Sujet Précédent Sujet Suivant

Ouvertures de pages aléatoires & deconnexions

Résolu/Fermé
fruity' - 29 déc. 2009 à 00:03
fruity' Messages postés 5 Date d'inscription samedi 12 décembre 2009 Statut Membre Dernière intervention 3 janvier 2010 - 3 janv. 2010 à 20:12
Bonjour,

voila, depuis quelques temps, mon ordinateur se fait deconnecter super frequemment, sans que je comprenne pourquoi. Et depuis environ le même moment, j'ai des pages qui s'ouvrent de temps en temps, c'est assez rare (de l'ordre de 4 fois par jour, sachant que je suis en général toute la journée sur mon pc (qui est mon outil de travail)). Rien de bien louche (je veux dire par là qu'il ne s'agit pas de pages de poker, viagra ou filles faciles), c'est en général souvent en rapport avec google (soit la même typo/même code couleur, soit carrément le logo google quelque part dans la page).

J'ai donc fait des recherches dans ce sens, me disant que mes déconnexions pouvaient êtres liées à ça. Je suis tombé sur deux trois trucs qui me semblaient correspondre, notamment cette page :
https://www.commentcamarche.net/faq/5996-bloquer-les-fenetres-cid

J'ai suivi tout ce qu'on me disait, j'ai trouvé ceci :

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c

qui peut sembler louche, aussi parce que dans le tuto que j'ai suivi (cité plus haut), il est mentionné que les lignes commençant par 04 et qui renvoient à \documents and settings sont pas bon signes, et cette ligne(de google update) est la seule 04 renvoyant à documents and settings.

Le problème, c'est que quand je génère un rapport avec lopxp, il ne me suggère rien de louche (et donc je ne peux rien supprimer ^^).
Dans le même temps j'ai fait une analyse spybot, ccleaner, kaspersky en ligne, mais rien n'a été trouvé ='(

Je ne sais plus vraiment quoi faire, j'ai formaté le disque dur sur lequel j'ai installé mon systeme (partionné en deux, j'ai formaté les deux partitions de toute façon), mais toujours pareil.. Ou plus précisément, avant le formatage, c'était de pire en pire jusqu'à "plus de connexion du tout", là j'ai à nouveau pu me connecter genre deux jours, et ça recommence à merder, j'me dis que c'est plus qu'une question de temps avant de revenir au même point (à savoir, 0 connexion u_u' )
après c'est ptetre quelque chose que je rajoute moi même sans faire attention (bittorrent par exemple ? mais j'avais jamais eu ce pb avant, et j'utilisais pourtant bittorrent)
Je n'exclus malheureusement pas non plus la théorie du fournisseur d'accès branleur, j'ai essayé de naviguer sur la connexion de mon voisin, le pb est tjs présent, mais en meme temps il a le même FAI que moi..

Bref voila, si quelqu'un peut m'aider... déjà si mes soupçons sur cette ligne de hijackthis sont fondés, et le cas échéant, comment remédier au problème (une "simple" suppression ?)
Voila, merci beaucoup d'avance, en espérant que le sujet n'a pas déjà été abordé (sinan, ce serait super gentil de me rediriger, et je me débrouillerai, merci =)

18 réponses

Réponse 1 / 18
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 286
29 déc. 2009 à 00:08
Salut fruity'


On va vérifier cela, télécharge RSIT (de random/random) sur le bureau ici :
http://images.malwareremoval.com/random/RSIT.exe

- Double clique sur RSIT.exe qui est sur le bureau
- Clique sur Continue dans la fenêtre
- RSIT téléchargera HijackThis si il n’est pas présent où détecté, alors il faudra accepter la licence
- Poste le contenue des deux rapports, log.txt et info.txt(réduit dans la barre des tâches) à la fin de l’analyse

Les rapports sont dans le dossier ici C:\rsit


@++ :)
0
Réponse 2 / 18
fruity'
29 déc. 2009 à 10:18
alors alors, voila les deux rapports :

log :
Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrateur at 2009-12-29 10:10:29
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 38 GB (75%) free of 50 GB
Total RAM: 2046 MB (50% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:10:35, on 29/12/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20583)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Lexmark 3500-4500 Series\lxdimon.exe
C:\Program Files\Lexmark 3500-4500 Series\lxdiamon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\lxdicoms.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Winamp\winamp.exe
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Administrateur\Mes documents\Downloads\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Administrateur.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "%ProgramFiles%\DAEMON Tools\daemon.exe\" -lang 1033
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [lxdimon.exe] "C:\Program Files\Lexmark 3500-4500 Series\lxdimon.exe"
O4 - HKLM\..\Run: [lxdiamon] "C:\Program Files\Lexmark 3500-4500 Series\lxdiamon.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: lxdiCATSCustConnectService - Lexmark International, Inc. - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxdiserv.exe
O23 - Service: lxdi_device - - C:\WINDOWS\system32\lxdicoms.exe
0
Réponse 3 / 18
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 286
29 déc. 2009 à 12:41
Salut fruity'


-Télécharge et installe MalwareByte's Anti-Malware
http://www.malwarebytes.org/mbam/program/mbam-setup.exe

- Mets le à jour

---

- Redémarre en mode sans échec :

Au redémarrage de ton PC tapote sur la touche F8 ou F5, sur l'écran suivant déplace toi avec les flèches de direction et choisis Mode sans échec. Choisis ta session habituelle et non la session Administrateur

---

- Double clique sur le raccourci de MalwareByte's Anti-Malware qui est sur le bureau.
- Sélectionne Exécuter un examen complet si ce n'est pas déjà fait
- clique sur Rechercher

- Une fois le scan terminé, une fenêtre s'ouvre, clique sur sur OK

- Si MalwareByte's n'a rien détecté, clique sur OK Un rapport va apparaître ferme-le.

- Si MalwareByte's a détecté des infections, clique sur Afficher les résultats ensuite sur Supprimer la sélection

- Enregistre le rapport sur ton Bureau comme cela il sera plus facile à retrouver, poste ensuite ce rapport.

Note : Si MalwareByte's a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur OK

Tutoriel pour MalwareByte's ici :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/


@++ :)
0
Réponse 4 / 18
fruity
29 déc. 2009 à 15:22
bonjour bonjour,

alors, malwareByte m'a troivé plein de trucs infectés ! J'ai fait comme tu m'as dit, "supprimer la selection" (en ayant tout selectionné^^), il m'a effectivement demandé de redemarrer, ce que j'ai fait.
je poste aussi le rapport ici (et en attendant une réponse, jvais relancer une analyse malwareByte pour voir s'il me trouve toujours quelquechose !) :

Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3449
Windows 5.1.2600 Service Pack 2 (Safe Mode)
Internet Explorer 7.0.5730.11

29/12/2009 15:14:48
mbam-log-2009-12-29 (15-14-43).txt

Type de recherche: Examen complet (C:\|D:\|F:\|)
Eléments examinés: 230954
Temps écoulé: 16 minute(s), 52 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\RECYCLER\S-1-5-21-6819325744-1515759948-774697730-0586\nissan.exe (Worm.Autorun.B) -> No action taken.
C:\WINDOWS\explorer.backup (Heuristics.Reserved.Word.Exploit) -> No action taken.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 18
fruity
29 déc. 2009 à 15:56
petite précision, les deconnexions sont visiblement toujours là i__i
Mais comment il peut me rester des trucs néfastes même après un formatage ??
0
Réponse 6 / 18
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 286
29 déc. 2009 à 23:45
Salut fruity'


Citation :
Mais comment il peut me rester des trucs néfastes même après un formatage ??
Ne te pose pas trop de question, système et logiciels pas à jour et en plus avec un Windows surement allégé...
Ton infection ce propage via les exploits sur des sites Web piégé, plus d'information :
https://forum.malekal.com/viewtopic.php?t=3563&start=


On va creuser un peu plus, télécharge combofix.exe (de sUBs) sur le bureau :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Important Désactive ton Antivirus et antispyware avant le scan avec Combofix :
https://forum.pcastuces.com/default.asp


==> Sauvegarde ton travail et ferme toutes les fenêtres actives, il peut y avoir un redémarrage du PC. Ne lance aucun programme tant que Combofix n’est pas fini. <==

Double clique sur combofix.exe, clique sur OUI et valide par Entrée

Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Combofix est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure


@++ :)
0
Réponse 7 / 18
fruity
30 déc. 2009 à 01:00
bonsoir bonsoir,
pour commencer, merci encore pour le temps que tu me consacres !
et merci également pour le lien, j'y ai appris pas mal de choses que j'ignorais complètement (comme par exemple le fait de ne pas se balader sur le compte administrateur O_o ). Ce qui m'amène à une seconde question : est ce que d'après toi le navigateur google chrome est fiable ? j'avais entendu dire qu'il ne l'était pas avant les premières mises à jour, qu'en est il maintenant ?
Autre chose, si j'ai bien compris ta réponse, si je re-formate et que je ne vais voir que les sites que j'ai l'habitude de voir, il n'est techniquement pas possible qu'un logiciel malveillant "survive" au formatage ? Ca ne peut être que moi qui le re-importe ensuite ? (parce que j'ai une utilisation assez particulière d'internet, je vais souvent voir les mêmes sites, que je connais depuis longtemps !)

Ensuite, j'ai changé d'antivirus (je suis passé de avast à avira, qui m'a detecté deux trucs néfastes qu'avast n'avait jamais vu ), et j'ai donc lancé combofix, dont je colle le rapport un peu plus bas. Quoiqu'il en soit, je crois que je n'ai plus de fenetres intempestives qui s'ouvrent, mais toujours les problèmes d'internet qui se coupe tout seul.. ça peut venir de ma configuration ? (j'ai un modem, relié en rj45, et j'obtiens mon adresse ip automatiquement)



Voila pour le rapport, merci encore !

ComboFix 09-12-29.04 - Administrateur 30/12/2009 0:47.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.2046.1571 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur\Mes documents\Downloads\ComboFix.exe

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\recycler\S-1-5-21-0383618467-0779760698-273931757-0401
c:\recycler\S-1-5-21-2215499264-6695206221-293220803-6697
c:\recycler\S-1-5-21-5185724936-1917615922-292839086-3631
c:\recycler\S-1-5-21-5619602118-7834101077-769524153-9853
c:\recycler\S-1-5-21-6819325744-1515759948-774697730-0586
c:\recycler\S-1-5-21-8677359623-1680698763-597464546-0597
c:\recycler\S-1-5-21-8797071720-1294910780-215538891-3526
c:\recycler\S-1-5-21-9390103292-3110175860-103104491-4201
c:\recycler\S-1-5-21-9390908808-0626163979-236782610-7361
c:\windows\system32\vbrun100.dll

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-11-28 au 2009-12-29 ))))))))))))))))))))))))))))))))))))
.

2009-12-29 18:18 . 2009-12-29 23:45 -------- d-----w- c:\documents and settings\Administrateur\Application Data\WTablet
2009-12-29 18:18 . 2009-12-29 18:18 -------- d-----w- c:\program files\TabletPlugins
2009-12-29 18:18 . 2007-02-16 09:12 11312 ----a-w- c:\windows\system32\drivers\wacommousefilter.sys
2009-12-29 18:13 . 2009-05-20 10:54 13736 ----a-w- c:\windows\system32\drivers\wacomvhid.sys
2009-12-29 18:13 . 2009-12-29 18:13 -------- d-----w- c:\windows\system32\WTablet
2009-12-29 18:13 . 2009-08-27 14:06 16168 ----a-w- c:\windows\system32\drivers\wacmoumonitor.sys
2009-12-29 18:13 . 2009-11-24 10:25 4463400 ----a-w- c:\windows\system32\Wacom_Tablet.exe
2009-12-29 18:13 . 2009-11-24 10:25 412456 ----a-w- c:\windows\system32\Wacom_Tablet.dll
2009-12-29 18:13 . 2009-11-24 10:20 285184 ----a-w- c:\windows\system32\Wintab32.dll
2009-12-29 18:13 . 2009-12-29 18:18 -------- d-----w- c:\program files\Tablet
2009-12-29 15:22 . 2009-11-25 10:19 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-29 15:22 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-12-29 15:22 . 2009-02-13 10:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-12-29 15:22 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-12-29 15:22 . 2009-12-29 15:22 -------- d-----w- c:\program files\Avira
2009-12-29 15:22 . 2009-12-29 15:22 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2009-12-29 12:01 . 2009-12-29 12:01 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2009-12-29 12:01 . 2009-12-03 15:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-29 12:01 . 2009-12-29 12:01 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-12-29 12:01 . 2009-12-29 12:01 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-12-29 12:01 . 2009-12-03 15:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-29 09:10 . 2009-12-29 09:10 -------- d-----w- C:\rsit
2009-12-28 23:08 . 2009-06-30 08:37 28552 ----a-w- c:\windows\system32\drivers\pavboot.sys
2009-12-28 23:07 . 2009-12-28 23:07 -------- d-----w- c:\program files\Panda Security
2009-12-28 22:31 . 2009-12-28 22:31 -------- d-----w- c:\program files\CCleaner
2009-12-28 22:13 . 2009-12-29 10:51 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-12-28 22:13 . 2009-12-28 22:14 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-12-28 21:59 . 2009-12-28 21:59 -------- d-----w- c:\program files\Trend Micro
2009-12-28 21:58 . 2009-12-28 22:28 -------- d-----w- c:\program files\Lopxp
2009-12-28 21:57 . 2009-12-28 21:57 -------- d-----w- c:\windows\system32\LogFiles
2009-12-28 18:38 . 2009-12-28 18:38 -------- d-----w- c:\program files\Guitar Pro 5
2009-12-27 22:32 . 2009-12-27 22:32 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Apple Computer
2009-12-27 22:12 . 2006-11-29 12:06 3426072 ----a-w- c:\windows\system32\d3dx9_32.dll
2009-12-27 22:12 . 2006-09-28 15:05 2414360 ----a-w- c:\windows\system32\d3dx9_31.dll
2009-12-27 22:01 . 2009-12-27 22:01 -------- d-----w- c:\documents and settings\Administrateur\Application Data\MusicIP
2009-12-27 20:26 . 2009-12-27 20:26 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Lexmark Productivity Studio
2009-12-27 20:24 . 2009-12-27 20:26 -------- d-----w- c:\documents and settings\All Users\Lx_cats
2009-12-27 20:24 . 2004-08-03 22:01 25856 ----a-w- c:\windows\system32\drivers\usbprint.sys
2009-12-27 20:24 . 2004-08-03 22:08 31616 ----a-w- c:\windows\system32\drivers\usbccgp.sys
2009-12-27 20:23 . 2009-12-27 20:23 -------- d-----w- C:\logs
2009-12-27 20:23 . 2006-08-01 00:53 40960 ----a-w- c:\windows\system32\lxdivs.dll
2009-12-27 20:23 . 2007-03-30 09:13 344064 ----a-w- c:\windows\system32\lxdicoin.dll
2009-12-27 20:23 . 2007-03-15 22:08 113664 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\lxdidrpp.dll
2009-12-27 20:23 . 2004-08-03 21:58 15104 ----a-w- c:\windows\system32\drivers\usbscan.sys
2009-12-27 20:23 . 2001-08-23 16:47 87040 ----a-w- c:\windows\system32\wiafbdrv.dll
2009-12-27 20:23 . 2007-03-23 14:44 692224 ----a-w- c:\windows\system32\lxdidrs.dll
2009-12-27 20:23 . 2007-02-09 13:07 69632 ----a-w- c:\windows\system32\lxdicnv4.dll
2009-12-27 20:23 . 2007-01-23 18:40 65536 ----a-w- c:\windows\system32\lxdicaps.dll
2009-12-27 20:16 . 2009-12-27 20:16 -------- d-----w- C:\lexmark
2009-12-27 19:15 . 2009-12-27 19:15 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Ahead
2009-12-27 15:04 . 2009-12-27 15:04 -------- d-----w- c:\documents and settings\All Users\Application Data\Adobe Systems
2009-12-27 15:00 . 2009-12-27 19:21 -------- d-----w- c:\documents and settings\Administrateur\Application Data\BitTorrent
2009-12-27 15:00 . 2009-12-27 15:00 -------- d-----w- c:\program files\BitTorrent
2009-12-27 14:56 . 2009-12-29 23:06 -------- d-----w- c:\documents and settings\Administrateur\Application Data\skypePM
2009-12-27 14:56 . 2009-12-27 14:56 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2009-12-27 14:55 . 2009-12-29 23:42 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Skype
2009-12-27 14:55 . 2009-12-27 14:55 -------- d-----w- c:\program files\Fichiers communs\Skype
2009-12-27 14:55 . 2009-12-27 14:55 -------- d-----r- c:\program files\Skype
2009-12-27 14:55 . 2009-12-27 14:55 -------- d-----w- c:\documents and settings\All Users\Application Data\Skype
2009-12-27 14:45 . 2009-12-27 14:45 -------- d-----w- c:\program files\Fichiers communs\Adobe Systems Shared
2009-12-27 14:44 . 2009-12-27 14:44 -------- d-----w- c:\windows\system32\Adobe
2009-12-27 14:44 . 2004-08-17 01:40 16384 ----a-w- c:\windows\system32\FileOps.exe
2009-12-27 14:14 . 2009-12-27 14:14 -------- d-----w- c:\program files\Microsoft Games

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-29 00:41 . 2009-12-27 13:02 86331 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-12-28 21:51 . 2009-12-27 13:10 -------- d-----w- c:\documents and settings\All Users\Application Data\Lavasoft
2009-12-28 18:39 . 2009-12-27 13:22 45328 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-12-28 00:38 . 2009-12-27 13:15 -------- d-----w- c:\program files\Winamp
2009-12-27 20:23 . 2009-12-27 20:22 -------- d-----w- c:\program files\Lexmark 3500-4500 Series
2009-12-27 17:07 . 2009-12-27 13:08 -------- d-----w- c:\program files\Fichiers communs\Adobe
2009-12-27 14:43 . 2009-12-27 13:15 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Media Player Classic
2009-12-27 13:43 . 2009-12-27 13:43 -------- d-----w- c:\documents and settings\All Users\Application Data\ATI
2009-12-27 13:43 . 2009-12-27 13:43 -------- d-----w- c:\documents and settings\Administrateur\Application Data\ATI
2009-12-27 13:42 . 2009-12-27 13:42 0 ----a-w- c:\windows\ativpsrm.bin
2009-12-27 13:32 . 2009-12-27 13:27 -------- d-----w- c:\program files\ATI Technologies
2009-12-27 13:30 . 2009-12-27 13:30 -------- d-----w- c:\program files\Microsoft
2009-12-27 13:30 . 2009-12-27 13:30 -------- d-----w- c:\program files\Windows Live
2009-12-27 13:30 . 2009-12-27 13:30 -------- d-----w- c:\program files\Windows Live SkyDrive
2009-12-27 13:28 . 2009-12-27 13:27 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-12-27 13:28 . 2009-12-27 13:28 9158 ----a-r- c:\documents and settings\Administrateur\Application Data\Microsoft\Installer\{89DE67AD-08B8-4699-A55D-CA5C0AF82BF3}\ARPPRODUCTICON.exe
2009-12-27 13:28 . 2009-12-27 13:28 -------- d-----w- c:\program files\Fichiers communs\ATI Technologies
2009-12-27 13:28 . 2009-12-27 13:26 -------- d-----w- c:\program files\Fichiers communs\InstallShield
2009-12-27 13:27 . 2009-12-27 13:27 -------- d-----w- c:\program files\Fichiers communs\Windows Live
2009-12-27 13:25 . 2002-09-07 00:00 69756 ----a-w- c:\windows\system32\perfc00C.dat
2009-12-27 13:25 . 2002-09-07 00:00 455694 ----a-w- c:\windows\system32\perfh00C.dat
2009-12-27 13:22 . 2009-12-27 13:14 -------- d-----w- c:\program files\DAEMON Tools
2009-12-27 13:22 . 2009-12-27 13:16 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2009-12-27 13:19 . 2009-12-27 13:19 -------- d-----w- c:\program files\Microsoft Works
2009-12-27 13:18 . 2009-12-27 13:18 -------- d-----w- c:\program files\Microsoft.NET
2009-12-27 13:15 . 2009-12-27 13:15 -------- d-----w- c:\documents and settings\Administrateur\Application Data\FlashFXP
2009-12-27 13:15 . 2009-12-27 13:15 -------- d-----w- c:\program files\FlashFXP
2009-12-27 13:15 . 2009-12-27 13:15 -------- d-----w- c:\program files\Media Player Classic
2009-12-27 13:15 . 2009-12-27 13:15 -------- d-----w- c:\program files\My Company Name
2009-12-27 13:15 . 2009-12-27 13:15 -------- d-----w- c:\program files\Combined Community Codec Pack
2009-12-27 13:15 . 2009-12-27 13:15 -------- d-----w- c:\program files\Real Alternative
2009-12-27 13:14 . 2009-12-27 13:14 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple Computer
2009-12-27 13:14 . 2009-12-27 13:14 -------- d-----w- c:\program files\QuickTime Alternative
2009-12-27 13:14 . 2009-12-27 13:14 -------- d-----w- c:\program files\Kristanix
2009-12-27 13:13 . 2009-12-27 13:13 -------- d-----w- c:\program files\Unlocker
2009-12-27 13:13 . 2009-12-27 13:13 -------- d-----w- c:\program files\Java
2009-12-27 13:13 . 2009-12-27 13:13 -------- d-----w- c:\program files\Fichiers communs\Java
2009-12-27 13:10 . 2009-12-27 13:10 -------- d-----w- c:\program files\Alwil Software
2009-12-27 13:10 . 2009-12-27 13:10 -------- d-----w- c:\program files\Lavasoft
2009-12-27 13:09 . 2009-12-27 13:09 -------- d-----w- c:\program files\Nero
2009-12-27 13:09 . 2009-12-27 13:09 -------- d-----w- c:\program files\Fichiers communs\Ahead
2009-12-27 13:09 . 2009-12-27 13:09 -------- d-----w- c:\documents and settings\All Users\Application Data\Nero
2009-12-27 13:04 . 2009-12-27 13:04 685816 ----a-w- c:\windows\system32\drivers\sptd.sys
2009-12-27 13:03 . 2009-12-27 13:03 -------- d-----w- c:\program files\MSXML 4.0
2009-12-27 13:02 . 2009-12-27 13:02 -------- d-----w- c:\program files\Services en ligne
2009-12-27 13:00 . 2009-12-27 13:00 21892 ----a-w- c:\windows\system32\emptyregdb.dat
2009-12-27 13:00 . 2009-12-27 13:00 -------- d-----w- c:\program files\Desktop
2009-12-27 13:00 . 2009-12-27 13:00 -------- d-----w- c:\program files\Windows Media Connect 2
2009-12-29 10:52 . 2009-12-27 13:09 67688 ----a-w- c:\program files\mozilla firefox\components\jar50.dll
2009-12-29 10:52 . 2009-12-27 13:09 54368 ----a-w- c:\program files\mozilla firefox\components\jsd3250.dll
2009-12-29 10:52 . 2009-12-27 13:09 34944 ----a-w- c:\program files\mozilla firefox\components\myspell.dll
2009-12-29 10:52 . 2009-12-27 13:09 46712 ----a-w- c:\program files\mozilla firefox\components\spellchk.dll
2009-12-29 10:52 . 2009-12-27 13:09 172136 ----a-w- c:\program files\mozilla firefox\components\xpinstal.dll
.

------- Sigcheck -------

[-] 2007-06-26 . C7BE59B07C6EB74BEA6FD67C1B164015 . 360576 . . [5.1.2600.2892] . . c:\windows\system32\drivers\tcpip.sys

[-] 2007-06-14 . C7BCEA1533BE5C9E15884D6C39B667F1 . 80216 . . [7.0.6000.374] . . c:\windows\icon_TMP\wuauclt.exe
[-] 2007-06-14 . C7BCEA1533BE5C9E15884D6C39B667F1 . 80216 . . [7.0.6000.374] . . c:\windows\system32\wuauclt.exe
[7] 2007-06-14 . 3A83A45E7DD5276315AA20245E7C32BF . 53080 . . [7.0.6000.374] . . c:\windows\system_backup\wuauclt.exe

[-] 2004-08-04 . E28D16A8D63ECA6246921FDF7CBDE42A . 1227264 . . [6.00.2900.2180] . . c:\windows\explorer.exe
[-] 2004-08-04 . E28D16A8D63ECA6246921FDF7CBDE42A . 1227264 . . [6.00.2900.2180] . . c:\windows\icon_TMP\explorer.exe
[7] 2004-08-04 . 4C33E5B9A6197B6ED215F6CFBA0A2DAA . 1036288 . . [6.00.2900.2180] . . c:\windows\system_backup\explorer.exe


c:\windows\System32\wscntfy.exe ... manque !!
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools"="c:\program files\DAEMON Tools\daemon.exe" [2007-04-03 165784]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-10-09 25623336]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 577536]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 40048]
"UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [2006-09-07 15872]
"DAEMON Tools"="c:\program files\DAEMON Tools\daemon.exe" [2007-04-03 165784]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-01 61440]
"lxdimon.exe"="c:\program files\Lexmark 3500-4500 Series\lxdimon.exe" [2007-07-16 434864]
"lxdiamon"="c:\program files\Lexmark 3500-4500 Series\lxdiamon.exe" [2007-07-16 25264]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"nltide_3"="advpack.dll" [2007-06-26 124928]

c:\documents and settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"StartMenuLogoff"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
2009-12-27 13:58 135664 ----atw- c:\documents and settings\Administrateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\FlashFXP\\FlashFXP.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\BitTorrent\\bittorrent.exe"=
"c:\\WINDOWS\\system32\\lxdicoms.exe"=
"c:\\Program Files\\Lexmark 3500-4500 Series\\lxdiamon.exe"=
"c:\\Program Files\\Lexmark 3500-4500 Series\\App4R.exe"=
"c:\\Program Files\\Lexmark 3500-4500 Series\\lxdimon.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdipswx.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxditime.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdijswx.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [29/12/2009 00:08 28552]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [29/12/2009 16:22 108289]
R2 lxdi_device;lxdi_device;c:\windows\system32\lxdicoms.exe -service --> c:\windows\system32\lxdicoms.exe -service [?]
R2 TabletServiceWacom;TabletServiceWacom;c:\windows\system32\Wacom_Tablet.exe [29/12/2009 19:13 4463400]
R3 wacmoumonitor;Wacom Mode Helper;c:\windows\system32\drivers\wacmoumonitor.sys [29/12/2009 19:13 16168]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [27/12/2009 14:04 685816]
S2 lxdiCATSCustConnectService;lxdiCATSCustConnectService;c:\windows\system32\spool\drivers\w32x86\3\lxdiserv.exe [27/12/2009 21:23 99248]
.
Contenu du dossier 'Tâches planifiées'

2009-12-28 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1659004503-1844823847-839522115-500Core.job
- c:\documents and settings\Administrateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-12-27 13:58]

2009-12-29 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1659004503-1844823847-839522115-500UA.job
- c:\documents and settings\Administrateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-12-27 13:58]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll
.

**************************************************************************
Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés:

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(700)
c:\windows\system32\Ati2evxx.dll
.
Heure de fin: 2009-12-30 00:51:02
ComboFix-quarantined-files.txt 2009-12-29 23:50

Avant-CF: 38 478 401 536 octets libres
Après-CF: 38 485 946 368 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

- - End Of File - - 63E8C0200CDA001F11BF3CC59474885F
0
Réponse 8 / 18
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 286
30 déc. 2009 à 01:15
Salut fruity


Pour toute tes questions on va voir en fin de désinfection


Télécharge et installe UsbFix par Chiquitine29
http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir.

• Double clic sur le raccourci UsbFix présent sur ton bureau .

• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

• Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]

• Laisse travailler l'outil.

• Ensuite poste le rapport UsbFix.txt qui apparaitra.

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note2 : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


• Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html


@++ :)
0
Réponse 9 / 18
fruity
30 déc. 2009 à 11:21
voila voila !
donc le périphérique externe que j'ai, c'est un disque dur (L:)
J'avais remarqué ce "SLATKO" dessus (cf plus bas), en fichier système/fichier caché, mais dans le doute j'avais formaté, et à peine après avoir rebranché mon disque, il était encore là, alors je me suis dit que c'était un vraiment un truc système que je n'avais pas vu avant (malgré ce nom louche..)



############################## | UsbFix V6.068 |

User : Administrateur (Administrateurs) # SWEET-B7F22934F
Update on 28/12/2009 by El Desaparecido , C_XX & Chimay8
Start at: 11:12:47 | 30/12/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Athlon(tm) 64 X2 Dual Core Processor 3800+
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 7.0.5730.11
Windows Firewall Status : Disabled

C:\ -> Disque fixe local # 48,83 Go (35,78 Go free) # NTFS
D:\ -> Disque fixe local # 232,88 Go (103,79 Go free) [flash gordon] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque fixe local # 184,05 Go (25,39 Go free) # NTFS
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque amovible
K:\ -> Disque CD-ROM # 466,78 Mo (0 Mo free) [AOMX] # CDFS
L:\ -> Disque fixe local # 149,05 Go (58,76 Go free) [EXTERNE] # NTFS

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 660
C:\WINDOWS\system32\csrss.exe 712
C:\WINDOWS\system32\winlogon.exe 756
C:\WINDOWS\system32\services.exe 800
C:\WINDOWS\system32\lsass.exe 812
C:\WINDOWS\system32\Ati2evxx.exe 988
C:\WINDOWS\system32\svchost.exe 1004
C:\WINDOWS\system32\svchost.exe 1068
C:\WINDOWS\System32\svchost.exe 1176
C:\WINDOWS\system32\svchost.exe 1288
C:\WINDOWS\system32\svchost.exe 1376
C:\WINDOWS\system32\spoolsv.exe 1596
C:\Program Files\Avira\AntiVir Desktop\sched.exe 1648
C:\Program Files\Avira\AntiVir Desktop\avguard.exe 2016
C:\WINDOWS\system32\lxdicoms.exe 2184
C:\WINDOWS\system32\svchost.exe 2292
C:\WINDOWS\system32\Wacom_Tablet.exe 2360
C:\WINDOWS\System32\alg.exe 3560
C:\WINDOWS\system32\Ati2evxx.exe 1636
C:\WINDOWS\Explorer.EXE 3160
C:\WINDOWS\SOUNDMAN.EXE 2168
C:\Program Files\Unlocker\UnlockerAssistant.exe 2180
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe 2936
C:\Program Files\Lexmark 3500-4500 Series\lxdimon.exe 1752
C:\Program Files\Lexmark 3500-4500 Series\lxdiamon.exe 2960
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe 2944
C:\Program Files\DAEMON Tools\daemon.exe 3272
C:\Program Files\Skype\Phone\Skype.exe 1868
C:\WINDOWS\system32\ctfmon.exe 3456
C:\WINDOWS\system32\WTablet\Wacom_TabletUser.exe 3476
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe 3804
C:\WINDOWS\system32\Wacom_Tablet.exe 2444
C:\Program Files\Skype\Plugin Manager\skypePM.exe 3672
C:\WINDOWS\system32\wbem\wmiapsrv.exe 248
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\Application\chrome.exe 1456
C:\Program Files\Windows Live\Messenger\msnmsgr.exe 3592
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\Application\chrome.exe 3748
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\Application\chrome.exe 240
C:\Program Files\Windows Live\Contacts\wlcomm.exe 1612
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\Application\chrome.exe 400
C:\WINDOWS\system32\wbem\wmiprvse.exe 3596

################## | Elements infectieux |

C:\Recycler\S-1-5-21-8780539428-4305313400-240472593-5526\nissan.exe
C:\Recycler\S-1-5-21-8780539428-4305313400-240472593-5526\Desktop.ini
C:\Recycler\S-1-5-21-8780539428-4305313400-240472593-5526
K:\autorun.inf
L:\autorun.inf
L:\SLATKO\torta.exe
L:\SLATKO

################## | Registre |

[HKLM\software\microsoft\windows nt\currentversion\winlogon] "Taskman"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoResolveSearch"

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{534e2e49-f2eb-11de-a03c-806d6172696f}
Shell\AutoRun\command =L:\SLATKO/torta.exe
Shell\explore\command =L:\SLATKO/torta.exe
Shell\open\command =L:\SLATKO/torta.exe

################## | Cracks > Keygens > Serials |

"L:\vince\executables\Extensis Suitcase for Windows v11.0.1\keygen.exe"
28/05/2007 23:29 |Size 45056 |Crc32 13d4bf95 |Md5 e4d9f10b45839c7577ac33f9002dfa12

"L:\vince\executables\Illustrator CS2\Crack Illustrator CS2 Francais\keygen.exe"
02/03/2008 17:09 |Size 59904 |Crc32 5a18eced |Md5 b824c5d7bea0d803440c19744c6543ef

"L:\vince\executables\Maya2009\Crack\awkeygen.exe"
11/09/2007 12:26 |Size 241664 |Crc32 7e287b8c |Md5 a225b0dedcd535769b9f6586de4c3caf

"L:\vince\executables\Photoshop CS2\Crack\Keygen\keygen.exe"
30/10/2007 18:54 |Size 190976 |Crc32 b2bfa27c |Md5 29d2c757af7ba64a25723237fc369bff



################## | ! Fin du rapport # UsbFix V6.068 ! |
0
Réponse 10 / 18
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 286
30 déc. 2009 à 12:54
Salut fruity


(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, caméra, Carte SD, etc...) susceptible d avoir été infectés sans les ouvrir

• Double clic sur le raccourci UsbFix présent sur ton bureau

• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

• Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]

• Ton bureau disparaîtra et le pc redémarrera.

• Au redémarrage, UsbFix scannera ton PC, laisse travailler l'outil.

• Ensuite poste le rapport UsbFix.txt qui apparaîtra avec le bureau.

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )


@++ :)
0
Réponse 11 / 18
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 286
2 janv. 2010 à 17:01
Salut fruity


Essai de nouveau de posté le rapport ici.


@++ :)
0
Réponse 12 / 18
fruity' Messages postés 5 Date d'inscription samedi 12 décembre 2009 Statut Membre Dernière intervention 3 janvier 2010
2 janv. 2010 à 17:58
bon je tente de poster pour la n-ième fois ce saleté de message, en utilisant firefox cette fois u_u'

=========================
ah... etrange, j'étais persuadé d'avoir posté le rapport après suppression O_o
bon, on dirait que non !
Du coup, j'ai relancé une suppression (le doc "ubsfix.txt" n'était plus là). Comme je disais, slakto n'est plus là on dirait, donc cool! par contre apparemment certains éléments de mon cd (qui était resté dans le lecteur) sont infectés, ça m'intrigue d'autant plus qu'il s'agit du jeu Age of mythology, pas gravé ni quoique ce soit Oo

Bref, voila le rapport :


############################## | UsbFix V6.068 |

User : Administrateur (Administrateurs) # SWEET-B7F22934F
Update on 28/12/2009 by El Desaparecido , C_XX & Chimay8
Start at: 16:49:45 | 30/12/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Athlon(tm) 64 X2 Dual Core Processor 3800+
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 7.0.5730.11
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 48,83 Go (35,86 Go free) # NTFS
D:\ -> Disque fixe local # 232,88 Go (103,72 Go free) [flash gordon] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque fixe local # 184,05 Go (27,92 Go free) # NTFS
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque amovible
K:\ -> Disque CD-ROM # 466,78 Mo (0 Mo free) [AOMX] # CDFS
L:\ -> Disque fixe local # 149,05 Go (58,77 Go free) [EXTERNE] # NTFS

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 680
C:\WINDOWS\system32\csrss.exe 732
C:\WINDOWS\system32\winlogon.exe 768
C:\WINDOWS\system32\services.exe 812
C:\WINDOWS\system32\lsass.exe 824
C:\WINDOWS\system32\Ati2evxx.exe 1012
C:\WINDOWS\system32\svchost.exe 1032
C:\WINDOWS\system32\svchost.exe 1080
C:\WINDOWS\System32\svchost.exe 1184
C:\WINDOWS\system32\svchost.exe 1252
C:\WINDOWS\system32\svchost.exe 1388
C:\WINDOWS\system32\Ati2evxx.exe 1444
C:\WINDOWS\system32\spoolsv.exe 1608
C:\Program Files\Avira\AntiVir Desktop\sched.exe 1656
C:\WINDOWS\Explorer.EXE 1948
C:\Program Files\Avira\AntiVir Desktop\avguard.exe 508
C:\WINDOWS\system32\lxdicoms.exe 660
C:\WINDOWS\system32\svchost.exe 1140
C:\WINDOWS\system32\Wacom_Tablet.exe 1204
C:\WINDOWS\system32\WTablet\Wacom_TabletUser.exe 1380
C:\WINDOWS\system32\Wacom_Tablet.exe 1420
C:\WINDOWS\System32\alg.exe 2028
C:\WINDOWS\system32\wbem\wmiprvse.exe 192

################## | Elements infectieux |

Supprimé ! C:\Recycler\S-1-5-21-1659004503-1844823847-839522115-500
Supprimé ! D:\Recycler\S-1-5-21-1659004503-1844823847-839522115-500
Supprimé ! F:\Recycler\S-1-5-21-1659004503-1844823847-839522115-500
K:\autorun.inf -> fichier appelé : "K:\install.exe" ( Présent ! )
Non supprimé ! K:\install.exe
Non supprimé ! K:\autorun.inf
Supprimé ! L:\Recycler\S-1-5-21-1659004503-1844823847-839522115-500

################## | Registre |


################## | Mountpoints2 |


################## | Listing des fichiers présent |

[27/12/2009 14:03|--a------|0] C:\AUTOEXEC.BAT
[27/12/2009 13:58|---hs----|212] C:\boot.ini
[07/09/2002 01:00|-rahs----|4952] C:\Bootfont.bin
[30/12/2009 00:51|--a------|19269] C:\ComboFix.txt
[27/12/2009 14:03|--a------|0] C:\CONFIG.SYS
[27/12/2009 14:03|-rahs----|0] C:\IO.SYS
[27/12/2009 14:03|-rahs----|0] C:\MSDOS.SYS
[04/08/2004 03:38|-rahs----|47564] C:\NTDETECT.COM
[04/08/2004 03:59|-rahs----|251712] C:\ntldr
[?|?|?] C:\pagefile.sys
[30/12/2009 16:54|--a------|2972] C:\UsbFix.txt
[27/12/2009 14:22|--a------|11274] C:\WPI_Log.txt
[09/10/2009 15:43|--a------|733739008] F:\Boy A 2009 TRUEFRENCH SUBFORCED DVDRiP XViD.RLD.MZISYS.avi
[27/10/2008 12:24|--a------|729575424] F:\Clercks.2.FRENCH.DVDRiP.XviD-CLERCKS2-AceBot.[emule-island.com].avi
[27/10/2008 06:56|--a------|718223360] F:\Jay.et.Bob.contre-attaquent.(Fr.DvdRip).by.Couchoux.[emule-island.com].avi
[26/12/2009 01:54|--a------|734054400] F:\LA HAUT AVI.avi
[26/03/2009 00:49|--a------|734147932] F:\La.Vie.Aquatique.French.DVDrip.-Repack-1cd.Ticket.Ftt.[emule-forever.com].avi
[30/11/2009 15:14|--a------|733624320] F:\Lascars.FRENCH.DVDRip.XviD-UNSKiLLED.avi
[16/12/2005 10:37|--a------|730583040] F:\The Jacket.avi
[10/03/2009 00:44|--ahs----|6656] F:\Thumbs.db
[03/11/2009 22:13|--a------|728590336] F:\Une Vie Moins Ordinaire_by_jane2lajungle.avi
[27/11/2009 21:09|--a------|28246882] F:\Vincent.avi
[12/05/2008 13:13|--a------|359280000] F:\Vincent.dv
[16/09/2003 18:23|-r-------|122] K:\00000000.016
[16/09/2003 18:23|-r-------|1082] K:\00000000.256
[16/09/2003 18:23|-r-------|2048] K:\00000001.TMP
[10/07/2003 18:37|-r-------|2238] K:\AOMX.ICO
[28/08/2003 13:14|-r-------|117] K:\AUTORUN.INF
[19/05/2003 14:27|-r-------|17462] K:\CLUFX.RTF
[16/09/2003 18:23|-r-------|40960] K:\DRVMGT.DLL
[12/09/2003 08:51|-r-------|73779] K:\EBUEULAX.DLL
[19/05/2003 14:27|-r-------|17462] K:\EULAX.RTF
[16/09/2003 16:49|-r-------|860229] K:\INSTALL.EXE
[10/09/2003 17:09|-r-------|150593] K:\LISEZMX.RTF
[13/08/2002 22:47|-r-------|39424] K:\PIDGENX.DLL
[16/09/2003 18:23|-r-------|11376] K:\SECDRV.SYS
[16/09/2003 16:49|-r-------|1269760] K:\STPENUX.DLL
[07/10/2002 19:51|-r-------|10723] K:\WARRANTX.RTF
[27/12/2009 12:39|--a------|18701] L:\bookmarks.html
[02/12/2009 00:59|--a------|2368691] L:\just.ai
[26/12/2009 01:39|--a------|348] L:\liste sup.txt
[26/12/2009 14:42|--a------|752] L:\Nouveau Document texte.txt

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.
# D:\autorun.inf -> Dossier créé par UsbFix.
# F:\autorun.inf -> Dossier créé par UsbFix.
# L:\autorun.inf -> Dossier créé par UsbFix.

################## | Crack > Keygen > Serial |

"L:\vince\executables\Extensis Suitcase for Windows v11.0.1\keygen.exe"
28/05/2007 23:29 |Size 45056 |Crc32 13d4bf95 |Md5 e4d9f10b45839c7577ac33f9002dfa12

"L:\vince\executables\Illustrator CS2\Crack Illustrator CS2 Francais\keygen.exe"
02/03/2008 17:09 |Size 59904 |Crc32 DENIED |Md5 DENIED

"L:\vince\executables\Maya2009\Crack\awkeygen.exe"
11/09/2007 12:26 |Size 241664 |Crc32 7e287b8c |Md5 a225b0dedcd535769b9f6586de4c3caf

"L:\vince\executables\Photoshop CS2\Crack\Keygen\keygen.exe"
30/10/2007 18:54 |Size 190976 |Crc32 DENIED |Md5 DENIED

"L:\vince\executables\Quick Time Pro 7.0.3.25 multilingual + serial by Ciiooo\QuickTimeInstaller.exe"
27/10/2005 08:40 |Size 20221720 |Crc32 0bad6fff |Md5 cc7b6886a81837e3cc23d6c56e3a4784

"L:\vince\executables\Guitar Pro 5 + Serial.zip"
-> Contain : GP5\GP5FULLBK-1.exe


################## | Upload |

Veuillez envoyer le fichier : C:\DOCUME~1\ADMINI~1\Bureau\UsbFix_Upload_Me_SWEET-B7F22934F.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .

=========================
0
Réponse 13 / 18
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 286
2 janv. 2010 à 19:05
Salut fruity'


Télécharge SystemLook sur ton Bureau :
http://jpshortstuff.247fixes.com/SystemLook.exe

- Double-clique sur SystemLook.exe pour le lancer.

- Copie le contenu en gras ci-dessous et colle-le dans la zone texte de SystemLook :

:filefind
wscntfy.exe

- Clique sur le bouton Look pour démarrer l'examen.
- A la fin, le Bloc-notes s'ouvre avec le résultat de l'analyse. Copie-colle le rapport dans ta prochaine réponse.


@++ :)
0
Réponse 14 / 18
fruity' Messages postés 5 Date d'inscription samedi 12 décembre 2009 Statut Membre Dernière intervention 3 janvier 2010
3 janv. 2010 à 01:28
salut !

voila le rapport :
SystemLook v1.0 by jpshortstuff (29.08.09)
Log created at 01:26 on 03/01/2010 by Administrateur (Administrator - Elevation successful)

========== filefind ==========

Searching for "wscntfy.exe "
No files found.

-=End Of File=-


C'est quoi exctement ce fichier qui manque ? il sert à quoi ? et systemlook c'est une sorte de moteur de recherche mais en mieux ? super =)
0
Réponse 15 / 18
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 286
3 janv. 2010 à 17:04
Salut fruity'


Télécharge WinFileReplace (de Loup_blanc) sur le bureau :
http://fradesch.perso.cegetel.net/transf/WinFileReplace.exe


Ferme tous les programmes, double clique sur l'icône WinFileReplace sur le bureau

Choisir la langue
Le programme va travailler, après le bloc note va ouvrir, entre le nom du fichier a remplacer :

c:\windows\System32\wscntfy.exe

Ferme le bloc note et enregistrer le changement.

Le service pack correspondant à votre système va être alors téléchargé.
Ceci peut prendre plusieurs minutes selon la vitesse de connexion (le % d'avancement du téléchargement apparaît en haut de la fenêtre).

Vous devez ensuite accepter le contrat d'utilisateur de Microsoft en cliquant sur le bouton J'accepte

Vous devez confirmer la restauration du fichier en appuyant sur la touche o et Entrée

Une fois le remplacement effectué, il vous est demandé de redémarrer l'ordinateur, appuyez sur la touche o puis Entrée pour redémarrer l'ordinateur.


Poste le rapport obtenu dans ton prochain poste


@++ :)
0
Réponse 16 / 18
fruity' Messages postés 5 Date d'inscription samedi 12 décembre 2009 Statut Membre Dernière intervention 3 janvier 2010
3 janv. 2010 à 17:46
hmmm .. jsais pas trop si je peux faire ça.. mais au pire ça fait quoi si je ne l'ai pas, ce fichier ? moi ça me gêne encore pas trop, au quotidien ^_^ et au pire je peux pas reformater plutot que de faire ça ?
0
Réponse 17 / 18
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 286
3 janv. 2010 à 18:13
Salut fruity'


Ce fichier est lié au centre de sécurité de Windows, un formatage va réglé ton souci c'est sur.


@++ :)
0
Réponse 18 / 18
fruity' Messages postés 5 Date d'inscription samedi 12 décembre 2009 Statut Membre Dernière intervention 3 janvier 2010
3 janv. 2010 à 20:12
ok parfait, alors je formate mon disque et hop, ce sera bon !!
merci beaucoup pour ton aide ! Je conserve précieusement les utilitaires et tutos que tu m'as fait connaitre !
0

Discussions similaires

[PIX] Commencer chaque poème sur une nouvelle page
ETHAN -
Willzac -

19 réponses
lire un fichier.page sur word
crycry_78 -
Yves -

25 réponses
comment numéroter les page ( pour 30 pages)
Mxlle-Den -
Raymond PENTIER -

3 réponses
Ajuster tableau a la taille d'une feuille A4
keke10501 -
fffff -

9 réponses
À combien de pages équivaut 25 000 caractères ?
-Romane- -
kergad -

16 réponses