TROJ.PAKES.GQRésolu/Fermé

Question

Bonjour,

Ma machine est infectée depuis plusieurs jours selon mon antivirus Trend Internet Security 12 par un virus de type trojan pakes.gq sur le fichier c:\WINDOWS\system32fzbilu.dll

L'antivirus me dis que l'action de quarantaine a échoué. Sur leur site il y a une solution pour le supprimer mais celle-ci ne fonctionne pas : 

"Identifying the Malware Files

   1. Scan your computer with your Trend Micro antivirus product.
   2. Note the path and file name of all files detected as TROJ_PAKES.GQ.

Trend Micro customers need to download the latest virus pattern file before scanning their computer. Other users can use Housecall, the Trend Micro online threat scanner.

Important Windows ME/XP Cleaning Instructions

Users running Windows ME and XP must disable System Restore to allow full scanning of infected computers.

Users running other Windows versions can proceed with the succeeding solution set(s).

Restarting in Safe Mode

This malware has characteristics that require the computer to be restarted in safe mode. Go to this page for instructions on how to restart your computer in safe mode.

Removing Autostart Key from the Registry

This solution deletes/modifies registry keys/entries added/modified by this malware. Before performing the steps below, make sure you know how to back up the registry and how to restore it if a problem occurs. Refer to this Microsoft article for more information about modifying your computer's registry.

   1. Open Registry Editor. Click Start>Run, type REGEDIT, then press Enter. /li>
   2. In the left panel, double-click the following:
      HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>
      CurrentVersion>Winlogon>Notify
   3. Still in the left panel, locate and delete key whose value is the malware file name of the file(s) detected earlier.
   4. Close Registry Editor.

Deleting the Malware File(s)

   1. Right-click Start then click Search... or Find..., depending on the version of Windows you are running.
   2. In the Named input box, type the name(s) of the file(s) detected earlier.
   3. In the Look In drop-down list, select My Computer, then press Enter.
   4. Once located, select the file then press SHIFT+DELETE.

*NOTE: This malware is a DLL file that may come with a main component detected by Trend Micro as another malware. It may also be used by several variants of a certain malware family. If your Trend Micro product detects another malware on your system, refer to the manual removal instructions of that detected malware."

Lorsque je supprime l'entrée dans le registre, celle-ci se re créer immédiatement...

J'ai installé Malwarebytes' Anti-Malware et fait un scan complet en mode sans échec. Au reboot de la machine, virus toujours présent...

J'ai fais un rapport avec HijackThis si çà peut aider : 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:49:19, on 06/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\DisplayLink Core Software\DisplayLinkService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\SuperCopier\SuperCopier.exe
C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
C:\Program Files\DisplayLink Core Software\DisplayLinkManager.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
C:\PROGRA~1\TRENDM~1\INTERN~1	mproxy.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
C:\Program Files\DisplayLink Core Software\DisplayLinkUI.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PccGuide.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\TEMP\BN15.tmp
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Free Download Manager\fdm.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\TSC.EXE
D:\emule\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Program Files\Fichiers communs\Acronis\Acronis Disk Director\oss_reinstall.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
O4 - HKCU\..\Run: [Gadwin PrintScreen 2.6] C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Program Files\BitComet	ools\BitCometBHO_1.1.8.30.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/webplayer/stage6/windows/AutoDLDivXWebPlayerInstaller.cab
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - https://sas.imatechnologies.fr/sre/ICSScanner.cab
O16 - DPF: {B4CB50E4-0309-4906-86EA-10B6641C8392} (SlimClient Class) - https://sas.imatechnologies.fr/SNX/CSHELL/extender.cab
O20 - Winlogon Notify: mlkyic - mlkyic.dll (file missing)
O20 - Winlogon Notify: pgaush - pgaush.dll (file missing)
O20 - Winlogon Notify: rfzbilu - C:\WINDOWS\SYSTEM32fzbilu.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: DisplayLink Service (DisplayLinkService) - DisplayLink Corp. - C:\Program Files\DisplayLink Core Software\DisplayLinkService.exe
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINDOWS\SYSTEM32\DWRCS.EXE
O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe
O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1	mproxy.exe

ezekielo · Answer

telecharge ca et fait un scan et suprime tout se quille trouve http://www.commentcamarche.net/telecharger/telecharger 122 spybot

tonysaintbrev · Answer

J'ai effectué le scan et supprimé ce qu'il a trouvé, le problème est résolu :) Merci beaucoup pour ton aide.

Bonne continuation

Lyonnais92 · Answer

Binjour,

pas très convaincu;

fais redémarrer l'ordi et remets un rapport Hijackthis.

En plus ton Windows n'est pas à jour et ta version d'Internet explorer est inconnue (ce qui fait que tu ne dois pas pouvoir corriger les failles de sécurité).

tonysaintbrev · Answer

Bonsoir,

Tu es raison, le fichier est toujours présent... J'avais réussi à supprimer celui-ci mais il est réapparu au bout de quelques jours....

J'ai entre temps mis à jour mon OS en téléchargent les bulletins de sécurité MS. Je te post le nouveau rappport Hijackthis : 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:28:11, on 12/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\DisplayLink Core Software\DisplayLinkService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\SuperCopier\SuperCopier.exe
C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\DisplayLink Core Software\DisplayLinkManager.exe
C:\Program Files\DisplayLink Core Software\DisplayLinkUI.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
C:\PROGRA~1\TRENDM~1\INTERN~1	mproxy.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PccGuide.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
D:\emule\Anti-Spyware-Virus\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Program Files\Fichiers communs\Acronis\Acronis Disk Director\oss_reinstall.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
O4 - HKCU\..\Run: [Gadwin PrintScreen 2.6] C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Program Files\BitComet	ools\BitCometBHO_1.1.8.30.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/webplayer/stage6/windows/AutoDLDivXWebPlayerInstaller.cab
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - https://sas.imatechnologies.fr/sre/ICSScanner.cab
O16 - DPF: {B4CB50E4-0309-4906-86EA-10B6641C8392} (SlimClient Class) - https://sas.imatechnologies.fr/SNX/CSHELL/extender.cab
O20 - Winlogon Notify: mlkyic - mlkyic.dll (file missing)
O20 - Winlogon Notify: pgaush - pgaush.dll (file missing)
O20 - Winlogon Notify: rfzbilu - C:\WINDOWS\SYSTEM32fzbilu.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: DisplayLink Service (DisplayLinkService) - DisplayLink Corp. - C:\Program Files\DisplayLink Core Software\DisplayLinkService.exe
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINDOWS\SYSTEM32\DWRCS.EXE
O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1	mproxy.exe

Lyonnais92 · Answer

Bonsoir,

télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le Bureau.

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

en particulier installe la Console de récupération.

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

tonysaintbrev · Answer

Le résultat du combofix : ComboFix 09-01-11.04 - Administrateur 2009-01-13 1:23:59.1 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.2047.1517 [GMT 1:00] Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe AV: Trend Micro PC-cillin Internet Security 12 *On-access scanning disabled* (Outdated) FW: Trend Micro PC-cillin Internet Security 12 *disabled* * Un nouveau point de restauration a été créé [COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\rfzbilu.dll c:\windows\system32\rnaph.dll . ((((((((((((((((((((((((((((((((((((((( Pilotes/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_FCI -------\Legacy_ICF ((((((((((((((((((((((((((((( Fichiers créés du 2008-12-13 au 2009-01-13 )))))))))))))))))))))))))))))))))))) . 2009-01-12 20:44 . 2008-10-16 14:09 43,544 --a------ c:\windows\system32\wups2.dll 2009-01-12 20:44 . 2008-10-16 14:09 35,864 --a------ c:\windows\system32\wucltui.dll.mui 2009-01-12 20:44 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuaucpl.cpl.mui 2009-01-12 20:44 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuapi.dll.mui 2009-01-12 20:44 . 2008-10-16 14:07 19,992 --a------ c:\windows\system32\wuaueng.dll.mui 2009-01-12 20:04 . 2008-04-23 05:16 6,066,176 -----c--- c:\windows\system32\dllcache\ieframe.dll 2009-01-12 20:04 . 2007-04-17 10:32 2,455,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dat 2009-01-12 20:04 . 2007-03-08 06:10 1,048,576 -----c--- c:\windows\system32\dllcache\ieframe.dll.mui 2009-01-12 20:04 . 2008-04-23 05:16 459,264 -----c--- c:\windows\system32\dllcache\msfeeds.dll 2009-01-12 20:04 . 2008-04-23 05:16 383,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dll 2009-01-12 20:04 . 2008-04-23 05:16 267,776 -----c--- c:\windows\system32\dllcache\iertutil.dll 2009-01-12 20:04 . 2008-04-23 05:16 63,488 -----c--- c:\windows\system32\dllcache\icardie.dll 2009-01-12 20:04 . 2008-04-23 05:16 52,224 -----c--- c:\windows\system32\dllcache\msfeedsbs.dll 2009-01-12 20:04 . 2008-04-22 08:39 13,824 -----c--- c:\windows\system32\dllcache\ieudinit.exe 2009-01-12 19:56 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys 2009-01-12 19:55 . 2008-08-14 11:04 138,496 -----c--- c:\windows\system32\dllcache\afd.sys 2009-01-12 19:54 . 2008-09-08 11:41 333,824 -----c--- c:\windows\system32\dllcache\srv.sys 2009-01-12 19:48 . 2008-09-15 16:26 1,846,528 -----c--- c:\windows\system32\dllcache\win32k.sys 2009-01-12 19:46 . 2008-07-07 21:28 253,952 -----c--- c:\windows\system32\dllcache\es.dll 2009-01-12 19:40 . 2008-05-07 06:11 1,294,336 -----c--- c:\windows\system32\dllcache\quartz.dll 2009-01-12 19:38 . 2008-06-24 17:44 74,240 -----c--- c:\windows\system32\dllcache\mscms.dll 2009-01-12 19:25 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll 2009-01-12 18:49 . 2008-04-13 19:34 294,912 -----c--- c:\windows\system32\dllcache\dlimport.exe 2009-01-12 18:46 . 2006-12-28 12:01 19,569 --a------ c:\windows\[u]0[/u]03325_.tmp 2009-01-12 18:46 . 2009-01-12 19:56 1,374 --a------ c:\windows\imsins.BAK 2009-01-06 18:52 . 2009-01-06 18:52 508 --a------ C:\save.reg 2009-01-05 20:06 . 2008-06-19 17:24 28,544 --a------ c:\windows\system32\drivers\pavboot.sys 2009-01-05 19:48 . 2009-01-05 19:48 d-------- c:\program files\Panda Security 2008-12-28 23:03 . 2009-01-12 20:49 664 --a------ c:\windows\system32\d3d9caps.dat 2008-12-28 22:31 . 2008-12-28 22:31 d-------- c:\documents and settings\All Users\Application Data\ATI 2008-12-22 22:16 . 2008-12-22 22:16 d-------- C:\VundoFix Backups 2008-12-22 22:06 . 2008-12-30 21:19 d-------- c:\program files\Malwarebytes' Anti-Malware 2008-12-22 22:06 . 2008-12-22 22:06 d-------- c:\documents and settings\All Users\Application Data\Malwarebytes 2008-12-22 22:06 . 2008-12-22 22:06 d-------- c:\documents and settings\Administrateur\Application Data\Malwarebytes 2008-12-22 22:06 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2008-12-22 22:06 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2008-12-21 17:52 . 2008-12-21 17:52 244 --ah----- C:\sqmnoopt19.sqm 2008-12-21 17:52 . 2008-12-21 17:52 232 --ah----- C:\sqmdata19.sqm 2008-12-21 17:13 . 2008-12-21 17:13 244 --ah----- C:\sqmnoopt18.sqm 2008-12-21 17:13 . 2008-12-21 17:13 232 --ah----- C:\sqmdata18.sqm 2008-12-21 16:32 . 2008-12-21 16:32 244 --ah----- C:\sqmnoopt17.sqm 2008-12-21 16:32 . 2008-12-21 16:32 232 --ah----- C:\sqmdata17.sqm 2008-12-21 04:32 . 2008-12-21 04:32 244 --ah----- C:\sqmnoopt16.sqm 2008-12-21 04:32 . 2008-12-21 04:32 232 --ah----- C:\sqmdata16.sqm 2008-12-21 03:52 . 2008-12-21 03:52 244 --ah----- C:\sqmnoopt15.sqm 2008-12-21 03:52 . 2008-12-21 03:52 232 --ah----- C:\sqmdata15.sqm 2008-12-21 03:12 . 2008-12-21 03:12 244 --ah----- C:\sqmnoopt14.sqm 2008-12-21 03:12 . 2008-12-21 03:12 232 --ah----- C:\sqmdata14.sqm 2008-12-21 02:32 . 2008-12-21 02:32 244 --ah----- C:\sqmnoopt13.sqm 2008-12-21 02:32 . 2008-12-21 02:32 232 --ah----- C:\sqmdata13.sqm 2008-12-21 01:52 . 2008-12-21 01:52 244 --ah----- C:\sqmnoopt12.sqm 2008-12-21 01:52 . 2008-12-21 01:52 232 --ah----- C:\sqmdata12.sqm 2008-12-18 20:23 . 2008-12-18 20:23 244 --ah----- C:\sqmnoopt11.sqm 2008-12-18 20:23 . 2008-12-18 20:23 232 --ah----- C:\sqmdata11.sqm 2008-12-17 22:35 . 2008-12-17 22:35 d---s---- c:\documents and settings\NetworkService\Favoris 2008-12-17 22:31 . 2006-03-02 13:00 28,288 --a--c--- c:\windows\system32\dllcache\xjis.nls 2008-12-17 22:29 . 2008-04-13 19:31 13,463,552 --a--c--- c:\windows\system32\dllcache\hwxjpn.dll 2008-12-17 22:28 . 2003-04-14 20:29 217,088 --a--c--- c:\windows\system32\dllcache\fpmmcsat.dll 2008-12-17 22:26 . 2006-03-02 13:00 16,384 --a--c--- c:\windows\system32\dllcache\isignup.exe 2008-12-17 22:26 . 2008-12-17 22:26 749 -rah----- c:\windows\WindowsShell.Manifest 2008-12-17 22:26 . 2008-12-17 22:26 749 -rah----- c:\windows\system32\wuaucpl.cpl.manifest 2008-12-17 22:26 . 2008-12-17 22:26 749 -rah----- c:\windows\system32\sapi.cpl.manifest 2008-12-17 22:26 . 2008-12-17 22:26 749 -rah----- c:\windows\system32\nwc.cpl.manifest 2008-12-17 22:26 . 2008-12-17 22:26 749 -rah----- c:\windows\system32\ncpa.cpl.manifest 2008-12-17 22:26 . 2008-12-17 22:26 488 -rah----- c:\windows\system32\logonui.exe.manifest 2008-12-17 22:15 . 2006-03-02 13:00 24,661 --a------ c:\windows\system32\spxcoins.dll 2008-12-17 22:15 . 2006-03-02 13:00 24,661 --a--c--- c:\windows\system32\dllcache\spxcoins.dll 2008-12-17 22:15 . 2006-03-02 13:00 13,312 --a------ c:\windows\system32\irclass.dll 2008-12-17 22:15 . 2006-03-02 13:00 13,312 --a--c--- c:\windows\system32\dllcache\irclass.dll 2008-12-17 22:14 . 2006-03-02 13:00 1,086,058 -ra------ c:\windows\SET2C.tmp 2008-12-17 22:14 . 2006-03-02 13:00 1,013,912 -ra------ c:\windows\SET29.tmp 2008-12-17 22:14 . 2006-03-02 13:00 809,394 --a--c--- c:\windows\system32\dllcache\NT5IIS.CAT 2008-12-17 22:14 . 2006-03-02 13:00 399,670 --a--c--- c:\windows\system32\dllcache\MAPIMIG.CAT 2008-12-17 22:14 . 2006-03-02 13:00 37,509 --a--c--- c:\windows\system32\dllcache\MW770.CAT 2008-12-17 22:14 . 2006-03-02 13:00 14,573 -ra------ c:\windows\SET73.tmp 2008-12-17 22:14 . 2006-03-02 13:00 14,043 -ra------ c:\windows\SET38.tmp 2008-12-17 22:14 . 2006-03-02 13:00 13,497 --a--c--- c:\windows\system32\dllcache\HPCRDP.CAT 2008-12-17 22:14 . 2006-03-02 13:00 8,599 --a--c--- c:\windows\system32\dllcache\IASNT4.CAT 2008-12-17 22:14 . 2006-03-02 13:00 7,382 --a--c--- c:\windows\system32\dllcache\OEMBIOS.CAT 2008-12-17 13:54 . 2006-12-28 12:01 19,569 --a------ c:\windows\[u]0[/u]03351_.tmp 2008-12-17 13:10 . 2008-04-13 19:34 188,416 --a------ c:\windows\system32\msh261.drv 2008-12-17 13:10 . 2006-03-02 13:00 118,784 --a------ c:\windows\system32\msg723.acm 2008-12-17 13:08 . 2008-04-13 19:33 190,464 --a------ c:\windows\system32\accwiz.exe 2008-12-17 13:08 . 2008-04-13 19:34 71,680 --a------ c:\windows\system32\access.cpl 2008-12-17 12:56 . 2006-03-02 13:00 1,086,058 -ra------ c:\windows\SET43.tmp 2008-12-17 12:56 . 2006-03-02 13:00 66,082 --a--c--- c:\windows\system32\dllcache\c_28599.nls 2008-12-17 12:56 . 2006-03-02 13:00 66,082 --a--c--- c:\windows\system32\dllcache\c_28597.nls 2008-12-17 12:56 . 2006-03-02 13:00 66,082 --a--c--- c:\windows\system32\dllcache\c_28595.nls 2008-12-17 12:56 . 2006-03-02 13:00 66,082 --a--c--- c:\windows\system32\dllcache\c_28594.nls 2008-12-17 12:56 . 2006-03-02 13:00 66,082 --a------ c:\windows\system32\c_28599.nls 2008-12-17 12:56 . 2006-03-02 13:00 66,082 --a------ c:\windows\system32\C_28597.NLS 2008-12-17 12:56 . 2006-03-02 13:00 66,082 --a------ c:\windows\system32\C_28595.NLS 2008-12-17 12:56 . 2006-03-02 13:00 66,082 --a------ c:\windows\system32\C_28594.NLS 2008-12-17 12:56 . 2006-03-02 13:00 14,573 -ra------ c:\windows\SET8A.tmp 2008-12-17 12:56 . 2006-03-02 13:00 14,043 -ra------ c:\windows\SET4F.tmp 2008-12-17 12:55 . 2006-03-02 13:00 1,013,912 -ra------ c:\windows\SET40.tmp 2008-12-17 12:55 . 2008-12-17 19:09 558,538 --a------ c:\windows\setupapi.old 2008-12-16 18:49 . 2008-12-16 18:49 d-------- c:\documents and settings\All Users\Application Data\Yahoo! Companion 2008-12-16 18:49 . 2008-12-16 18:49 d-------- c:\documents and settings\All Users\Application Data\Grisoft 2008-12-16 18:30 . 2008-12-16 18:31 d-------- c:\program files\CCleaner 2008-12-15 23:51 . 2008-12-15 23:51 135,712 --a------ c:\windows\system32\drivers\ethysmku.sys . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2009-01-13 00:25 --------- d-----w c:\documents and settings\Administrateur\Application Data\Free Download Manager 2009-01-12 18:02 --------- d-----w c:\program files\MSN Messenger 2009-01-11 20:05 --------- d-----w c:\program files\CheckPoint 2008-12-28 21:24 --------- d-----w c:\program files\ATI Technologies 2008-12-21 17:50 --------- d-----w c:\documents and settings\Administrateur\Application Data\Twain 2008-12-16 17:30 --------- d-----w c:\program files\Yahoo! 2008-12-10 22:52 8,224 ----a-w C:\peas.exe 2008-12-07 21:21 --------- d-----w c:\program files\AxBx 2008-12-07 21:14 --------- d-----w c:\program files\Java 2008-11-20 18:40 --------- d-----w c:\program files\Free Download Manager 2008-11-20 18:40 --------- d-----w c:\documents and settings\All Users\Application Data\FreeDownloadManager.ORG 2008-11-17 21:51 --------- d-----w c:\program files\Lavalys 2008-10-16 16:56 70,311 ----a-w c:\windows\BricoPackUninst.cmd 2008-10-16 16:56 5,273 ----a-w c:\windows\BricoPackFoldersDelete.cmd . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SuperCopier.exe"="c:\program files\SuperCopier\SuperCopier.exe" [2003-04-24 683520] "Gadwin PrintScreen 2.6"="c:\program files\Gadwin Systems\PrintScreen\PrintScreen.exe" [2003-07-16 913408] "AlcoholAutomount"="c:\program files\Alcohol Soft\Alcohol 120\axcmd.exe" [2008-03-20 217544] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-07 136600] "OSSelectorReinstall"="c:\program files\Fichiers communs\Acronis\Acronis Disk Director\oss_reinstall.exe" [2005-11-29 1544099] "StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-29 61440] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360] "msnmsgr"="c:\program files\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352] c:\documents and settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\ RocketDock.lnk - c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-03-18 630784] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ckpNotify] 2006-04-09 21:24 24674 c:\windows\system32\ckpNotify.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati3vqxx.sys] @="Driver" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "FileZilla Server"=2 (0x2) [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "c:\WINDOWS\pchealth\helpctr\binaries\HelpCtr.exe"= "c:\Program Files\iTunes\iTunes.exe"= "c:\Program Files\Messenger\msmsgs.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "c:\Program Files\MSN Messenger\msnmsgr.exe"= "c:\Program Files\MSN Messenger\livecall.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "15766:TCP"= 15766:TCP:BitComet 15766 TCP "15766:UDP"= 15766:UDP:BitComet 15766 UDP "7507:TCP"= 7507:TCP:BitComet 7507 TCP "7507:UDP"= 7507:UDP:BitComet 7507 UDP "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009 R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2009-01-05 28544] R3 DisplayLinkGA;DisplayLinkGA;c:\windows\system32\drivers\DisplayLinkGAport.sys [2007-03-09 25704] R3 DisplayLinkmirror;DisplayLinkmirror;c:\windows\system32\drivers\DisplayLinkmirrorport.sys [2007-03-09 23400] R3 DisplayLinkUsbPort;DisplayLink USB Device;c:\windows\system32\drivers\DisplayLinkUsbPort.sys [2002-01-01 26600] R3 FW1;SecuRemote Miniport;c:\windows\system32\drivers\fw.sys [2007-05-24 2234800] R3 VNASC;Check Point Virtual Network Adapter - SecureClient;c:\windows\system32\drivers\vnasc.sys [2007-05-24 110032] R4 DisplayLinkService;DisplayLink Service;c:\program files\DisplayLink Core Software\DisplayLinkService.exe [2007-08-28 417792] R4 Tmfilter;Tmfilter;c:\windows\system32\drivers\tmxpflt.sys [2004-03-30 205328] R4 Tmntsrv;Trend Micro Real-time Service;c:\progra~1\TRENDM~1\INTERN~1\Tmntsrv.exe [2004-10-27 282696] R4 TmPfw;Trend Micro Personal Firewall;c:\progra~1\TRENDM~1\INTERN~1\TmPfw.exe [2004-09-15 585789] R4 Tmpreflt;Tmpreflt;c:\windows\system32\drivers\tmpreflt.sys [2004-03-30 36368] R4 tmproxy;Trend Micro Proxy Service;c:\progra~1\TRENDM~1\INTERN~1\tmproxy.exe [2004-09-15 188484] S0 ati3vqxx;ati3vqxx;c:\windows\system32\Drivers\ati3vqxx.sys --> c:\windows\system32\Drivers\ati3vqxx.sys [?] S1 ethysmku;ethysmku;c:\windows\system32\drivers\ethysmku.sys [2008-12-15 135712] S3 Asushwio;ASUSHWIO;\??\c:\windows\system32\drivers\ASUSHWIO.sys --> c:\windows\system32\drivers\ASUSHWIO.sys [?] S3 emu10kx;Creative EMU10K1/EMU10K2 Audio Driver (WDM);c:\windows\system32\drivers\e10kx2k.sys [2007-04-04 1745168] S3 WLAN_DCB;IEEE 802.11g Wireless LAN CardBus Driver;c:\windows\system32\drivers\WLANDCB.sys [2003-06-20 56416] S4 CP_OMDRV;Check Point Office Mode Module;c:\windows\system32\drivers\omdrv.sys --> c:\windows\system32\drivers\omdrv.sys [?] S4 VPN-1;VPN-1 Module;c:\windows\system32\drivers\vpn.sys --> c:\windows\system32\drivers\vpn.sys [?] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F] \Shell\AutoRun\command - F:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ab1f8532-fe43-11d5-b0f0-00105a3b67f6}] \Shell\AutoRun\command - F:\AutoRun.exe . - - - - ORPHELINS SUPPRIMES - - - - Notify-mlkyic - mlkyic.dll Notify-pgaush - pgaush.dll . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.google.fr/ IE: &D&ownload &with BitComet - c:\program files\BitComet\BitComet.exe/AddLink.htm IE: &D&ownload all video with BitComet - c:\program files\BitComet\BitComet.exe/AddVideo.htm IE: &D&ownload all with BitComet - c:\program files\BitComet\BitComet.exe/AddAllLink.htm IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 IE: Tout télécharger avec Free Download Manager - file://c:\program files\Free Download Manager\dlall.htm IE: Télécharger avec Free Download Manager - file://c:\program files\Free Download Manager\dllink.htm IE: Télécharger la sélection avec Free Download Manager - file://c:\program files\Free Download Manager\dlselected.htm IE: Télécharger la vidéo avec Free Download Manager - file://c:\program files\Free Download Manager\dlfvideo.htm Trusted Zone: *.update.microsoft.com Trusted Zone: update.microsoft.com Trusted Zone: download.windowsupdate.com c:\windows\system32\atl.dll - c:\windows\Downloaded Program Files\ICSScan.dll O16 -: {7F8C8173-AD80-4807-AA75-5672F22B4582} hxxps://sas.imatechnologies.fr/sre/ICSScanner.cab c:\windows\Downloaded Program Files\ICSScanner.inf O16 -: {B4CB50E4-0309-4906-86EA-10B6641C8392} - hxxps://sas.imatechnologies.fr/SNX/CSHELL/extender.cab c:\windows\Downloaded Program Files\msi.inf FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\8umvtsy8.default\ FF - prefs.js: browser.search.defaulturl - hxxp://fr.search.yahoo.com/search?ei=UTF-8&fr=ytff-&p= FF - prefs.js: browser.search.selectedEngine - Yahoo FF - prefs.js: browser.startup.homepage - www.google.fr FF - prefs.js: keyword.URL - hxxp://fr.search.yahoo.com/search?ei=UTF-8&fr=ytff-&p= FF - component: c:\program files\Free Download Manager\Firefox\Extension\components\vmsfdmff.dll FF - plugin: c:\program files\Mozilla Firefox\plugins\NPAdbESD.dll FF - plugin: c:\program files\Mozilla Firefox\plugins\npitunes.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-01-13 01:28:45 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . --------------------- LOCKED REGISTRY KEYS --------------------- [HKEY_USERS\Administrator\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID] @Denied: (Full) (LocalSystem) [HKEY_LOCAL_MACHINE\software\ASUS\ASUS Probe\2.21.07] @DACL=(02 0000) [HKEY_LOCAL_MACHINE\software\ASUS\ASUS Probe\2.23.08] @DACL=(02 0000) . --------------------- DLLs chargées dans les processus actifs --------------------- - - - - - - - > 'winlogon.exe'(1084) c:\windows\system32\Ati2evxx.dll . ------------------------ Autres processus actifs ------------------------ . c:\windows\system32\ati2evxx.exe c:\windows\system32\ati2evxx.exe c:\program files\Java\jre6\bin\jqs.exe c:\progra~1\TRENDM~1\INTERN~1\PcCtlCom.exe c:\program files\Analog Devices\SoundMAX\SMAgent.exe c:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe c:\progra~1\TRENDM~1\INTERN~1\pccguide.exe c:\program files\DisplayLink Core Software\DisplayLinkManager.exe c:\program files\DisplayLink Core Software\DisplayLinkUI.exe c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe c:\program files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe . ************************************************************************** . Heure de fin: 2009-01-13 1:30:57 - La machine a redémarré [Administrateur] ComboFix-quarantined-files.txt 2009-01-13 00:30:54 Avant-CF: 782 458 880 octets libres Après-CF: 758,075,392 octets libres Current=6 Default=6 Failed=0 LastKnownGood=9 Sets=2,3,4,5,6,7,8,9 289 Merci à toi.

Lyonnais92 · Answer

Bonjour,

========================================
->Affiche tous les fichiers et dossiers :
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

[Coche] « afficher les dossiers et fichiers cachés »

[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

[Décoche] « masquer les extensions dont le type est connu »

Puis fais [appliquer] pour valider les changements.

Et [Ok]
.

=======================================
Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : c:\windows\system32\drivers\ethysmku.sys       

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant 


Même chose avec :  c:\windows\system32\Drivers\ati3vqxx.sys
===================

Tu connais C:\peas.exe  ?

====================

tonysaintbrev · Answer

Bonsoir, Voici le rapport pour le fichier c:\windows\system32\drivers\ethysmku.sys : Fichier ethysmku.sys reçu le 2009.01.13 19:28:25 (CET) Antivirus Version Dernière mise à jour Résultat a-squared 4.0.0.73 2009.01.13 - AhnLab-V3 2009.1.13.3 2009.01.13 - AntiVir 7.9.0.54 2009.01.13 - Authentium 5.1.0.4 2009.01.13 W32/SpamAgent.B.gen!Eldorado Avast 4.8.1281.0 2009.01.13 - AVG 8.0.0.229 2009.01.13 - BitDefender 7.2 2009.01.13 - CAT-QuickHeal 10.00 2009.01.12 - ClamAV 0.94.1 2009.01.13 - Comodo 927 2009.01.13 - DrWeb 4.44.0.09170 2009.01.13 - eSafe 7.0.17.0 2009.01.13 - eTrust-Vet 31.6.6306 2009.01.13 - F-Prot 4.4.4.56 2009.01.13 W32/SpamAgent.B.gen!Eldorado F-Secure 8.0.14470.0 2009.01.13 - Fortinet 3.117.0.0 2009.01.13 - GData 19 2009.01.13 - Ikarus T3.1.1.45.0 2009.01.13 - K7AntiVirus 7.10.584 2009.01.09 - Kaspersky 7.0.0.125 2009.01.13 - McAfee 5494 2009.01.13 - McAfee+Artemis 5494 2009.01.13 - Microsoft 1.4205 2009.01.13 Spammer:Win32/Rlsloup.B NOD32 3762 2009.01.13 - Norman 5.93.01 2009.01.13 - Panda 9.5.1.2 2009.01.13 - PCTools 4.4.2.0 2009.01.13 - Prevx1 V2 2009.01.13 - Rising 21.12.12.00 2009.01.13 - SecureWeb-Gateway 6.7.6 2009.01.13 Trojan.LooksLike.Vundo Sophos 4.37.0 2009.01.13 - Sunbelt 3.2.1831.2 2009.01.09 - Symantec 10 2009.01.13 - TheHacker 6.3.1.4.218 2009.01.13 - TrendMicro 8.700.0.1004 2009.01.13 - VBA32 3.12.8.10 2009.01.13 - ViRobot 2009.1.13.1556 2009.01.13 - VirusBuster 4.5.11.0 2009.01.13 - Information additionnelle File size: 135712 bytes MD5...: f7d939629cb4550555aa16ecf3c63d27 SHA1..: 33297109b40a678c597523e5df9a33d47fde334f SHA256: 26fb4c7241b24a05a67157cfd56fe8cbccd8bc3cd4da39b5ec8793814cf962a3 SHA512: 61f3d51ee1967154663ea569d276677e8ef9ab4d8d119eb47eb4014ae543c064
133bc6b459c2319207918d7ee55fc77099a6c86d6f91fbfb3ab350acd96a4b15
ssdeep: 3072:f4etTG8uA9SGyeBtTqNaRDZjWIVaWMUQpOs8Ut:g0TG8qGpBfRDNWIV2rt
PEiD..: - TrID..: File type identification
Generic Win/DOS Executable (49.6%)
DOS Executable Generic (49.5%)
VXD Driver (0.7%) PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x30bc0
timedatestamp.....: 0x4946cd53 (Mon Dec 15 21:34:11 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.data 0x220 0x2098b 0x209a0 7.96 35d23c6e9061686de28a5a0953a7d7a5
.text 0x20bc0 0x282 0x2a0 5.47 ba486feee251a9ea1ca53346a0211044
.idata 0x20e60 0x2f2 0x300 4.84 534ed60b55946506ef456e25b51f7494
.reloc 0x21160 0xb4 0xc0 5.10 cb8a3189737f99dc6b73b38a8a8ef182

( 1 imports )
> ntoskrnl.exe: ExAllocatePoolWithTag, FsRtlPrepareMdlWrite, KeTickCount, _except_handler3, PsSetLoadImageNotifyRoutine, KeQueryTimeIncrement, ExFreePoolWithTag, strncpy, RtlAnsiCharToUnicodeChar, MmSizeOfMdl, WmiStartTrace, ZwQuerySystemInformation, IoGetCurrentProcess, DbgPrint, KeIsExecutingDpc, strncmp, strstr, KeBugCheckEx, srand, ExReleaseResourceLite, ObfReferenceObject, MmMapLockedPagesSpecifyCache, wcsncpy, FsRtlUninitializeOplock, ObReferenceObjectByHandle

( 0 exports )
Antivirus Version Dernière mise à jour Résultat a-squared 4.0.0.73 2009.01.13 - AhnLab-V3 2009.1.13.3 2009.01.13 - AntiVir 7.9.0.54 2009.01.13 - Authentium 5.1.0.4 2009.01.13 W32/SpamAgent.B.gen!Eldorado Avast 4.8.1281.0 2009.01.13 - AVG 8.0.0.229 2009.01.13 - BitDefender 7.2 2009.01.13 - CAT-QuickHeal 10.00 2009.01.12 - ClamAV 0.94.1 2009.01.13 - Comodo 927 2009.01.13 - DrWeb 4.44.0.09170 2009.01.13 - eSafe 7.0.17.0 2009.01.13 - eTrust-Vet 31.6.6306 2009.01.13 - F-Prot 4.4.4.56 2009.01.13 W32/SpamAgent.B.gen!Eldorado F-Secure 8.0.14470.0 2009.01.13 - Fortinet 3.117.0.0 2009.01.13 - GData 19 2009.01.13 - Ikarus T3.1.1.45.0 2009.01.13 - K7AntiVirus 7.10.584 2009.01.09 - Kaspersky 7.0.0.125 2009.01.13 - McAfee 5494 2009.01.13 - McAfee+Artemis 5494 2009.01.13 - Microsoft 1.4205 2009.01.13 Spammer:Win32/Rlsloup.B NOD32 3762 2009.01.13 - Norman 5.93.01 2009.01.13 - Panda 9.5.1.2 2009.01.13 - PCTools 4.4.2.0 2009.01.13 - Prevx1 V2 2009.01.13 - Rising 21.12.12.00 2009.01.13 - SecureWeb-Gateway 6.7.6 2009.01.13 Trojan.LooksLike.Vundo Sophos 4.37.0 2009.01.13 - Sunbelt 3.2.1831.2 2009.01.09 - Symantec 10 2009.01.13 - TheHacker 6.3.1.4.218 2009.01.13 - TrendMicro 8.700.0.1004 2009.01.13 - VBA32 3.12.8.10 2009.01.13 - ViRobot 2009.1.13.1556 2009.01.13 - VirusBuster 4.5.11.0 2009.01.13 - Information additionnelle File size: 135712 bytes MD5...: f7d939629cb4550555aa16ecf3c63d27 SHA1..: 33297109b40a678c597523e5df9a33d47fde334f SHA256: 26fb4c7241b24a05a67157cfd56fe8cbccd8bc3cd4da39b5ec8793814cf962a3 SHA512: 61f3d51ee1967154663ea569d276677e8ef9ab4d8d119eb47eb4014ae543c064
133bc6b459c2319207918d7ee55fc77099a6c86d6f91fbfb3ab350acd96a4b15
ssdeep: 3072:f4etTG8uA9SGyeBtTqNaRDZjWIVaWMUQpOs8Ut:g0TG8qGpBfRDNWIV2rt
PEiD..: - TrID..: File type identification
Generic Win/DOS Executable (49.6%)
DOS Executable Generic (49.5%)
VXD Driver (0.7%) PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x30bc0
timedatestamp.....: 0x4946cd53 (Mon Dec 15 21:34:11 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.data 0x220 0x2098b 0x209a0 7.96 35d23c6e9061686de28a5a0953a7d7a5
.text 0x20bc0 0x282 0x2a0 5.47 ba486feee251a9ea1ca53346a0211044
.idata 0x20e60 0x2f2 0x300 4.84 534ed60b55946506ef456e25b51f7494
.reloc 0x21160 0xb4 0xc0 5.10 cb8a3189737f99dc6b73b38a8a8ef182

( 1 imports )
> ntoskrnl.exe: ExAllocatePoolWithTag, FsRtlPrepareMdlWrite, KeTickCount, _except_handler3, PsSetLoadImageNotifyRoutine, KeQueryTimeIncrement, ExFreePoolWithTag, strncpy, RtlAnsiCharToUnicodeChar, MmSizeOfMdl, WmiStartTrace, ZwQuerySystemInformation, IoGetCurrentProcess, DbgPrint, KeIsExecutingDpc, strncmp, strstr, KeBugCheckEx, srand, ExReleaseResourceLite, ObfReferenceObject, MmMapLockedPagesSpecifyCache, wcsncpy, FsRtlUninitializeOplock, ObReferenceObjectByHandle

( 0 exports )
Concernant le second fichier (c:\windows\system32\Drivers\ati3vqxx.sys), je ne trouve plus celui-ci sur mon disque. Sinon je ne connais pas le programme C:\peas.exe , je ne sais du tout à quoi il sert... Merci

Lyonnais92 · Answer

Bonsoir,

un deuxième :

Copie ou imprime les instructions avant

Déconnecte toi d'internet et ferme toutes tes applications.

Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ethysmku]
[-HKEY_CURRENT_USER\Software\AdWare] 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati3vqxx.sys]

driver::
ati3vqxx
ethysmku

file::
C:\peas.exe
c:\windows\system32\drivers\ethysmku.sys


Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Réactive ton parefeu, ton antivirus, la garde de ton antispyware

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.

Lyonnais92 · Answer

Re,

un oubli.

Télécharge DirLook de jpshortstuff ici :

http://jpshortstuff.247fixes.com/DirLook.exe

[*]Double-clique sur DirLook.exe pour le lancer.
[*]Assure-toi que Show Hidden Files et BBCode Ouput soient tous les deux cochés.
[*]Copie le contenu de la boîte ci-dessous dans le champ texte principal :

c:\documents and settings\Administrateur\Application Data\Twain 
 

[*]Clique sur le bouton DirLook pour lancer l'examen.
[*]Quand il est terminé, une fenêtre du Bloc-notes s'ouvre avec le résultat du scan. Merci de poster ce rapport dans ta prochaine réponse.

Note : Le rapport peut aussi être trouvé dans C:dl_log.txt
Note :Il se peut que l'examen prenne plus de temps pour les gros répertoires.

tonysaintbrev · Answer

Bonsoir, Voici le rapport du Combofix lancé avec les paramètres que tu m'a demandé : ComboFix 09-01-11.04 - Administrateur 2009-01-14 18:51:50.2 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.2047.1562 [GMT 1:00] Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe Commutateurs utilisés :: c:\documents and settings\Administrateur\Bureau\CFscript AV: Trend Micro PC-cillin Internet Security 12 *On-access scanning disabled* (Outdated) FW: Trend Micro PC-cillin Internet Security 12 *disabled* * Un nouveau point de restauration a été créé FILE :: C:\peas.exe c:\windows\system32\drivers\ethysmku.sys . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\peas.exe c:\windows\system32\drivers\ethysmku.sys . ((((((((((((((((((((((((((((((((((((((( Pilotes/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_ATI3VQXX -------\Service_ati3vqxx ((((((((((((((((((((((((((((( Fichiers créés du 2008-12-14 au 2009-01-14 )))))))))))))))))))))))))))))))))))) . 2009-01-12 20:44 . 2008-10-16 14:09 43,544 --a------ c:\windows\system32\wups2.dll 2009-01-12 20:44 . 2008-10-16 14:09 35,864 --a------ c:\windows\system32\wucltui.dll.mui 2009-01-12 20:44 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuaucpl.cpl.mui 2009-01-12 20:44 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuapi.dll.mui 2009-01-12 20:44 . 2008-10-16 14:07 19,992 --a------ c:\windows\system32\wuaueng.dll.mui 2009-01-12 20:04 . 2008-04-23 05:16 6,066,176 -----c--- c:\windows\system32\dllcache\ieframe.dll 2009-01-12 20:04 . 2007-04-17 10:32 2,455,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dat 2009-01-12 20:04 . 2007-03-08 06:10 1,048,576 -----c--- c:\windows\system32\dllcache\ieframe.dll.mui 2009-01-12 20:04 . 2008-04-23 05:16 459,264 -----c--- c:\windows\system32\dllcache\msfeeds.dll 2009-01-12 20:04 . 2008-04-23 05:16 383,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dll 2009-01-12 20:04 . 2008-04-23 05:16 267,776 -----c--- c:\windows\system32\dllcache\iertutil.dll 2009-01-12 20:04 . 2008-04-23 05:16 63,488 -----c--- c:\windows\system32\dllcache\icardie.dll 2009-01-12 20:04 . 2008-04-23 05:16 52,224 -----c--- c:\windows\system32\dllcache\msfeedsbs.dll 2009-01-12 20:04 . 2008-04-22 08:39 13,824 -----c--- c:\windows\system32\dllcache\ieudinit.exe 2009-01-12 19:56 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys 2009-01-12 19:55 . 2008-08-14 11:04 138,496 -----c--- c:\windows\system32\dllcache\afd.sys 2009-01-12 19:54 . 2008-09-08 11:41 333,824 -----c--- c:\windows\system32\dllcache\srv.sys 2009-01-12 19:48 . 2008-09-15 16:26 1,846,528 -----c--- c:\windows\system32\dllcache\win32k.sys 2009-01-12 19:46 . 2008-07-07 21:28 253,952 -----c--- c:\windows\system32\dllcache\es.dll 2009-01-12 19:40 . 2008-05-07 06:11 1,294,336 -----c--- c:\windows\system32\dllcache\quartz.dll 2009-01-12 19:38 . 2008-06-24 17:44 74,240 -----c--- c:\windows\system32\dllcache\mscms.dll 2009-01-12 19:25 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll 2009-01-12 18:49 . 2008-04-13 19:34 294,912 -----c--- c:\windows\system32\dllcache\dlimport.exe 2009-01-12 18:46 . 2006-12-28 12:01 19,569 --a------ c:\windows\[u]0/u03325_.tmp 2009-01-06 18:52 . 2009-01-06 18:52 508 --a------ C:\save.reg 2009-01-05 20:06 . 2008-06-19 17:24 28,544 --a------ c:\windows\system32\drivers\pavboot.sys 2009-01-05 19:48 . 2009-01-05 19:48 d-------- c:\program files\Panda Security 2008-12-28 23:03 . 2009-01-13 20:14 664 --a------ c:\windows\system32\d3d9caps.dat 2008-12-28 22:31 . 2008-12-28 22:31 d-------- c:\documents and settings\All Users\Application Data\ATI 2008-12-22 22:06 . 2008-12-30 21:19 d-------- c:\program files\Malwarebytes' Anti-Malware 2008-12-22 22:06 . 2008-12-22 22:06 d-------- c:\documents and settings\All Users\Application Data\Malwarebytes 2008-12-22 22:06 . 2008-12-22 22:06 d-------- c:\documents and settings\Administrateur\Application Data\Malwarebytes 2008-12-22 22:06 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2008-12-22 22:06 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2008-12-21 17:52 . 2008-12-21 17:52 244 --ah----- C:\sqmnoopt19.sqm 2008-12-21 17:52 . 2008-12-21 17:52 232 --ah----- C:\sqmdata19.sqm 2008-12-21 17:13 . 2008-12-21 17:13 244 --ah----- C:\sqmnoopt18.sqm 2008-12-21 17:13 . 2008-12-21 17:13 232 --ah----- C:\sqmdata18.sqm 2008-12-21 16:32 . 2008-12-21 16:32 244 --ah----- C:\sqmnoopt17.sqm 2008-12-21 16:32 . 2008-12-21 16:32 232 --ah----- C:\sqmdata17.sqm 2008-12-21 04:32 . 2008-12-21 04:32 244 --ah----- C:\sqmnoopt16.sqm 2008-12-21 04:32 . 2008-12-21 04:32 232 --ah----- C:\sqmdata16.sqm 2008-12-21 03:52 . 2008-12-21 03:52 244 --ah----- C:\sqmnoopt15.sqm 2008-12-21 03:52 . 2008-12-21 03:52 232 --ah----- C:\sqmdata15.sqm 2008-12-21 03:12 . 2008-12-21 03:12 244 --ah----- C:\sqmnoopt14.sqm 2008-12-21 03:12 . 2008-12-21 03:12 232 --ah----- C:\sqmdata14.sqm 2008-12-21 02:32 . 2008-12-21 02:32 244 --ah----- C:\sqmnoopt13.sqm 2008-12-21 02:32 . 2008-12-21 02:32 232 --ah----- C:\sqmdata13.sqm 2008-12-21 01:52 . 2008-12-21 01:52 244 --ah----- C:\sqmnoopt12.sqm 2008-12-21 01:52 . 2008-12-21 01:52 232 --ah----- C:\sqmdata12.sqm 2008-12-18 20:23 . 2008-12-18 20:23 244 --ah----- C:\sqmnoopt11.sqm 2008-12-18 20:23 . 2008-12-18 20:23 232 --ah----- C:\sqmdata11.sqm 2008-12-17 22:35 . 2008-12-17 22:35 d---s---- c:\documents and settings\NetworkService\Favoris 2008-12-17 22:31 . 2006-03-02 13:00 28,288 --a--c--- c:\windows\system32\dllcache\xjis.nls 2008-12-17 22:29 . 2008-04-13 19:31 13,463,552 --a--c--- c:\windows\system32\dllcache\hwxjpn.dll 2008-12-17 22:28 . 2003-04-14 20:29 217,088 --a--c--- c:\windows\system32\dllcache\fpmmcsat.dll 2008-12-17 22:26 . 2006-03-02 13:00 16,384 --a--c--- c:\windows\system32\dllcache\isignup.exe 2008-12-17 22:26 . 2008-12-17 22:26 749 -rah----- c:\windows\WindowsShell.Manifest 2008-12-17 22:26 . 2008-12-17 22:26 749 -rah----- c:\windows\system32\wuaucpl.cpl.manifest 2008-12-17 22:26 . 2008-12-17 22:26 749 -rah----- c:\windows\system32\sapi.cpl.manifest 2008-12-17 22:26 . 2008-12-17 22:26 749 -rah----- c:\windows\system32\nwc.cpl.manifest 2008-12-17 22:26 . 2008-12-17 22:26 749 -rah----- c:\windows\system32\ncpa.cpl.manifest 2008-12-17 22:26 . 2008-12-17 22:26 488 -rah----- c:\windows\system32\logonui.exe.manifest 2008-12-17 22:15 . 2006-03-02 13:00 24,661 --a------ c:\windows\system32\spxcoins.dll 2008-12-17 22:15 . 2006-03-02 13:00 24,661 --a--c--- c:\windows\system32\dllcache\spxcoins.dll 2008-12-17 22:15 . 2006-03-02 13:00 13,312 --a------ c:\windows\system32\irclass.dll 2008-12-17 22:15 . 2006-03-02 13:00 13,312 --a--c--- c:\windows\system32\dllcache\irclass.dll 2008-12-17 22:14 . 2006-03-02 13:00 1,086,058 -ra------ c:\windows\SET2C.tmp 2008-12-17 22:14 . 2006-03-02 13:00 1,013,912 -ra------ c:\windows\SET29.tmp 2008-12-17 22:14 . 2006-03-02 13:00 809,394 --a--c--- c:\windows\system32\dllcache\NT5IIS.CAT 2008-12-17 22:14 . 2006-03-02 13:00 399,670 --a--c--- c:\windows\system32\dllcache\MAPIMIG.CAT 2008-12-17 22:14 . 2006-03-02 13:00 37,509 --a--c--- c:\windows\system32\dllcache\MW770.CAT 2008-12-17 22:14 . 2006-03-02 13:00 14,573 -ra------ c:\windows\SET73.tmp 2008-12-17 22:14 . 2006-03-02 13:00 14,043 -ra------ c:\windows\SET38.tmp 2008-12-17 22:14 . 2006-03-02 13:00 13,497 --a--c--- c:\windows\system32\dllcache\HPCRDP.CAT 2008-12-17 22:14 . 2006-03-02 13:00 8,599 --a--c--- c:\windows\system32\dllcache\IASNT4.CAT 2008-12-17 22:14 . 2006-03-02 13:00 7,382 --a--c--- c:\windows\system32\dllcache\OEMBIOS.CAT 2008-12-17 13:54 . 2006-12-28 12:01 19,569 --a------ c:\windows\[u]0/u03351_.tmp 2008-12-17 13:10 . 2008-04-13 19:34 188,416 --a------ c:\windows\system32\msh261.drv 2008-12-17 13:10 . 2006-03-02 13:00 118,784 --a------ c:\windows\system32\msg723.acm 2008-12-17 13:08 . 2008-04-13 19:33 190,464 --a------ c:\windows\system32\accwiz.exe 2008-12-17 13:08 . 2008-04-13 19:34 71,680 --a------ c:\windows\system32\access.cpl 2008-12-17 12:56 . 2006-03-02 13:00 1,086,058 -ra------ c:\windows\SET43.tmp 2008-12-17 12:56 . 2006-03-02 13:00 66,082 --a--c--- c:\windows\system32\dllcache\c_28599.nls 2008-12-17 12:56 . 2006-03-02 13:00 66,082 --a--c--- c:\windows\system32\dllcache\c_28597.nls 2008-12-17 12:56 . 2006-03-02 13:00 66,082 --a--c--- c:\windows\system32\dllcache\c_28595.nls 2008-12-17 12:56 . 2006-03-02 13:00 66,082 --a--c--- c:\windows\system32\dllcache\c_28594.nls 2008-12-17 12:56 . 2006-03-02 13:00 66,082 --a------ c:\windows\system32\c_28599.nls 2008-12-17 12:56 . 2006-03-02 13:00 66,082 --a------ c:\windows\system32\C_28597.NLS 2008-12-17 12:56 . 2006-03-02 13:00 66,082 --a------ c:\windows\system32\C_28595.NLS 2008-12-17 12:56 . 2006-03-02 13:00 66,082 --a------ c:\windows\system32\C_28594.NLS 2008-12-17 12:56 . 2006-03-02 13:00 14,573 -ra------ c:\windows\SET8A.tmp 2008-12-17 12:56 . 2006-03-02 13:00 14,043 -ra------ c:\windows\SET4F.tmp 2008-12-17 12:55 . 2006-03-02 13:00 1,013,912 -ra------ c:\windows\SET40.tmp 2008-12-17 12:55 . 2008-12-17 19:09 558,538 --a------ c:\windows\setupapi.old 2008-12-16 18:49 . 2008-12-16 18:49 d-------- c:\documents and settings\All Users\Application Data\Yahoo! Companion 2008-12-16 18:49 . 2008-12-16 18:49 d-------- c:\documents and settings\All Users\Application Data\Grisoft 2008-12-16 18:30 . 2008-12-16 18:31 d-------- c:\program files\CCleaner . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2009-01-14 02:04 --------- d-----w c:\documents and settings\Administrateur\Application Data\Free Download Manager 2009-01-12 18:02 --------- d-----w c:\program files\MSN Messenger 2009-01-11 20:05 --------- d-----w c:\program files\CheckPoint 2008-12-28 21:24 --------- d-----w c:\program files\ATI Technologies 2008-12-21 17:50 --------- d-----w c:\documents and settings\Administrateur\Application Data\Twain 2008-12-16 17:30 --------- d-----w c:\program files\Yahoo! 2008-12-07 21:21 --------- d-----w c:\program files\AxBx 2008-12-07 21:14 --------- d-----w c:\program files\Java 2008-11-26 16:42 36,368 ----a-w c:\windows\system32\drivers\tmpreflt.sys 2008-11-26 16:42 205,328 ----a-w c:\windows\system32\drivers\tmxpflt.sys 2008-11-26 16:39 1,195,384 ----a-w c:\windows\system32\drivers\VsapiNT.sys 2008-11-20 18:40 --------- d-----w c:\program files\Free Download Manager 2008-11-20 18:40 --------- d-----w c:\documents and settings\All Users\Application Data\FreeDownloadManager.ORG 2008-11-17 21:51 --------- d-----w c:\program files\Lavalys 2008-10-16 16:56 70,311 ----a-w c:\windows\BricoPackUninst.cmd 2008-10-16 16:56 5,273 ----a-w c:\windows\BricoPackFoldersDelete.cmd 2003-07-31 09:53 147,456 ----a-w c:\windows\inf\EL2K_XP.sys 2003-07-31 09:50 448,768 ----a-w c:\windows\inf\EL2K_N64.sys 2003-07-31 09:43 147,456 ----a-w c:\windows\inf\EL2K_2K.sys . ((((((((((((((((((((((((((((( snapshot@2009-01-13_ 1.30.11.76 ))))))))))))))))))))))))))))))))))))))))) . - 2006-10-06 10:38:56 593,920 ----a-r c:\windows\Installer\{9011040C-6000-11D3-8CFE-0150048383C9}\accicons.exe + 2009-01-13 18:33:01 593,920 ----a-r c:\windows\Installer\{9011040C-6000-11D3-8CFE-0150048383C9}\accicons.exe - 2006-10-06 10:38:56 12,288 ----a-r c:\windows\Installer\{9011040C-6000-11D3-8CFE-0150048383C9}\cagicon.exe + 2009-01-13 18:33:02 12,288 ----a-r c:\windows\Installer\{9011040C-6000-11D3-8CFE-0150048383C9}\cagicon.exe - 2006-10-06 10:38:56 86,016 ----a-r c:\windows\Installer\{9011040C-6000-11D3-8CFE-0150048383C9}\inficon.exe + 2009-01-13 18:33:02 86,016 ----a-r c:\windows\Installer\{9011040C-6000-11D3-8CFE-0150048383C9}\inficon.exe - 2006-10-06 10:38:56 135,168 ----a-r c:\windows\Installer\{9011040C-6000-11D3-8CFE-0150048383C9}\misc.exe + 2009-01-13 18:33:01 135,168 ----a-r c:\windows\Installer\{9011040C-6000-11D3-8CFE-0150048383C9}\misc.exe - 2006-10-06 10:38:56 11,264 ----a-r c:\windows\Installer\{9011040C-6000-11D3-8CFE-0150048383C9}\mspicons.exe + 2009-01-13 18:33:02 11,264 ----a-r c:\windows\Installer\{9011040C-6000-11D3-8CFE-0150048383C9}\mspicons.exe - 2006-10-06 10:38:56 27,136 ----a-r c:\windows\Installer\{9011040C-6000-11D3-8CFE-0150048383C9}\oisicon.exe + 2009-01-13 18:33:02 27,136 ----a-r c:\windows\Installer\{9011040C-6000-11D3-8CFE-0150048383C9}\oisicon.exe - 2006-10-06 10:38:56 4,096 ----a-r c:\windows\Installer\{9011040C-6000-11D3-8CFE-0150048383C9}\opwicon.exe + 2009-01-13 18:33:02 4,096 ----a-r c:\windows\Installer\{9011040C-6000-11D3-8CFE-0150048383C9}\opwicon.exe - 2006-10-06 10:38:56 794,624 ----a-r c:\windows\Installer\{9011040C-6000-11D3-8CFE-0150048383C9}\outicon.exe + 2009-01-13 18:33:02 794,624 ----a-r c:\windows\Installer\{9011040C-6000-11D3-8CFE-0150048383C9}\outicon.exe - 2006-10-06 10:38:56 249,856 ----a-r c:\windows\Installer\{9011040C-6000-11D3-8CFE-0150048383C9}\pptico.exe + 2009-01-13 18:33:01 249,856 ----a-r c:\windows\Installer\{9011040C-6000-11D3-8CFE-0150048383C9}\pptico.exe - 2006-10-06 10:38:56 61,440 ----a-r c:\windows\Installer\{9011040C-6000-11D3-8CFE-0150048383C9}\pubs.exe + 2009-01-13 18:33:01 61,440 ----a-r c:\windows\Installer\{9011040C-6000-11D3-8CFE-0150048383C9}\pubs.exe - 2006-10-06 10:38:56 23,040 ----a-r c:\windows\Installer\{9011040C-6000-11D3-8CFE-0150048383C9}\unbndico.exe + 2009-01-13 18:33:02 23,040 ----a-r c:\windows\Installer\{9011040C-6000-11D3-8CFE-0150048383C9}\unbndico.exe - 2006-10-06 10:38:56 286,720 ----a-r c:\windows\Installer\{9011040C-6000-11D3-8CFE-0150048383C9}\wordicon.exe + 2009-01-13 18:33:01 286,720 ----a-r c:\windows\Installer\{9011040C-6000-11D3-8CFE-0150048383C9}\wordicon.exe - 2006-10-06 10:38:56 409,600 ----a-r c:\windows\Installer\{9011040C-6000-11D3-8CFE-0150048383C9}\xlicons.exe + 2009-01-13 18:33:01 409,600 ----a-r c:\windows\Installer\{9011040C-6000-11D3-8CFE-0150048383C9}\xlicons.exe + 2001-07-14 16:32:24 69,632 ----a-w c:\windows\setupupd\temp\wsdueng.dll - 2009-01-12 18:50:52 115,768 ----a-w c:\windows\system32\FNTCACHE.DAT + 2009-01-14 17:23:54 115,768 ----a-w c:\windows\system32\FNTCACHE.DAT + 2008-03-20 17:06:36 1,480,232 ------w c:\windows\system32\LegitCheckControl.dll + 2009-01-14 17:56:12 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_700.dat . -- Instantané actualisé -- . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SuperCopier.exe"="c:\program files\SuperCopier\SuperCopier.exe" [2003-04-24 683520] "Gadwin PrintScreen 2.6"="c:\program files\Gadwin Systems\PrintScreen\PrintScreen.exe" [2003-07-16 913408] "AlcoholAutomount"="c:\program files\Alcohol Soft\Alcohol 120\axcmd.exe" [2008-03-20 217544] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-07 136600] "OSSelectorReinstall"="c:\program files\Fichiers communs\Acronis\Acronis Disk Director\oss_reinstall.exe" [2005-11-29 1544099] "StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-29 61440] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360] "msnmsgr"="c:\program files\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352] c:\documents and settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\ RocketDock.lnk - c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-03-18 630784] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ckpNotify] 2006-04-09 21:24 24674 c:\windows\system32\ckpNotify.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "FileZilla Server"=2 (0x2) [HKEY_LOCAL_MACHINE\software\microsoft\security center] "UpdatesDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "c:\WINDOWS\pchealth\helpctr\binaries\HelpCtr.exe"= "c:\Program Files\iTunes\iTunes.exe"= "c:\Program Files\Messenger\msmsgs.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "c:\Program Files\MSN Messenger\msnmsgr.exe"= "c:\Program Files\MSN Messenger\livecall.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "15766:TCP"= 15766:TCP:BitComet 15766 TCP "15766:UDP"= 15766:UDP:BitComet 15766 UDP "7507:TCP"= 7507:TCP:BitComet 7507 TCP "7507:UDP"= 7507:UDP:BitComet 7507 UDP "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009 R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2009-01-05 28544] R3 DisplayLinkGA;DisplayLinkGA;c:\windows\system32\drivers\DisplayLinkGAport.sys [2007-03-09 25704] R3 DisplayLinkmirror;DisplayLinkmirror;c:\windows\system32\drivers\DisplayLinkmirrorport.sys [2007-03-09 23400] R3 DisplayLinkUsbPort;DisplayLink USB Device;c:\windows\system32\drivers\DisplayLinkUsbPort.sys [2002-01-01 26600] R3 FW1;SecuRemote Miniport;c:\windows\system32\drivers\fw.sys [2007-05-24 2234800] R3 VNASC;Check Point Virtual Network Adapter - SecureClient;c:\windows\system32\drivers\vnasc.sys [2007-05-24 110032] R4 DisplayLinkService;DisplayLink Service;c:\program files\DisplayLink Core Software\DisplayLinkService.exe [2007-08-28 417792] R4 Tmfilter;Tmfilter;c:\windows\system32\drivers\tmxpflt.sys [2004-03-30 205328] R4 Tmntsrv;Trend Micro Real-time Service;c:\progra~1\TRENDM~1\INTERN~1\Tmntsrv.exe [2004-10-27 282696] R4 TmPfw;Trend Micro Personal Firewall;c:\progra~1\TRENDM~1\INTERN~1\TmPfw.exe [2004-09-15 585789] R4 Tmpreflt;Tmpreflt;c:\windows\system32\drivers\tmpreflt.sys [2004-03-30 36368] R4 tmproxy;Trend Micro Proxy Service;c:\progra~1\TRENDM~1\INTERN~1\tmproxy.exe [2004-09-15 188484] S3 Asushwio;ASUSHWIO;\??\c:\windows\system32\drivers\ASUSHWIO.sys --> c:\windows\system32\drivers\ASUSHWIO.sys [?] S3 emu10kx;Creative EMU10K1/EMU10K2 Audio Driver (WDM);c:\windows\system32\drivers\e10kx2k.sys [2007-04-04 1745168] S3 WLAN_DCB;IEEE 802.11g Wireless LAN CardBus Driver;c:\windows\system32\drivers\WLANDCB.sys [2003-06-20 56416] S4 CP_OMDRV;Check Point Office Mode Module;c:\windows\system32\drivers\omdrv.sys --> c:\windows\system32\drivers\omdrv.sys [?] S4 VPN-1;VPN-1 Module;c:\windows\system32\drivers\vpn.sys --> c:\windows\system32\drivers\vpn.sys [?] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F] \Shell\AutoRun\command - F:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ab1f8532-fe43-11d5-b0f0-00105a3b67f6}] \Shell\AutoRun\command - F:\AutoRun.exe . . ------- Examen supplémentaire ------- . IE: &D&ownload &with BitComet - c:\program files\BitComet\BitComet.exe/AddLink.htm IE: &D&ownload all video with BitComet - c:\program files\BitComet\BitComet.exe/AddVideo.htm IE: &D&ownload all with BitComet - c:\program files\BitComet\BitComet.exe/AddAllLink.htm IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 IE: Tout télécharger avec Free Download Manager - file://c:\program files\Free Download Manager\dlall.htm IE: Télécharger avec Free Download Manager - file://c:\program files\Free Download Manager\dllink.htm IE: Télécharger la sélection avec Free Download Manager - file://c:\program files\Free Download Manager\dlselected.htm IE: Télécharger la vidéo avec Free Download Manager - file://c:\program files\Free Download Manager\dlfvideo.htm Trusted Zone: *.update.microsoft.com Trusted Zone: update.microsoft.com Trusted Zone: download.windowsupdate.com c:\windows\system32\atl.dll - c:\windows\Downloaded Program Files\ICSScan.dll O16 -: {7F8C8173-AD80-4807-AA75-5672F22B4582} hxxps://sas.imatechnologies.fr/sre/ICSScanner.cab c:\windows\Downloaded Program Files\ICSScanner.inf O16 -: {B4CB50E4-0309-4906-86EA-10B6641C8392} - hxxps://sas.imatechnologies.fr/SNX/CSHELL/extender.cab c:\windows\Downloaded Program Files\msi.inf FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\8umvtsy8.default\ FF - prefs.js: browser.search.defaulturl - hxxp://fr.search.yahoo.com/search?ei=UTF-8&fr=ytff-&p= FF - prefs.js: browser.search.selectedEngine - Yahoo FF - prefs.js: browser.startup.homepage - www.google.fr FF - prefs.js: keyword.URL - hxxp://fr.search.yahoo.com/search?ei=UTF-8&fr=ytff-&p= FF - component: c:\program files\Free Download Manager\Firefox\Extension\components\vmsfdmff.dll FF - plugin: c:\program files\Mozilla Firefox\plugins\NPAdbESD.dll FF - plugin: c:\program files\Mozilla Firefox\plugins\npitunes.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-01-14 18:56:44 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . --------------------- LOCKED REGISTRY KEYS --------------------- [HKEY_USERS\Administrator\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID] @Denied: (Full) (LocalSystem) [HKEY_LOCAL_MACHINE\software\ASUS\ASUS Probe\2.21.07] @DACL=(02 0000) [HKEY_LOCAL_MACHINE\software\ASUS\ASUS Probe\2.23.08] @DACL=(02 0000) [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*] "C040110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL" . --------------------- DLLs chargées dans les processus actifs --------------------- - - - - - - - > 'winlogon.exe'(856) c:\windows\system32\Ati2evxx.dll . ------------------------ Autres processus actifs ------------------------ . c:\windows\system32\ati2evxx.exe c:\windows\system32\ati2evxx.exe c:\program files\Java\jre6\bin\jqs.exe c:\progra~1\TRENDM~1\INTERN~1\PcCtlCom.exe c:\program files\Analog Devices\SoundMAX\SMAgent.exe c:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe c:\program files\DisplayLink Core Software\DisplayLinkManager.exe c:\progra~1\TRENDM~1\INTERN~1\pccguide.exe c:\program files\DisplayLink Core Software\DisplayLinkUI.exe c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe c:\program files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe . ************************************************************************** . Heure de fin: 2009-01-14 18:58:58 - La machine a redémarré ComboFix-quarantined-files.txt 2009-01-14 17:58:54 ComboFix2.txt 2009-01-13 00:30:59 Avant-CF: 463 491 072 octets libres Après-CF: 491,474,944 octets libres Current=6 Default=6 Failed=0 LastKnownGood=9 Sets=2,3,4,5,6,7,8,9 324 Et celui de DirLook : DirLook.exe v2.0 by jpshortstuff Log created at 19:19 on 14/01/2009 ==================================[b] Contents of "c:\documents and settings\Administrateur\Application Data\Twain" /b [b][color=blue]---FOLDERS---/b/color (none found) [b][color=blue]---FILES---/b/color (none found) ================================== [b][color=blue]=EOF=/b/color Encore merci pour le temps que tu passes à m'aider.

Lyonnais92 · Answer

Bonsoir,

Lis bien et exécute cette manip dans l’ordre.

#Télécharge et installe ces logiciels (si tu ne les as pas) pour les 3 premiers
mets les à jour, comme indiqué dans les démos ou tutos.

Ne les utilise pas tout de suite.


Antispywares et autres :
 
Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton bureau à partir de ce lien :

https://www.malwarebytes.com/

A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue.


Nettoyeurs (de fichiers inutiles) et autres :

*Ccleaner (gratuit)
Téléchargement :
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
Tuto :
https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

Lors de l’installation, [décoche] l’option qui t’installerait la barre Yahoo !

========================================
->Affiche tous les fichiers et dossiers :
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

[Coche] « afficher les dossiers et fichiers cachés »

[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

[Décoche] « masquer les extensions dont le type est connu »

Puis fais [appliquer] pour valider les changements.

Et [Ok]
========================================
 
 

=======================================

->Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec
puis tape « entrée ».
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
========================================
->Recherche et supprime cesrpertoiresen gras (si présents) :

c:\documents and settings\Administrateur\Application Data\Twain 
========================================
->Lance CCleaner.

Suppression des fichiers temporaires

Va dans la section "Options" situé dans la marge gauche.
Décoche "Avancé"
Retourne ensuite dans la section "Nettoyeur"
Fais bien attention de cocher toutes ces cases dans la marge gauche (Internet Explorer/Windows Explorer/Système)
• Clique sur [Analyse]
• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
• Une fois le scan terminé, clique sur [Lancer le Nettoyage]



========================================
Lance Malwarebytes AntiMalware

Dans l'onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

MBAM analyse ton ordinateur. L'analyse peut prendre un certain teps. Il suffit de vérifier de temps en temps son avancement.

A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Ferme le bloc-note. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

Ferme MBAM en cliquant sur Quitter. 
========================================

->Relance CCleaner.
Suppression des incohérences du registre

• Clique sur l'icône [Registre] situés dans la marge à gauche
• Puis clique sur [Analyser les erreurs]
• Patiente pendant que CCleaner scan ton registre.
• Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
• Tu peux cliquer ensuite sur [Corriger les erreurs].

Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrées cochées pour les restaurer ultérieurement.
========================================
->Vide ta Corbeille.
========================================
->Redémarre en mode normal,


- > Ouvre ce lien pour scanner ton PC avec un BitDefender en ligne (uniquement sous Internet Explorer) :

http://www.bitdefender.fr/scan_fr/scan8/ie.html

Utilisation :
Cliquer sur "J'accepte" puis accepter également l'ActiveX bloqué par la barre anti-popup du SP2 qui clignotera en haut et l'installer.
Ensuite, cliquer sur "Cliquez ici pour scanner".
Patienter jusqu'à la fin du scan qui peut durer assez longtemps...

Copier/coller le rapport entier sur le forum.

Tutoriel en images ici : http://perso.orange.fr/rginformatique/section%20virus/defender.htm(merci à Balltrap34 pour cette réalisation)
[Recoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

============
Télécharge ici :

http://images.malwareremoval.com/random/RSIT.exe

random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

Double-clique sur RSIT.exe afin de lancer RSIT.

Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

 

NB : Les rapports sont sauvegardés dans le dossier C:\rsit

tonysaintbrev · Answer

Bonsoir,

J'ai bien effectué dans l'ordre les actions que tu m'a demandées soit :

En mode sans échec,

- Suppression du répertoire c:\documents and settings\Administrateur\Application Data\Twain 
- Suppression des fichiers temporaires avec CCleaner
- Examen complet avec Malwarebytes AntiMalware dont voici le rapport : 

Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1656
Windows 5.1.2600 Service Pack 3

16/01/2009 02:18:37
mbam-log-2009-01-16 (02-18-37).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 89611
Temps écoulé: 38 minute(s), 40 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


- Suppression des incohérences du registre avec CCleaner.
- Vidage de la corbeille

Redémarrage en mode normal et analyse avec Bitdefender en ligne. Voici le rapport :

Lyonnais92 · Answer

Bonsoir,

tout ça est très bien.

Sauf le rapport Bit Defender resté dans le clic droit (ça m'arrive plus souvent qu'à mon tour.).

tonysaintbrev · Answer

En faite je galère à copier le rapport car celui-ci est énorme, il fait plus de 34mo.... Zippé il ne fait plus que 1mo. Je peux peut-être te le déposer quelques part ? Ou te l'envoyer par mail ?

Voici sinon les 2 rapports de RSIT : 

info.txt : 

info.txt logfile of random's system information tool 1.05 2009-01-18 22:57:05

======Uninstall list======

-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Acronis Disk Director Suite-->MsiExec.exe /X{2300EE96-0A41-4FAB-BD03-989EC44577A0}
Adobe Download Manager 2.0 (Supprimer uniquement)-->"C:\Program Files\Fichiers communs\Adobe\ESD\uninst.exe"
Adobe Flash Player Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 7.1.0 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A71000000002}
Advanced ZIP Password Recovery (remove only)-->C:\Program Files\ElcomSoft\AZPR\uninstall.exe
Age of Conan : Hyborian Adventures-->"D:\Age of Conan\unins000.exe"
ASUS Probe V2.23.08-->C:\WINDOWS\uninst.exe -f"C:\Program Files\ASUS\Probe\DeIsL1.isu" -c"C:\Program Files\ASUS\Probe\probunis.dll"
ATI - Software Uninstall Utility-->C:\Program Files\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI AVIVO Codecs-->MsiExec.exe /I{89DE67AD-08B8-4699-A55D-CA5C0AF82BF3}
ATI Catalyst Control Center-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{055EE59D-217B-43A7-ABFF-507B966405D8}\setup.exe" -l0x40c 
ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
ATI HYDRAVISION-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{3EA9D975-BFDC-4E8E-B88B-0446FBC8CA66}\setup.exe" 
ATI Parental Control & Encoder-->MsiExec.exe /I{9862B19F-4CAD-4EED-920F-2F378D84393F}
ATI Problem Report Wizard-->MsiExec.exe /X{5DA6F06A-B389-407B-BF8C-1548767914D8}
BitComet 0.93-->C:\Program Files\BitComet\uninst.exe
Catalyst Control Center - Branding-->MsiExec.exe /I{D3B1C799-CB73-42DE-BA0F-2344793A095C}
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
Check Point SSL Network Extender Components Shell-->MsiExec.exe /X{ce68ca3b-2fc4-4104-9986-d4900ca651f0}
Clean Virus MSN-->"C:\Program Files\AxBx\Clean Virus MSN\unins000.exe"
DameWare NT Utilities-->MsiExec.exe /I{D8E79FF4-8B9D-427C-8B4A-FF388E5716AD}
DisplayLink Core Software-->MsiExec.exe /X{78675598-F64B-4338-B20D-958B1B12BEC7}
eMule-->"C:\Program Files\eMule\Uninstall.exe"
EVEREST Ultimate Edition v4.60-->"C:\Program Files\Lavalys\EVEREST Ultimate Edition\unins000.exe"
FileZilla (remove only)-->"C:\Program Files\FileZilla\uninstall.exe"
FileZilla Server (remove only)-->"C:\Program Files\FileZilla Server\uninstall.exe"
Foxit Reader-->C:\Program Files\Foxit Software\Foxit Reader\Uninstall.exe
Free Download Manager 2.5-->"C:\Program Files\Free Download Manager\unins000.exe"
Gadwin PrintScreen-->C:\Program Files\Gadwin Systems\PrintScreen\Uninstall.exe
HijackThis 2.0.2-->"D:\emule\Anti-Spyware-Virus\HijackThis.exe" /uninstall
HomePlayer 1.5.6b-->C:\Program Files\HomePlayer\uninst.exe
iTunes-->MsiExec.exe /I{553E56C3-7AA1-45FE-A2FC-2C43DC27F765}
J2SE Runtime Environment 5.0 Update 10-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150100}
Java(TM) 6 Update 11-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}
Java(TM) 6 Update 5-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
LG USB Easy Connection-->MsiExec.exe /X{57D27236-AADA-466A-BCFD-964814EFAC66}
Macromedia Flash Player 8-->C:\WINDOWS\system32\Macromed\Flash\UninstFl.exe
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{9011040C-6000-11D3-8CFE-0150048383C9}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB950759)-->"C:\WINDOWS\ie7updates\KB950759-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB960714)-->"C:\WINDOWS\ie7updates\KB960714-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
Mozilla Firefox (3.0.5)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
Nero 6 Enterprise Edition-->C:\Program Files\Ahead
ero\uninstall\UNNERO.exe /UNINSTALL
nLite 1.4.9-->"C:\Program Files
Lite\unins000.exe"
Pack Vista Inspirat 2 1.0-->C:\WINDOWS\BricoPacks\Vista Inspirat 2\Remove.exe
Panda ActiveScan 2.0-->C:\Program Files\Panda Security\ActiveScan 2.0\as2uninst.exe
PC Inspector File Recovery-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{0DD140D3-9563-481E-AA75-BA457CBDAEF2}\Setup.exe" -l0x40c 
QuickTime-->MsiExec.exe /I{08094E03-AFE4-4853-9D31-6D0743DF5328}
RocketDock 1.3.5-->"C:\Program Files\RocketDock\unins000.exe"
Skype™ 3.8-->MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}
SoundMAX-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F0A37341-D692-11D4-A984-009027EC0A9C}\Setup.exe" 
System Requirements Lab-->C:\Program Files\SystemRequirementsLab\Uninstall.exe
TeamSpeak 2 RC2-->"C:\Program Files\Teamspeak2_RC2\unins000.exe"
Trend Micro PC-cillin Internet Security 12-->MsiExec.exe /X{7698EDA5-A90F-4205-99CB-8FF6F9048ED9}
TUGZip 3.4-->"C:\Program Files\TUGZip\unins000.exe"
UltraISO V7.5 ME-->"C:\Program Files\UltraISO\unins000.exe"
UniUploader-->C:\Program Files\UniUploader\uninst.exe
VideoLAN VLC media player 0.8.6d-->C:\Program Files\VideoLAN\VLC\uninstall.exe
Windows Live Messenger-->MsiExec.exe /I{F6326B60-1B1D-4ABF-BFCD-7B7404F44411}
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
World of Warcraft-->C:\Program Files\Fichiers communs\Blizzard Entertainment\Wrath of the Lich King\Uninstall.exe
Wow Cartographe 1.09-->C:\Program Files\WowCartographe\uninst.exe
Yahoo! Toolbar avec bloqueur de fenêtres pop-up-->C:\PROGRA~1\Yahoo!\Common\unyt.exe

======Security center information======

AV: Trend Micro PC-cillin Internet Security 12
FW: Trend Micro PC-cillin Internet Security 12

System event log

Computer Name: DEFAULT
Event Code: 10000
Message: Le démarrage d'un serveur DCOM : {0002DF01-0000-0000-C000-000000000046} n'est pas possible.
L'erreur : 
"%2"
 s'est produite lors du démarrage de la commande : 
"C:\PROGRA~1\INTERN~1\iexplore.old" -Embedding

Record Number: 2837
Source Name: DCOM
Time Written: 20090111204141.000000+060
Event Type: erreur
User: AUTORITE NT\SYSTEM

Computer Name: DEFAULT
Event Code: 10000
Message: Le démarrage d'un serveur DCOM : {0002DF01-0000-0000-C000-000000000046} n'est pas possible.
L'erreur : 
"%2"
 s'est produite lors du démarrage de la commande : 
"C:\PROGRA~1\INTERN~1\iexplore.old" -Embedding

Record Number: 2836
Source Name: DCOM
Time Written: 20090111204141.000000+060
Event Type: erreur
User: AUTORITE NT\SYSTEM

Computer Name: DEFAULT
Event Code: 10000
Message: Le démarrage d'un serveur DCOM : {0002DF01-0000-0000-C000-000000000046} n'est pas possible.
L'erreur : 
"%2"
 s'est produite lors du démarrage de la commande : 
"C:\PROGRA~1\INTERN~1\iexplore.old" -Embedding

Record Number: 2835
Source Name: DCOM
Time Written: 20090111204141.000000+060
Event Type: erreur
User: AUTORITE NT\SYSTEM

Computer Name: DEFAULT
Event Code: 10000
Message: Le démarrage d'un serveur DCOM : {0002DF01-0000-0000-C000-000000000046} n'est pas possible.
L'erreur : 
"%2"
 s'est produite lors du démarrage de la commande : 
"C:\PROGRA~1\INTERN~1\iexplore.old" -Embedding

Record Number: 2834
Source Name: DCOM
Time Written: 20090111204141.000000+060
Event Type: erreur
User: AUTORITE NT\SYSTEM

Computer Name: DEFAULT
Event Code: 10000
Message: Le démarrage d'un serveur DCOM : {0002DF01-0000-0000-C000-000000000046} n'est pas possible.
L'erreur : 
"%2"
 s'est produite lors du démarrage de la commande : 
"C:\PROGRA~1\INTERN~1\iexplore.old" -Embedding

Record Number: 2833
Source Name: DCOM
Time Written: 20090111204140.000000+060
Event Type: erreur
User: AUTORITE NT\SYSTEM

Application event log

Computer Name: DEFAULT
Event Code: 102
Message: msnmsgr (1808) \.\C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Messenger\grollier_a@hotmail.com\SharingMetadata\Working\database_2298_B89D_98B8_7141\dfsr.db: Le moteur de base de données a démarré une nouvelle instance (0).

Record Number: 6360
Source Name: ESENT
Time Written: 20080128235429.000000+060
Event Type: Informations
User: 

Computer Name: DEFAULT
Event Code: 100
Message: msnmsgr (1808) Le moteur de base de données 5.01.2600.2180 est démarré.

Record Number: 6359
Source Name: ESENT
Time Written: 20080128235429.000000+060
Event Type: Informations
User: 

Computer Name: DEFAULT
Event Code: 12001
Message: The Messenger Sharing USN Journal Reader service started successfully.

Record Number: 6358
Source Name: usnjsvc
Time Written: 20080128235427.000000+060
Event Type: 
User: 

Computer Name: DEFAULT
Event Code: 0
Message: 
Record Number: 6357
Source Name: iPod Service
Time Written: 20080128235407.000000+060
Event Type: Informations
User: 

Computer Name: DEFAULT
Event Code: 1800
Message: Le service Centre de sécurité Windows a démarré.

Record Number: 6356
Source Name: SecurityCenter
Time Written: 20080128235403.000000+060
Event Type: Informations
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\Program Files\QuickTime\QTSystem;C:\Program Files\ATI Technologies\ATI.ACE\Core-Static;C:\Program Files\DisplayLink Core Software
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 2 Stepping 5, GenuineIntel
"PROCESSOR_REVISION"=0205
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP

-----------------EOF-----------------


et log.txt : 

Logfile of random's system information tool 1.05 (written by random/random)
Run by Administrateur at 2009-01-18 22:56:55
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 326 MB (3%) free of 10 GB
Total RAM: 2047 MB (68% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:57:03, on 18/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\DisplayLink Core Software\DisplayLinkService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\DisplayLink Core Software\DisplayLinkManager.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
C:\Program Files\DisplayLink Core Software\DisplayLinkUI.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
C:\PROGRA~1\TRENDM~1\INTERN~1	mproxy.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PccGuide.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
D:\emule\Anti-Spyware-Virus\Administrateur.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Program Files\Fichiers communs\Acronis\Acronis Disk Director\oss_reinstall.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKCU\..\Run: [Gadwin PrintScreen 2.6] C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Program Files\BitComet	ools\BitCometBHO_1.1.8.30.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://download.windowsupdate.com
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/webplayer/stage6/windows/AutoDLDivXWebPlayerInstaller.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - https://sas.imatechnologies.fr/sre/ICSScanner.cab
O16 - DPF: {B4CB50E4-0309-4906-86EA-10B6641C8392} (SlimClient Class) - https://sas.imatechnologies.fr/SNX/CSHELL/extender.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: DisplayLink Service (DisplayLinkService) - DisplayLink Corp. - C:\Program Files\DisplayLink Core Software\DisplayLinkService.exe
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINDOWS\SYSTEM32\DWRCS.EXE
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1	mproxy.exe

Lyonnais92 · Answer

Re,

Stop.

Il y a des fichiers infectés ?

Poste la partie des statistiques (nombre de virus, nombre d'objets infectés, ...)

tonysaintbrev · Answer

BitDefender Online Scanner


Rapport d'analyse généré à: Fri, Jan 16, 2009 - 05:24:14
 

Voie d'analyse: A:\;C:\;D:\;E:\;F:\;G:\;H:\;
 

Statistiques

Temps : 02:48:11
Fichiers : 109343
Directoires : 21199
Secteurs de boot : 0
Archives : 2288
Paquets programmes : 5593


Résultats

Virus identifiés : 6
Fichiers infectés : 7
Fichiers suspects : 0
Avertissements : 0
Désinfectés : 0
Fichiers effacés : 9
	
Info sur les moteurs

Définition virus : 2458130
Version des moteurs : AVCORE v1.7 (build 8314.19) (i386) (Sep 29 2008 17:19:14)
Analyse des plugins : 17
Archive des plugins : 45
Unpack des plugins : 7
E-mail plugins : 6
Système plugins : 4

Lyonnais92 · Answer

Re,

tu pourrais trouver un filtre qui permette d'afficher seulement les lignes des fichiers infectés ?

une possibilité : rechercher "infecté" (ou infected) et recopier la ligne dans un autre fichier (la ligne et les lignes portant sur le même fichier pour savoir ce qui a été fait.

Tu pourrais aussi me montrer un échantillon du rapport que je comprenne pourquoi il est si gros.

Lyonnais92 · Answer

Bonsoir,

Bit defender semble avoir fait un travail remarquable.

Supprime ce répertoire :

D:\Utilitaires\supercopier

Si il ne veut pas se supprimer, va en mode sans échec et supprime le.

Vide ta corbeille.

========================

Refais tourner Bit defender on line et poste le rapport.

tonysaintbrev · Answer

Bonsoir,

J'ai supprimé le répertoire D:\Utilitaires\supercopier .

J'ai lancé un nouveau scan Bitdefender mais j'ai zappé d'enregistrer le rapport à la fin... Je l'ai donc refais une 3ème fois, voici les logs :

BitDefender Online Scanner

 
Rapport d'analyse généré à: Tue, Jan 20, 2009 - 18:32:40
Voie d'analyse: A:\;C:\;D:\;E:\;F:\;G:\;H:\;

Statistiques
 
Temps : 00:46:44
Fichiers : 108828
Directoires : 21085
Secteurs de boot : 0
Archives : 2282
Paquets programmes : 5512
 
Résultats
 
Virus identifiés : 2
Fichiers infectés : 3
Fichiers suspects : 0 
Avertissements : 0
Désinfectés : 0
Fichiers effacés : 3
 
Info sur les moteurs
 
Définition virus : 2565211
Version des moteurs : AVCORE v1.7 (build 8314.19) (i386) (Sep 29 2008 17:19:14)
Analyse des plugins : 17
Archive des plugins : 45
Unpack des plugins : 7
E-mail plugins : 6
Système plugins : 4
 
Paramètres d'analyse
 
Première action : Désinfecté
Seconde Action : Supprimé
Heuristique : Oui
Acceptez les avertissements : Oui

Extensions analysées : exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;
Excludez les extensions
Analyse d'emails : Oui
Analyse des Archives : Oui
Analyser paquets programmes : Oui
Analyse des fichiers : Oui 
Analyse de boot : Oui

 Fichier analysé
  Statut
 
D:\System Volume Information\_restore{8CCEC5D8-7C59-4213-B8AC-BB39CAA4A798}\RP8\A0000200.exe=>(NSIS o)=>bzip2_solid_nsis0004
 Infecté par: Trojan.Exploit.Debploit.H
 
D:\System Volume Information\_restore{8CCEC5D8-7C59-4213-B8AC-BB39CAA4A798}\RP8\A0000200.exe=>(NSIS o)=>bzip2_solid_nsis0004
 Supprimé
 
D:\System Volume Information\_restore{8CCEC5D8-7C59-4213-B8AC-BB39CAA4A798}\RP8\A0000200.exe=>(NSIS o)
 Echec de la mise à jour
 
H:\emule\vista\pas testé\Windows Vista Ultimate Crack - activation full - keygen\Validate.exe
 Infecté par: Trojan.Generic.1359312
 
H:\emule\vista\pas testé\Windows Vista Ultimate Crack - activation full - keygen\Validate.exe
 Supprimé
 
H:\System Volume Information\_restore{8CCEC5D8-7C59-4213-B8AC-BB39CAA4A798}\RP8\A0000256.exe
 Infecté par: Trojan.Generic.1359312
 
H:\System Volume Information\_restore{8CCEC5D8-7C59-4213-B8AC-BB39CAA4A798}\RP8\A0000256.exe
 Supprimé


Et bien si Bitdefender semble avoir fait un travail remarquable, le tien l'est tout autant :)

Encore un grand merci pour tout le temps que tu m'as consacré. Ça fait plaisir d'avoir eu à faire à quelqu'un de compétant.

Je reste à ta dispo si tu as besoin de quoi que se soit.

++

Lyonnais92 · Answer

Bonsoir,

tu fais redémarrer l'ordi.

Tu remets un rapport RSIT que je vérifie, mais on doit approcher de la fin.

TROJ.PAKES.GQ

21 réponses

Newsletters