panneau de configuration" puis "Performances et maintenance" et enfin "Système" .
Ou bien en faisant un clic-droit sur "Poste de travail" ( sur "ordinateur" pour Vista ) et en sélectionnant "Propriétés" .
B) Cliquez sur l'onglet "Avancé" ( pour Vista , cliquer dans "tâche" sur "paramètre systeme avancés" )
C) Ensuite , dans le 3eme paragraphe "Démarrage et récupération" , cliquer sur "paramètre" .
D) Dans le paragraphe "Défaillance du système" : Décocher "Redémarrer automatiquement" .

puis cliquer sur "ok" , "appliquer" et encore "Ok" pour valider la modif .

Conseil : laissez ces paramètres par la suite ...

==================================


Ensuite fais ce qui suit :

1-Avoir accès aux fichiers cachés :

Vas dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
* "Afficher les fichiers et dossiers cachés" ---> coché
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché
* "masquer les fichiers du système" ---> décoché
-> valides la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )


2- Rends toi sur ce site :

http://www.virustotal.com/

Copies ce qui suit et colles le dans l'espace pour la recherche :
C:\program files\Internet Antivirus Pro\IAPro.exe

Cliques sur Send File ( = " Envoyer le fichier " ).

Un rapport va s'élaborer ligne à ligne.

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copies le dans ta prochaine réponse ...

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )


Fais de même pour :
C:\Documents and Settings\ubuntu\Bureau\IAInstall.exe

postes moi donc ces 2 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...
"Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne 
vous l'a pas dit !

   
Répondre à sKe69

3

ace, le 20 oct 2008 à 11:59:10

Bonjour,

Voici donc les rapports de SDfix dhier (je n'ai pas pu enregistrer celui que j'ai réalisé à la demande de Tchnaning aujourd'hui parce que mon PC a redémarré au moment où j'ai voulu l'enregistrer mais c'était la même chose : no trojan files found)


[b]SDFix: Version 1.236 /b
Run by ubuntu on 19/10/2008 at 22:17

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services /b:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files /b:

No Trojan Files Found






Removing Temp Files

[b]ADS Check /b:



[b]Final Check /b:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-19 22:24:44
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services /b:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[b]Remaining Files /b:



[b]Files with Hidden Attributes /b:

Mon 15 Sep 2008 1,562,960 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDHelper.dll"
Sat 17 May 2008 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Sun 14 Sep 2008 24,064 ...H. --- "C:\Documents and Settings\ubuntu\Mes documents\Boulot\Lettres motiv\~WRL0004.tmp"
Sun 14 Sep 2008 24,064 ...H. --- "C:\Documents and Settings\ubuntu\Mes documents\Boulot\Lettres motiv\~WRL2340.tmp"
Fri 16 Mar 2007 229,376 A..H. --- "C:\Documents and Settings\ubuntu\Mes documents\PHOTOS\image phil\bateau siloe\voga monstra 2007\SIV1.tmp"

[b]Finished!/b


Et le rapport Combofix d'hier aussi :
ComboFix 08-10-19.01 - ubuntu 2008-10-19 22:37:29.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.197 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\ubuntu\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé
* Resident AV is active


[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/B/COLOR
.

((((((((((((((((((((((((((((( Fichiers créés du 2008-09-19 au 2008-10-19 ))))))))))))))))))))))))))))))))))))
.

2008-10-19 22:19 . 2008-10-19 22:40 149,536 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-10-19 22:19 . 2008-10-19 22:19 32 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-10-19 22:15 . 2008-10-19 22:15 <REP> d-------- C:\WINDOWS\ERUNT
2008-10-19 22:12 . 2008-10-19 22:27 <REP> d-------- C:\SDFix
2008-10-19 22:07 . 2008-10-19 22:07 <REP> d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier
2008-10-19 22:07 . 2008-10-19 22:11 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2008-10-19 22:06 . 2008-10-19 22:06 <REP> d-------- C:\Program Files\Zone Labs
2008-10-19 22:05 . 2008-10-19 22:38 <REP> d-------- C:\WINDOWS\Internet Logs
2008-10-19 21:00 . 2008-10-19 21:00 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-10-19 21:00 . 2008-10-19 21:00 <REP> d-------- C:\Documents and Settings\ubuntu\Application Data\Malwarebytes
2008-10-19 21:00 . 2008-10-19 21:00 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-10-19 21:00 . 2008-10-16 20:25 38,496 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-19 21:00 . 2008-10-16 20:25 15,504 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-19 20:55 . 2008-10-19 20:55 <REP> d-------- C:\Program Files\CCleaner
2008-10-19 15:08 . 2008-10-19 15:09 <REP> d-------- C:\Program Files\Internet Antivirus Pro
2008-10-19 15:08 . 2008-10-19 15:08 <REP> d-------- C:\Program Files\Common Files
2008-10-19 15:08 . 2008-10-19 22:29 <REP> d-------- C:\Documents and Settings\ubuntu\Application Data\Internet Antivirus Pro
2008-10-04 12:33 . 2008-10-04 12:32 502,208 --a------ C:\WINDOWS\system32\drivers\amon.sys
2008-10-04 12:33 . 2008-10-04 12:32 270,336 --a------ C:\WINDOWS\system32\imon.dll
2008-10-04 12:22 . 2008-10-04 13:45 <REP> d-------- C:\Program Files\ESET
2008-10-04 12:21 . 2008-10-04 12:21 <REP> d-------- C:\Program Files\Nod 32
2008-09-22 19:54 . 2008-09-22 20:22 <REP> d-------- C:\WINDOWS\system32\CatRoot_bak
2008-09-22 19:54 . 2008-06-14 19:59 272,768 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-09-22 19:54 . 2008-06-14 19:59 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-19 18:57 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-10-19 12:46 90,112 ----a-w C:\WINDOWS\DUMP4977.tmp
2008-10-13 09:21 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-10-04 10:26 --------- d-----w C:\Documents and Settings\All Users\Application Data\avg7
2008-10-04 10:06 --------- d-----w C:\Documents and Settings\ubuntu\Application Data\AVG7
2008-10-03 07:04 --------- d-----w C:\Program Files\Mozilla Thunderbird
2008-09-22 17:51 --------- d-----w C:\Program Files\Java
2008-09-10 11:56 --------- d-----w C:\Program Files\iTunes
2008-09-10 11:56 --------- d-----w C:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-09-10 11:55 --------- d-----w C:\Program Files\iPod
2008-09-10 11:52 --------- d-----w C:\Program Files\Bonjour
2008-09-10 11:50 --------- d-----w C:\Program Files\QuickTime
2008-08-29 08:18 87,336 ----a-w C:\WINDOWS\system32\dns-sd.exe
2008-08-29 07:53 61,440 ----a-w C:\WINDOWS\system32\dnssd.dll
2008-08-25 11:04 --------- d-----w C:\Program Files\Apple Software Update
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 15360]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]
"Internet Antivirus Pro"="C:\program files\Internet Antivirus Pro\IAPro.exe" [2008-10-16 1319424]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"AudioDeck"="C:\Program Files\VIA\VIAudioi\SBADeck\ADeck.exe" [2007-08-09 528384]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-09-06 413696]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-09-08 289576]
"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2008-10-04 917504]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\Currentversion\policies\explorer\Run]
"procgdld32.exe"="C:\Documents and Settings\ubuntu\Local Settings\Application Data\Microsoft\Windows\procgdld32.exe" [2008-10-16 62464]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=

S3 MBAMSwissArmy;MBAMSwissArmy;C:\WINDOWS\system32\drivers\mbamswissarmy.sys [2008-10-16 38496]

*Newly Created Service* - KLIF
*Newly Created Service* - PROCEXP90
*Newly Created Service* - SRESCAN
*Newly Created Service* - VSMON
.
Contenu du dossier 'Tâches planifiées'

2008-10-11 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
.
------- Examen supplémentaire -------
.
FireFox -: Profile - C:\Documents and Settings\ubuntu\Application Data\Mozilla\Firefox\Profiles\1laxjc9c.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://hooseek.com/
FF -: plugin - C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-19 22:40:10
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
AudioDeck = C:\Program Files\VIA\VIAudioi\SBADeck\ADeck.exe 1????????????????????????????????????????????????

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2008-10-19 22:42:31
ComboFix-quarantined-files.txt 2008-10-19 20:42:22

Avant-CF: 3,921,395,712 octets libres
Après-CF: 3,936,952,320 octets libres

118


J'envoie dans une deuxièle réponse le rapport de Virustotal.
Merciiiiii beaucoup, je ne suis pas très douée en informatique... j'apprend....

   
Répondre à ace

4

ace, le 20 oct 2008 à 12:08:25

Pour finir, le rapport de Virus Total sur C:\programfiles\Internet Antivirus Pro\IAPro.exe
Par contre, je n'ai pas de fichier du nom de C:\documents and settings\ubuntu\bureau\IAinstall.exe (je l'ai effacé... désolée).

Fichier IAPro.exe reçu le 2008.10.20 11:38:43 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 2/36 (5.56%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.10.18.0 2008.10.20 -
AntiVir 7.9.0.5 2008.10.20 -
Authentium 5.1.0.4 2008.10.20 -
Avast 4.8.1248.0 2008.10.15 -
AVG 8.0.0.161 2008.10.19 -
BitDefender 7.2 2008.10.20 -
CAT-QuickHeal 9.50 2008.10.20 -
ClamAV 0.93.1 2008.10.20 -
DrWeb 4.44.0.09170 2008.10.20 -
eSafe 7.0.17.0 2008.10.19 -
eTrust-Vet 31.6.6159 2008.10.20 -
Ewido 4.0 2008.10.19 -
F-Prot 4.4.4.56 2008.10.20 -
F-Secure 8.0.14332.0 2008.10.20 -
Fortinet 3.113.0.0 2008.10.20 -
GData 19 2008.10.20 -
Ikarus T3.1.1.44.0 2008.10.20 -
K7AntiVirus 7.10.498 2008.10.18 -
Kaspersky 7.0.0.125 2008.10.20 -
McAfee 5408 2008.10.17 -
Microsoft 1.4005 2008.10.20 Program:Win32/InternetAntivirus
NOD32 3537 2008.10.20 -
Norman 5.80.02 2008.10.17 -
Panda 9.0.0.4 2008.10.19 -
PCTools 4.4.2.0 2008.10.20 -
Prevx1 V2 2008.10.20 Suspicious
Rising 20.67.01.00 2008.10.20 -
SecureWeb-Gateway 6.7.6 2008.10.20 -
Sophos 4.34.0 2008.10.20 -
Sunbelt 3.1.1732.1 2008.10.18 -
Symantec 10 2008.10.20 -
TheHacker 6.3.1.0.119 2008.10.18 -
TrendMicro 8.700.0.1004 2008.10.20 -
VBA32 3.12.8.7 2008.10.19 -
ViRobot 2008.10.20.1427 2008.10.20 -
VirusBuster 4.5.11.0 2008.10.19 -
Information additionnelle
File size: 1319424 bytes
MD5...: e76337a0b2cd7b93c5a1aca9ca7700ca
SHA1..: da99bc6ae40ad7fb2fea09abcd8bac20b5b73f41
SHA256: b4709dd0d827fab2e5456195954b5c7a3dbb5e06fe3bb669cef1fd4d18062eee
SHA512: 9aa965a61f57d3053e6fab9b77972de66abe1085211bf2171435d3f9e9b1f3d5
2c1e3d90f79121821733624880b18f103262fcfd357765357c5d4a357b952a60
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (67.8%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
VXD Driver (0.2%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x50febf
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x115000 0x115000 8.00 23e7302beaafff9a57f4b26f74a65c75
.data 0x116000 0x2c9000 0x13400 7.99 cfa8742588f122078e956eacc2494c2c
.rsrc 0x3df000 0x1a000 0x19a00 5.56 525480eee50bcb307af2e7e4d2743f69

( 2 imports )
> KERNEL32.DLL: GetTempFileNameW, ContinueDebugEvent, DeleteFiber, GetTempFileNameA, ResetEvent, GetCurrentProcess, SetConsoleTitleA, GetStartupInfoA, GetPrivateProfileIntA, EnumResourceTypesA, GetTempPathA, GetStdHandle, VDMConsoleOperation, ExitProcess, EnumTimeFormatsA, GetNamedPipeInfo
> USER32.DLL: CopyAcceleratorTableW, SetProcessWindowStation, IsCharAlphaNumericW, GetWindowContextHelpId, UnregisterClassW, SendNotifyMessageW, CreateWindowExA, GetWindowWord, GetWindow, MBToWCSEx, InsertMenuA, DrawTextA, FindWindowExW, mouse_event, SetWindowsHookExA, MapVirtualKeyExW, GetForegroundWindow, GetAppCompatFlags2, SystemParametersInfoW, CreateDialogParamW, DispatchMessageW, EnumDesktopsA, ClientThreadSetup, GetMenuItemInfoA, OpenDesktopW, RealGetWindowClass, CallWindowProcW, EndPaint, FrameRect, SetThreadDesktop, AppendMenuA

( 0 exports )
Prevx info: http://info.prevx.com/...

ATENTION ATTENTION: VirusTotal est un service gratuit offert par Hispasec Sistemas. Il n'y a aucune garantie quant à la disponibilité et la continuité de ce service. Bien que le taux de détection permis par l'utilisation de multiples moteurs antivirus soit bien supérieur à celui offert par seulement un produit, ces résultats NE garantissent PAS qu'un fichier est sans danger. Il n'y a actuellement aucune solution qui offre un taux d'efficacité de 100% pour la détection des virus et malwares.

   
Répondre à ace

5

sKe69, le 20 oct 2008 à 12:11:50

Bien ...

voilà ce que tu va faire pour commencer :

1-Vas dans panneau de config/ajout et suppression de prg .
Regardes dans la liste si tu trouves un prg comme : " CID Help ", "Circle Developement" ou
"Adverts" --->si ils s'y trouvent , supprimes les .


2-Télécharges Lop S&D :
http://eric.71.mespages.googlepages.com/LopSD.exe

Déconnetes toi et fermes toutes tes applications en cours .

Double cliques sur sur l'.exe que tu viens de télécharger pour lancer l'installe .

Une fois l'installation faite, cliques sur le raccourci pour lancer l'outil .

Là,laisses toi guider:
--->choisis l'option 1 (recherche) et valides.

(Tu ne fais pas l'option de nettoyage ( 2 ou 3) ).

Une fois le scan terminer ,le Bloc-Notes contenant le rapport va s'ouvrir.
Postes ce rapport dans ta prochaine réponse pour analyse .

Tuto : http://eric.71.mespages.googlepages.com/lop.sd.exe
"Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne 
vous l'a pas dit !

   
Répondre à sKe69

6

ace, le 20 oct 2008 à 12:21:55

Dans ajout/suppression de programmes, je n'ai pas de prog intitulé CID ou Circle Developement ou Adverts. Par contre, j'avais noté hier qu'un programme s'appelle BONJOUR, je ne sais pas ce que c'est??? Je ne l'avais pas vu avant...

   
Répondre à ace

7

sKe69, le 20 oct 2008 à 12:26:42

Pour " bonjour "... rien de grave, tu peux le supprimer si tu veux ... c'est le message d'acceuil à l'ouverture de windows ...

fais la suite stp .... "Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne 
vous l'a pas dit !

   
Répondre à sKe69

8

ace, le 20 oct 2008 à 12:43:34

Ca a pris un peu de temps car mon ordi a buggé 2 fois et j'ai du faire le log en mode sans échec.
Voici le résultat ci-dessous. Et puis je vais devoir partir travailler... et je ne me reconnecterais que ce soir vers 18h. Merci encore, je suivrais tes futures instructions en rentrant!!!!


--------------------\\ Lop S&D 4.2.4-5 XP/Vista

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : AMD Athlon(tm) XP 2400+ )
BIOS : Award Modular BIOS v6.00PG
USER : ubuntu ( Administrator )
BOOT : Fail-safe with network boot
Antivirus : Eset NOD32 antivirus system 2.50 2.50 (Activated)
Firewall : ZoneAlarm Firewall 7.0.483.000 (Activated)
A:\ (USB)
C:\ (Local Disk) - NTFS - Total : 19 Go Free : 5 Go
D:\ (Local Disk) - NTFS - Total : 37 Go Free : 5 Go
E:\ (CD or DVD)
F:\ (CD or DVD)
G:\ (USB) - FAT32 - Total : 122 Mo Free : 0 Go

"C:\Lop SD" ( MAJ : 02-10-2008|23:42 )
Option : [1] ( 20/10/2008|12:37 )

--------------------\\ Listing des dossiers dans APPLIC~1

[10/09/2008|13:56] C:\DOCUME~1\ALLUSE~1\APPLIC~1\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
[23/04/2008|18:21] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe
[23/04/2008|18:52] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple
[23/04/2008|18:55] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple Computer
[04/10/2008|12:26] C:\DOCUME~1\ALLUSE~1\APPLIC~1\avg7
[19/10/2008|22:07] C:\DOCUME~1\ALLUSE~1\APPLIC~1\MailFrontier
[19/10/2008|21:00] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Malwarebytes
[26/04/2008|10:39] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft
[19/10/2008|23:52] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy

[23/04/2008|00:18] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft

[23/04/2008|21:15] C:\DOCUME~1\LOCALS~1\APPLIC~1\AVG7
[04/10/2008|12:25] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft

[04/10/2008|12:25] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft

[23/04/2008|18:24] C:\DOCUME~1\ubuntu\APPLIC~1\Adobe
[15/06/2008|18:44] C:\DOCUME~1\ubuntu\APPLIC~1\Ahead
[23/04/2008|18:56] C:\DOCUME~1\ubuntu\APPLIC~1\Apple Computer
[04/10/2008|12:06] C:\DOCUME~1\ubuntu\APPLIC~1\AVG7
[27/05/2008|20:26] C:\DOCUME~1\ubuntu\APPLIC~1\Google
[23/04/2008|00:27] C:\DOCUME~1\ubuntu\APPLIC~1\Identities
[20/10/2008|12:31] C:\DOCUME~1\ubuntu\APPLIC~1\Internet Antivirus Pro
[23/04/2008|12:03] C:\DOCUME~1\ubuntu\APPLIC~1\Macromedia
[19/10/2008|21:00] C:\DOCUME~1\ubuntu\APPLIC~1\Malwarebytes
[27/04/2008|21:39] C:\DOCUME~1\ubuntu\APPLIC~1\Media Player Classic
[04/10/2008|12:25] C:\DOCUME~1\ubuntu\APPLIC~1\Microsoft
[06/09/2008|11:25] C:\DOCUME~1\ubuntu\APPLIC~1\Mozilla
[29/04/2008|11:01] C:\DOCUME~1\ubuntu\APPLIC~1\Sun
[30/04/2008|16:20] C:\DOCUME~1\ubuntu\APPLIC~1\Syntrillium
[23/04/2008|18:39] C:\DOCUME~1\ubuntu\APPLIC~1\Thunderbird
[19/10/2008|22:22] C:\DOCUME~1\ubuntu\APPLIC~1\WinRAR

--------------------\\ Tâches planifiées dans C:\WINDOWS\tasks

[11/10/2008 10:41][--a------] C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[20/10/2008 12:29][--ah-----] C:\WINDOWS\tasks\SA.DAT
[05/08/2004 14:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini

--------------------\\ Listing des dossiers dans C:\Program Files

[01/09/2008|22:26] C:\Program Files\Adobe
[15/06/2008|18:26] C:\Program Files\Ahead
[25/08/2008|13:04] C:\Program Files\Apple Software Update
[10/09/2008|13:52] C:\Program Files\Bonjour
[19/10/2008|20:55] C:\Program Files\CCleaner
[23/04/2008|12:01] C:\Program Files\Club-Internet
[19/10/2008|15:08] C:\Program Files\Common Files
[23/04/2008|00:11] C:\Program Files\ComPlus Applications
[06/05/2008|15:01] C:\Program Files\coolpro2
[04/10/2008|13:45] C:\Program Files\ESET
[19/10/2008|22:39] C:\Program Files\Fichiers communs
[27/05/2008|20:25] C:\Program Files\Google
[01/08/2008|02:10] C:\Program Files\InstallShield Installation Information
[19/10/2008|15:09] C:\Program Files\Internet Antivirus Pro
[20/10/2008|00:22] C:\Program Files\Internet Explorer
[10/09/2008|13:55] C:\Program Files\iPod
[10/09/2008|13:56] C:\Program Files\iTunes
[22/09/2008|19:51] C:\Program Files\Java
[23/04/2008|20:56] C:\Program Files\K-Lite Codec Pack
[19/10/2008|21:00] C:\Program Files\Malwarebytes' Anti-Malware
[22/09/2008|22:47] C:\Program Files\Messenger
[23/04/2008|00:20] C:\Program Files\microsoft frontpage
[24/04/2008|11:31] C:\Program Files\Microsoft Office
[23/04/2008|00:13] C:\Program Files\Movie Maker
[20/10/2008|12:24] C:\Program Files\Mozilla Firefox
[03/10/2008|09:04] C:\Program Files\Mozilla Thunderbird
[23/04/2008|00:09] C:\Program Files\MSN
[23/04/2008|00:10] C:\Program Files\MSN Gaming Zone
[23/04/2008|00:14] C:\Program Files\NetMeeting
[04/10/2008|12:21] C:\Program Files\Nod 32
[23/04/2008|00:10] C:\Program Files\Online Services
[23/04/2008|00:14] C:\Program Files\Outlook Express
[24/04/2008|17:05] C:\Program Files\PDFCreator
[10/09/2008|13:50] C:\Program Files\QuickTime
[23/04/2008|22:35] C:\Program Files\RAR
[19/10/2008|23:00] C:\Program Files\RogueRemover FREE
[01/08/2008|02:10] C:\Program Files\Samsung
[23/04/2008|00:15] C:\Program Files\Services en ligne
[19/10/2008|23:55] C:\Program Files\Spybot - Search & Destroy
[19/10/2008|23:03] C:\Program Files\Trend Micro
[23/04/2008|00:27] C:\Program Files\Uninstall Information
[23/04/2008|22:46] C:\Program Files\VIA
[27/05/2008|23:03] C:\Program Files\Windows Media Player
[23/04/2008|00:10] C:\Program Files\Windows NT
[23/04/2008|00:15] C:\Program Files\WindowsUpdate
[23/04/2008|22:43] C:\Program Files\WinRAR
[23/04/2008|00:20] C:\Program Files\xerox
[19/10/2008|22:06] C:\Program Files\Zone Labs

--------------------\\ Listing des dossiers dans C:\Program Files\Fichiers communs

[23/04/2008|18:20] C:\Program Files\Fichiers communs\Adobe
[15/06/2008|18:26] C:\Program Files\Fichiers communs\Ahead
[23/04/2008|18:52] C:\Program Files\Fichiers communs\Apple
[24/04/2008|11:32] C:\Program Files\Fichiers communs\Designer
[01/08/2008|01:57] C:\Program Files\Fichiers communs\InstallShield
[23/04/2008|22:25] C:\Program Files\Fichiers communs\Java
[24/04/2008|11:32] C:\Program Files\Fichiers communs\Microsoft Shared
[23/04/2008|00:14] C:\Program Files\Fichiers communs\MSSoap
[23/04/2008|01:54] C:\Program Files\Fichiers communs\ODBC
[23/04/2008|00:14] C:\Program Files\Fichiers communs\Services
[23/04/2008|01:54] C:\Program Files\Fichiers communs\SpeechEngines
[24/04/2008|11:31] C:\Program Files\Fichiers communs\System

--------------------\\ Process

( 13 Processes )

... OK !

--------------------\\ Recherche avec S_Lop

Aucun fichier / dossier Lop trouvé !

--------------------\\ Recherche de Fichiers / Dossiers Lop

Aucun fichier / dossier Lop trouvé !

--------------------\\ Verification du Registre

..... OK !

--------------------\\ Verification du fichier Hosts

Fichier Hosts PROPRE


--------------------\\ Recherche de fichiers avec Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-20 12:38:39
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 0

--------------------\\ Recherche d'autres infections

--------------------\\ Cracks & Keygens ..

C:\DOCUME~1\ubuntu\Mes documents\install logiciels\CoolEditPro\Cool Edit Pro 2 Registration Crack.exe


[F:2][D:2]-> C:\DOCUME~1\ubuntu\LOCALS~1\Temp
[F:1][D:0]-> C:\DOCUME~1\ubuntu\Cookies
[F:4][D:2]-> C:\DOCUME~1\ubuntu\LOCALS~1\TEMPOR~1\content.IE5

1 - "C:\Lop SD\LopR_1.txt" - 20/10/2008|12:39 - Option : [1]

--------------------\\ Fin du rapport a 12:39:50

   
Répondre à ace

9

sKe69, le 20 oct 2008 à 13:32:43

Bon ...

la suite :


1-Crées un doc texte sur ton bureau :
pointes ta souris sur ton bureau , cliques droit : vas dans "nouveau" et choisis "document texte" .

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Internet Antivirus Pro"=-
[HKEY_CURRENT_USER\software\microsoft\windows\Currentversion\policies\explorer\Run]
"procgdld32.exe"=-

File::
C:\Documents and Settings\ubuntu\Mes documents\install logiciels\CoolEditPro\Cool Edit Pro 2 Registration Crack.exe
C:\WINDOWS\DUMP4977.tmp
C:\program files\Internet Antivirus Pro\IAPro.exe
C:\Documents and Settings\ubuntu\Local Settings\Application Data\Microsoft\Windows\procgdld32.exe
C:\Documents and Settings\ubuntu\Bureau\IAInstall.exe

Folder::
C:\Program Files\Internet Antivirus Pro
C:\Documents and Settings\ubuntu\Application Data\Internet Antivirus Pro
C:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}



Puis vas dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valides ...


2-Nettoyage :

!! Déconnectes toi, fermes toutes tes applications et désactives TOUTES TES DEFENSES ( tu les réactiveras après ) !!

--->Sur ton bureau, fais un glissé avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tapes 1 puis valide.

Puis patientes le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

!! Ne touches à rien tant que le scan n'est pas terminé !!

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisses-le faire.

Une fois le scan achevé, un rapport va s'afficher : Postes le accompagné d' un nouveau rapport HijackThis pour analyse ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation ) "Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne 
vous l'a pas dit !

   
Répondre à sKe69

10

ace, le 20 oct 2008 à 19:46:54

Re-bonjour,

Bon ça y est, j'y suis. J'ai eu quelques soucis. Mon PC plantait et affichait un écran bleu type BIOS qui me disait que j'avais un problème sérieux, bla bla bla... Finalement, j'ai effectué les manips en mode sans échec. Du coup, je n'ai pas eu à désactiver les défenses (oui, non???), en tout cas, ce n'était plus affiché...
Sinon, Combofix ne m'a rien demandé à part l'installation de WINDOWS RECOVERY CONSOLE à laquelle j'ai répondu NON (j'ai bien fait?). Puis Spybot (et oui, pourtant je pensais qu'il ne fonctionnait pas) m'a demandé si j'autorisais la modif à savoir la "value supprimée" d'Internet Antivirus Pro, j'ai répondu OUI bien sûr. Au redémarrage (hmmm, forcé puisque j'avais un écran noir), Spybot m'a demandé si je voulais autoriser la modif "ajout de value" pour Internet Pro, j'ai répondu NON cette fois-ci.
Bref, voici maintenant les rapports de ComboFix et Hijack.

ComboFix 08-10-19.01 - ubuntu 2008-10-20 19:16:01.2 - NTFSx86 NETWORK
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.357 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\ubuntu\Bureau\ComboFix.exe
Commutateurs utilisés :: C:\Documents and Settings\ubuntu\Bureau\CFScript.txt

[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/B/COLOR

FILE ::
C:\Documents and Settings\ubuntu\Bureau\IAInstall.exe
C:\Documents and Settings\ubuntu\Local Settings\Application Data\Microsoft\Windows\procgdld32.exe
C:\Documents and Settings\ubuntu\Mes documents\install logiciels\CoolEditPro\Cool Edit Pro 2 Registration Crack.exe
C:\program files\Internet Antivirus Pro\IAPro.exe
C:\WINDOWS\DUMP4977.tmp
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
C:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}\x86\DIFxAPI.dll
C:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}\x86\DifXInstall32.exe
C:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}\x86\GEARAspiWDM.inf
C:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}\x86\gearaspiwdmx86.cat
C:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}\x86\x86\GEARAspi.dll
C:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}\x86\x86\GEARAspiWDM.sys
C:\Documents and Settings\ubuntu\Application Data\Internet Antivirus Pro
C:\Documents and Settings\ubuntu\Application Data\Internet Antivirus Pro\db\config.cfg
C:\Documents and Settings\ubuntu\Application Data\Internet Antivirus Pro\settings.ini
C:\Documents and Settings\ubuntu\Application Data\Internet Antivirus Pro\uill.ini
C:\Documents and Settings\ubuntu\Application Data\Internet Antivirus Pro\unins000.exe
C:\Documents and Settings\ubuntu\Application Data\Internet Antivirus Pro\Uninstall Internet Antivirus Pro.lnk
C:\Documents and Settings\ubuntu\Mes documents\install logiciels\CoolEditPro\Cool Edit Pro 2 Registration Crack.exe
C:\Program Files\Internet Antivirus Pro
C:\Program Files\Internet Antivirus Pro\activate.ico
C:\Program Files\Internet Antivirus Pro\db\DBInfo.ver
C:\Program Files\Internet Antivirus Pro\db\ia080614.db
C:\Program Files\Internet Antivirus Pro\Explorer.ico
C:\Program Files\Internet Antivirus Pro\IAPro.exe
C:\Program Files\Internet Antivirus Pro\Languages\IAEs.lng
C:\Program Files\Internet Antivirus Pro\Languages\IAFr.lng
C:\Program Files\Internet Antivirus Pro\Languages\IAGer.lng
C:\Program Files\Internet Antivirus Pro\Languages\IAIt.lng
C:\Program Files\Internet Antivirus Pro\unins000.dat
C:\Program Files\Internet Antivirus Pro\uninstall.ico
C:\Program Files\Internet Antivirus Pro\working.log
C:\WINDOWS\DUMP4977.tmp

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-09-20 au 2008-10-20 ))))))))))))))))))))))))))))))))))))
.

2008-10-20 12:25 . 2008-10-20 12:39 <REP> d-------- C:\Lop SD
2008-10-20 00:22 . 2008-10-20 00:23 1,393 --a------ C:\WINDOWS\imsins.BAK
2008-10-19 23:15 . 2008-10-19 23:23 2,340 --a------ C:\WINDOWS\system32\tmp.reg
2008-10-19 23:03 . 2008-10-19 23:03 <REP> d-------- C:\Program Files\Trend Micro
2008-10-19 23:00 . 2008-10-19 23:00 <REP> d-------- C:\Program Files\RogueRemover FREE
2008-10-19 22:19 . 2008-10-20 12:25 419,872 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-10-19 22:19 . 2008-10-20 11:11 6,680 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-10-19 22:15 . 2008-10-19 22:15 <REP> d-------- C:\WINDOWS\ERUNT
2008-10-19 22:12 . 2008-10-20 11:26 <REP> d-------- C:\SDFix
2008-10-19 22:07 . 2008-10-19 22:07 <REP> d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier
2008-10-19 22:07 . 2008-10-19 22:11 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2008-10-19 22:06 . 2008-10-19 22:06 <REP> d-------- C:\Program Files\Zone Labs
2008-10-19 22:05 . 2008-10-20 19:16 <REP> d-------- C:\WINDOWS\Internet Logs
2008-10-19 21:00 . 2008-10-19 21:00 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-10-19 21:00 . 2008-10-19 21:00 <REP> d-------- C:\Documents and Settings\ubuntu\Application Data\Malwarebytes
2008-10-19 21:00 . 2008-10-19 21:00 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-10-19 21:00 . 2008-10-16 20:25 38,496 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-19 21:00 . 2008-10-16 20:25 15,504 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-19 20:55 . 2008-10-19 20:55 <REP> d-------- C:\Program Files\CCleaner
2008-10-19 15:08 . 2008-10-19 15:08 <REP> d-------- C:\Program Files\Common Files
2008-10-04 12:33 . 2008-10-04 12:32 502,208 --a------ C:\WINDOWS\system32\drivers\amon.sys
2008-10-04 12:33 . 2008-10-04 12:32 270,336 --a------ C:\WINDOWS\system32\imon.dll
2008-10-04 12:22 . 2008-10-04 13:45 <REP> d-------- C:\Program Files\ESET
2008-10-04 12:21 . 2008-10-04 12:21 <REP> d-------- C:\Program Files\Nod 32
2008-09-22 19:54 . 2008-10-19 23:45 <REP> d-------- C:\WINDOWS\system32\CatRoot_bak
2008-09-22 19:54 . 2008-06-14 19:59 272,768 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-09-22 19:54 . 2008-06-14 19:59 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-20 10:26 1,368,064 ----a-w C:\WINDOWS\Internet Logs\xDB7.tmp
2008-10-20 09:27 1,364,480 ----a-w C:\WINDOWS\Internet Logs\xDB6.tmp
2008-10-20 08:35 90,112 ----a-w C:\WINDOWS\DUMP75c9.tmp
2008-10-20 08:34 28,160 ----a-w C:\WINDOWS\Internet Logs\xDB4.tmp
2008-10-20 08:34 1,359,360 ----a-w C:\WINDOWS\Internet Logs\xDB5.tmp
2008-10-20 08:31 137,728 ----a-w C:\WINDOWS\Internet Logs\xDB2.tmp
2008-10-20 08:31 1,357,824 ----a-w C:\WINDOWS\Internet Logs\xDB3.tmp
2008-10-19 21:55 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-10-19 21:52 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-10-19 21:21 545,001 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
2008-10-19 21:17 1,341,440 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp
2008-10-04 10:26 --------- d-----w C:\Documents and Settings\All Users\Application Data\avg7
2008-10-04 10:06 --------- d-----w C:\Documents and Settings\ubuntu\Application Data\AVG7
2008-10-03 07:04 --------- d-----w C:\Program Files\Mozilla Thunderbird
2008-09-22 17:51 --------- d-----w C:\Program Files\Java
2008-09-15 15:39 1,846,144 ----a-w C:\WINDOWS\system32\win32k.sys
2008-09-10 11:56 --------- d-----w C:\Program Files\iTunes
2008-09-10 11:55 --------- d-----w C:\Program Files\iPod
2008-09-10 11:52 --------- d-----w C:\Program Files\Bonjour
2008-09-10 11:50 --------- d-----w C:\Program Files\QuickTime
2008-08-29 08:18 87,336 ----a-w C:\WINDOWS\system32\dns-sd.exe
2008-08-29 07:53 61,440 ----a-w C:\WINDOWS\system32\dnssd.dll
2008-08-28 10:04 333,056 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-08-25 11:04 --------- d-----w C:\Program Files\Apple Software Update
2008-08-20 05:37 663,552 ----a-w C:\WINDOWS\system32\wininet.dll
2008-08-14 13:44 2,182,400 ----a-w C:\WINDOWS\system32\ntoskrnl.exe
2008-08-14 13:44 2,059,776 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe
.

((((((((((((((((((((((((((((( snapshot@2008-10-19_22.41.34.92 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-08-20 05:33:47 1,024,512 ----a-w C:\WINDOWS\$hf_mig$\KB956390\SP2QFE\browseui.dll
+ 2008-08-20 05:33:44 152,064 ----a-w C:\WINDOWS\$hf_mig$\KB956390\SP2QFE\cdfview.dll
+ 2008-08-20 05:33:44 1,056,768 ----a-w C:\WINDOWS\$hf_mig$\KB956390\SP2QFE\danim.dll
+ 2008-08-20 05:33:45 357,888 ----a-w C:\WINDOWS\$hf_mig$\KB956390\SP2QFE\dxtmsft.dll
+ 2008-08-20 05:33:45 205,312 ----a-w C:\WINDOWS\$hf_mig$\KB956390\SP2QFE\dxtrans.dll
+ 2008-08-20 05:33:45 55,808 ----a-w C:\WINDOWS\$hf_mig$\KB956390\SP2QFE\extmgr.dll
+ 2008-08-19 09:38:57 18,432 ----a-w C:\WINDOWS\$hf_mig$\KB956390\SP2QFE\iedw.exe
+ 2008-08-20 05:33:45 251,904 ----a-w C:\WINDOWS\$hf_mig$\KB956390\SP2QFE\iepeers.dll
+ 2008-08-20 05:33:45 96,768 ----a-w C:\WINDOWS\$hf_mig$\KB956390\SP2QFE\inseng.dll
+ 2008-08-20 05:33:46 16,384 ----a-w C:\WINDOWS\$hf_mig$\KB956390\SP2QFE\jsproxy.dll
+ 2008-08-20 05:33:48 3,088,384 ----a-w C:\WINDOWS\$hf_mig$\KB956390\SP2QFE\mshtml.dll
+ 2008-08-20 05:33:46 449,024 ----a-w C:\WINDOWS\$hf_mig$\KB956390\SP2QFE\mshtmled.dll
+ 2008-08-20 05:33:45 146,432 ----a-w C:\WINDOWS\$hf_mig$\KB956390\SP2QFE\msrating.dll
+ 2008-08-20 05:33:45 532,480 ----a-w C:\WINDOWS\$hf_mig$\KB956390\SP2QFE\mstime.dll
+ 2008-08-20 05:33:45 39,424 ----a-w C:\WINDOWS\$hf_mig$\KB956390\SP2QFE\pngfilt.dll
+ 2008-08-20 05:33:46 1,499,648 ----a-w C:\WINDOWS\$hf_mig$\KB956390\SP2QFE\shdocvw.dll
+ 2008-08-20 05:33:46 474,624 ----a-w C:\WINDOWS\$hf_mig$\KB956390\SP2QFE\shlwapi.dll
+ 2008-08-19 09:51:37 370,176 ----a-w C:\WINDOWS\$hf_mig$\KB956390\SP2QFE\spru040c.dll
+ 2008-08-20 05:33:47 621,056 ----a-w C:\WINDOWS\$hf_mig$\KB956390\SP2QFE\urlmon.dll
+ 2008-08-20 05:33:46 671,744 ----a-w C:\WINDOWS\$hf_mig$\KB956390\SP2QFE\wininet.dll
+ 2008-08-20 05:10:12 3,088,896 ----a-w C:\WINDOWS\$hf_mig$\KB956390\SP3GDR\mshtml.dll
+ 2008-08-20 05:10:11 1,499,648 ----a-w C:\WINDOWS\$hf_mig$\KB956390\SP3GDR\shdocvw.dll
+ 2008-08-20 05:10:11 620,544 ----a-w C:\WINDOWS\$hf_mig$\KB956390\SP3GDR\urlmon.dll
+ 2008-08-20 05:10:11 670,208 ----a-w C:\WINDOWS\$hf_mig$\KB956390\SP3GDR\wininet.dll
+ 2008-08-20 05:07:31 3,088,896 ----a-w C:\WINDOWS\$hf_mig$\KB956390\SP3QFE\mshtml.dll
+ 2008-08-20 05:07:27 1,499,648 ----a-w C:\WINDOWS\$hf_mig$\KB956390\SP3QFE\shdocvw.dll
+ 2008-08-20 05:07:28 621,056 ----a-w C:\WINDOWS\$hf_mig$\KB956390\SP3QFE\urlmon.dll
+ 2008-08-20 05:07:28 670,720 ----a-w C:\WINDOWS\$hf_mig$\KB956390\SP3QFE\wininet.dll
+ 2007-11-30 11:19:06 18,296 ----a-w C:\WINDOWS\$hf_mig$\KB956390\spmsg.dll
+ 2007-11-30 11:19:06 234,872 ----a-w C:\WINDOWS\$hf_mig$\KB956390\spuninst.exe
+ 2007-11-30 11:19:06 26,488 ----a-w C:\WINDOWS\$hf_mig$\KB956390\update\spcustom.dll
+ 2007-11-30 12:39:29 767,352 ----a-w C:\WINDOWS\$hf_mig$\KB956390\update\update.exe
+ 2007-11-30 12:39:31 406,392 ----a-w C:\WINDOWS\$hf_mig$\KB956390\update\updspapi.dll
- 2007-02-28 16:02:21 2,138,112 ------w C:\WINDOWS\Driver Cache\i386\ntkrnlmp.exe
+ 2008-08-14 13:44:35 2,138,112 ------w C:\WINDOWS\Driver Cache\i386\ntkrnlmp.exe
- 2007-02-28 16:02:36 2,059,648 ------w C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe
+ 2008-08-14 13:44:39 2,059,776 ------w C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe
- 2007-02-28 16:02:21 2,017,792 ------w C:\WINDOWS\Driver Cache\i386\ntkrpamp.exe
+ 2008-08-14 13:44:33 2,017,792 ------w C:\WINDOWS\Driver Cache\i386\ntkrpamp.exe
- 2007-02-28 16:02:36 2,182,400 ------w C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe
+ 2008-08-14 13:44:37 2,182,400 ------w C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe
- 2008-10-19 20:15:28 3,158,016 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0/u0000001\NTUSER.DAT
+ 2008-10-20 09:14:02 5,906,432 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0/u0000001\NTUSER.DAT
- 2008-10-19 20:15:29 151,552 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0/u0000002\UsrClass.dat
+ 2008-10-20 09:14:03 151,552 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0/u0000002\UsrClass.dat
- 2004-08-05 12:00:00 1,017,344 ----a-w C:\WINDOWS\system32\browseui.dll
+ 2008-08-20 05:37:16 1,024,000 ----a-w C:\WINDOWS\system32\browseui.dll
- 2004-08-05 12:00:00 151,552 ----a-w C:\WINDOWS\system32\cdfview.dll
+ 2008-08-20 05:37:14 152,064 ----a-w C:\WINDOWS\system32\cdfview.dll
- 2004-08-05 12:00:00 1,056,256 ----a-w C:\WINDOWS\system32\danim.dll
+ 2008-08-20 05:37:14 1,056,768 ----a-w C:\WINDOWS\system32\danim.dll
- 2008-06-20 10:44:38 138,368 -c--a-w C:\WINDOWS\system32\dllcache\afd.sys
+ 2008-08-14 09:51:43 138,368 -c--a-w C:\WINDOWS\system32\dllcache\afd.sys
- 2004-08-05 12:00:00 1,017,344 -c--a-w C:\WINDOWS\system32\dllcache\browseui.dll
+ 2008-08-20 05:37:16 1,024,000 -c--a-w C:\WINDOWS\system32\dllcache\browseui.dll
- 2004-08-05 12:00:00 151,552 -c--a-w C:\WINDOWS\system32\dllcache\cdfview.dll
+ 2008-08-20 05:37:14 152,064 -c--a-w C:\WINDOWS\system32\dllcache\cdfview.dll
- 2004-08-05 12:00:00 1,056,256 -c--a-w C:\WINDOWS\system32\dllcache\danim.dll
+ 2008-08-20 05:37:14 1,056,768 -c--a-w C:\WINDOWS\system32\dllcache\danim.dll
- 2004-08-05 12:00:00 357,888 -c--a-w C:\WINDOWS\system32\dllcache\dxtmsft.dll
+ 2008-08-20 05:37:14 357,888 -c--a-w C:\WINDOWS\system32\dllcache\dxtmsft.dll
- 2004-08-05 12:00:00 201,728 -c--a-w C:\WINDOWS\system32\dllcache\dxtrans.dll
+ 2008-08-20 05:37:14 205,312 -c--a-w C:\WINDOWS\system32\dllcache\dxtrans.dll
- 2004-08-05 12:00:00 55,808 -c--a-w C:\WINDOWS\system32\dllcache\extmgr.dll
+ 2008-08-20 05:37:14 55,808 -c--a-w C:\WINDOWS\system32\dllcache\extmgr.dll
- 2004-08-05 12:00:00 18,432 -c--a-w C:\WINDOWS\system32\dllcache\iedw.exe
+ 2008-08-19 09:30:39 18,432 -c--a-w C:\WINDOWS\system32\dllcache\iedw.exe
- 2004-08-05 12:00:00 249,344 -c--a-w C:\WINDOWS\system32\dllcache\iepeers.dll
+ 2008-08-20 05:37:14 251,392 -c--a-w C:\WINDOWS\system32\dllcache\iepeers.dll
- 2004-08-05 12:00:00 96,768 -c--a-w C:\WINDOWS\system32\dllcache\inseng.dll
+ 2008-08-20 05:37:14 96,768 -c--a-w C:\WINDOWS\system32\dllcache\inseng.dll
- 2004-08-05 12:00:00 15,872 -c--a-w C:\WINDOWS\system32\dllcache\jsproxy.dll
+ 2008-08-20 05:37:15 16,384 -c--a-w C:\WINDOWS\system32\dllcache\jsproxy.dll
- 2004-08-05 12:00:00 3,003,392 -c--a-w C:\WINDOWS\system32\dllcache\mshtml.dll
+ 2008-08-20 05:37:21 3,081,216 -c--a-w C:\WINDOWS\system32\dllcache\mshtml.dll
- 2004-08-05 12:00:00 448,512 -c--a-w C:\WINDOWS\system32\dllcache\mshtmled.dll
+ 2008-08-20 05:37:15 449,024 -c--a-w C:\WINDOWS\system32\dllcache\mshtmled.dll
- 2004-08-05 12:00:00 146,432 -c--a-w C:\WINDOWS\system32\dllcache\msrating.dll
+ 2008-08-20 05:37:14 146,432 -c--a-w C:\WINDOWS\system32\dllcache\msrating.dll
- 2004-08-05 12:00:00 530,432 -c--a-w C:\WINDOWS\system32\dllcache\mstime.dll
+ 2008-08-20 05:37:14 532,480 -c--a-w C:\WINDOWS\system32\dllcache\mstime.dll
- 2007-02-28 16:02:21 2,138,112 -c----w C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
+ 2008-08-14 13:44:35 2,138,112 -c----w C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
- 2007-02-28 16:02:36 2,059,648 -c----w C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
+ 2008-08-14 13:44:39 2,059,776 -c----w C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
- 2007-02-28 16:02:21 2,017,792 -c----w C:\WINDOWS\system32\dllcache\ntkrpamp.exe
+ 2008-08-14 13:44:33 2,017,792 -c----w C:\WINDOWS\system32\dllcache\ntkrpamp.exe
- 2007-02-28 16:02:36 2,182,400 -c----w C:\WINDOWS\system32\dllcache\ntoskrnl.exe
+ 2008-08-14 13:44:37 2,182,400 -c----w C:\WINDOWS\system32\dllcache\ntoskrnl.exe
- 2004-08-05 12:00:00 39,424 -c--a-w C:\WINDOWS\system32\dllcache\pngfilt.dll
+ 2008-08-20 05:37:14 39,424 -c--a-w C:\WINDOWS\system32\dllcache\pngfilt.dll
- 2006-09-04 06:12:53 1,494,528 -c--a-w C:\WINDOWS\system32\dllcache\shdocvw.dll
+ 2008-08-20 05:37:15 1,495,040 -c--a-w C:\WINDOWS\system32\dllcache\shdocvw.dll
- 2005-09-03 00:06:11 474,112 -c--a-w C:\WINDOWS\system32\dllcache\shlwapi.dll
+ 2008-08-20 05:37:15 474,624 -c--a-w C:\WINDOWS\system32\dllcache\shlwapi.dll
- 2006-08-14 10:34:41 332,928 -c--a-w C:\WINDOWS\system32\dllcache\srv.sys
+ 2008-08-28 10:04:17 333,056 -c--a-w C:\WINDOWS\system32\dllcache\srv.sys
- 2004-08-05 12:00:00 603,136 -c--a-w C:\WINDOWS\system32\dllcache\urlmon.dll
+ 2008-08-20 05:37:16 617,984 -c--a-w C:\WINDOWS\system32\dllcache\urlmon.dll
- 2008-03-20 08:09:22 1,845,376 -c--a-w C:\WINDOWS\system32\dllcache\win32k.sys
+ 2008-09-15 15:39:16 1,846,144 -c--a-w C:\WINDOWS\system32\dllcache\win32k.sys
- 2004-08-05 12:00:00 660,480 -c--a-w C:\WINDOWS\system32\dllcache\wininet.dll
+ 2008-08-20 05:37:15 663,552 -c--a-w C:\WINDOWS\system32\dllcache\wininet.dll
- 2008-06-20 10:44:38 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
+ 2008-08-14 09:51:43 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
- 2004-08-05 12:00:00 357,888 ----a-w C:\WINDOWS\system32\dxtmsft.dll
+ 2008-08-20 05:37:14 357,888 ----a-w C:\WINDOWS\system32\dxtmsft.dll
- 2004-08-05 12:00:00 201,728 ----a-w C:\WINDOWS\system32\dxtrans.dll
+ 2008-08-20 05:37:14 205,312 ----a-w C:\WINDOWS\system32\dxtrans.dll
- 2004-08-05 12:00:00 55,808 ----a-w C:\WINDOWS\system32\extmgr.dll
+ 2008-08-20 05:37:14 55,808 ----a-w C:\WINDOWS\system32\extmgr.dll
- 2008-05-30 07:40:20 139,648 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
+ 2008-10-20 08:26:29 139,648 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
- 2004-08-05 12:00:00 249,344 ----a-w C:\WINDOWS\system32\iepeers.dll
+ 2008-08-20 05:37:14 251,392 ----a-w C:\WINDOWS\system32\iepeers.dll
- 2004-08-05 12:00:00 96,768 ----a-w C:\WINDOWS\system32\inseng.dll
+ 2008-08-20 05:37:14 96,768 ----a-w C:\WINDOWS\system32\inseng.dll
- 2004-08-05 12:00:00 15,872 ----a-w C:\WINDOWS\system32\jsproxy.dll
+ 2008-08-20 05:37:15 16,384 ----a-w C:\WINDOWS\system32\jsproxy.dll
- 2004-08-05 12:00:00 3,003,392 ----a-w C:\WINDOWS\system32\mshtml.dll
+ 2008-08-20 05:37:21 3,081,216 ----a-w C:\WINDOWS\system32\mshtml.dll
- 2004-08-05 12:00:00 448,512 ----a-w C:\WINDOWS\system32\mshtmled.dll
+ 2008-08-20 05:37:15 449,024 ----a-w C:\WINDOWS\system32\mshtmled.dll
- 2004-08-05 12:00:00 146,432 ----a-w C:\WINDOWS\system32\msrating.dll
+ 2008-08-20 05:37:14 146,432 ----a-w C:\WINDOWS\system32\msrating.dll
- 2004-08-05 12:00:00 530,432 ----a-w C:\WINDOWS\system32\mstime.dll
+ 2008-08-20 05:37:14 532,480 ----a-w C:\WINDOWS\system32\mstime.dll
- 2004-08-05 12:00:00 39,424 ----a-w C:\WINDOWS\system32\pngfilt.dll
+ 2008-08-20 05:37:14 39,424 ----a-w C:\WINDOWS\system32\pngfilt.dll
- 2006-09-04 06:12:53 1,494,528 ----a-w C:\WINDOWS\system32\shdocvw.dll
+ 2008-08-20 05:37:15 1,495,040 ----a-w C:\WINDOWS\system32\shdocvw.dll
- 2005-09-03 00:06:11 474,112 ----a-w C:\WINDOWS\system32\shlwapi.dll
+ 2008-08-20 05:37:15 474,624 ----a-w C:\WINDOWS\system32\shlwapi.dll
- 2004-08-05 12:00:00 603,136 ----a-w C:\WINDOWS\system32\urlmon.dll
+ 2008-08-20 05:37:16 617,984 ----a-w C:\WINDOWS\system32\urlmon.dll
- 2007-10-29 14:35:14 121,856 ----a-w C:\WINDOWS\system32\xpsp3res.dll
+ 2008-08-19 09:51:37 370,176 ----a-w C:\WINDOWS\system32\xpsp3res.dll
.
-- Instantané actualisé --
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 15360]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"AudioDeck"="C:\Program Files\VIA\VIAudioi\SBADeck\ADeck.exe" [2007-08-09 528384]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-09-06 413696]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-09-08 289576]
"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2008-10-04 917504]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\Currentversion\policies\explorer\Run]
"procgdgr32.exe"="C:\Documents and Settings\ubuntu\Local Settings\Application Data\Microsoft\Windows\procgdgr32.exe" [2008-10-16 62464]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=

S3 MBAMSwissArmy;MBAMSwissArmy;C:\WINDOWS\system32\drivers\mbamswissarmy.sys [2008-10-16 38496]
.
Contenu du dossier 'Tâches planifiées'

2008-10-11 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-RunOnce-3P_UDEC_IA - C:\Documents and Settings\ubuntu\Bureau\IAInstall.exe



**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-20 19:18:27
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
AudioDeck = C:\Program Files\VIA\VIAudioi\SBADeck\ADeck.exe 1????????????????????????????????????????????????

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2008-10-20 19:20:28
ComboFix-quarantined-files.txt 2008-10-20 17:20:12
ComboFix2.txt 2008-10-19 20:42:33

Avant-CF: 6 151 315 456 octets libres
Après-CF: 6,124,572,672 octets libres

302 --- E O F --- 2008-10-19 22:23:45


Rapport HIJACK



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:29:29, on 20/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\VIA\VIAudioi\SBADeck\ADeck.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Documents and Settings\ubuntu\Local Settings\Application Data\Microsoft\Windows\procgdgr32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\dumprep.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIA\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Policies\Explorer\Run: [procgdgr32.exe] C:\Documents and Settings\ubuntu\Local Settings\Application Data\Microsoft\Windows\procgdgr32.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: PsExec (PSEXESVC) - Unknown owner - C:\WINDOWS\PSEXESVC.EXE (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
End of file - 4943 bytes




Merciiii!

   
Répondre à ace

11

sKe69, le 20 oct 2008 à 20:06:35

Salut,

une bestiolle persiste ...


1- refais un coup de CCleaner ( registre compris ).


2- redésactives le "tea timer" de spybot ( tu le réactivera une fois qu'on aura tout terminé ).
Aide pour utilisation Spybot ici (merci Balltrap ;) ) :
http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm


3- Télécharges OTMoveIt3 (de Old_Timer) sur ton Bureau.

http://oldtimer.geekstogo.com/OTMoveIt3.exe

! Déconnectes toi et fermes toute tes applications en cours !

Double cliques sur "OTMoveIt3.exe" pour ouvrir le prg .
Puis copies ce qui se trouve en citation ci-dessous, 


:Processes
explorer.exe

:Services

:Reg
[HKEY_CURRENT_USER\software\microsoft\windows\Currentversion\policies\explorer\Run]
"procgdgr32.exe"=-

:Files
C:\Documents and Settings\ubuntu\Local Settings\Application Data\Microsoft\Windows\procgdgr32.exe

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]



et colles le dans le cadre de gauche de OTMoveIt3 :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)

-> cliques sur MoveIt! pour lancer la suppression.
-> laisses travailler l'outil ...

( Note : ton bureau va disparaitre puis réapparaitre, c'est normal .)

-> une fois finis , un petite fenêtre s'ouvre : cliques sur " Yes " .

Ton PC va redémarrer de lui même ...

-->Postes le contenu du rapport qui se trouve dans le dossier "C:\_OTMoveIt\MovedFiles"
( " xxxx2008_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).



4- postes un nouveau rapport hijackthis ....

"Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne 
vous l'a pas dit !

   
Répondre à sKe69

12

ace, le 20 oct 2008 à 21:00:00

Alors,

Juste une ou deux petites questions avant toute chose :
- Zone Alarm me prévient que MDNSResponder veut se connecter : pour l'instant, je dis NON, qu'est-ce?
- comment scanner le regitre avec CCleaner, c'est Registry? Parce que si c'est ça, je l'ai fait, mais quand j'ai voulu faire "Fix...", ça a planté. Bon c'était avant le OTMoveit3.

Voici les rapports OTmoveit :
========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
========== REGISTRY ==========
Registry value HKEY_CURRENT_USER\software\microsoft\windows\Currentversion\policies\explorer\Run\\procgdgr32.exe deleted successfully.
========== FILES ==========
C:\Documents and Settings\ubuntu\Local Settings\Application Data\Microsoft\Windows\procgdgr32.exe moved successfully.
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\ZLT03ca4.TMP scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\ZLT03ca7.TMP scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.5.0 log created on 10202008_204821

Files moved on Reboot...
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.
File C:\WINDOWS\temp\ZLT03ca4.TMP not found!
File C:\WINDOWS\temp\ZLT03ca7.TMP not found!



HIJACKthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:53:47, on 20/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\VIA\VIAudioi\SBADeck\ADeck.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIA\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: PsExec (PSEXESVC) - Unknown owner - C:\WINDOWS\PSEXESVC.EXE (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
End of file - 4507 bytes

A plus!

   
Répondre à ace

13

sKe69, le 20 oct 2008 à 21:09:14

MDNSResponder

--> c'est le message d'acceuil de windows ... aucun danger ... ^^


--> Supprimes ton CCleaner via "ajout/suppression de prg" du panneau de config ...



Ensuite fais ceci dans l'ordre :


1-Télécharges ToolsCleaner (de A.Rothstein) sur ton Bureau.
http://pc-system.fr/TC/ToolsCleaner2.exe

Déconnectes toi et fermes bien toutes tes applications en cours .

Lances le .
*Cliques sur Recherche et laisses le scan se terminer (cela peut être long).
*Cliques sur Suppression pour finaliser.
*Tu peux, si tu le souhaites, te servir des Options facultatives ( sauf la création d'un point de restauration !)
*Cliques sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) :
--> Postes ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt .

Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection .
Supprimes tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé .

( gardes Malwarebytes : très utiles ! )


2- Fermes toutes applications en cours et déconnectes toi .


Relances OTmoveIt3 ,

puis cliques sur le bouton [CleanUp!] et laisses travailler ....

cette fonction va supprimer proprement tous les outils utilisés ( y compris lui même ) .



3- Re-télécharges : - CCleaner
http://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corrigé ton registre .
Lors de l'installation:
-choisis bien "francais" en langue .
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.

Une fois le prg instalé et lancé, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures"( Par la suite, laisse-le avec ses réglages par défaut. C'est tout ).

Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

---> Utilisation:
! déconnectes toi et fermes toutes applications en cours !
* vas dans "nettoyeur" : fait analyse puis nettoyage
* vas dans "registre" : fait chercher les erreurs et réparer ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )



4- Retélécharges et réinstalles hijackthis ( car supprimé par Toolscleaner2 ) ,

Télécharges et installes le logiciel HijackThis :

ici ftp://ftp.commentcamarche.com/download/HJTInstall.exe
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici http://www.clubic.com/lancer-le-telechargement-51452-0-hijackthis.html

-> Cliques sur le setup pour lancer l'installe : laisses toi guider et ne modifies pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : fermes le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne fais pas de scan pour le moment )


5- Purge de la restauration système
*Désactives ta restauration :
Cliques droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK
--->Redémarres ton PC
*Réactives ta restauration :
Cliques droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK
--->Redémarres ton PC
( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).


6- Fais ce scan en ligne pour vérifier :

Fais un scan en ligne avec Kaspersky : http://webscanner.kaspersky.fr/
- Sous Démonstration en ligne, on t'explique la marche à suivre, et pour lancer le scan il faut sélectionner < Exécuter l'analyse en ligne >.
Le scan ne marche que sous Internet Explorer(et pas sous firefox ou autre...).
- On va te demander de télécharger un contôle active x, accepte .
- Dans le menu Choisissez la cible de l'analyse, sélectionne Poste de travail. Le scan va commencer.
- Sauvegardes le rapport qui sera généré, puis copies/colles le dans ta prochaine réponse pour analyse et attends la suite ...

--> tuto :
http://www.malekal.com/scan_Av_en_ligne.html#mozTocId291566

Note :
*Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte-toi sur le site de Kaspersky pour retenter le scan en ligne.

*S'il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme décrit sur ce lien : http://www.inoculer.com/activex.php3
Rappel : le scan est à faire sous Internet Explorer !
"Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne 
vous l'a pas dit !

   
Répondre à sKe69

14

ace, le 20 oct 2008 à 21:27:03

Voici le rapport de Toolscleaner. Je note qu'il n'a pas supprimé l'icône ComboFix.exe sur le bureau...


[ Rapport ToolsCleaner version 2.2.4 (par A.Rothstein & dj QUIOU) ]

-->- Recherche:

C:\Combofix.txt: trouvé !
C:\lopR.txt: trouvé !
C:\SDFIX: trouvé !
C:\Lop SD: trouvé !
C:\Qoobox: trouvé !
C:\_OtMoveIt: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\ubuntu\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\ubuntu\Bureau\LopSD.exe: trouvé !
C:\Documents and Settings\ubuntu\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\ubuntu\Bureau\SmitFraudFix.exe: trouvé !
C:\Documents and Settings\ubuntu\Mes documents\install logiciels\SdFix.exe: trouvé !
C:\Documents and Settings\ubuntu\Mes documents\install logiciels\SmitFraudfix: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !

---------------------------------
-->- Suppression:

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\ubuntu\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\ubuntu\Bureau\LopSD.exe: supprimé !
C:\Documents and Settings\ubuntu\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\ubuntu\Bureau\SmitFraudFix.exe: supprimé !
C:\Documents and Settings\ubuntu\Mes documents\install logiciels\SdFix.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\lopR.txt: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\SDFIX: supprimé !
C:\Lop SD: supprimé !
C:\Qoobox: supprimé !
C:\_OtMoveIt: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\ubuntu\Mes documents\install logiciels\SmitFraudfix: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

Corbeille vidée!
Fichiers temporaires nettoyés !

   
Répondre à ace

15

sKe69, le 20 oct 2008 à 21:31:17

n'a pas supprimé l'icône ComboFix.exe sur le bureau...

-> on s'en occupera plus tard ... ;)


Continues ... "Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne 
vous l'a pas dit !

   
Répondre à sKe69

16

ace, le 20 oct 2008 à 21:40:00

OK je suis sur la phase CCleaner, mais je n'ai visiblement pas besoin de le re-télécharger car celui que j'ai sur le bureau a l'air de marcher...

   
Répondre à ace

17

ace, le 21 oct 2008 à 09:35:49

Bonjour!

Bon, j'ai essayé de lancer Kaspersky On-line hier soir, mais ça a planté deux fois : la 1ère fois après 1 heure de scan, 28% du disque dur scanné et blocage sur C:\Windows\System32\confi\default\, la deuxième fois après seulement 10-15 minutes de scan : là écran bleu "votre ordinateur est endommagé, si c'est la première fois que cet écran s'affiche... bla bla bla...". Du coup, j'ai tout arrêté et décidé de reprendre ce matin. Et là, deux démarrage du PC raté (le fameux écran bleu s'affiche), même en mode sans échec.

Du coup, merci pour toutes les manips, mais je crois que n'ayant plus le choix, je vais devoir formater mon disque dur.
Ciao!!! Et merciiii encore!

   
Répondre à ace

18

sKe69, le 21 oct 2008 à 10:49:12

devoir formater mon disque dur

ce serait dommage de baisser les bras ... il a peut-être surchauffer tout simplement ...



essayes cette autre scan en ligne :


Fais un scan antivirus en ligne, avec Internet Explorer et accepter l'ActiveX :

http://www.bitdefender.fr/

* Aide : En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
Dans la nouvelle fenêtre, clique sur j’accepte .
La fenêtre change encore, clique sur scanner .
Les signatures se chargent, etc ...

* pour le rapport : cliques sur l'onglet "plus de détailles" . A la fin du scan, cliques sur " problème détectés " .
-> juste au dessus à droite de la fenêtre des résultats , tu as " cliquer ici pour exporter le rapport " .
->Cliques dessus et choisis d'enregistrer le rapport sur ton bureau .


--> Ouvres le document html que tu viens de sauvegarder ( le rapport ),
fais un copier/coller de tout son contenu et postes le dans ta prochaine réponse ...


Rappel : le scan en ligne ne fonctionne que sous Internet Exploreur ! ( et pas sur FireFox ou autres navigateurs )

Tutoriel en images ici :
http://perso.orange.fr/rginformatique/section%20virus/defender.htm (merci à Balltrap34 pour cette réalisation)
Et ici : http://www.commentcamarche.net/faq/sujet 8872 scanner en ligne avec bitdefender

"Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne 
vous l'a pas dit !

   
Répondre à sKe69

19

 ace, le 21 oct 2008 à 12:44:35

C'est gentil de m'encourager... je ré-essaierais ce soir, là je suis au boulot. Mais si je ne parviens pas à l'allumer même en mode sans échec, je vois difficilement comment faire autrement. On verra...

   
Répondre à ace
Posez votre question Répondre
Ils ont besoin de votre aide
Collection CommentÇaMarche.net