Surabaya in my birthdayFermé

Question

Bonjour,
je vous transmet le log de HijackThis pour que vous me disiez ce quoi je dois faire.
Merci d'avance
--------------------------------------------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:19:28, on 21/06/2009
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16851)
Boot mode: Safe mode with network support

Running processes:
C:\Windows\Explorer.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/nl-be?cobrand=hp.msn.com&ocid=HPDHP&pc=HPDTDF&checklang=1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/nl-be?cobrand=hp.msn.com&ocid=HPDHP&pc=HPDTDF&checklang=1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/nl-be?cobrand=hp.msn.com&ocid=HPDHP&pc=HPDTDF&checklang=1
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32
vsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [OnScreenDisplay] C:\Program Files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe
O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\YouCam" update "Software\CyberLink\YouCam\1.0"
O4 - HKLM\..\Run: [DpAgent] C:\Program Files\DigitalPersona\Bin\dpagent.exe
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [HP Health Check Scheduler] [ProgramFilesFolder]Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [WAWifiMessage] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [InterVoip] "F:\Softwares\Prog-utilitaire\InterVoip\InterVoip.exe" -nosplash -minimized
O4 - HKCU\..\Run: [Tok-Cirrhatus-1530] "C:\Users\Pat\AppData\Local\br4083on.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: Adobe Online.com
O4 - Startup: Adobe update.com
O4 - Startup: Empty.pif = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O13 - Gopher Prefix: 
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Com4Qlb - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4Qlb.exe
O23 - Service: Biometric Authentication Service (DpHost) - DigitalPersona, Inc. - C:\Program Files\DigitalPersona\Bin\DpHostW.exe
O23 - Service: Service Google Update (gupdate1c9ca97c3262cd6) (gupdate1c9ca97c3262cd6) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - F:\Softwares\oraclexe\app\oracle\product\10.2.0\server\BIN\omtsreco.exe
O23 - Service: OracleServiceXE - Oracle Corporation - f:\softwares\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE
O23 - Service: OracleXEClrAgent - Unknown owner - F:\Softwares\oraclexe\app\oracle\product\10.2.0\server\bin\OraClrAgnt.exe
O23 - Service: OracleXETNSListener - Unknown owner - F:\Softwares\oraclexe\app\oracle\product\10.2.0\server\BIN	nslsnr.exe
O23 - Service: QuickPlay Background Capture Service (QBCS) (QPCapSvc) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\QPCapSvc.exe
O23 - Service: QuickPlay Task Scheduler (QTS) (QPSched) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\QPSched.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

Redbart · Answer

Bsr mets à jour java (v.6.14) et post un rapport complet, pas en mode sans échec (lol)
explique pourquoi tu post (pour que vous me disiez ce quoi je dois faire), trop vague!

Lyonnais92 · Answer

Bonjour,

 explique pourquoi tu post 

Réponse 1 : Surabaya in my birthday

Réponse 2 ; O4 - Startup: Adobe Online.com
O4 - Startup: Adobe update.com   (au moins)

devpat · Answer

Bonjour,

en fait lors de chaque démarrage l'écran s'arrete sur le message du virus surabaya et le pc deviens tellement lent et je ne vois plus qqs fichiers, l'internet a aussi du mal à fonctionner, c'est pourquoi j'ai tenté de poster les logs dans mode sans echec. Dès que j'arrive chez moi je vais réessayer. Merci

chimay8 · Answer

salut,

y a aussi ça
[Tok-Cirrhatus-1530]=>brontok

Redbart · Answer

http://www.commentcamarche.net/forum/affich 8239085 virus surabaya in my birthday

Lyonnais92 · Answer

Bonjour,

fournir une référence à un topic non abouti ....

=========

En mode sans échec avec prise en charge réseau si le mode normal ne fonctionne pas.

On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix


* Vérifie que tu as fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.

Envoie le contenu de C:\ComboFix.txt dans ta prochaine réponse afin que je l'examine.

devpat · Answer

Bonjour,
je crois que cette fois -ci ça va aller.
J'ai lancé le hijackthis en mode normal et je vous envoie le log en mode sans echec, j'espere que c'est pas mal sinon dites-le moi.

Merci d'avance

Lyonnais92 · Answer

Bonsoir,

désolé, ceci ne mène à rien.

Fais le post 6

Redbart · Answer

J'ai lancé le hijackthis en mode normal et je vous envoie le log en mode sans echec???
dans quel but fait tu cela? HJT n'a absolument aucun effet de suppression, nettoyage, etc...  sur ton pc, c'est un rapport qui montre les programmes qui tournent sur ton pc (tous, si tu ne lances pas le HJT en mode sans échec)

ce ne sont que quelques rares spécialistes sur ce forum, qui peuvent te guider au travers de la désinfection

alors fait exactement à la lettre ce que te demande lyonnais92, stp

devpat · Answer

Bonjour,

Voici le rapport de Combofix
Merci pour la suite:

ComboFix 09-06-22.0E - Pat 24/06/2009  0:03.1 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium   6.0.6000.0.1252.32.1036.18.3070.1982 [GMT 2:00]
Lancé depuis: J:\ComboFix.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\$recycle.bin\S-1-5-21-1606318133-1788643880-2885067768-500
c:\$recycle.bin\S-1-5-21-1894645913-2894511401-282806581-500
D:\Autorun.inf
F:\Autorun.inf
c:\$recycle.bin\S-1-5-21-1606318133-1788643880-2885067768-500\desktop.ini
c:\$recycle.bin\S-1-5-21-1894645913-2894511401-282806581-500\desktop.ini
C:\Autorun.inf
c:\users\Pat\AppData\Local\inetinfo.exe
c:\users\Pat\AppData\Local\lsass.exe
c:\users\Pat\AppData\Local\services.exe
c:\users\Pat\AppData\Local\winlogon.exe
c:\windows\system32\KBL.LOG
c:\windows\system32\userdata.dll
D:\Autorun.inf
D:\Desktop.ini
F:\Autorun.inf

.
(((((((((((((((((((((((((((((   Fichiers créés du 2009-05-23 au 2009-06-23  ))))))))))))))))))))))))))))))))))))
.

2009-06-23 22:00 . 2009-06-23 22:00	--------	d-----w-	c:\users\Pat\AppData\Local\Bron.tok-17-24
2009-06-23 21:36 . 2009-06-23 21:36	3544	----a-w-	c:\users\Pat\AppData\Local\Bron.tok.A17.em.bin
2009-06-22 22:00 . 2009-06-22 22:00	--------	d-----w-	c:\users\Pat\AppData\Local\Bron.tok-17-23
2009-06-22 18:45 . 2009-06-22 18:45	410984	----a-w-	c:\windows\system32\deploytk.dll
2009-06-22 03:40 . 2009-06-22 03:40	--------	d-----w-	c:\users\Pat\AppData\Local\Bron.tok-17-22
2009-06-21 21:16 . 2009-06-21 21:16	--------	d-----w-	c:\program files\Trend Micro
2009-06-21 10:48 . 2009-06-21 10:48	--------	d-----w-	c:\users\Pat\AppData\Local\Bron.tok-17-21
2009-06-20 08:11 . 2009-06-20 08:11	--------	d-----w-	c:\users\Pat\AppData\Local\Bron.tok-17-20
2009-06-19 20:27 . 2009-06-19 20:27	--------	d-----w-	c:\users\Pat\AppData\Local\Bron.tok-17-19
2009-06-18 18:33 . 2009-06-18 18:33	--------	d-----w-	c:\users\Pat\AppData\Local\Bron.tok-17-18
2009-06-17 06:04 . 2009-06-17 06:04	--------	d-----w-	c:\users\Pat\AppData\Local\Bron.tok-17-17
2009-06-16 18:48 . 2009-06-16 18:51	--------	d-----w-	c:\programdata\Lavasoft
2009-06-16 18:47 . 2009-06-16 18:47	--------	d-----w-	c:\program files\Common Files\Wise Installation Wizard
2009-06-14 21:30 . 2009-06-16 18:48	--------	d-----w-	c:\program files\Lavasoft
2009-06-14 18:41 . 2009-06-14 18:41	--------	d-----w-	c:\users\Pat\AppData\Local\Ok-SendMail-Bron-tok
2009-06-14 18:39 . 2009-06-22 21:30	--------	d-----w-	c:\users\Pat\AppData\Local\Loc.Mail.Bron.Tok
2009-06-14 18:34 . 2009-06-14 18:34	--------	d-----w-	c:\users\Pat\AppData\Local\Bron.tok-17-14
2009-06-14 11:45 . 2009-04-30 12:42	428032	----a-w-	c:\windows\system32\EncDec.dll
2009-06-14 11:45 . 2009-04-30 12:52	292352	----a-w-	c:\windows\system32\psisdecd.dll
2009-06-14 11:45 . 2009-04-30 12:44	1244672	----a-w-	c:\windows\system32\mcmde.dll
2009-06-13 09:23 . 2009-06-13 09:23	--------	d-----w-	c:\programdata\ACD Systems
2009-06-13 09:23 . 2009-06-13 09:23	--------	d-----w-	c:\program files\Common Files\ACD Systems
2009-06-13 09:23 . 2009-06-13 09:23	--------	d-----w-	c:\program files\ACD Systems
2009-06-13 09:22 . 2009-06-13 09:22	--------	d-----w-	c:\users\Pat\AppData\Local\Downloaded Installations
2009-06-13 09:21 . 2009-06-13 09:21	--------	d-----w-	c:\program files\BVRP Software
2009-06-13 09:20 . 2009-06-13 09:20	--------	d-----w-	c:\programdata\BVRP Software
2009-06-13 09:20 . 2009-06-13 09:20	--------	d-----w-	c:\users\Pat\AppData\Roaming\InstallShield
2009-06-13 09:02 . 2009-06-13 09:23	--------	d-----w-	c:\users\Pat\AppData\Roaming\ACD Systems
2009-06-13 09:02 . 2009-06-13 09:02	--------	d-----w-	c:\users\Pat\AppData\Roaming\ACDInTouch
2009-06-13 09:01 . 2001-02-28 05:51	110592	----a-w-	c:\windows\system32\CondMgr.dll
2009-06-10 20:28 . 2009-04-21 12:04	2028032	----a-w-	c:\windows\system32\win32k.sys
2009-06-10 20:26 . 2009-04-23 12:56	696832	----a-w-	c:\windows\system32\localspl.dll
2009-06-10 20:25 . 2009-04-23 13:01	788992	----a-w-	c:\windows\system32pcrt4.dll
2009-05-27 21:50 . 2009-06-13 07:22	680	----a-w-	c:\users\Pat\AppData\Local\d3d9caps.dat
2009-05-25 20:05 . 1998-07-30 12:53	27136	----a-w-	c:\windows\system32\QTUninst.dll
2009-05-25 20:05 . 1998-03-20 10:00	969216	----a-w-	c:\windows\system32\qd3d.dll
2009-05-25 20:05 . 1998-03-20 10:00	596992	----a-w-	c:\windows\system32ave.dll
2009-05-25 20:05 . 1998-03-20 10:00	126976	----a-w-	c:\windows\system32\3DViewer.dll
2009-05-25 20:05 . 2009-05-25 20:05	--------	d-----w-	c:\program files\QuickTime
2009-05-25 20:05 . 1998-03-20 11:01	299008	----a-w-	c:\windows\uninst.exe
2009-05-25 20:03 . 2009-05-25 20:06	--------	d--h--w-	C:\EML
2009-05-25 20:03 . 1995-07-13 16:43	26768	----a-w-	c:\windows\system\CTL3D.DLL
2009-05-25 20:02 . 1996-11-06 09:46	252928	----a-w-	c:\windows\UN16040C.EXE

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-23 20:54 . 2009-05-01 19:56	--------	d-----w-	c:\programdata\Google Updater
2009-06-22 18:45 . 2007-11-08 22:50	--------	d-----w-	c:\program files\Java
2009-06-20 16:41 . 2009-02-22 15:44	53787	----a-w-	c:\users\Pat\AppData\Roaming
vModes.dat
2009-06-14 19:03 . 2007-11-09 05:36	690832	----a-w-	c:\windows\system32\perfh00C.dat
2009-06-14 19:03 . 2007-11-09 05:36	117572	----a-w-	c:\windows\system32\perfc00C.dat
2009-06-14 18:34 . 2009-06-06 09:39	258	----a-w-	c:\users\Pat\AppData\Roaming\wklnhst.dat
2009-06-13 09:21 . 2007-11-08 21:03	--------	d--h--w-	c:\program files\InstallShield Installation Information
2009-06-06 09:39 . 2009-03-01 23:05	--------	d-----w-	c:\users\Pat\AppData\Roaming\Template
2009-05-26 05:05 . 2009-02-22 13:20	71872	----a-w-	c:\users\Pat\AppData\Local\GDIPFONTCACHEV1.DAT
2009-05-19 21:12 . 2007-04-14 21:34	65536	----a-w-	c:\users\Pat\AppData\Roaming\Microsoft\Windows\Templates\6348-NendangBro.com
2009-05-19 21:12 . 2007-04-14 21:34	65536	----a-w-	c:\users\Pat\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif
2009-05-19 21:12 . 2007-04-14 21:34	65536	----a-w-	c:\users\Pat\AppData\Local\svchost.exe
2009-05-19 21:12 . 2007-04-14 21:34	65536	----a-w-	c:\users\Pat\AppData\Local\smss.exe
2009-05-19 21:12 . 2007-04-14 21:34	65536	----a-w-	c:\users\Pat\AppData\Local\services.exe
2009-05-19 21:12 . 2007-04-14 21:34	65536	----a-w-	c:\users\Pat\AppData\Local\lsass.exe
2009-05-19 21:12 . 2007-04-14 21:34	65536	----a-w-	c:\users\Pat\AppData\Local\inetinfo.exe
2009-05-19 21:12 . 2007-04-14 21:34	65536	----a-w-	c:\users\Pat\AppData\Local\csrss.exe
2009-05-19 21:12 . 2007-04-14 21:34	65536	----a-w-	c:\users\Pat\AppData\Local\br4083on.exe
2009-05-18 15:56 . 2007-11-08 21:05	--------	d-----w-	c:\program files\Common Files\Symantec Shared
2009-05-18 05:29 . 2007-11-08 21:05	--------	d-----w-	c:\programdata\Symantec
2009-05-17 14:11 . 2009-05-01 19:56	--------	d-----w-	c:\program files\Google
2009-05-16 12:59 . 2006-11-02 11:18	--------	d-----w-	c:\program files\Windows Mail
2009-05-03 12:54 . 2009-05-03 12:54	15240	----a-w-	c:\users\Pat\AppData\Roaming\Microsoft\IdentityCRL\PROD\ppcrlconfig.dll
2009-04-24 16:22 . 2009-06-10 20:27	827392	----a-w-	c:\windows\system32\wininet.dll
2009-04-24 16:14 . 2009-06-10 20:27	56320	----a-w-	c:\windows\system32\iesetup.dll
2009-04-24 16:14 . 2009-06-10 20:27	78336	----a-w-	c:\windows\system32\ieencode.dll
2009-04-24 16:11 . 2009-06-10 20:27	72704	----a-w-	c:\windows\system32\admparse.dll
2009-04-24 13:53 . 2009-06-10 20:27	26624	----a-w-	c:\windows\system32\ieUnatt.exe
2009-04-24 12:25 . 2009-06-10 20:27	48128	----a-w-	c:\windows\system32\mshtmler.dll
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-03-01 1232896]
"MsnMsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]
"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2007-08-23 455968]
"InterVoip"="f:\softwares\Prog-utilitaire\InterVoip\InterVoip.exe" [2008-11-03 8994096]
"Tok-Cirrhatus-1530"="c:\users\Pat\AppData\Local\br4083on.exe" [2009-05-19 65536]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 201728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvSvc"="c:\windows\system32
vsvc.dll" [2007-09-19 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-09-19 8497696]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-09-19 81920]
"SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-09-15 102400]
"QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2007-09-30 181544]
"QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2007-09-19 202032]
"OnScreenDisplay"="c:\program files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe" [2007-09-04 554320]
"UCam_Menu"="c:\program files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" [2007-08-16 218408]
"DpAgent"="c:\program files\DigitalPersona\Bin\dpagent.exe" [2007-09-20 671744]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-09-13 480560]
"WAWifiMessage"="c:\program files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe" [2007-01-08 311296]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-06-22 148888]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 40048]

c:\users\Pat\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Adobe Online.com [2009-4-5 40960]
Adobe update.com [2009-4-5 40960]
Empty.pif [2009-5-19 65536]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages	REG_MULTI_SZ   	scecli DPPWDFLT

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{84220BC7-AD97-4AE3-9574-6A74D5FF55EA}"= c:\program files\Cyberlink\PowerDirector\PDR.EXE:CyberLink PowerDirector
"{C9D6A2BF-2A04-411A-97DC-846F329661CD}"= c:\program files\HP\QuickPlay\QP.exe:Quick Play
"{E0F52E75-369E-4A35-8993-CF56B51415D4}"= c:\program files\HP\QuickPlay\QPService.exe:Quick Play Resident Program
"{C9439E2C-65E7-479A-9720-8EFD9776E10A}"= c:\program files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)
"TCP Query User{B5382F03-A457-4381-9256-C060D691E17B}f:\softwares\j2sdk1.4.2_14\bin\java.exe"= UDP:f:\softwares\j2sdk1.4.2_14\bin\java.exe:java
"UDP Query User{FB4CE517-9F53-4367-B256-5D99A9662B5F}f:\softwares\j2sdk1.4.2_14\bin\java.exe"= TCP:f:\softwares\j2sdk1.4.2_14\bin\java.exe:java
"TCP Query User{0C93DABE-94B2-4E95-BF76-DC5EEAC180E1}f:\softwares\bea-pat\jrockit81sp4_142_05\bin\javaw.exe"= UDP:f:\softwares\bea-pat\jrockit81sp4_142_05\bin\javaw.exe:javaw
"UDP Query User{BF67048C-6AD4-4833-9B77-FBE9897B65E2}f:\softwares\bea-pat\jrockit81sp4_142_05\bin\javaw.exe"= TCP:f:\softwares\bea-pat\jrockit81sp4_142_05\bin\javaw.exe:javaw
"TCP Query User{6479A324-12C9-4974-8F93-E5B08D510F21}f:\softwares\bea-pat\jrockit81sp4_142_05\bin\java.exe"= UDP:f:\softwares\bea-pat\jrockit81sp4_142_05\bin\java.exe:java
"UDP Query User{99DA09A7-29CF-4B76-ADC3-91508E7CBA0C}f:\softwares\bea-pat\jrockit81sp4_142_05\bin\java.exe"= TCP:f:\softwares\bea-pat\jrockit81sp4_142_05\bin\java.exe:java
"TCP Query User{C3BB8CBE-F414-4DC9-ACFD-590A01F42BA3}f:\softwares\bea8\jrockit81sp4_142_05\bin\javaw.exe"= UDP:f:\softwares\bea8\jrockit81sp4_142_05\bin\javaw.exe:javaw
"UDP Query User{830E378C-D352-436F-96AF-CEC3C62FFEBB}f:\softwares\bea8\jrockit81sp4_142_05\bin\javaw.exe"= TCP:f:\softwares\bea8\jrockit81sp4_142_05\bin\javaw.exe:javaw
"TCP Query User{BAD02C10-80B5-42CF-AADE-E93674B2C39A}f:\softwares\bea8\jrockit81sp4_142_05\bin\java.exe"= UDP:f:\softwares\bea8\jrockit81sp4_142_05\bin\java.exe:java
"UDP Query User{BB9AC8AC-2019-4FFD-A5F5-AC9B4E0CE6B6}f:\softwares\bea8\jrockit81sp4_142_05\bin\java.exe"= TCP:f:\softwares\bea8\jrockit81sp4_142_05\bin\java.exe:java
"TCP Query User{A729C43F-BFEA-4CC3-9614-73A35D02989D}f:\softwares\eclipse\eclipse.exe"= UDP:f:\softwares\eclipse\eclipse.exe:eclipse
"UDP Query User{7BECD136-FCE9-47D2-BC85-01DA4B62B1F3}f:\softwares\eclipse\eclipse.exe"= TCP:f:\softwares\eclipse\eclipse.exe:eclipse
"TCP Query User{51546AA0-3D12-43D3-AB5F-149AB924DB99}f:\softwares\bea8_1\jrockit81sp4_142_05\bin\javaw.exe"= UDP:f:\softwares\bea8_1\jrockit81sp4_142_05\bin\javaw.exe:javaw
"UDP Query User{B0C51914-3279-49DA-97C0-BC2BF36CE644}f:\softwares\bea8_1\jrockit81sp4_142_05\bin\javaw.exe"= TCP:f:\softwares\bea8_1\jrockit81sp4_142_05\bin\javaw.exe:javaw
"TCP Query User{D4062338-BB7F-487E-972F-560F103F55F5}f:\softwares\bea8_1\jrockit81sp4_142_05\bin\java.exe"= UDP:f:\softwares\bea8_1\jrockit81sp4_142_05\bin\java.exe:java
"UDP Query User{002BFB2F-B4BB-4E37-8DE4-415FD1443695}f:\softwares\bea8_1\jrockit81sp4_142_05\bin\java.exe"= TCP:f:\softwares\bea8_1\jrockit81sp4_142_05\bin\java.exe:java
"TCP Query User{55F25D9C-6AC0-4156-A81A-99532E74A72A}f:\softwares\prog-utilitaire\intervoip\intervoip.exe"= UDP:f:\softwares\prog-utilitaire\intervoip\intervoip.exe:Client to make VoIP calls.
"UDP Query User{B8EDF0EB-98E1-419F-9C5D-E2863C58FEA8}f:\softwares\prog-utilitaire\intervoip\intervoip.exe"= TCP:f:\softwares\prog-utilitaire\intervoip\intervoip.exe:Client to make VoIP calls.
"TCP Query User{5C66DAA5-3932-48D4-9119-077AB6E20341}f:\softwares\prog-utilitaire\intervoip\intervoip.exe"= UDP:f:\softwares\prog-utilitaire\intervoip\intervoip.exe:Client to make VoIP calls.
"UDP Query User{CF8CCA74-4029-4B3F-ACB2-F48401F638B5}f:\softwares\prog-utilitaire\intervoip\intervoip.exe"= TCP:f:\softwares\prog-utilitaire\intervoip\intervoip.exe:Client to make VoIP calls.
"TCP Query User{8AB3C0B8-B4B9-4564-9220-4A00E0AFEA52}f:\softwares\eclipse\eclipse.exe"= UDP:f:\softwares\eclipse\eclipse.exe:eclipse
"UDP Query User{426614E1-BAE6-49F1-9903-EDC2953BCDA3}f:\softwares\eclipse\eclipse.exe"= TCP:f:\softwares\eclipse\eclipse.exe:eclipse
"TCP Query User{9368F5B2-CCFF-4EC7-8690-5CCB4621EA4A}f:\softwares\bea\jrockit81sp4_142_05\bin\javaw.exe"= UDP:f:\softwares\bea\jrockit81sp4_142_05\bin\javaw.exe:javaw
"UDP Query User{210A8C78-A440-41CD-B5E9-0AA0FE6A942C}f:\softwares\bea\jrockit81sp4_142_05\bin\javaw.exe"= TCP:f:\softwares\bea\jrockit81sp4_142_05\bin\javaw.exe:javaw
"TCP Query User{DE172A2B-1E93-45FB-BEB8-4ED08B4F1D0A}f:\softwares\bea\jdk142_05\bin\java.exe"= UDP:f:\softwares\bea\jdk142_05\bin\java.exe:java
"UDP Query User{CDF8FC05-0F7C-4D18-9CAD-3A95FCCF8CF6}f:\softwares\bea\jdk142_05\bin\java.exe"= TCP:f:\softwares\bea\jdk142_05\bin\java.exe:java
"TCP Query User{46325FFA-E321-4B1A-85E7-20119459255D}f:\softwares\bea\jrockit81sp4_142_05\bin\java.exe"= UDP:f:\softwares\bea\jrockit81sp4_142_05\bin\java.exe:java
"UDP Query User{6C63DFBF-0099-4FAE-8D2F-580D6D32E3DA}f:\softwares\bea\jrockit81sp4_142_05\bin\java.exe"= TCP:f:\softwares\bea\jrockit81sp4_142_05\bin\java.exe:java
"{53271DDF-5529-4D73-960C-35118D227173}"= TCP:2799:Altova License Metering Port (UDP)
"{1125070B-58C3-4011-B349-D18D7A4980BF}"= UDP:2799:Altova License Metering Port (TCP)
"TCP Query User{C1518205-6804-4F4F-A066-120E44279A96}f:\softwares\bea\jdk142_05\bin\java.exe"= UDP:f:\softwares\bea\jdk142_05\bin\java.exe:java
"UDP Query User{40FC7D14-62B3-48E3-A31E-CA58CA0BF722}f:\softwares\bea\jdk142_05\bin\java.exe"= TCP:f:\softwares\bea\jdk142_05\bin\java.exe:java
"TCP Query User{D1A02A3E-B455-4BDF-BCCC-C9587CF4B52F}f:\bea10\jdk160_05\bin\java.exe"= UDP:f:\bea10\jdk160_05\bin\java.exe:Java(TM) Platform SE binary
"UDP Query User{55872187-8C57-4C8E-A2B4-2AEE93707CCF}f:\bea10\jdk160_05\bin\java.exe"= TCP:f:\bea10\jdk160_05\bin\java.exe:Java(TM) Platform SE binary

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"DisableUnicastResponsesToMulticastBroadcast"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

R2 OracleServiceXE;OracleServiceXE;f:\softwares\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE XE --> f:\softwares\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE XE [?]
R2 OracleXETNSListener;OracleXETNSListener;f:\softwares\oraclexe\app\oracle\product\10.2.0\server\BIN\TNSLSNR.EXE [2/02/2006 0:49 204800]
S2 gupdate1c9ca97c3262cd6;Service Google Update (gupdate1c9ca97c3262cd6);c:\program files\Google\Update\GoogleUpdate.exe [1/05/2009 22:02 133104]
S4 OracleJobSchedulerXE;OracleJobSchedulerXE;f:\softwares\oraclexe\app\oracle\product\10.2.0\server\Bin\extjob.exe XE --> f:\softwares\oraclexe\app\oracle\product\10.2.0\server\Bin\extjob.exe XE [?]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"c:\program files\Common Files\LightScribe\LSRunOnce.exe"
.
Contenu du dossier 'Tâches planifiées'

2009-06-23 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-05-01 19:56]

2009-06-23 c:\windows\Tasks\GoogleUpdateTaskMachine.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-05-01 20:02]

2009-05-28 c:\windows\Tasks\HPCeeScheduleForPat.job
- c:\program files\Hewlett-Packard\SDP\Ceement\HPCEE.exe [2007-11-08 10:58]

2009-06-23 c:\windows\Tasks\User_Feed_Synchronization-{FB40C0A1-73B0-4AE2-98FD-2667AFD980A6}.job
- c:\windows\system32\msfeedssync.exe [2006-11-02 09:45]
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-Tok-Cirrhatus - (no file)
HKLM-Run-HP Health Check Scheduler - [ProgramFilesFolder]Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe


.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_be&c=81&bd=Pavilion&pf=laptop
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-24 00:10
Windows 6.0.6000  NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'lsass.exe'(596)
c:\windows\system32\DPPWDFLT.dll

- - - - - - - > 'lsass.exe'(1188)
c:\program files\DigitalPersona\Bin\DpoFeedb.dll

- - - - - - - > 'lsass.exe'(2988)
c:\program files\DigitalPersona\Bin\DpoFeedb.dll

- - - - - - - > 'Explorer.exe'(3576)
c:\program files\DigitalPersona\Bin\DpoFeedb.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\System32\audiodg.exe
c:\program files\Lavasoft\Ad-Aware\aawservice.exe
c:\program files\DigitalPersona\Bin\DpHostW.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
f:\softwares\oraclexe\app\oracle\product\10.2.0\server\BIN\oracle.exe
c:\program files\HP\QuickPlay\Kernel\TV\QPCapSvc.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\windows\System32\drivers\XAudio.exe
c:\program files\Hewlett-Packard\Shared\hpqWmiEx.exe
c:\windows\System32\WUDFHost.exe
c:\program files\HP\QuickPlay\Kernel\TV\QPSched.exe
c:\windows\System32\conime.exe
c:\windows\System32undll32.exe
c:\users\Pat\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Online.com
c:\windows\System32undll32.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\program files\Hewlett-Packard\Shared\HpqToaster.exe
c:\program files\Synaptics\SynTP\SynTPEnh.exe
c:\users\Pat\AppData\Local\services.exe
c:\users\Pat\AppData\Local\services.exe
c:\users\Pat\AppData\Local\lsass.exe
c:\users\Pat\AppData\Local\lsass.exe
c:\program files\Hewlett-Packard\HP Health Check\HPHC_Service.exe
c:\windows\servicing\TrustedInstaller.exe
.
**************************************************************************
.
Heure de fin: 2009-06-23  0:17 - La machine a redémarré
ComboFix-quarantined-files.txt  2009-06-23 22:17

Avant-CF: 49.171.324.928 octets libres
Après-CF: 50.156.281.856 octets libres

280	--- E O F ---	2009-06-23 21:08

Lyonnais92 · Answer

Bonjour,

Copie ou imprime les instructions avant

Déconnecte toi d'internet et ferme toutes tes applications.

Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :


File::
 c:\users\Pat\AppData\Local\Bron.tok-­17-24
 c:\users\Pat\AppData\Local\Bron.tok.A17.­em.bin
c:\users\Pat\AppData\Local\Bron.tok-­17-23
c:\users\Pat\AppData\Local\Bron.tok-­17-22
c:\users\Pat\AppData\Local\Bron.tok-­17-21
c:\users\Pat\AppData\Local\Bron.tok-­17-20
c:\users\Pat\AppData\Local\Bron.tok-­17-19 
 c:\users\Pat\AppData\Local\Bron.tok-­17-18
c:\users\Pat\AppData\Local\Bron.tok-­17-17
c:\users\Pat\AppData\Local\Ok-SendMa­il-Bron-tok
 c:\users\Pat\AppData\Local\Loc.Mail.­Bron.Tok
c:\users\Pat\AppData\Local\Bron.tok-­17-14
c:\users\Pat\AppData\Local\br4083on.exe­
 
Registry::
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"Tok-Cirrhatus-1530"="c:\users\Pat\AppData\Local\br4083on.exe"


RegLock::
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings] 

Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Réactive ton parefeu, ton antivirus, la garde de ton antispyware

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Remets aussi un rapport Hijackthis


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation. 
============
1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau à partir de ce lien :

https://download.cnet.com/Malwarebytes/3000-8022_4-10804572.html

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter une analyse rapide"  est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse
========

Je ne suis pas sûr que celà suffise mais je suis pris par le temps et pars en vacances 1 semaine.

nardino · Answer

Bonjour,

Lyonnais a oublié un petit détail.
Il faut enregistrer le fichier sous CFSript.txt.

devpat · Answer

Bonjour, j'ai fait comme indiqué, voici les rapports de Combofix et Hijackthis

ComboFix 09-06-22.0E - Pat 25/06/2009  7:14.2 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium   6.0.6000.0.1252.32.1036.18.3070.2081 [GMT 2:00]
Lancé depuis: J:\ComboFix.exe
Commutateurs utilisés :: c:\users\Pat\Desktop\CFscript.txt
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

FILE ::
"c:\users\Pat\AppData\Local\br4083on.exe­"
"c:\users\Pat\AppData\Local\Bron.tok-­17-14"
"c:\users\Pat\AppData\Local\Bron.tok-­17-17"
"c:\users\Pat\AppData\Local\Bron.tok-­17-18"
"c:\users\Pat\AppData\Local\Bron.tok-­17-19"
"c:\users\Pat\AppData\Local\Bron.tok-­17-20"
"c:\users\Pat\AppData\Local\Bron.tok-­17-21"
"c:\users\Pat\AppData\Local\Bron.tok-­17-22"
"c:\users\Pat\AppData\Local\Bron.tok-­17-23"
"c:\users\Pat\AppData\Local\Bron.tok-­17-24"
"c:\users\Pat\AppData\Local\Bron.tok.A17.­em.bin"
"c:\users\Pat\AppData\Local\Loc.Mail.­Bron.Tok"
"c:\users\Pat\AppData\Local\Ok-SendMa­il-Bron-tok"
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\Pat\AppData\Local\inetinfo.exe
c:\users\Pat\AppData\Local\lsass.exe
c:\users\Pat\AppData\Local\services.exe
D:\Autorun.inf
F:\Autorun.inf

.
(((((((((((((((((((((((((((((   Fichiers créés du 2009-05-25 au 2009-06-25  ))))))))))))))))))))))))))))))))))))
.

2009-06-24 22:01 . 2009-06-24 22:01	--------	d-----w-	c:\users\Pat\AppData\Local\Bron.tok-17-25
2009-06-23 22:00 . 2009-06-23 22:00	--------	d-----w-	c:\users\Pat\AppData\Local\Bron.tok-17-24
2009-06-23 21:36 . 2009-06-23 21:36	3544	----a-w-	c:\users\Pat\AppData\Local\Bron.tok.A17.em.bin
2009-06-22 22:00 . 2009-06-22 22:00	--------	d-----w-	c:\users\Pat\AppData\Local\Bron.tok-17-23
2009-06-22 18:45 . 2009-06-22 18:45	410984	----a-w-	c:\windows\system32\deploytk.dll
2009-06-22 03:40 . 2009-06-22 03:40	--------	d-----w-	c:\users\Pat\AppData\Local\Bron.tok-17-22
2009-06-21 21:16 . 2009-06-21 21:16	--------	d-----w-	c:\program files\Trend Micro
2009-06-21 10:48 . 2009-06-21 10:48	--------	d-----w-	c:\users\Pat\AppData\Local\Bron.tok-17-21
2009-06-20 08:11 . 2009-06-20 08:11	--------	d-----w-	c:\users\Pat\AppData\Local\Bron.tok-17-20
2009-06-19 20:27 . 2009-06-19 20:27	--------	d-----w-	c:\users\Pat\AppData\Local\Bron.tok-17-19
2009-06-18 18:33 . 2009-06-18 18:33	--------	d-----w-	c:\users\Pat\AppData\Local\Bron.tok-17-18
2009-06-17 06:04 . 2009-06-17 06:04	--------	d-----w-	c:\users\Pat\AppData\Local\Bron.tok-17-17
2009-06-16 18:48 . 2009-06-16 18:51	--------	d-----w-	c:\programdata\Lavasoft
2009-06-16 18:47 . 2009-06-16 18:47	--------	d-----w-	c:\program files\Common Files\Wise Installation Wizard
2009-06-14 21:30 . 2009-06-16 18:48	--------	d-----w-	c:\program files\Lavasoft
2009-06-14 18:41 . 2009-06-14 18:41	--------	d-----w-	c:\users\Pat\AppData\Local\Ok-SendMail-Bron-tok
2009-06-14 18:39 . 2009-06-22 21:30	--------	d-----w-	c:\users\Pat\AppData\Local\Loc.Mail.Bron.Tok
2009-06-14 18:34 . 2009-06-14 18:34	--------	d-----w-	c:\users\Pat\AppData\Local\Bron.tok-17-14
2009-06-14 11:45 . 2009-04-30 12:42	428032	----a-w-	c:\windows\system32\EncDec.dll
2009-06-14 11:45 . 2009-04-30 12:52	292352	----a-w-	c:\windows\system32\psisdecd.dll
2009-06-14 11:45 . 2009-04-30 12:44	1244672	----a-w-	c:\windows\system32\mcmde.dll
2009-06-13 09:23 . 2009-06-13 09:23	--------	d-----w-	c:\programdata\ACD Systems
2009-06-13 09:23 . 2009-06-13 09:23	--------	d-----w-	c:\program files\Common Files\ACD Systems
2009-06-13 09:23 . 2009-06-13 09:23	--------	d-----w-	c:\program files\ACD Systems
2009-06-13 09:22 . 2009-06-13 09:22	--------	d-----w-	c:\users\Pat\AppData\Local\Downloaded Installations
2009-06-13 09:21 . 2009-06-13 09:21	--------	d-----w-	c:\program files\BVRP Software
2009-06-13 09:20 . 2009-06-13 09:20	--------	d-----w-	c:\programdata\BVRP Software
2009-06-13 09:20 . 2009-06-13 09:20	--------	d-----w-	c:\users\Pat\AppData\Roaming\InstallShield
2009-06-13 09:02 . 2009-06-13 09:23	--------	d-----w-	c:\users\Pat\AppData\Roaming\ACD Systems
2009-06-13 09:02 . 2009-06-13 09:02	--------	d-----w-	c:\users\Pat\AppData\Roaming\ACDInTouch
2009-06-13 09:01 . 2001-02-28 05:51	110592	----a-w-	c:\windows\system32\CondMgr.dll
2009-06-10 20:28 . 2009-04-21 12:04	2028032	----a-w-	c:\windows\system32\win32k.sys
2009-06-10 20:26 . 2009-04-23 12:56	696832	----a-w-	c:\windows\system32\localspl.dll
2009-06-10 20:25 . 2009-04-23 13:01	788992	----a-w-	c:\windows\system32pcrt4.dll
2009-05-27 21:50 . 2009-06-13 07:22	680	----a-w-	c:\users\Pat\AppData\Local\d3d9caps.dat

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-24 22:02 . 2009-05-01 19:56	--------	d-----w-	c:\programdata\Google Updater
2009-06-22 18:45 . 2007-11-08 22:50	--------	d-----w-	c:\program files\Java
2009-06-20 16:41 . 2009-02-22 15:44	53787	----a-w-	c:\users\Pat\AppData\Roaming
vModes.dat
2009-06-14 19:03 . 2007-11-09 05:36	690832	----a-w-	c:\windows\system32\perfh00C.dat
2009-06-14 19:03 . 2007-11-09 05:36	117572	----a-w-	c:\windows\system32\perfc00C.dat
2009-06-14 18:34 . 2009-06-06 09:39	258	----a-w-	c:\users\Pat\AppData\Roaming\wklnhst.dat
2009-06-13 09:21 . 2007-11-08 21:03	--------	d--h--w-	c:\program files\InstallShield Installation Information
2009-06-06 09:39 . 2009-03-01 23:05	--------	d-----w-	c:\users\Pat\AppData\Roaming\Template
2009-05-26 05:05 . 2009-02-22 13:20	71872	----a-w-	c:\users\Pat\AppData\Local\GDIPFONTCACHEV1.DAT
2009-05-25 20:05 . 2009-05-25 20:05	--------	d-----w-	c:\program files\QuickTime
2009-05-19 21:12 . 2007-04-14 21:34	65536	----a-w-	c:\users\Pat\AppData\Roaming\Microsoft\Windows\Templates\6348-NendangBro.com
2009-05-19 21:12 . 2007-04-14 21:34	65536	----a-w-	c:\users\Pat\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif
2009-05-19 21:12 . 2007-04-14 21:34	65536	----a-w-	c:\users\Pat\AppData\Local\svchost.exe
2009-05-19 21:12 . 2007-04-14 21:34	65536	----a-w-	c:\users\Pat\AppData\Local\smss.exe
2009-05-19 21:12 . 2007-04-14 21:34	65536	----a-w-	c:\users\Pat\AppData\Local\csrss.exe
2009-05-19 21:12 . 2007-04-14 21:34	65536	----a-w-	c:\users\Pat\AppData\Local\br4083on.exe
2009-05-18 15:56 . 2007-11-08 21:05	--------	d-----w-	c:\program files\Common Files\Symantec Shared
2009-05-18 05:29 . 2007-11-08 21:05	--------	d-----w-	c:\programdata\Symantec
2009-05-17 14:11 . 2009-05-01 19:56	--------	d-----w-	c:\program files\Google
2009-05-16 12:59 . 2006-11-02 11:18	--------	d-----w-	c:\program files\Windows Mail
2009-05-03 12:54 . 2009-05-03 12:54	15240	----a-w-	c:\users\Pat\AppData\Roaming\Microsoft\IdentityCRL\PROD\ppcrlconfig.dll
2009-04-24 16:22 . 2009-06-10 20:27	827392	----a-w-	c:\windows\system32\wininet.dll
2009-04-24 16:14 . 2009-06-10 20:27	56320	----a-w-	c:\windows\system32\iesetup.dll
2009-04-24 16:14 . 2009-06-10 20:27	78336	----a-w-	c:\windows\system32\ieencode.dll
2009-04-24 16:11 . 2009-06-10 20:27	72704	----a-w-	c:\windows\system32\admparse.dll
2009-04-24 13:53 . 2009-06-10 20:27	26624	----a-w-	c:\windows\system32\ieUnatt.exe
2009-04-24 12:25 . 2009-06-10 20:27	48128	----a-w-	c:\windows\system32\mshtmler.dll
.

(((((((((((((((((((((((((((((   SnapShot@2009-06-23_22.11.25   )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-11-08 20:58 . 2009-06-25 05:06	46328              c:\windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2006-11-02 13:05 . 2009-06-25 05:06	71358              c:\windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
+ 2009-02-22 13:11 . 2009-06-25 05:06	11220              c:\windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-1894645913-2894511401-282806581-1000_UserData.bin
+ 2008-01-23 07:56 . 2009-06-24 22:02	16384              c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2008-01-23 07:56 . 2009-06-23 21:27	16384              c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2008-01-23 07:56 . 2009-06-24 22:02	32768              c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2008-01-23 07:56 . 2009-06-23 21:27	32768              c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2008-01-23 07:56 . 2009-06-24 22:02	16384              c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2008-01-23 07:56 . 2009-06-23 21:27	16384              c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2009-06-25 05:05 . 2009-06-25 05:05	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2009-06-23 22:09 . 2009-06-23 22:09	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2009-06-25 05:05 . 2009-06-25 05:05	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2009-06-23 22:09 . 2009-06-23 22:09	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-03-01 1232896]
"MsnMsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]
"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2007-08-23 455968]
"InterVoip"="f:\softwares\Prog-utilitaire\InterVoip\InterVoip.exe" [2008-11-03 8994096]
"Tok-Cirrhatus-1530"="c:\users\Pat\AppData\Local\br4083on.exe" [2009-05-19 65536]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 201728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvSvc"="c:\windows\system32
vsvc.dll" [2007-09-19 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-09-19 8497696]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-09-19 81920]
"SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-09-15 102400]
"QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2007-09-30 181544]
"QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2007-09-19 202032]
"OnScreenDisplay"="c:\program files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe" [2007-09-04 554320]
"UCam_Menu"="c:\program files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" [2007-08-16 218408]
"DpAgent"="c:\program files\DigitalPersona\Bin\dpagent.exe" [2007-09-20 671744]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-09-13 480560]
"WAWifiMessage"="c:\program files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe" [2007-01-08 311296]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-06-22 148888]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 40048]

c:\users\Pat\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Adobe Online.com [2009-4-5 40960]
Adobe update.com [2009-4-5 40960]
Empty.pif [2009-5-19 65536]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages	REG_MULTI_SZ   	scecli DPPWDFLT

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{84220BC7-AD97-4AE3-9574-6A74D5FF55EA}"= c:\program files\Cyberlink\PowerDirector\PDR.EXE:CyberLink PowerDirector
"{C9D6A2BF-2A04-411A-97DC-846F329661CD}"= c:\program files\HP\QuickPlay\QP.exe:Quick Play
"{E0F52E75-369E-4A35-8993-CF56B51415D4}"= c:\program files\HP\QuickPlay\QPService.exe:Quick Play Resident Program
"{C9439E2C-65E7-479A-9720-8EFD9776E10A}"= c:\program files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)
"TCP Query User{B5382F03-A457-4381-9256-C060D691E17B}f:\softwares\j2sdk1.4.2_14\bin\java.exe"= UDP:f:\softwares\j2sdk1.4.2_14\bin\java.exe:java
"UDP Query User{FB4CE517-9F53-4367-B256-5D99A9662B5F}f:\softwares\j2sdk1.4.2_14\bin\java.exe"= TCP:f:\softwares\j2sdk1.4.2_14\bin\java.exe:java
"TCP Query User{0C93DABE-94B2-4E95-BF76-DC5EEAC180E1}f:\softwares\bea-pat\jrockit81sp4_142_05\bin\javaw.exe"= UDP:f:\softwares\bea-pat\jrockit81sp4_142_05\bin\javaw.exe:javaw
"UDP Query User{BF67048C-6AD4-4833-9B77-FBE9897B65E2}f:\softwares\bea-pat\jrockit81sp4_142_05\bin\javaw.exe"= TCP:f:\softwares\bea-pat\jrockit81sp4_142_05\bin\javaw.exe:javaw
"TCP Query User{6479A324-12C9-4974-8F93-E5B08D510F21}f:\softwares\bea-pat\jrockit81sp4_142_05\bin\java.exe"= UDP:f:\softwares\bea-pat\jrockit81sp4_142_05\bin\java.exe:java
"UDP Query User{99DA09A7-29CF-4B76-ADC3-91508E7CBA0C}f:\softwares\bea-pat\jrockit81sp4_142_05\bin\java.exe"= TCP:f:\softwares\bea-pat\jrockit81sp4_142_05\bin\java.exe:java
"TCP Query User{C3BB8CBE-F414-4DC9-ACFD-590A01F42BA3}f:\softwares\bea8\jrockit81sp4_142_05\bin\javaw.exe"= UDP:f:\softwares\bea8\jrockit81sp4_142_05\bin\javaw.exe:javaw
"UDP Query User{830E378C-D352-436F-96AF-CEC3C62FFEBB}f:\softwares\bea8\jrockit81sp4_142_05\bin\javaw.exe"= TCP:f:\softwares\bea8\jrockit81sp4_142_05\bin\javaw.exe:javaw
"TCP Query User{BAD02C10-80B5-42CF-AADE-E93674B2C39A}f:\softwares\bea8\jrockit81sp4_142_05\bin\java.exe"= UDP:f:\softwares\bea8\jrockit81sp4_142_05\bin\java.exe:java
"UDP Query User{BB9AC8AC-2019-4FFD-A5F5-AC9B4E0CE6B6}f:\softwares\bea8\jrockit81sp4_142_05\bin\java.exe"= TCP:f:\softwares\bea8\jrockit81sp4_142_05\bin\java.exe:java
"TCP Query User{A729C43F-BFEA-4CC3-9614-73A35D02989D}f:\softwares\eclipse\eclipse.exe"= UDP:f:\softwares\eclipse\eclipse.exe:eclipse
"UDP Query User{7BECD136-FCE9-47D2-BC85-01DA4B62B1F3}f:\softwares\eclipse\eclipse.exe"= TCP:f:\softwares\eclipse\eclipse.exe:eclipse
"TCP Query User{51546AA0-3D12-43D3-AB5F-149AB924DB99}f:\softwares\bea8_1\jrockit81sp4_142_05\bin\javaw.exe"= UDP:f:\softwares\bea8_1\jrockit81sp4_142_05\bin\javaw.exe:javaw
"UDP Query User{B0C51914-3279-49DA-97C0-BC2BF36CE644}f:\softwares\bea8_1\jrockit81sp4_142_05\bin\javaw.exe"= TCP:f:\softwares\bea8_1\jrockit81sp4_142_05\bin\javaw.exe:javaw
"TCP Query User{D4062338-BB7F-487E-972F-560F103F55F5}f:\softwares\bea8_1\jrockit81sp4_142_05\bin\java.exe"= UDP:f:\softwares\bea8_1\jrockit81sp4_142_05\bin\java.exe:java
"UDP Query User{002BFB2F-B4BB-4E37-8DE4-415FD1443695}f:\softwares\bea8_1\jrockit81sp4_142_05\bin\java.exe"= TCP:f:\softwares\bea8_1\jrockit81sp4_142_05\bin\java.exe:java
"TCP Query User{55F25D9C-6AC0-4156-A81A-99532E74A72A}f:\softwares\prog-utilitaire\intervoip\intervoip.exe"= UDP:f:\softwares\prog-utilitaire\intervoip\intervoip.exe:Client to make VoIP calls.
"UDP Query User{B8EDF0EB-98E1-419F-9C5D-E2863C58FEA8}f:\softwares\prog-utilitaire\intervoip\intervoip.exe"= TCP:f:\softwares\prog-utilitaire\intervoip\intervoip.exe:Client to make VoIP calls.
"TCP Query User{5C66DAA5-3932-48D4-9119-077AB6E20341}f:\softwares\prog-utilitaire\intervoip\intervoip.exe"= UDP:f:\softwares\prog-utilitaire\intervoip\intervoip.exe:Client to make VoIP calls.
"UDP Query User{CF8CCA74-4029-4B3F-ACB2-F48401F638B5}f:\softwares\prog-utilitaire\intervoip\intervoip.exe"= TCP:f:\softwares\prog-utilitaire\intervoip\intervoip.exe:Client to make VoIP calls.
"TCP Query User{8AB3C0B8-B4B9-4564-9220-4A00E0AFEA52}f:\softwares\eclipse\eclipse.exe"= UDP:f:\softwares\eclipse\eclipse.exe:eclipse
"UDP Query User{426614E1-BAE6-49F1-9903-EDC2953BCDA3}f:\softwares\eclipse\eclipse.exe"= TCP:f:\softwares\eclipse\eclipse.exe:eclipse
"TCP Query User{9368F5B2-CCFF-4EC7-8690-5CCB4621EA4A}f:\softwares\bea\jrockit81sp4_142_05\bin\javaw.exe"= UDP:f:\softwares\bea\jrockit81sp4_142_05\bin\javaw.exe:javaw
"UDP Query User{210A8C78-A440-41CD-B5E9-0AA0FE6A942C}f:\softwares\bea\jrockit81sp4_142_05\bin\javaw.exe"= TCP:f:\softwares\bea\jrockit81sp4_142_05\bin\javaw.exe:javaw
"TCP Query User{DE172A2B-1E93-45FB-BEB8-4ED08B4F1D0A}f:\softwares\bea\jdk142_05\bin\java.exe"= UDP:f:\softwares\bea\jdk142_05\bin\java.exe:java
"UDP Query User{CDF8FC05-0F7C-4D18-9CAD-3A95FCCF8CF6}f:\softwares\bea\jdk142_05\bin\java.exe"= TCP:f:\softwares\bea\jdk142_05\bin\java.exe:java
"TCP Query User{46325FFA-E321-4B1A-85E7-20119459255D}f:\softwares\bea\jrockit81sp4_142_05\bin\java.exe"= UDP:f:\softwares\bea\jrockit81sp4_142_05\bin\java.exe:java
"UDP Query User{6C63DFBF-0099-4FAE-8D2F-580D6D32E3DA}f:\softwares\bea\jrockit81sp4_142_05\bin\java.exe"= TCP:f:\softwares\bea\jrockit81sp4_142_05\bin\java.exe:java
"{53271DDF-5529-4D73-960C-35118D227173}"= TCP:2799:Altova License Metering Port (UDP)
"{1125070B-58C3-4011-B349-D18D7A4980BF}"= UDP:2799:Altova License Metering Port (TCP)
"TCP Query User{C1518205-6804-4F4F-A066-120E44279A96}f:\softwares\bea\jdk142_05\bin\java.exe"= UDP:f:\softwares\bea\jdk142_05\bin\java.exe:java
"UDP Query User{40FC7D14-62B3-48E3-A31E-CA58CA0BF722}f:\softwares\bea\jdk142_05\bin\java.exe"= TCP:f:\softwares\bea\jdk142_05\bin\java.exe:java
"TCP Query User{D1A02A3E-B455-4BDF-BCCC-C9587CF4B52F}f:\bea10\jdk160_05\bin\java.exe"= UDP:f:\bea10\jdk160_05\bin\java.exe:Java(TM) Platform SE binary
"UDP Query User{55872187-8C57-4C8E-A2B4-2AEE93707CCF}f:\bea10\jdk160_05\bin\java.exe"= TCP:f:\bea10\jdk160_05\bin\java.exe:Java(TM) Platform SE binary

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"DisableUnicastResponsesToMulticastBroadcast"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

R2 OracleServiceXE;OracleServiceXE;f:\softwares\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE XE --> f:\softwares\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE XE [?]
R2 OracleXETNSListener;OracleXETNSListener;f:\softwares\oraclexe\app\oracle\product\10.2.0\server\BIN\TNSLSNR.EXE [2/02/2006 0:49 204800]
S2 gupdate1c9ca97c3262cd6;Service Google Update (gupdate1c9ca97c3262cd6);c:\program files\Google\Update\GoogleUpdate.exe [1/05/2009 22:02 133104]
S4 OracleJobSchedulerXE;OracleJobSchedulerXE;f:\softwares\oraclexe\app\oracle\product\10.2.0\server\Bin\extjob.exe XE --> f:\softwares\oraclexe\app\oracle\product\10.2.0\server\Bin\extjob.exe XE [?]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"c:\program files\Common Files\LightScribe\LSRunOnce.exe"
.
Contenu du dossier 'Tâches planifiées'

2009-06-25 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-05-01 19:56]

2009-06-25 c:\windows\Tasks\GoogleUpdateTaskMachine.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-05-01 20:02]

2009-05-28 c:\windows\Tasks\HPCeeScheduleForPat.job
- c:\program files\Hewlett-Packard\SDP\Ceement\HPCEE.exe [2007-11-08 10:58]

2009-06-25 c:\windows\Tasks\User_Feed_Synchronization-{FB40C0A1-73B0-4AE2-98FD-2667AFD980A6}.job
- c:\windows\system32\msfeedssync.exe [2006-11-02 09:45]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_be&c=81&bd=Pavilion&pf=laptop
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-25 07:19
Windows 6.0.6000  NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'lsass.exe'(656)
c:\windows\system32\DPPWDFLT.dll
.
Heure de fin: 2009-06-25  7:20
ComboFix-quarantined-files.txt  2009-06-25 05:20
ComboFix2.txt  2009-06-23 22:17

Avant-CF: 50.091.941.888 octets libres
Après-CF: 50.068.344.832 octets libres

246	--- E O F ---	2009-06-23 21:08
------------------------------------------------------------------------------------------------------------

Rapport Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:22:43, on 21/06/2009
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16851)
Boot mode: Safe mode with network support

Running processes:
C:\Windows\Explorer.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/nl-be?cobrand=hp.msn.com&ocid=HPDHP&pc=HPDTDF&checklang=1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/nl-be?cobrand=hp.msn.com&ocid=HPDHP&pc=HPDTDF&checklang=1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/nl-be?cobrand=hp.msn.com&ocid=HPDHP&pc=HPDTDF&checklang=1
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32
vsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [OnScreenDisplay] C:\Program Files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe
O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\YouCam" update "Software\CyberLink\YouCam\1.0"
O4 - HKLM\..\Run: [DpAgent] C:\Program Files\DigitalPersona\Bin\dpagent.exe
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [HP Health Check Scheduler] [ProgramFilesFolder]Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [WAWifiMessage] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [InterVoip] "F:\Softwares\Prog-utilitaire\InterVoip\InterVoip.exe" -nosplash -minimized
O4 - HKCU\..\Run: [Tok-Cirrhatus-1530] "C:\Users\Pat\AppData\Local\br4083on.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: Adobe Online.com
O4 - Startup: Adobe update.com
O4 - Startup: Empty.pif = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O13 - Gopher Prefix: 
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Com4Qlb - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4Qlb.exe
O23 - Service: Biometric Authentication Service (DpHost) - DigitalPersona, Inc. - C:\Program Files\DigitalPersona\Bin\DpHostW.exe
O23 - Service: Service Google Update (gupdate1c9ca97c3262cd6) (gupdate1c9ca97c3262cd6) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - F:\Softwares\oraclexe\app\oracle\product\10.2.0\server\BIN\omtsreco.exe
O23 - Service: OracleServiceXE - Oracle Corporation - f:\softwares\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE
O23 - Service: OracleXEClrAgent - Unknown owner - F:\Softwares\oraclexe\app\oracle\product\10.2.0\server\bin\OraClrAgnt.exe
O23 - Service: OracleXETNSListener - Unknown owner - F:\Softwares\oraclexe\app\oracle\product\10.2.0\server\BIN	nslsnr.exe
O23 - Service: QuickPlay Background Capture Service (QBCS) (QPCapSvc) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\QPCapSvc.exe
O23 - Service: QuickPlay Task Scheduler (QTS) (QPSched) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\QPSched.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

Noni · Answer

Remove Surabaya in my birthday virus
http://darfuns.com/remove-surabaya-happy-birthday-virus-worm/

nardino · Answer

Bonjour.
Nous allons utiliser un outil spécifique.
Tu télécharges ce fix pour Brontok
http://download.bitdefender.com/resources/files/Download/en/AntiBrontokA-en.exe
Tu raccordes tes clés USB et disques externes le cas échéant.
Tu cliques sur AntiBrontokA-en.exe
Tu cliques sur le bouton Scan et tu laisse l'outil travailler.
Il te sera peut-être demandé de redémarrer.
Poste un nouveau rapport Hijackthis établi après la manipulation..

nardino · Answer

Re, 
Fais aussi cette manip:
Étape 1: Téléchargement de l'outil de désinfection

Télécharge eScan Antivirus Toolkit  :  http://www.spywareinfo.dk/download/mwav.exe
sur ton Bureau ou dans un dossier prédéfini, au choix.
L'important est de le retrouver.

Étape 2: Installation et Mise à jour avant usage

1.) Ouvre le fichier  mwav.exe, décompresse les fichiers dans le nouveau dossier suggéré, Kaspersky, situé à la racine du lecteur C:\
Tu obtiens donc C:\Kaspersky. 
Le programme va se lancer, et tu dois le quitter, clique sur "Exit" puis "Exit" dans la fenêtre suivante.

2.) Double-clique sur le Poste de travail, puis double-clique sur C:\, ouvre le dossier Kaspersky, lance le fichier kavupd.exe. 
Tu verras une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.

3.) Lorsque la mise à jour sera effectuée, tu verras  Press any key to continue  à la fin de la page, enfonce une touche pour continuer.
La fenêtre va se fermer.

Ne pas lancer le scan tout de suite.

Étape 3: Redémarre en mode Sans Échec

Après la fermeture de la première fenêtre, au tout début de la phase de démarrage du PC (boot), appuyer sur F8.
Une fenêtre de type DOS s'ouvre, sélectionner Mode sans échec à l'aide des flèches du clavier et cliquer sur Entrée (Enter)
Ne t'inquiète pas de l'aspect, Windows démarre avec le minimum nécessaire.
Il faut choisir la même session qu'en mode normal.

Etape 4 : Désinfection

1.)Ouvre le fichier  mwavscan.com  situé dans le dossier C:\Kaspersky, l'interface d'eScan va apparaître à l'écran.
Tu peux cliquer sur la colonne Type pour classer tous les fichiers exe en tête.

2.) Il est très important de bien cocher : Memory, Registry, Startup Folders, System Folders, Services.

3.) Coche Drive, ce qui ouvre un bouton rond juste au-dessous, coche ce bouton "Drive" et tu verras une nouvelle boîte de navigation apparaître à la droite. 
Clique sur la petite flèche de cette boîte et choisis la lettre de ton disque dur, habituellement C:\.
Par défaut elle s'ouvre sur A:\

4.) Juste au-dessous, assure-toi que  Scan All Files  est coché, et non Program Files.

5.) Clique sur Scan Clean et laisse l'outil vérifier tout le disque dur.
Cela peut prendre du temps selon le niveau de contamination.
Lorsque que le scan sera terminé, tu verras  Scan Completed.
Ne quitte pas tout de suite !

6.) Ouvre un nouveau fichier Blocnote ou Wordpad ("Démarrer" - "Programmes" - "Accessoires" - "Bloc notes" ou "Wordpad"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (celle du bas) dans ce fichier , enregistres-le puis postes-le dans ta prochaine réponse. 
eScan génère également un rapport complet dans le dossier C:\Kaspersky, nommé mwav.log, mais il est trop lourd pour le poster sur un forum.)

devpat · Answer

Bonjour,
voici le dernier rapport près que j'ai executé AntiBrontokA-en

merci pour la suite

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:22:43, on 21/06/2009
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16851)
Boot mode: Safe mode with network support

Running processes:
C:\Windows\Explorer.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/...
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/...
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32
vsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [OnScreenDisplay] C:\Program Files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe
O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\YouCam" update "Software\CyberLink\YouCam\1.0"
O4 - HKLM\..\Run: [DpAgent] C:\Program Files\DigitalPersona\Bin\dpagent.exe
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [HP Health Check Scheduler] [ProgramFilesFolder]Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [WAWifiMessage] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [InterVoip] "F:\Softwares\Prog-utilitaire\InterVoip\InterVoip.exe" -nosplash -minimized
O4 - HKCU\..\Run: [Tok-Cirrhatus-1530] "C:\Users\Pat\AppData\Local\br4083on.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: Adobe Online.com
O4 - Startup: Adobe update.com
O4 - Startup: Empty.pif = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O13 - Gopher Prefix: 
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Com4Qlb - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4Qlb.exe
O23 - Service: Biometric Authentication Service (DpHost) - DigitalPersona, Inc. - C:\Program Files\DigitalPersona\Bin\DpHostW.exe
O23 - Service: Service Google Update (gupdate1c9ca97c3262cd6) (gupdate1c9ca97c3262cd6) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - F:\Softwares\oraclexe\app\oracle\product\10.2.0\server\BIN\omtsreco.exe
O23 - Service: OracleServiceXE - Oracle Corporation - f:\softwares\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE
O23 - Service: OracleXEClrAgent - Unknown owner - F:\Softwares\oraclexe\app\oracle\product\10.2.0\server\bin\OraClrAgnt.exe
O23 - Service: OracleXETNSListener - Unknown owner - F:\Softwares\oraclexe\app\oracle\product\10.2.0\server\BIN	nslsnr.exe
O23 - Service: QuickPlay Background Capture Service (QBCS) (QPCapSvc) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\QPCapSvc.exe
O23 - Service: QuickPlay Task Scheduler (QTS) (QPSched) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\QPSched.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

nardino · Answer

Bonjour,

Il faut passer eScan comme indiqué.
Et donner des nouvelles.

devpat · Answer

Bonjour,

je voulais faire l'étape 4: Désinfection (voir poste n° 17) et voici ce que me donne
mwavscan.com 
----
Virus DataBase is older than 30-days! We recommend that you 
download the latest toolkit from http://www.mwti.com
---

Je suis allé sur http://www.mwti.com mais c'est payant, s'il ya un site qui propose eScan gratuit merci de me le donner.


Merci pour ton aide nardino

nardino · Answer

Bonsoir,

Tu charge la version d'évaluation en bas :
Download 30 days Trial software now
Il sera de toute façons désinstallé après scan et désinfection s'il y a lieu

nardino · Answer

Re, 
Tu as bien chargé à parir de ce lien :
http://www.spywareinfo.dk/download/mwav.exe

devpat · Answer

Bonjour,
je viens de retélécharger à partir de http://www.spywareinfo.dk/download/mwav.exe.
ps: je ne vois comment charger la version d'évaluation!!! 

Bref, tout commence mal, qd j'essaye de déziper mwav.exe il refuse de me créer le repertoire C:\Kasperky et je dois le deziper ailleur.
et qd je lance mwavscan.com je recois ceci:
"Internal Error!!! This could be because of incorrect system date setting. 
 If not, send log file to support@mwti.net"

Je viens de le telecharger à partir d'un autre pc et tout se passe bien sauf que là aussi qd j'essaye de lancer mwavscan.com je recois le même message comme sur le pc infecté:
"Virus DataBase is older than 30-days! We recommend that you download the latest toolkit from http://www.mwti.com"

Merci

nardino · Answer

Bonsoir.

Dans le panneau de configuration, Affichage classique, Compte d'utilisateur, tu cliques sur : Activer ou désactiver le contrôle des comptes d'utilisateurs.
Dans la fenêtre suivante tu décoches la case devant : Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger votre ordinateur et clique sur OK.
Il te sera demandé de redémarrer.
Puis tu recommences.

devpat · Answer

Bonjour,

je suis infecté par le virus "surabaya in my birthday" depuis 2 semaines.
Mon disque dur est partitionné, donc j'ai windows vista sur le C: et toutes mes fichiers sur le F:
Je me demande si le virus peut disparaitre si je réinstalle le windows sur C: après formattage.

Qd j'observe les propriétés de mes fichiers que ce soit sur le C: ou sur le F: ils ont tous la taille de 40 Ko, est-ce que cela veut dire le C: et le F: sont infectés?
 
Dites-moi si la réinstallation peut résoudre cette problème?


Merci

nardino · Answer

Bonjour.
Il n'est absolument pas garanti qu'une simple réinstallation va effacer l'infection.
Si tu veux passer par ce moyen , il faut passer Killdisk.
http://pagesperso-orange.fr/rue-du-montceau/tutoriels.html#Killdisk

Mais au préalable essaie avec DrWeb CureIt.
https://free.drweb.fr/?lng=fr
Il ne nécessite pas d'installation mais il faut le mettre à jour avant de lancer un scan complet après le scan rapide automatique.

Surabaya in my birthday

25 réponses

Discussions similaires

Newsletters