Monnid32.exe ???? [Résolu/Fermé]

Signaler
Messages postés
93
Date d'inscription
lundi 24 novembre 2008
Statut
Membre
Dernière intervention
26 juillet 2019
-
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
-
Bonjour,

Alors que je faisais un tour de routine sur msconfig onglet démarrage, je vois qu'un petit nouveau c'est incrusté... un certain monnid32.exe.

Son chemin d'accès est relativement simple il se trouve dans C:\documents&settings\nom de la session admin\Menudémarrer\Programmes\démarrage\monnid32.exe

Il ya un mois de cela le bougre n'y étais pas. J'ai fait quelque recherches sur ce que ça pourrait être... mais rien à se mettre sous la dent... au pire ça ne pouvait pas ètre super important.

Je m'essaye donc à le supprimer directement à la source: le fichier ne se trouve pas au chemin indiqué..; y compris quand j'active les fichiers cachés.... j'essaye ccleaner via outils démarrage... non plus...
Je me dis bon ba je vais au moins le désactiver via msconfig... je rallume l'ordi... il est de nouveau actif...

je vais voir dans mes processus en cours ds le gestionnaire de tache... rien qui puisse s'apparenter à ce truc.

je fais une batterie d'analyse: malwarebyte's, ad aware, spybot, ... rien de détecté...

je me dis bon ba va pour un HijackThis en bonne et due forme... là je le trouve... je me dis que je vais pouvoir lui faire sa fête... et ba non toujours pas.

Voici le rapport au cas où vous me le demandiez:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:48:07, on 19/02/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\AntivirusFirewall\Common\FSM32.EXE
C:\Program Files\AntivirusFirewall\Anti-Virus\fsgk32st.exe
C:\Program Files\AntivirusFirewall\Common\FSMA32.EXE
C:\Program Files\AntivirusFirewall\Anti-Virus\FSGK32.EXE
C:\Program Files\AntivirusFirewall\Common\FSMB32.EXE
C:\Program Files\AntivirusFirewall\Common\FCH32.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\AntivirusFirewall\Common\FAMEH32.EXE
C:\Program Files\AntivirusFirewall\Anti-Virus\fsqh.exe
C:\Program Files\AntivirusFirewall\FSGUI\fsguidll.exe
C:\PROGRA~1\INTERN~1\INTERN~1.EXE
C:\WINDOWS\TEMP\~TMC.tmp
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\AntivirusFirewall\FSAUA\program\fsaua.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fssm32.exe
C:\Program Files\AntivirusFirewall\ORSP Client\fsorsp.exe
C:\Program Files\AntivirusFirewall\FWES\Program\fsdfwd.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AntivirusFirewall\FSAUA\program\fsus.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fsav32.exe
C:\WINDOWS\system32\msiexec.exe
C:\Documents and Settings\gran kief\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\gran kief\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\gran kief\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.01net.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer fourni par IE 8 FOURNI PAR 01NET.COM
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Documents and Settings\gran kief\Mes documents\Dossiers d'utilisation annexe\Programmes nécessaires\ActiveX\AcroIEHelper.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\AntivirusFirewall\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\AntivirusFirewall\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [OE] C:\Program Files\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: monnid32.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: monnid32.exe (User 'Default user')
O4 - Startup: monnid32.exe
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - https://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-BE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - https://www.touslesdrivers.com/index.php?v_page=29
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - http://game01.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C3BD41D0-837A-4071-A827-75F73FCE1017}: NameServer = 192.168.1.1
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\FWES\Program\fsdfwd.exe
O23 - Service: FSMA - F-Secure Corporation - C:\Program Files\AntivirusFirewall\Common\FSMA32.EXE
O23 - Service: F-Secure ORSP Client (FSORSPClient) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\ORSP Client\fsorsp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PsShutdown (PsShutdownSvc) - Systems Internals - C:\WINDOWS\System32\PSSDNSVC.EXE
O24 - Desktop Component 0: (no name) - http://www.islandofrhodes.org/downloads/pegasus1920.jpg
O24 - Desktop Component 1: (no name) - file:///C:/DOCUME~1/GRANKI~1/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg

29 réponses

Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
454
hello,


sent pas bon ton truc ! .... ^^'



ton Windows est légitime ? .....



fait ceci pour avoir un diagnostique plus précis de la situation :



1- Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


!! déconnecte toi et ferme toutes tes applications en cours !!

> double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ) .

> Lance ZHPDiag depuis le raccourci du bureau .

> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite .
( celui avec le tournevis )

Une liste apparait dans l'encadré principal > vérifie que toutes les lignes soient bien cochées sauf les 045 et 061 ( important ! ) .

> Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .


Laisses travailler l'outil ...


> Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

( Sinon le rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag )

Puis ferme le programme ...


> rends toi ensuite sur ce site : http://www.cijoint.fr/

Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....


======================


2- Lance de nouveau ZHPDiag,

!! déconnecte toi et ferme toutes tes applications en cours !!

* Tu vas faire une " analyse détaillée/MD5 " en procédant ainsi :

> tu cliques cette fois ci sur le bouton " dossier+loupe " ( en haut à droite ) pour lancer le scan.


Laisse travailler l'outil et ne touche à rien ( cela peut-être relativement long ) .


* Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

Enregistre le de façon à le retrouver facilement ( sur le bureau par exemple ).

* Fais moi parvenir ce rapport via " Cijoint " dans ta prochaine réponse pour analyse ...



jinfuushen
Messages postés
93
Date d'inscription
lundi 24 novembre 2008
Statut
Membre
Dernière intervention
26 juillet 2019

Tout d'abord merci de prendre le temps de m'aider :)

Oui oui mon windows est tout ce qu'il y a de plus réglo, certes il commence à se faire vieux, mais il est d'origine et tout à fait en règle :)

Voici ce que j'ai obtenu:


Le premier rapport (j'ai recommencé deux fois et les deux fois, à la fin une fenêtre m'a dit qu'il était impossible d'ouvrir C:... ZHPdiag):

http://www.cijoint.fr/cjlink.php?file=cj201002/cijELSPk9W.txt


Le second rapport:

http://www.cijoint.fr/cjlink.php?file=cj201002/cij4SFa9LK.txt
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
454
re,



y a du boulot ....


/!\ Pour le bon déroulement de la désinfection :
* Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
* N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
* Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
* Si tu as un quelconque problème n'hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).


======================
======================
======================


1- Infecté par Navipromo .

-------------------------------------

Pour info,
Les programmes suivants installent cette infection :
- Funky Emoticons
- Games-Attack
- Original-Solitaire
- Go-Astro
- GoRecord
- HotTVPlayer
- Live-Player
- MailSkinner
- Messenger Skinner
- Instant Access
- InternetGameBox
- Sudoplanet
- WebMediaPlayer : sauf celui provenant du site suivant > http://www.azertysite.new.fr/

---------------------------------------

Télécharge Navilog1 sur ton bureau :

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe !!

Ensuite double clique sur navilog1.exe pour lancer l'outil .

Laisse-toi guider. Au menu principal, choisis 1 et valide .
(ne fais pas le choix 2 notre avis/accord) .

Patiente le temps du scan ...

> Si l'infection est bien détecté , il te sera peut-être demandé de redémarrer ton PC ( pour que l'outil puisse finir le nettoyage ) :
laisse l'outil le faire automatiquement . Si il ne redémarre pas de lui-même, redémarre ton PC manuellement (c'est important !) .

Note :
Si l'outil de demande d'effectuer la manipe en mode sans echec, fais le ( /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ ).


Patiente jusqu'au message :
*** Scan Terminé le ..... ***

Appuie sur une touche comme demandé, le bloc-note va s'ouvrir.
Copie-colle l'intégralité de son contenu dans ta prochaine réponse et attends la suite .

(Le rapport est en outre sauvegardé à la racine du disque "C\:cleanavi.txt" )

==============================


2- Télécharge UsbFix ( de C_XX, Chimay8 & El desaparecido ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
ou ici https://www.ionos.fr/?affiliate_id=77097

! Déconnecte toi d'internet et ferme toutes applications en cours !


Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .


# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil.

# Choisis l' option 1 ( Recherche )

# Laisse travailler l'outil et ne touche à rien pendant le scan .

# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html


Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
454
re,


je n'arrive pas à te poster la manipe suivante ... y a un blocage au niveau de la modération ... j'attends des nouvelles de se côté là et te donne la suite .... =)


désolé pour le retard occasionné ....


Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
454
re,


la manipe a été repêchée ! .... c'est donc ici pour la suite > https://www.commentcamarche.net/forum/affich-16689865-monnid32-exe#4

Messages postés
93
Date d'inscription
lundi 24 novembre 2008
Statut
Membre
Dernière intervention
26 juillet 2019

Voici le rapport navilog:
http://www.cijoint.fr/cjlink.php?file=cj201002/cijXu1L3JT.txt

et celui de usbfix:
http://www.cijoint.fr/cjlink.php?file=cj201002/cijnlYpipq.txt

(désolé de ne pas avoir répondu plus tot...)
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
454
hello,


tu n'as branché aucune unité externe au PC lors du scan de UsbFix ... si tu en as, pense à les branchées pour la suite ( c'est impératif pour débarrasser ces dernières de toutes infections ! )



Donc dans l'ordre :



1- ! Déconnecte toi d'internet et ferme toutes applications en cours !

Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .

# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil .

# Cette fois ci , tu choisis l' option 2 ( Suppression ) .

> Ton bureau disparaitra et le pc redémarrera ( c'est normal ).

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .

# Une fois terminé, poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .


( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).

/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr pour ouvrir le Gestionnaire des Tâches > Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide ) /!\


============================


2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...


jinfuushen
Messages postés
93
Date d'inscription
lundi 24 novembre 2008
Statut
Membre
Dernière intervention
26 juillet 2019

voici le rapport de usfix avec l'option 2:


############################## | UsbFix V6.097 |

User : gran kief (Administrateurs) # THE_ROAD_66
Update on 20/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 17:57:53 | 21/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) 4 CPU 3.20GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Enabled
AV : AntiVirus Firewall 8.01 8.01 [ Enabled | Updated ]
FW : AntiVirus Firewall 8.01[ Enabled ]8.01

C:\ -> Disque fixe local # 129,96 Go (44,95 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque amovible
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fsgk32st.exe
C:\Program Files\AntivirusFirewall\Common\FSMA32.EXE
C:\Program Files\AntivirusFirewall\Anti-Virus\FSGK32.EXE
C:\Program Files\AntivirusFirewall\Common\FSMB32.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AntivirusFirewall\Common\FCH32.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Program Files\AntivirusFirewall\Common\FAMEH32.EXE
C:\Program Files\AntivirusFirewall\Anti-Virus\fsqh.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Media Player\WMPNetwk.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\AntivirusFirewall\ORSP Client\fsorsp.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fssm32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\AntivirusFirewall\FSAUA\program\fsaua.exe
C:\Program Files\AntivirusFirewall\FWES\Program\fsdfwd.exe

################## | Elements infectieux |

Supprimé ! C:\Recycler\S-1-5-21-2690646912-4200844247-1566674502-1009

################## | Registre |


################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{31f912cb-a7f3-11dd-99ca-001109c6766f}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{b9c5553b-53fe-11d9-aa3e-806d6172696f}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{ccba173b-5290-11d9-8ca1-806d6172696f}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{d171d1bb-5276-11d9-8426-806d6172696f}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{e43cd43b-527f-11d9-aee6-806d6172696f}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[04/04/2008 23:57|-rah-----|786] C:\administrativeInfo.dbf
[31/12/2007 15:58|-rah-----|7680] C:\albumImagesTable.cdx
[31/12/2007 15:58|-rah-----|957] C:\albumImagesTable.dbf
[04/04/2008 23:57|-rah-----|4608] C:\albumTable.cdx
[04/04/2008 23:57|-rah-----|3762] C:\albumTable.dbf
[19/04/2005 10:56|-rah-----|627] C:\autoAlbum.log
[15/12/2004 14:42|-ra------|0] C:\AUTOEXEC.BAT
[20/02/2010 15:39|-rahs----|216] C:\boot.ini
[05/08/2004 13:00|-rahs----|4952] C:\Bootfont.bin
[04/04/2008 23:57|-rah-----|0] C:\CB_Server_Errors.txt
[15/12/2004 14:42|-ra------|0] C:\CONFIG.SYS
[20/09/2008 11:18|-rah-----|221] C:\error.log
[31/12/2007 15:58|-rah-----|3072] C:\EXIFTable.cdx
[31/12/2007 15:58|-rah-----|488] C:\EXIFTable.dbf
[?|?|?] C:\hiberfil.sys
[06/02/2004 16:19|-rah-----|16384] C:\hpqimgrc.resources.dll
[31/12/2007 15:58|-rah-----|9216] C:\imageTable.cdx
[31/12/2007 15:58|-rah-----|1089] C:\imageTable.dbf
[31/12/2007 15:58|-rah-----|512] C:\imageTable.fpt
[15/12/2004 14:42|-rahs----|0] C:\IO.SYS
[31/12/2007 15:58|-rah-----|6144] C:\keywordImagesTable.cdx
[31/12/2007 15:58|-rah-----|360] C:\keywordImagesTable.dbf
[31/12/2007 15:58|-rah-----|4608] C:\keywordTable.cdx
[31/12/2007 15:58|-rah-----|456] C:\keywordTable.dbf
[31/12/2007 15:58|-rah-----|360] C:\managedFolderTable.dbf
[15/12/2004 14:42|-rahs----|0] C:\MSDOS.SYS
[05/08/2004 13:00|-rahs----|47564] C:\NTDETECT.COM
[02/10/2008 22:14|-rahs----|252240] C:\ntldr
[?|?|?] C:\pagefile.sys
[31/12/2007 15:58|-rah-----|4608] C:\pathnameTable.cdx
[31/12/2007 15:58|-rah-----|1490] C:\pathnameTable.dbf
[31/12/2007 15:58|-rah-----|6144] C:\ROFImagesTable.cdx
[31/12/2007 15:58|-rah-----|360] C:\ROFImagesTable.dbf
[31/12/2007 15:58|-rah-----|3072] C:\ROFTable.cdx
[31/12/2007 15:58|-rah-----|392] C:\ROFTable.dbf
[02/10/2008 18:20|-rah-----|90] C:\Setup.log
[20/02/2010 18:07|--a------|5075] C:\UsbFix.txt
[20/10/2007 19:47|-rah-----|3858] C:\_Sid.txt

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

################## | Upload |

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_THE_ROAD_66.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.097 ! |

et le rapport zhpdiag:
http://www.cijoint.fr/cjlink.php?file=cj201002/cij5L5rRPO.txt

en redémarrant l'ordi, mon antivirus a pu cerner monnid32.exe et je l'ai donc supprimer ensuite. j'ai fait une analyse complète avec malwarebyte's histoire de tout bien vérifier au passage, et c'est tout good apparemment.

Donc merci infiniment pour ton aide. :)
Je pense que je peux marqué sujet Résolu, à moins que tu veux que je fasse autre chose?
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
454
Re,



rien n'est résolu ! .... ^^'

Tu es encore bien infecté ....




1- poste moi le rapport de MBAM que tu as obtenu !


(dans l'onglet "rapport/log"de Malwarebytes', le dernier en date)


============================


2- Avoir accès aux fichiers cachés :

Va dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
* "Afficher les fichiers et dossiers cachés" ---> coché
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché
* "masquer les fichiers du système" ---> décoché
-> valide la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )


3- Rends toi sur ce site :

https://www.virustotal.com/gui/

Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :
C:\WINDOWS\System32\Drivers\yccnalfa.sys

Clique sur Send File ( = " Envoyer le fichier " ).

Un rapport va s'élaborer ligne à ligne.

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta prochaine réponse ...

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

petit tuto > https://www.commentcamarche.net/faq/8633-legitimite-d-un-fichier-ou-processus-douteux#les-bonnes-adresses


Fais de même pour :

C:\SOC\DeviSOC v5.26\exe\D526.exe

Poste moi donc ces 2 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...


Voici le rapport de malwarebyte's, je viens de refaire une analyse, il a détécté yccnalfa.sys, je lui ait dit de le supprimer, malgré tout je le trouve toujours dans C:\WINDOWS\System32\Drivers\yccnalfa.sys :
rapport malwarebyte's:
http://www.cijoint.fr/cjlink.php?file=cj201002/cijW8UY24g.txt

J'ai donc tenté de me rendre sur le site virustotal, mais dès que je clique sur envoyer le fichier, internet se bloque, j'ai essayé d'attendre un moment pour voir si malgré tout au bout d'un certains temps, le fichier se serait peutètre chargé... ébé non.

Est-ce que je peux supprimer directement le fichier yccnalfda.sys dans les drivers?


Concernant C:\SOC\DeviSOC v5.26\exe\D526.exe... ébé là c'est très bizarre parce que je ne trouve rien... Dans C je n'ai pas de dossier SOC (et pourtant j'ai affiché les dossier cachés et les systèmes aussi...)
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
454
re,


merci de suivre les consignes et de rein faire d'autre .... je ne t'avais pas demandé de refaire MBAM ! .... -_-



fait ce qui suit ( et uniquement ce qui suit ) :



Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !):

http://download.bleepingcomputer.com/sUBs/ComboFix.exe


--------------------------------- [ ! ATTENTION ! ] ------------------------------------------
• Ferme tes applications en cours ( ainsi que ton navigateur ) .
DESACTIVE TOUTES TES DEFENSES (anti-virus, garde anti spy-ware, pare-feu) le temps de la manipe .
En effet, activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !
->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
• Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
--------------------------------- [ ! ATTENTION ! ] ------------------------------------------

Ensuite :
> Double-clique sur l'icône "Combofix.exe" pour lancer l'outil .
> A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...


-- Pour XP, l' installation de la Console de Récupération sera demandé :
* Laisse toi guider et fais l'installe de la "console de récupération" ( en anglais, "Windows Recovery Console" ) lorsque l'outil te le demandera ( important ! ).
image > http://img.photobucket.com/albums/v706/ried7/RcAuto1.gif
*Reconnecte toi avant de cliquer sur "yes", et uniquement le temps de cette manipulation.
*Une fois la console installée,
image > http://img.photobucket.com/albums/v706/ried7/whatnext.png
re-déconnecte toi avant de cliquer sur "yes" pour lancer le scan --


Notes importantes :
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un momment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

Le rapport sera crée ici : C:\Combofix.txt

Réactive bien tes défenses .


Poste le rapport Combofix pour analyse ...




Tout d'abord désolé d'avoir refait une analyse via malwarebyte's...autant pour moi.

cette fois ci j'ai suivi tes instructions à la lettre.

voici le rapport:
http://www.cijoint.fr/cjlink.php?file=cj201002/cij3inaCVV.txt
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
454
bien ....



le rootkit s'accroche ....




fait ceci stp afin d'avoir plus d'info :



1- Analyse ces deux fichiers sur VirusTotal :

c:\windows\system32\winsys2.exe
c:\documents and settings\LocalService\Application Data\cqfyto.dat


Poste moi les deux rapports obtenu stp ....


=============================

2- Télécharge SEAF ( de C__XX ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe
ou ici https://www.androidworld.fr/

! Ferme toutes applications en cours !

* Double clique sur "SEAF.exe" ( clique droit et "Exécuter en tant qu'administrateur" pour Vista / 7 ) pour lancer l'outil.

* Dans l'encardré blanc " Entrez ci dessous...." copie/colle ceci :

yccnalfa,monnid32


* Au niveau des " options des fichiers ", fait les réglages suivant :
> A "Calculer le checksum" , choisis : MD5 sha1 sha256 sha384 sha512 crc32
> Coche la case devant " Info. supplémentaire ".
> Coche la case devant " Afficher les ADS "

* Au niveau des " options du registre " :
> coche " chercher également dans le registre "

( ne touche à aucun autre réglage )

* Clique sur " Lancer la recherche " et laisse travailler l'outil ...
( cela peut-être plus ou moins long suivant les cas ).

--> Une fois terminé, une fenêtre avec un log .txt va s'afficher. Enregistre ce rapport de façon à le retrouver facilement ( sur le bureau par exemple ). Sinon il sera en outre sauvegardé à la racine de ton disque dur ( ici > C:\SEAFLog.txt )

--> Copie/colle le contenu de ce rapport dans ta prochaine réponse. Si le rapport est trop long, utilise le site d'uplaod "Cijoint" pour me le faire parvenir > http://www.cijoint.fr/


Rapport virus total concernant:

c:\windows\system32\winsys2.exe :

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.02.23 -
AhnLab-V3 5.0.0.2 2010.02.23 -
AntiVir 8.2.1.172 2010.02.23 -
Antiy-AVL 2.0.3.7 2010.02.23 -
Authentium 5.2.0.5 2010.02.23 -
Avast 4.8.1351.0 2010.02.23 -
AVG 9.0.0.730 2010.02.23 -
BitDefender 7.2 2010.02.23 -
CAT-QuickHeal 10.00 2010.02.23 -
ClamAV 0.96.0.0-git 2010.02.23 -
Comodo 4036 2010.02.23 -
DrWeb 5.0.1.12222 2010.02.23 -
eSafe 7.0.17.0 2010.02.23 Win32.TrojanHorse
eTrust-Vet 35.2.7323 2010.02.23 -
F-Prot 4.5.1.85 2010.02.22 -
F-Secure 9.0.15370.0 2010.02.23 -
Fortinet 4.0.14.0 2010.02.21 -
GData 19 2010.02.23 -
Ikarus T3.1.1.80.0 2010.02.23 -
Jiangmin 13.0.900 2010.02.23 -
K7AntiVirus 7.10.980 2010.02.22 -
Kaspersky 7.0.0.125 2010.02.23 -
McAfee 5900 2010.02.22 -
McAfee+Artemis 5900 2010.02.22 -
McAfee-GW-Edition 6.8.5 2010.02.23 -
Microsoft 1.5406 2010.02.23 -
NOD32 4890 2010.02.23 -
Norman 6.04.08 2010.02.23 -
nProtect 2009.1.8.0 2010.02.23 -
Panda 10.0.2.2 2010.02.22 -
PCTools 7.0.3.5 2010.02.23 -
Prevx 3.0 2010.02.23 -
Rising 22.34.01.03 2010.02.11 -
Sophos 4.50.0 2010.02.23 -
Sunbelt 5694 2010.02.23 -
Symantec 20091.2.0.41 2010.02.23 -
TheHacker 6.5.1.6.206 2010.02.23 -
TrendMicro 9.120.0.1004 2010.02.23 -
VBA32 3.12.12.2 2010.02.23 -
ViRobot 2010.2.23.2198 2010.02.23 -
VirusBuster 5.0.27.0 2010.02.23 -
Information additionnelle
File size: 208896 bytes
MD5...: 27949ccd505a6be082d15547b1dff90d
SHA1..: 569f27f34d53ec7f3eb0151108f3d4f0b4e54140
SHA256: 7c47e876766ecd62aad68812a40f30bad56a32d994cc16a116b8d3c4ea30ee82
ssdeep: 3072:AQNGGM2V/Oa49QFb+s6+6WKYy2YJfGnFGY2IKmistUtcQrvkpTQ7:APGlk5
9QFbj6+6oyjJfrY2IKHbrMm
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10214
timedatestamp.....: 0x478ff7fe (Fri Jan 18 00:51:10 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x20996 0x21000 6.65 2bd762b046ea4317483b547ed7ae2d7f
.rdata 0x22000 0x7cfe 0x8000 4.90 1f93dbb50db9c21acda7c7c1888d93e8
.data 0x2a000 0x8fd4 0x3000 3.31 2bc8669cfae0847f14f5e0b842c89897
CONST 0x33000 0x1f 0x1000 0.09 e1c91d3ead8e57dca21253f563c750c1
.rsrc 0x34000 0x48a8 0x5000 4.41 46abb0b06f7f2c3453dea7320e86064f

( 8 imports )
> MADCHOOK.DLL: InjectLibraryA, UninjectLibraryA
> KERNEL32.dll: SetErrorMode, HeapAlloc, HeapFree, HeapReAlloc, VirtualAlloc, RtlUnwind, GetCommandLineA, GetProcessHeap, GetStartupInfoA, RaiseException, ExitProcess, HeapSize, VirtualFree, HeapDestroy, HeapCreate, GetStdHandle, TerminateProcess, SetUnhandledExceptionFilter, IsDebuggerPresent, Sleep, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, QueryPerformanceCounter, GetTickCount, GetSystemTimeAsFileTime, GetACP, GetConsoleCP, GetConsoleMode, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, GetOEMCP, GetCPInfo, CreateFileA, GetCurrentProcess, GetThreadLocale, FlushFileBuffers, SetFilePointer, WriteFile, ReadFile, GlobalFlags, WritePrivateProfileStringA, InterlockedIncrement, TlsFree, DeleteCriticalSection, LocalReAlloc, TlsSetValue, TlsAlloc, InitializeCriticalSection, GlobalHandle, GlobalReAlloc, EnterCriticalSection, TlsGetValue, LeaveCriticalSection, LocalAlloc, GlobalGetAtomNameA, GlobalFindAtomA, lstrcmpW, FreeResource, GetCurrentProcessId, GlobalAddAtomA, CloseHandle, GetCurrentThread, GetCurrentThreadId, ConvertDefaultLocale, GetModuleFileNameA, EnumResourceLanguagesA, GetLocaleInfoA, lstrcmpA, GlobalDeleteAtom, FreeLibrary, InterlockedDecrement, GetModuleFileNameW, GetModuleHandleA, GlobalFree, GlobalAlloc, GlobalLock, GlobalUnlock, FormatMessageA, LocalFree, FindResourceA, LoadResource, LockResource, SizeofResource, MulDiv, SetLastError, GetProcAddress, LoadLibraryA, lstrlenA, CompareStringA, GetVersionExA, GetVersion, GetLastError, WideCharToMultiByte, MultiByteToWideChar, InterlockedExchange, UnhandledExceptionFilter
> USER32.dll: UnregisterClassA, LoadCursorA, GetSysColorBrush, EndPaint, BeginPaint, ReleaseDC, GetDC, ClientToScreen, GrayStringA, DrawTextExA, DrawTextA, TabbedTextOutA, ShowWindow, SetWindowTextA, IsDialogMessageA, RegisterWindowMessageA, SendDlgItemMessageA, WinHelpA, GetCapture, GetClassLongA, GetClassNameA, SetPropA, GetPropA, RemovePropA, SetFocus, GetWindowTextA, GetForegroundWindow, GetTopWindow, GetMessagePos, MapWindowPoints, SetForegroundWindow, UpdateWindow, GetMenu, CreateWindowExA, GetClassInfoExA, GetClassInfoA, RegisterClassA, GetSysColor, AdjustWindowRectEx, CopyRect, PtInRect, GetDlgCtrlID, DefWindowProcA, CallWindowProcA, SetWindowLongA, SetWindowPos, SystemParametersInfoA, GetWindowPlacement, GetWindowRect, GetWindow, GetDesktopWindow, SetActiveWindow, CreateDialogIndirectParamA, DestroyWindow, IsWindow, GetDlgItem, GetNextDlgTabItem, EndDialog, DrawIcon, SendMessageA, GetWindowThreadProcessId, GetWindowLongA, GetLastActivePopup, IsWindowEnabled, MessageBoxA, SetCursor, SetWindowsHookExA, CallNextHookEx, GetMessageA, TranslateMessage, DispatchMessageA, GetActiveWindow, DestroyMenu, GetMessageTime, IsIconic, GetClientRect, SetTimer, KillTimer, LoadIconA, EnableWindow, GetSystemMetrics, GetSubMenu, GetMenuItemCount, GetMenuItemID, GetMenuState, UnhookWindowsHookEx, PostQuitMessage, PostMessageA, IsWindowVisible, GetKeyState, PeekMessageA, GetCursorPos, ValidateRect, SetMenuItemBitmaps, GetMenuCheckMarkDimensions, LoadBitmapA, GetFocus, GetParent, ModifyMenuA, EnableMenuItem, CheckMenuItem
> GDI32.dll: SetWindowExtEx, ScaleWindowExtEx, DeleteDC, GetStockObject, PtVisible, ScaleViewportExtEx, SetViewportExtEx, OffsetViewportOrgEx, SetViewportOrgEx, SelectObject, Escape, ExtTextOutA, TextOutA, GetDeviceCaps, DeleteObject, SetMapMode, RestoreDC, SaveDC, GetObjectA, SetBkColor, SetTextColor, GetClipBox, CreateBitmap, RectVisible
> WINSPOOL.DRV: ClosePrinter, DocumentPropertiesA, OpenPrinterA
> ADVAPI32.dll: RegQueryValueA, RegEnumKeyA, RegDeleteKeyA, RegOpenKeyA, RegOpenKeyExA, RegQueryValueExA, RegCreateKeyExA, RegSetValueExA, RegCloseKey
> SHLWAPI.dll: PathFindFileNameA, PathFindExtensionA
> OLEAUT32.dll: -, -, -

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win64 Executable Generic (54.6%)
Win32 Executable MS Visual C++ (generic) (24.0%)
Windows Screen Saver (8.3%)
Win32 Executable Generic (5.4%)
Win32 Dynamic Link Library (generic) (4.8%)
sigcheck:
publisher....:
copyright....: Copyright (C) 2003
product......: DOT Application
description..: DOT MFC Application
original name: DOT.EXE
internal name: DOT
file version.: 1, 0, 0, 2
comments.....:
signers......: -
signing date.: -
verified.....: Unsigned




Rapport virus total concernant:

c:\documents and settings\LocalService\Application Data\cqfyto.dat

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.02.23 -
AhnLab-V3 5.0.0.2 2010.02.23 -
AntiVir 8.2.1.172 2010.02.23 -
Antiy-AVL 2.0.3.7 2010.02.23 -
Authentium 5.2.0.5 2010.02.23 -
Avast 4.8.1351.0 2010.02.23 -
AVG 9.0.0.730 2010.02.23 -
BitDefender 7.2 2010.02.23 -
CAT-QuickHeal 10.00 2010.02.23 -
ClamAV 0.96.0.0-git 2010.02.23 -
Comodo 4036 2010.02.23 -
DrWeb 5.0.1.12222 2010.02.23 -
eSafe 7.0.17.0 2010.02.23 -
eTrust-Vet 35.2.7323 2010.02.23 -
F-Prot 4.5.1.85 2010.02.22 -
F-Secure 9.0.15370.0 2010.02.23 -
Fortinet 4.0.14.0 2010.02.21 -
GData 19 2010.02.23 -
Ikarus T3.1.1.80.0 2010.02.23 -
Jiangmin 13.0.900 2010.02.23 -
K7AntiVirus 7.10.980 2010.02.22 -
Kaspersky 7.0.0.125 2010.02.23 -
McAfee 5900 2010.02.22 -
McAfee+Artemis 5900 2010.02.22 -
McAfee-GW-Edition 6.8.5 2010.02.23 -
Microsoft 1.5406 2010.02.23 -
NOD32 4890 2010.02.23 -
Norman 6.04.08 2010.02.23 -
nProtect 2009.1.8.0 2010.02.23 -
Panda 10.0.2.2 2010.02.22 -
PCTools 7.0.3.5 2010.02.23 -
Prevx 3.0 2010.02.23 -
Rising 22.34.01.03 2010.02.11 -
Sophos 4.50.0 2010.02.23 -
Sunbelt 5694 2010.02.23 -
Symantec 20091.2.0.41 2010.02.23 -
TheHacker 6.5.1.6.206 2010.02.23 -
TrendMicro 9.120.0.1004 2010.02.23 -
VBA32 3.12.12.2 2010.02.23 -
ViRobot 2010.2.23.2198 2010.02.23 -
VirusBuster 5.0.27.0 2010.02.23 -
Information additionnelle
File size: 16 bytes
MD5...: c3d7db570c66140f4ead6be8929c852f
SHA1..: ee59af118bd08d7c0eca9b7ce6c2b54d40ee0fbc
SHA256: d10ac0d6c29792f4f9ab44db5edc88c001c1a92f3c00df6e932e6bda34f2ced0
ssdeep: 3:IuTvbh:IuTDh
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Unknown!
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned


DONC si j'ai bien compris winsys2.exe est un trojan... non?


Ensuite voici le rapport log pour SEAF suivant les parmètres que tu m'as demandé:

1. ========================= SEAF 1.0.0.7 - C_XX
2.
3. Commencé à: 17:00:31 le 23/02/2010
4.
5. Valeur(s) recherchée(s):
6.
7. yccnalfa
8. monnid32
9.
10. (!) --- Calcul du Hash "crc32"
11. (!) --- Affichage des ADS
12. (!) --- Informations supplémentaires
13. (!) --- Recherche registre
14.
15. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
16.
17. "c:\WINDOWS\system32\drivers\yccnalfa.sys" [ ----A---- | 792064 ]
18. TC: 18/02/2010,16:16:25 | TM: 23/02/2010,17:01:28 | DA: 23/02/2010,17:01:28
19. crc32: DENIED
20.
21.
22. /!\ ADS: Un périphérique attaché au système ne fonctionne pas correctement. , Byte(s)
23.
24. =========================
25.
26. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
27.
28. Aucun dossier trouvé
29.
30.
31. ====== Entrée(s) du registre ======
32.
33.
34.
35. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_YCCNALFA\0000]
36. "DeviceDesc"="yccnalfa"
37.
38. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_YCCNALFA\0000]
39. "Service"="yccnalfa"
40.
41. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_YCCNALFA\0000]
42. "DeviceDesc"="yccnalfa"
43.
44. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_YCCNALFA\0000]
45. "Service"="yccnalfa"
46.
47. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_YCCNALFA\0000]
48. "DeviceDesc"="yccnalfa"
49.
50. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_YCCNALFA\0000]
51. "Service"="yccnalfa"
52.
53. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_YCCNALFA\0000\Control]
54. "ActiveService"="yccnalfa"
55.
56. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_YCCNALFA\0000]
57. "DeviceDesc"="yccnalfa"
58.
59. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_YCCNALFA\0000]
60. "Service"="yccnalfa"
61.
62. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_YCCNALFA\0000\Control]
63. "ActiveService"="yccnalfa"
64.
65.
66.
67. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^gran kief^Menu Démarrer^Programmes^Démarrage^monnid32.exe]
68. "backup"="C:\WINDOWS\pss\monnid32.exeStartup"
69.
70. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^gran kief^Menu Démarrer^Programmes^Démarrage^monnid32.exe]
71. "command"="C:\Documents and Settings\gran kief\Menu Démarrer\Programmes\Démarrage\monnid32.exe"
72.
73. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^gran kief^Menu Démarrer^Programmes^Démarrage^monnid32.exe]
74. "item"="monnid32"
75.
76. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^gran kief^Menu Démarrer^Programmes^Démarrage^monnid32.exe]
77. "path"="C:\Documents and Settings\gran kief\Menu Démarrer\Programmes\Démarrage\monnid32.exe"
78.
79. =========================
80.
81. Fin à: 17:04:19 le 23/02/2010 ( E.O.F )
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
454
Re,


DONC si j'ai bien compris winsys2.exe est un trojan... non?

c'aurait pu , mais là non ... ^^
C'est un FP pour "Esafe" .... le même fichier peut-être aussi un spyware bien connu , mais chez toi , c'est un bien un fichier "nVidia" ( donc pas touche ! on contôlera plus tard ) ....



Parcontre une autre bestiole et belle et bien présente ....


===============================


la suite dans l'ordre :


1- Créer un doc texte sur ton bureau:
pointe ta souris sur ton bureau , clique droit / va dans "nouveau" et choisis "document texte" .

* Rends toi sur cette page > http://www.cijoint.fr/cj201002/cijHm7IArf.txt

* copie/colle tout le texte qui s'y trouve ( et rien d'autre!) dans le fichier texte que tu viens de créer :

* Pour sauvegarder, va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ... ( sauvegarde le bien sur le bureau )


2- Nettoyage :

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

-->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )

Cette manipulation va relancer Combofix .

> Puis patiente le temps du scan ( Le Bureau va disparaître à plusieurs reprises : c'est normal !).

! Ne touches à rien tant que le scan n'est pas terminé !

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.


> Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse et attends la suite ...


( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )



Voici le nouveau rapport de combiFix:

ComboFix 10-02-22.07 - gran kief 23/02/2010 18:01:05.2.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.2047.1608 [GMT 1:00]
Lancé depuis: c:\documents and settings\gran kief\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\gran kief\Bureau\CFScript.txt
AV: AntiVirus Firewall 8.01 *On-access scanning disabled* (Updated) {E7512ED5-4245-4B4D-AF3A-382D3F313F15}
FW: AntiVirus Firewall 8.01 *disabled* {D4747503-0346-49EB-9262-997542F79BF4}

FILE ::
"c:\documents and settings\gran kief\Menu Démarrer\Programmes\Démarrage\monnid32.exe"
"c:\documents and settings\LocalService\Application Data\cqfyto.dat"
"c:\documents and settings\NetworkService\Application Data\cqfyto.dat"
"c:\windows\pss\monnid32.exe"
"c:\windows\pss\monnid32.exeStartup"
"c:\windows\system32\drivers\ekshqu.sys"
"c:\windows\system32\drivers\uito.sys"
"c:\windows\system32\drivers\yccnalfa.sys"
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\LocalService\Application Data\cqfyto.dat
c:\documents and settings\NetworkService\Application Data\cqfyto.dat
c:\windows\system32\drivers\yccnalfa.sys

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_riwkunxr
-------\Service_scpvuonI
-------\Service_yccnalfa


((((((((((((((((((((((((((((( Fichiers créés du 2010-01-23 au 2010-02-23 ))))))))))))))))))))))))))))))))))))
.

2010-02-20 15:30 . 2010-02-20 15:30 72192 ----a-w- c:\windows\system32\tasklist.exe
2010-02-19 23:10 . 2001-08-17 20:52 5760 -c--a-w- c:\windows\system32\dllcache\hpt4qic.sys
2010-02-19 23:09 . 2001-08-23 16:47 13312 -c--a-w- c:\windows\system32\dllcache\hpsjmcro.dll
2010-02-19 23:09 . 2001-08-23 16:47 324608 -c--a-w- c:\windows\system32\dllcache\hpojwia.dll
2010-02-19 23:09 . 2001-08-17 21:07 25952 -c--a-w- c:\windows\system32\dllcache\hpn.sys
2010-02-19 23:09 . 2001-08-23 16:47 32768 -c--a-w- c:\windows\system32\dllcache\hpgtmcro.dll
2010-02-19 23:09 . 2001-08-23 16:47 68608 -c--a-w- c:\windows\system32\dllcache\hpgt53tk.dll
2010-02-19 23:09 . 2001-08-23 16:47 165888 -c--a-w- c:\windows\system32\dllcache\hpgt53.dll
2010-02-19 23:09 . 2001-08-23 16:47 31232 -c--a-w- c:\windows\system32\dllcache\hpgt42tk.dll
2010-02-19 23:08 . 2001-08-23 16:47 93696 -c--a-w- c:\windows\system32\dllcache\hpgt42.dll
2010-02-19 23:08 . 2001-08-23 16:47 126976 -c--a-w- c:\windows\system32\dllcache\hpgt34tk.dll
2010-02-19 23:08 . 2001-08-23 16:47 101376 -c--a-w- c:\windows\system32\dllcache\hpgt34.dll
2010-02-19 23:08 . 2001-08-23 16:47 48128 -c--a-w- c:\windows\system32\dllcache\hpgt33tk.dll
2010-02-19 23:08 . 2001-08-23 16:47 89088 -c--a-w- c:\windows\system32\dllcache\hpgt33.dll
2010-02-19 23:08 . 2001-08-23 16:47 123392 -c--a-w- c:\windows\system32\dllcache\hpgt21tk.dll
2010-02-19 23:07 . 2001-08-23 16:47 83968 -c--a-w- c:\windows\system32\dllcache\hpgt21.dll
2010-02-19 23:07 . 2001-08-23 16:47 119296 -c--a-w- c:\windows\system32\dllcache\hpdigwia.dll
2010-02-19 23:07 . 2001-08-17 21:02 2688 -c--a-w- c:\windows\system32\dllcache\hidswvd.sys
2010-02-19 23:07 . 2008-04-14 03:33 21504 -c--a-w- c:\windows\system32\dllcache\hidserv.dll
2010-02-19 23:07 . 2001-08-17 21:02 8576 -c--a-w- c:\windows\system32\dllcache\hidgame.sys
2010-02-19 23:07 . 2008-04-13 19:36 20352 -c--a-w- c:\windows\system32\dllcache\hidbatt.sys
2010-02-19 23:07 . 2001-08-23 16:19 908000 -c--a-w- c:\windows\system32\dllcache\hcf_msft.sys
2010-02-19 23:06 . 2008-04-14 02:59 28544 -c--a-w- c:\windows\system32\dllcache\grserial.sys
2010-02-19 23:06 . 2001-08-23 16:18 82560 -c--a-w- c:\windows\system32\dllcache\grclass.sys
2010-02-19 23:06 . 2001-08-23 16:18 17664 -c--a-w- c:\windows\system32\dllcache\gpr400.sys
2010-02-19 23:06 . 2004-08-05 12:00 634880 -c--a-w- c:\windows\system32\dllcache\getuname.dll
2010-02-19 23:06 . 2008-04-13 19:45 59136 -c--a-w- c:\windows\system32\dllcache\gckernel.sys
2010-02-19 23:06 . 2008-04-13 19:45 10624 -c--a-w- c:\windows\system32\dllcache\gameenum.sys
2010-02-19 23:06 . 2001-08-23 16:18 322560 -c--a-w- c:\windows\system32\dllcache\g400m.sys
2010-02-19 23:06 . 2001-08-23 16:46 1733120 -c--a-w- c:\windows\system32\dllcache\g400d.dll
2010-02-19 23:05 . 2001-08-23 16:18 320512 -c--a-w- c:\windows\system32\dllcache\g200m.sys
2010-02-19 23:05 . 2001-08-23 16:46 470144 -c--a-w- c:\windows\system32\dllcache\g200d.dll
2010-02-19 23:05 . 2001-08-17 19:15 454912 -c--a-w- c:\windows\system32\dllcache\fxusbase.sys
2010-02-19 23:05 . 2004-08-05 12:00 11776 -c--a-w- c:\windows\system32\dllcache\fxssend.exe
2010-02-19 23:05 . 2004-08-05 12:00 31744 -c--a-w- c:\windows\system32\dllcache\fxsroute.dll
2010-02-19 23:05 . 2004-08-05 12:00 141312 -c--a-w- c:\windows\system32\dllcache\fxsclntr.dll
2010-02-19 23:05 . 2004-08-05 12:00 113664 -c--a-w- c:\windows\system32\dllcache\fxscfgwz.dll
2010-02-19 23:05 . 2001-08-23 16:47 92672 -c--a-w- c:\windows\system32\dllcache\fuusd.dll
2010-02-19 23:04 . 2001-08-17 19:15 455296 -c--a-w- c:\windows\system32\dllcache\fusbbase.sys
2010-02-19 23:04 . 2001-08-17 19:15 455680 -c--a-w- c:\windows\system32\dllcache\fus2base.sys
2010-02-19 23:04 . 2004-08-05 12:00 6144 -c--a-w- c:\windows\system32\dllcache\ftlx041e.dll
2010-02-19 23:04 . 2004-08-05 12:00 55808 -c--a-w- c:\windows\system32\dllcache\freecell.exe
2010-02-19 23:04 . 2001-08-17 19:15 442240 -c--a-w- c:\windows\system32\dllcache\fpnpbase.sys
2010-02-19 23:04 . 2001-08-17 19:14 441728 -c--a-w- c:\windows\system32\dllcache\fpcmbase.sys
2010-02-19 23:04 . 2001-08-17 19:14 444416 -c--a-w- c:\windows\system32\dllcache\fpcibase.sys
2010-02-19 23:04 . 2004-08-03 21:31 34173 -c--a-w- c:\windows\system32\dllcache\forehe.sys
2010-02-19 23:03 . 2001-08-23 16:47 72192 -c--a-w- c:\windows\system32\dllcache\fnfilter.dll
2010-02-19 23:03 . 2004-08-05 12:00 15360 -c--a-w- c:\windows\system32\dllcache\flattemp.exe
2010-02-19 23:03 . 2001-08-17 19:13 27165 -c--a-w- c:\windows\system32\dllcache\fetnd5.sys
2010-02-19 23:03 . 2001-08-17 19:10 22090 -c--a-w- c:\windows\system32\dllcache\fem556n5.sys
2010-02-19 23:03 . 2001-08-23 16:47 43520 -c--a-w- c:\windows\system32\dllcache\EXCH_fcachdll.dll
2010-02-19 23:03 . 2001-08-17 19:12 24618 -c--a-w- c:\windows\system32\dllcache\fa410nd5.sys
2010-02-19 23:02 . 2001-08-17 19:12 16074 -c--a-w- c:\windows\system32\dllcache\fa312nd5.sys
2010-02-19 23:02 . 2001-08-17 19:11 11850 -c--a-w- c:\windows\system32\dllcache\f3ab18xj.sys
2010-02-19 23:02 . 2001-08-17 19:11 12362 -c--a-w- c:\windows\system32\dllcache\f3ab18xi.sys
2010-02-19 23:02 . 2001-08-17 20:52 7040 -c--a-w- c:\windows\system32\dllcache\exabyte2.sys
2010-02-19 23:02 . 2001-08-17 19:12 16998 -c--a-w- c:\windows\system32\dllcache\ex10.sys
2010-02-19 23:02 . 2004-08-05 12:00 25856 -c--a-w- c:\windows\system32\dllcache\et4000.sys
2010-02-19 23:02 . 2004-08-05 12:00 45568 -c--a-w- c:\windows\system32\dllcache\esunid.dll
2010-02-19 23:02 . 2001-08-23 16:47 46080 -c--a-w- c:\windows\system32\dllcache\esunib.dll
2010-02-19 23:01 . 2001-08-23 16:47 46080 -c--a-w- c:\windows\system32\dllcache\esuni.dll
2010-02-19 23:01 . 2004-08-05 12:00 57856 -c--a-w- c:\windows\system32\dllcache\esuimgd.dll
2010-02-19 23:01 . 2001-08-23 16:47 34816 -c--a-w- c:\windows\system32\dllcache\esuimg.dll
2010-02-19 23:01 . 2004-08-05 12:00 31744 -c--a-w- c:\windows\system32\dllcache\esucmd.dll
2010-02-19 23:01 . 2001-08-23 16:47 43008 -c--a-w- c:\windows\system32\dllcache\esucm.dll
2010-02-19 23:01 . 2004-08-03 21:32 137088 -c--a-w- c:\windows\system32\dllcache\essm2e.sys
2010-02-19 23:01 . 2001-08-17 19:19 63360 -c--a-w- c:\windows\system32\dllcache\ess.sys
2010-02-19 23:01 . 2001-08-23 16:16 348222 -c--a-w- c:\windows\system32\dllcache\es56tpi.sys
2010-02-19 23:01 . 2001-08-23 16:16 594910 -c--a-w- c:\windows\system32\dllcache\es56hpi.sys
2010-02-19 23:00 . 2001-08-23 16:16 596319 -c--a-w- c:\windows\system32\dllcache\es56cvmp.sys
2010-02-19 23:00 . 2001-08-17 19:19 174464 -c--a-w- c:\windows\system32\dllcache\es198x.sys
2010-02-19 23:00 . 2001-08-17 19:19 72192 -c--a-w- c:\windows\system32\dllcache\es1969.sys
2010-02-19 23:00 . 2001-08-17 19:19 40704 -c--a-w- c:\windows\system32\dllcache\es1371mp.sys
2010-02-19 23:00 . 2001-08-17 19:19 37120 -c--a-w- c:\windows\system32\dllcache\es1370mp.sys
2010-02-19 23:00 . 2001-08-23 16:47 62464 -c--a-w- c:\windows\system32\dllcache\eqnloop.exe
2010-02-19 23:00 . 2001-08-23 16:47 51712 -c--a-w- c:\windows\system32\dllcache\eqnlogr.exe
2010-02-19 23:00 . 2001-08-23 16:47 53760 -c--a-w- c:\windows\system32\dllcache\eqndiag.exe
2010-02-19 22:59 . 2001-08-23 16:16 630016 -c--a-w- c:\windows\system32\dllcache\eqn.sys
2010-02-19 22:59 . 2001-08-17 20:50 114944 -c--a-w- c:\windows\system32\dllcache\epstw2k.sys
2010-02-19 22:59 . 2001-08-17 19:12 18503 -c--a-w- c:\windows\system32\dllcache\epro4.sys
2010-02-19 22:59 . 2001-08-17 20:50 144896 -c--a-w- c:\windows\system32\dllcache\epcfw2k.sys
2010-02-19 22:59 . 2001-08-17 19:19 283904 -c--a-w- c:\windows\system32\dllcache\emu10k1m.sys
2010-02-19 22:59 . 2001-08-17 19:10 19996 -c--a-w- c:\windows\system32\dllcache\em556n4.sys
2010-02-19 22:59 . 2001-08-17 19:10 25159 -c--a-w- c:\windows\system32\dllcache\elnk3.sys
2010-02-19 22:58 . 2001-08-17 20:53 7296 -c--a-w- c:\windows\system32\dllcache\elmsmc.sys
2010-02-19 22:58 . 2001-08-23 16:13 175104 -c--a-w- c:\windows\system32\dllcache\el99xn51.sys
2010-02-19 22:58 . 2001-08-17 19:11 70174 -c--a-w- c:\windows\system32\dllcache\el98xn5.sys
2010-02-19 22:58 . 2001-08-23 16:13 455711 -c--a-w- c:\windows\system32\dllcache\el985n51.sys
2010-02-19 22:58 . 2001-08-23 16:13 153631 -c--a-w- c:\windows\system32\dllcache\el90xnd5.sys
2010-02-19 22:58 . 2001-08-17 19:11 66591 -c--a-w- c:\windows\system32\dllcache\el90xbc5.sys
2010-02-19 22:58 . 2001-08-23 16:13 241238 -c--a-w- c:\windows\system32\dllcache\el656se5.sys
2010-02-19 22:58 . 2001-08-17 19:11 77386 -c--a-w- c:\windows\system32\dllcache\el656nd5.sys
2010-02-19 22:58 . 2001-08-23 16:13 634166 -c--a-w- c:\windows\system32\dllcache\el656ct5.sys
2010-02-19 22:58 . 2001-08-17 19:11 69194 -c--a-w- c:\windows\system32\dllcache\el656cd5.sys
2010-02-19 22:58 . 2001-08-17 19:10 26141 -c--a-w- c:\windows\system32\dllcache\el589nd5.sys
2010-02-19 22:57 . 2001-08-17 19:10 69692 -c--a-w- c:\windows\system32\dllcache\el575nd5.sys
2010-02-19 22:57 . 2001-08-17 19:10 24653 -c--a-w- c:\windows\system32\dllcache\el574nd4.sys
2010-02-19 22:57 . 2001-08-17 19:10 55999 -c--a-w- c:\windows\system32\dllcache\el556nd5.sys
2010-02-19 22:57 . 2001-08-23 16:13 44615 -c--a-w- c:\windows\system32\dllcache\el515.sys
2010-02-19 22:57 . 2004-08-05 12:00 514587 -c--a-w- c:\windows\system32\dllcache\edb500.dll
2010-02-19 22:57 . 2001-08-17 19:12 19594 -c--a-w- c:\windows\system32\dllcache\e100isa4.sys
2010-02-19 22:57 . 2001-08-23 16:12 117760 -c--a-w- c:\windows\system32\dllcache\e100b325.sys
2010-02-19 22:57 . 2001-08-23 16:12 51743 -c--a-w- c:\windows\system32\dllcache\e1000nt5.sys
2010-02-19 22:56 . 2001-08-17 19:20 334208 -c--a-w- c:\windows\system32\dllcache\ds1wdm.sys
2010-02-19 22:56 . 2001-08-17 21:07 20192 -c--a-w- c:\windows\system32\dllcache\dpti2o.sys
2010-02-19 22:56 . 2001-08-17 19:12 28062 -c--a-w- c:\windows\system32\dllcache\dp83820.sys
2010-02-19 22:56 . 2001-08-23 16:11 24064 -c--a-w- c:\windows\system32\dllcache\dot4usb.sys
2010-02-19 22:56 . 2001-08-17 20:47 8704 -c--a-w- c:\windows\system32\dllcache\dot4scan.sys
2010-02-19 22:56 . 2001-08-17 20:47 12928 -c--a-w- c:\windows\system32\dllcache\dot4prt.sys
2010-02-19 22:56 . 2008-04-13 19:39 206976 -c--a-w- c:\windows\system32\dllcache\dot4.sys
2010-02-19 22:55 . 2001-08-17 19:11 29696 -c--a-w- c:\windows\system32\dllcache\dm9pci5.sys
2010-02-19 22:55 . 2008-04-13 19:40 8320 -c--a-w- c:\windows\system32\dllcache\dlttape.sys
2010-02-19 22:55 . 2001-08-17 19:11 26698 -c--a-w- c:\windows\system32\dllcache\dlh5xnd5.sys
2010-02-19 22:55 . 2001-08-17 19:14 952007 -c--a-w- c:\windows\system32\dllcache\diwan.sys
2010-02-19 22:55 . 2001-08-23 16:47 29768 -c--a-w- c:\windows\system32\dllcache\divasu.dll
2010-02-19 22:55 . 2001-08-23 16:47 37962 -c--a-w- c:\windows\system32\dllcache\divaprop.dll
2010-02-19 22:55 . 2001-08-23 16:47 6216 -c--a-w- c:\windows\system32\dllcache\divaci.dll
2010-02-19 22:55 . 2001-08-23 16:47 236060 -c--a-w- c:\windows\system32\dllcache\ditrace.exe
2010-02-19 22:55 . 2001-08-23 16:47 38985 -c--a-w- c:\windows\system32\dllcache\disrvsu.dll
2010-02-19 22:54 . 2001-08-23 16:47 31817 -c--a-w- c:\windows\system32\dllcache\disrvpp.dll
2010-02-19 22:54 . 2001-08-23 16:47 6729 -c--a-w- c:\windows\system32\dllcache\disrvci.dll
2010-02-19 22:54 . 2001-08-17 19:13 91305 -c--a-w- c:\windows\system32\dllcache\dimaint.sys
2010-02-19 22:54 . 2001-08-23 16:47 622621 -c--a-w- c:\windows\system32\dllcache\digiview.exe
2010-02-19 22:54 . 2001-08-23 16:10 42656 -c--a-w- c:\windows\system32\dllcache\digirlpt.sys
2010-02-19 22:54 . 2001-08-23 16:47 110621 -c--a-w- c:\windows\system32\dllcache\digirlpt.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-23 12:36 . 2006-09-23 09:49 -------- d-----w- c:\program files\AntivirusFirewall
2010-02-22 00:10 . 2008-10-08 15:29 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard
2010-02-22 00:09 . 2009-09-09 16:49 -------- d-----w- c:\program files\AGEIA Technologies
2010-02-22 00:08 . 2009-09-10 14:12 -------- d-----w- c:\program files\NVIDIA Corporation
2010-02-20 16:30 . 2004-12-15 15:25 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-02-20 16:30 . 2008-06-17 16:39 -------- d-----w- c:\documents and settings\gran kief\Application Data\DataCast
2010-02-18 23:52 . 2004-12-15 13:56 95454 ----a-w- c:\windows\system32\perfc00C.dat
2010-02-18 23:52 . 2004-12-15 13:56 535282 ----a-w- c:\windows\system32\perfh00C.dat
2010-02-18 22:19 . 2008-12-18 22:26 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-02-10 14:08 . 2009-12-07 14:51 -------- d-----w- c:\documents and settings\gran kief\Application Data\www.pro-evo.xooit.fr
2010-02-09 10:23 . 2008-08-04 18:40 -------- d-----w- c:\program files\Paint.NET
2010-01-12 04:03 . 2009-12-21 11:05 61440 ----a-w- c:\windows\system32\OpenCL.dll
2010-01-12 04:03 . 2009-12-21 11:05 11632640 ----a-w- c:\windows\system32\nvcompiler.dll
2010-01-12 04:03 . 2009-08-16 22:57 4077672 ----a-w- c:\windows\system32\nvcuvenc.dll
2010-01-12 04:03 . 2009-08-16 22:57 2283526 ----a-w- c:\windows\system32\nvdata.bin
2010-01-12 04:03 . 2009-08-16 22:57 2259560 ----a-w- c:\windows\system32\nvcuvid.dll
2010-01-12 04:03 . 2008-05-16 18:31 4104192 ----a-w- c:\windows\system32\nvcuda.dll
2010-01-12 04:03 . 2008-05-16 18:31 182888 ----a-w- c:\windows\system32\nvcodins.dll
2010-01-12 04:03 . 2008-05-16 18:31 14458880 ----a-w- c:\windows\system32\nvoglnt.dll
2010-01-12 04:03 . 2008-05-16 18:31 1081344 ----a-w- c:\windows\system32\nvapi.dll
2010-01-12 04:03 . 2004-12-09 10:11 6359168 ----a-w- c:\windows\system32\nv4_disp.dll
2010-01-12 04:03 . 2004-12-09 10:11 10276768 ----a-w- c:\windows\system32\drivers\nv4_mini.sys
2010-01-11 16:52 . 2009-12-13 20:48 -------- d-----w- c:\program files\Fichiers communs\Adobe
2010-01-07 15:07 . 2008-12-18 22:26 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-07 15:07 . 2008-12-18 22:26 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-02 22:22 . 2010-01-02 22:22 -------- d-----w- c:\program files\Fichiers communs\Windows Live
2010-01-02 16:56 . 2010-01-02 16:56 -------- d-----w- c:\documents and settings\All Users\Application Data\Canneverbe Limited
2010-01-02 16:56 . 2008-12-21 15:44 -------- d-----w- c:\program files\CDBurnerXP
2009-12-22 05:09 . 2004-12-15 13:55 671232 ------w- c:\windows\system32\wininet.dll
2009-12-22 05:08 . 2009-05-07 09:42 81920 ----a-w- c:\windows\system32\ieencode.dll
.

------- Sigcheck -------

[7] 2008-06-20 . AD978A1B783B5719720CFF204B666C8E . 361600 . . [5.1.2600.5625] . . c:\windows\$hf_mig$\KB951748\SP3QFE\tcpip.sys
[7] 2008-06-20 . 9AEFA14BD6B182D61E3119FA5F436D3D . 361600 . . [5.1.2600.5625] . . c:\windows\$hf_mig$\KB951748\SP3GDR\tcpip.sys
[-] 2008-06-20 . 4AFB3B0919649F95C1964AA1FAD27D73 . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys
[7] 2008-06-20 . 744E57C99232201AE98C49168B918F48 . 360960 . . [5.1.2600.3394] . . c:\windows\$hf_mig$\KB951748\SP2QFE\tcpip.sys
[7] 2008-04-13 . 93EA8D04EC73A85DB02EB8805988F733 . 361344 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\tcpip.sys
[-] 2007-10-30 . 64798ECFA43D78C7178375FCDD16D8C8 . 360832 . . [5.1.2600.3244] . . c:\windows\$hf_mig$\KB941644\SP2QFE\tcpip.sys
[-] 2006-04-20 . B2220C618B42A2212A59D91EBD6FC4B4 . 360576 . . [5.1.2600.2892] . . c:\windows\$hf_mig$\KB917953\SP2QFE\tcpip.sys
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ccleaner"="c:\program files\CCleaner\CCleaner.exe" [2010-01-26 1724728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"F-Secure Manager"="c:\program files\AntivirusFirewall\Common\FSM32.EXE" [2008-12-04 182936]
"F-Secure TNB"="c:\program files\AntivirusFirewall\FSGUI\TNBUtil.exe" [2008-12-04 957024]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Démarrage rapide du logiciel HP Image Zone.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Démarrage rapide du logiciel HP Image Zone.lnk
backup=c:\windows\pss\Démarrage rapide du logiciel HP Image Zone.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=c:\windows\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
2004-04-13 11:49 88363 ----a-w- c:\windows\AGRSMMSG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
2009-05-12 13:05 133104 ----atw- c:\documents and settings\gran kief\Local Settings\Application Data\Google\Update\GoogleUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Component Manager]
2004-05-12 14:18 241664 ----a-w- c:\program files\HP\hpcoretech\hpcmpmgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LVCOMSX]
2005-12-09 13:32 225280 ----a-w- c:\windows\system32\LVCOMSX.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2009-07-26 15:44 3883856 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2010-01-11 21:17 13666408 ----a-w- c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2010-01-11 21:17 110696 ----a-w- c:\windows\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-06-21 10:53 148888 ----a-w- c:\program files\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG]
2006-11-03 07:59 204288 ----a-w- c:\program files\Windows Media Player\wmpnscfg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ATI Smart"=2 (0x2)
"Ati HotKey Poller"=2 (0x2)
"maconfservice"=3 (0x3)
"NMIndexingService"=3 (0x3)
"Nero BackItUp Scheduler 3"=2 (0x2)
"usnjsvc"=3 (0x3)
"WLSetupSvc"=3 (0x3)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"updateMgr"=c:\documents and settings\gran kief\Mes documents\Dossiers d'utilisation annexe\Programmes nécessaires\Reader\AdobeUpdateManager.exe AcRdB7_0_5

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"farstone"=
"fenaffiche"=c:\program files\FenAffiche\Fenpowernet.exe
"Raccourci vers la page des propriétés de High Definition Audio"=HDAudPropShortcut.exe
"WinSys2"=c:\windows\system32\winsys2.exe
"nwiz"=nwiz.exe /install

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Microsoft Games\\Age of Empires III\\age3.exe"=
"c:\\Program Files\\Microsoft Games\\Age of Empires III\\age3x.exe"=
"c:\\Program Files\\Microsoft Games\\Age of Empires III\\age3y.exe"=
"c:\\Program Files\\KONAMI\\Pro Evolution Soccer 2010\\Kitserver2010_PESedit\\pes2010.exe"=

R0 fsbts;fsbts;c:\windows\system32\drivers\fsbts.sys [26/06/2009 23:18 33920]
R0 FSFW;F-Secure Firewall Driver;c:\windows\system32\drivers\fsdfw.sys [23/09/2006 10:50 79872]
R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\drivers\xfilt.sys [10/09/2009 15:21 22168]
R1 F-Secure HIPS;F-Secure HIPS Driver;c:\program files\AntivirusFirewall\HIPS\drivers\fshs.sys [26/06/2009 23:17 67808]
R2 tmevtmgr;tmevtmgr;c:\windows\system32\drivers\tmevtmgr.sys [15/02/2009 23:49 49680]
R2 tmpreflt;tmpreflt;c:\windows\system32\drivers\tmpreflt.sys [15/02/2009 23:46 36368]
R3 cmudax;C-Media High Definition Audio Interface;c:\windows\system32\drivers\cmudax.sys [01/10/2004 14:58 1475712]
R3 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\program files\AntivirusFirewall\Anti-Virus\minifilter\fsgk.sys [23/09/2006 10:50 107104]
R3 FSORSPClient;F-Secure ORSP Client;c:\program files\AntivirusFirewall\ORSP Client\fsorsp.exe [26/06/2009 23:17 55904]
S0 sptd;sptd;c:\windows\system32\Drivers\sptd.sys --> c:\windows\system32\Drivers\sptd.sys [?]
S2 TmProxy;Trend Micro Proxy Service;"c:\program files\Trend Micro\Internet Security\TmProxy.exe" --> c:\program files\Trend Micro\Internet Security\TmProxy.exe [?]
S3 FT8A91;FT8A91 Filter;c:\windows\system32\drivers\ft8a91.sys [01/10/2008 18:46 69701]
S3 PsShutdownSvc;PsShutdown;c:\windows\system32\PSSDNSVC.EXE [20/12/2004 11:18 65536]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\d:\ntglm7x.sys --> d:\NTGLM7X.sys [?]
S3 ZDCndis5;ZDCndis5 Protocol Driver;\??\c:\windows\system32\ZDCndis5.SYS --> c:\windows\system32\ZDCndis5.SYS [?]
S4 F-Secure Filter;F-Secure File System Filter;c:\program files\AntivirusFirewall\Anti-Virus\win2k\fsfilter.sys [23/09/2006 10:50 39776]
S4 F-Secure Recognizer;F-Secure File System Recognizer;c:\program files\AntivirusFirewall\Anti-Virus\win2k\fsrec.sys [23/09/2006 10:50 25184]
.
Contenu du dossier 'Tâches planifiées'

2010-02-22 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2690646912-4200844247-1566674502-1009Core.job
- c:\documents and settings\gran kief\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-05-12 13:05]

2010-02-23 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2690646912-4200844247-1566674502-1009UA.job
- c:\documents and settings\gran kief\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-05-12 13:05]
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
LSP: c:\program files\AntivirusFirewall\FSPS\program\FSLSP.DLL
TCP: {C3BD41D0-837A-4071-A827-75F73FCE1017} = 192.168.1.1
DPF: CabBuilder - hxxp://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game01.zylom.com/activex/zylomgamesplayer.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-23 18:12
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-2690646912-4200844247-1566674502-1009\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_USERS\S-1-5-21-2690646912-4200844247-1566674502-1009\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:70,c0,17,b2,fa,50,16,8c,4e,23,8a,2c,0b,5a,4a,09,66,00,2b,87,b2,7a,da,
a4,d2,45,19,65,95,6f,a1,37,ac,31,69,8a,f8,ee,5b,85,ed,3b,1f,16,ea,ba,78,3d,\
"??"=hex:af,4c,1b,ea,3b,bf,b9,68,f7,29,e3,ee,93,07,74,fe

[HKEY_USERS\S-1-5-21-2690646912-4200844247-1566674502-1009\Software\SecuROM\License information*]
"datasecu"=hex:f5,06,94,cf,05,4c,f1,72,a6,1f,af,1c,35,25,38,09,49,aa,04,43,eb,
9e,16,5f,da,58,57,d9,54,53,c7,ad,03,90,7a,f4,42,98,67,b5,6a,ff,5f,6a,3d,2a,\
"rkeysecu"=hex:c9,64,3c,69,b4,8b,4e,e0,87,a8,76,2c,a0,b1,a3,09
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(724)
c:\program files\AntivirusFirewall\FWES\Program\fsdc32.dll

- - - - - - - > 'lsass.exe'(784)
c:\program files\AntivirusFirewall\FSPS\program\FSLSP.DLL
c:\program files\AntivirusFirewall\FWES\Program\fsdc32.dll

- - - - - - - > 'explorer.exe'(4004)
c:\program files\AntivirusFirewall\Spam Control\fsscoepl.dll
c:\progra~1\FICHIE~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
c:\program files\Fichiers communs\Microsoft Shared\Web Components\10\1036\OWCI10.DLL
c:\program files\AntivirusFirewall\FWES\Program\fsdc32.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\program files\AntivirusFirewall\FSPS\program\FSLSP.DLL
c:\program files\antivirusfirewall\scanner-interface\fsgkiapi.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll

- - - - - - - > 'csrss.exe'(700)
c:\program files\AntivirusFirewall\FWES\Program\fsdc32.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\AntivirusFirewall\Anti-Virus\fsgk32st.exe
c:\program files\AntivirusFirewall\Anti-Virus\FSGK32.EXE
c:\program files\AntivirusFirewall\Common\FSMA32.EXE
c:\program files\AntivirusFirewall\Common\FSMB32.EXE
c:\program files\AntivirusFirewall\Common\FCH32.EXE
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\AntivirusFirewall\Anti-Virus\fsqh.exe
c:\program files\AntivirusFirewall\Common\FAMEH32.EXE
c:\program files\Windows Media Player\WMPNetwk.exe
c:\program files\AntivirusFirewall\FSAUA\program\fsaua.exe
c:\program files\AntivirusFirewall\Anti-Virus\fssm32.exe
c:\program files\AntivirusFirewall\FWES\Program\fsdfwd.exe
c:\windows\system32\wscntfy.exe
c:\program files\AntivirusFirewall\FSAUA\program\fsus.exe
c:\program files\AntivirusFirewall\FSGUI\fsguidll.exe
c:\program files\AntivirusFirewall\Anti-Virus\fsav32.exe
.
**************************************************************************
.
Heure de fin: 2010-02-23 18:16:55 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-02-23 17:16

Avant-CF: 41 573 240 832 octets libres
Après-CF: 41 605 062 656 octets libres

- - End Of File - - 9C15BB3E856B84AE87CE33EDA94B2C59






Concernant yccnalfa, apparemment il a été supprimé si je ne m'abuse? est-ce que je vais faire un tour dans regedit et je suis le chemin indiqué par SEAF précédemment pour vérifier?

Concernant monnid32, je suis aller voir dans regedit en suivant le chemin indiqué par SEAF et j'ai bien trouvé les "fichiers"...

Enfin bref, je ne fais rien sans que tu ne me dises ce qu'il faut faire. :)
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
454
Re,


c'est nickel ! .... ^^


Concernant yccnalfa, apparemment il a été supprimé si je ne m'abuse? est-ce que je vais faire un tour dans regedit et je suis le chemin indiqué par SEAF précédemment pour vérifier?

Concernant monnid32, je suis aller voir dans regedit en suivant le chemin indiqué par SEAF et j'ai bien trouvé les "fichiers"...



Si tu veux allez vérifier manuellement , c'est comme tu le sens ... mais tu ne devrais rein trouver maintenant ... ;o)



===================

on va vérifier au niveau des supports amovible et du fameux "winsys2" ....


fais ceci donc :

Télécharge UsbFix ( de C_XX, Chimay8 & El desaparecido ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
ou ici https://www.ionos.fr/?affiliate_id=77097

! Déconnecte toi d'internet et ferme toutes applications en cours !


Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .


# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil.

# Choisis l' option 1 ( Recherche )

# Laisse travailler l'outil et ne touche à rien pendant le scan .

# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html


tu veux dire par là que ça te parait tout good? :D ça serait trop bien :D merci en tout cas pour toute ton aide et ta patience

Voici le rapport usbfix:


############################## | UsbFix V6.097 |

User : gran kief (Administrateurs) # THE_ROAD_66
Update on 20/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 18:33:34 | 23/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) 4 CPU 3.20GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Disabled
AV : AntiVirus Firewall 8.01 8.01 [ Enabled | Updated ]
FW : AntiVirus Firewall 8.01[ Enabled ]8.01

C:\ -> Disque fixe local # 129,96 Go (38,75 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque amovible
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fsgk32st.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\FSGK32.EXE
C:\Program Files\AntivirusFirewall\Common\FSMA32.EXE
C:\Program Files\AntivirusFirewall\Common\FSMB32.EXE
C:\Program Files\AntivirusFirewall\Common\FCH32.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fsqh.exe
C:\Program Files\AntivirusFirewall\Common\FAMEH32.EXE
C:\Program Files\Windows Media Player\WMPNetwk.exe
C:\Program Files\AntivirusFirewall\FSAUA\program\fsaua.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fssm32.exe
C:\Program Files\AntivirusFirewall\ORSP Client\fsorsp.exe
C:\Program Files\AntivirusFirewall\FWES\Program\fsdfwd.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\AntivirusFirewall\FSAUA\program\fsus.exe
C:\Program Files\AntivirusFirewall\Common\FSM32.EXE
C:\Program Files\AntivirusFirewall\FSGUI\fsguidll.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fsav32.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Elements infectieux |


################## | Registre |

[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"

################## | Mountpoints2 |


################## | Vaccin |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

################## | ! Fin du rapport # UsbFix V6.097 ! |




Concernant monnid32 et yccalfna effectivement il n'y a plus rien du tout :D donc c'est cool.

Par contre, peux tu regarder ces screens de C:/ s'il te plait et me dire ce qu'il y a de normal et ce que je peux enlever (si je rencontre des problèmes pour enlever certains trucs que tu me diras, je te le ferai savoir :) )

voici les screens:
http://img297.imageshack.us/img297/1187/sanstitre1bt.jpg

et

http://img692.imageshack.us/img692/605/sanstitre2da.jpg
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
454
re,


Par contre, peux tu regarder ces screens de C:/ s'il te plait et me dire ce qu'il y a de normal et ce que je peux enlever (si je rencontre des problèmes pour enlever certains trucs que tu me diras, je te le ferai savoir :) )

ne touche à rien à ce niveau là non de non .... on ne supprime rien sans savoir ! ...


remets les option de dossier à la normal et tu en auras déjà moins :

Va dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
* "Afficher les fichiers et dossiers cachés" ---> décoché
* "Masquer les extensions des fichiers dont le type est connu" ---> coché
* "masquer les fichiers du système" ---> coché
-> valide la modif ( "appliquer" puis "ok" ).


=========================
=========================

la suite dans l'ordre :


1- ! Déconnecte toi d'internet et ferme toutes applications en cours !

Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .

# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil .

# Cette fois ci , tu choisis l' option 2 ( Suppression ) .

> Ton bureau disparaitra et le pc redémarrera ( c'est normal ).

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .

# Une fois terminé, poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .


( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).

/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr pour ouvrir le Gestionnaire des Tâches > Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide ) /!\


==========================

2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...





T'inquiètes pas, je ne te comptais pas supprimer quelque chose sans que tu me dises de le faire :)

Voici le rapport option 2 usbfix:

############################## | UsbFix V6.097 |

User : gran kief (Administrateurs) # THE_ROAD_66
Update on 20/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 20:17:38 | 23/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) 4 CPU 3.20GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Disabled
AV : AntiVirus Firewall 8.01 8.01 [ Enabled | Updated ]
FW : AntiVirus Firewall 8.01[ Enabled ]8.01

C:\ -> Disque fixe local # 129,96 Go (38,78 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque amovible
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fsgk32st.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\FSGK32.EXE
C:\Program Files\AntivirusFirewall\Common\FSMA32.EXE
C:\Program Files\AntivirusFirewall\Common\FSMB32.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AntivirusFirewall\Common\FCH32.EXE
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Media Player\WMPNetwk.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fsqh.exe
C:\Program Files\AntivirusFirewall\Common\FAMEH32.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\AntivirusFirewall\FSAUA\program\fsaua.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fssm32.exe
C:\Program Files\AntivirusFirewall\ORSP Client\fsorsp.exe
C:\Program Files\AntivirusFirewall\FWES\Program\fsdfwd.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe

################## | Elements infectieux |

Supprimé ! C:\Recycler\S-1-5-21-2690646912-4200844247-1566674502-1009

################## | Registre |

Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"

################## | Mountpoints2 |


################## | Listing des fichiers présent |

[04/04/2008 23:57|-rah-----|786] C:\administrativeInfo.dbf
[31/12/2007 15:58|-rah-----|7680] C:\albumImagesTable.cdx
[31/12/2007 15:58|-rah-----|957] C:\albumImagesTable.dbf
[04/04/2008 23:57|-rah-----|4608] C:\albumTable.cdx
[04/04/2008 23:57|-rah-----|3762] C:\albumTable.dbf
[19/04/2005 10:56|-rah-----|627] C:\autoAlbum.log
[15/12/2004 14:42|-ra------|0] C:\AUTOEXEC.BAT
[22/02/2010 14:34|--a------|216] C:\Boot.bak
[23/02/2010 18:59|-rahs----|286] C:\boot.ini
[05/08/2004 13:00|-rahs----|4952] C:\Bootfont.bin
[04/04/2008 23:57|-rah-----|0] C:\CB_Server_Errors.txt
[03/08/2004 23:00|--a------|263488] C:\cmldr
[23/02/2010 18:16|--a------|29010] C:\ComboFix.txt
[15/12/2004 14:42|-ra------|0] C:\CONFIG.SYS
[20/09/2008 11:18|-rah-----|221] C:\error.log
[31/12/2007 15:58|-rah-----|3072] C:\EXIFTable.cdx
[31/12/2007 15:58|-rah-----|488] C:\EXIFTable.dbf
[?|?|?] C:\hiberfil.sys
[06/02/2004 16:19|-rah-----|16384] C:\hpqimgrc.resources.dll
[31/12/2007 15:58|-rah-----|9216] C:\imageTable.cdx
[31/12/2007 15:58|-rah-----|1089] C:\imageTable.dbf
[31/12/2007 15:58|-rah-----|512] C:\imageTable.fpt
[15/12/2004 14:42|-rahs----|0] C:\IO.SYS
[31/12/2007 15:58|-rah-----|6144] C:\keywordImagesTable.cdx
[31/12/2007 15:58|-rah-----|360] C:\keywordImagesTable.dbf
[31/12/2007 15:58|-rah-----|4608] C:\keywordTable.cdx
[31/12/2007 15:58|-rah-----|456] C:\keywordTable.dbf
[31/12/2007 15:58|-rah-----|360] C:\managedFolderTable.dbf
[15/12/2004 14:42|-rahs----|0] C:\MSDOS.SYS
[05/08/2004 13:00|-rahs----|47564] C:\NTDETECT.COM
[02/10/2008 22:14|-rahs----|252240] C:\ntldr
[?|?|?] C:\pagefile.sys
[31/12/2007 15:58|-rah-----|4608] C:\pathnameTable.cdx
[31/12/2007 15:58|-rah-----|1490] C:\pathnameTable.dbf
[31/12/2007 15:58|-rah-----|6144] C:\ROFImagesTable.cdx
[31/12/2007 15:58|-rah-----|360] C:\ROFImagesTable.dbf
[31/12/2007 15:58|-rah-----|3072] C:\ROFTable.cdx
[31/12/2007 15:58|-rah-----|392] C:\ROFTable.dbf
[02/10/2008 18:20|-rah-----|90] C:\Setup.log
[23/02/2010 20:25|--a------|4725] C:\UsbFix.txt
[20/10/2007 19:47|-rah-----|3858] C:\_Sid.txt

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

################## | Upload |

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_THE_ROAD_66.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.097 ! |






voici le rapport ZHPDiag:
http://www.cijoint.fr/cjlink.php?file=cj201002/cijoaHulQd.txt


J'ai regardé d'un peu plus près ce dernier rapport et il y a des choses qui me chagrinent, peut-être pourras tu éclairer ma lanterne :D

---\\ Processus lancés
[MD5.C9BEA742CE225CC993C9465FDDAE4656] - (.Microsoft Corporation - Service Partage réseau du Lecteur Windows M.) -- C:\Program Files\Windows Media Player\WMPNetwk.exe

ça c'est un processus que j'aimerais arrèté définitivement n'ayant pas besoin de partager mon réseau, est-ce que je peux et comment?


---\\ Composants installés (ActiveSetup Installed Components) (O40)
O40 - ASIC: NetMeeting 3.01 - {44BBA842-CC51-11CF-AAFA-00AA00B6015B} . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\INF\msnetmtg.inf

---\\ Pilotes lancés au démarrage (O41)
O41 - Driver: (tmtdi) . (.Trend Micro Inc. - Trend Micro TDI Driver (i386-fre).) - C:\WINDOWS\system32\DRIVERS\tmtdi.sys
> le fameux trend micro à quoi me sert-il?

---\\ Logiciels installés (O42)
O42 - Logiciel: Codeur Windows Media Série 9 - (.Microsoft Corporation.)
O42 - Logiciel: Codeur Windows Media Série 9 - (.Pas de propriétaire.)
> Pourquoi y'en a 2?

O42 - Logiciel: Defraggler (remove only) - (.Piriform.)
> je l'ai pourtant désinstallé...

O42 - Logiciel: VCRedistSetup - (.Nero AG.)
> Je n'utilise pas Nero mais CDBurner... j'ai pourtant désintallé Nero, pourquoi j'ai encore des traces?

---\\ ShareTools MSconfig StartupReg (SMSR) (O53)
O53 - SMSR:HKLM\...\startupreg\WMPNSCFG [Key] . (.Microsoft Corporation - Application de configuration du service Par.) -- C:\Program Files\Windows Media Player\WMPNSCFG.exe
> y'a pas moyen qu'il ne démarre pas au lancement de la session? parce que meêm via msconfig, il revient toujours...

---\\ Liste des Drivers Système (SDL) (O58)
O58 - SDL:[MD5.417352592432F5368A8296F7FB73BECF] - 04/08/2004 - 00:38:44 ---A- . (.ATI Technologies Inc. - Pilote de miniport ATI RAGE 128.) -- C:\WINDOWS\system32\drivers\ati2mtag.sys
O58 - SDL:[MD5.56BF27D7A539F9E6BBC1DE201ABA0EDF] - 28/12/2006 - 05:44:00 R--A- . (.ATI Research Inc. - Ati High Definition Audio Function Driver.) -- C:\WINDOWS\system32\drivers\AtiHdAud.sys
> je n'ai pas de carte graphique ATI... j'ai une Geforce Nvidia...

O58 - SDL:[MD5.706FDB62D027ED3B68216C891F201B07] - 04/10/2008 - 11:51:37 ---A- . (.C-Media Inc - C-Media Audio WDM Driver.) -- C:\WINDOWS\system32\drivers\cmudax.sys
O58 - SDL:[MD5.90A3935D05B494A5A39D37E71F09A677] - 13/11/2007 - 11:25:54 ---A- . (.Macrovision Corporation, Macrovision Europe - Macrovision SECURITY Driver.) -- C:\WINDOWS\system32\drivers\secdrv.sys
> c'est quoi ces deux là?

O58 - SDL:[MD5.0F5A6A8AF2D1788F3FDF3C352EB3641F] - 15/02/2009 - 23:46:52 ---A- . (.Trend Micro Inc. - TrendMicro Activity Monitor Module.) -- C:\WINDOWS\system32\drivers\tmactmon.sys
O58 - SDL:[MD5.08BAC71557DF8A9B1381C8C165F64520] - 15/02/2009 - 23:46:52 ---A- . (.Trend Micro Inc. - TrendMicro Common Module.) -- C:\WINDOWS\system32\drivers\tmcomm.sys
O58 - SDL:[MD5.830DD50C083CFAF60E6E5F95CA109D0F] - 15/02/2009 - 23:46:52 ---A- . (.Trend Micro Inc. - TrendMicro Event Management Module.) -- C:\WINDOWS\system32\drivers\tmevtmgr.sys
O58 - SDL:[MD5.D6EA2D42E3CFA6D8178AAE5B2627548B] - 15/02/2009 - 23:46:52 ---A- . (.Trend Micro Inc. - Pre-Filter For XP.) -- C:\WINDOWS\system32\drivers\tmpreflt.sys
O58 - SDL:[MD5.6C9F58DD778B05DF58839F1376BF4687] - 15/02/2009 - 23:46:52 ---A- . (.Trend Micro Inc. - Trend Micro TDI Driver (i386-fre).) -- C:\WINDOWS\system32\drivers\tmtdi.sys
O58 - SDL:[MD5.D41BD6E34E8D68F77082EF1E6729E283] - 15/02/2009 - 23:46:52 ---A- . (.Trend Micro Inc. - Post Filter For XP.) -- C:\WINDOWS\system32\drivers\tmxpflt.sys
O58 - SDL:[MD5.F3B62FC525B566AC60651C9196E53BAE] - 15/02/2009 - 23:46:52 ---A- . (.Trend Micro Inc. - VsapiNT.) -- C:\WINDOWS\system32\drivers\vsapint.sys
> Pas sur que ça soit nécessire ça non plus? J'ai un antivirus Orange Fsecure, je n'ai rien qui appartient à trend micro...
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
454
Re,


pour ce qui est en 042 , possible qu'il n'y est que les entrées de registre de désinstalle et que les prg soient bel et bien supprimés ....

pour les 058 , pas touche trop risqué ...




pour le reste je te prépare le nettoyage ...



La suite Dans l'ordre :


1- supprime la version de ZHPdiag que tu as ainsi :

* Double clique sur l'utilitaire de désisnatlle qui est ici > C:\Program files\ZHPDiag\Unins000.exe

* puis supprime manuellement le dossier C:\Program files\ZHPDiag


* ensuite re-télécharge et ré-installe la dernière version de l'outil qui a subit de tous nouveaux correctifs :
-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html



====================


2- Utilisation de l'outil ZHPFix :

> Lance ZHPFix depuis le raccouci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal ( qui est vierge ), copie/colle tout le texte qui se trouve sur cette page ( et rien d'autre ! ) :

> http://www.cijoint.fr/cj201002/cijFEshPbz.txt


Vérifie :
- que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
- que les lignes soient disposées les unes en dessous des autres comme sur cette page lorsque tu les copies dans ZHPFix.


* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

* Enfin clique sur le bouton [ Nettoyer ] .


-> laisse travailler l'outil et ne touche à rien ...


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )

Pense à réactiver tes défenses !...


==================================

3- Télécharge Ad-remover ( de C_XX ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
ou ici https://www.androidworld.fr/

! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !

• Double clique sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .

• Au menu principal choisis l'option "S" et tape sur [entrée] .

• le scan démarre , laisse travailler l'outil et ne touche à rien ...

/!\ l'outil donne l'impression qu'il a planté et qu'il ne se passe rien , mais ce n'est pas le cas ! ( le scan est très discret et assez long , donc patience ... )


--> Poste le rapport qui apparait à la fin dans ta prochaine pour analyse ...

( Le rapport est sauvegardé aussi sous C:\Ad-report-SCAN.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )


Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus :
(AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Aides en images (Installation) : http://pagesperso-orange.fr/NosTools/tuto_ad_r1.html
Aides en images (Recherche) : http://pagesperso-orange.fr/NosTools/tuto_ad_r2.html



Voici les rapports:

ZHPFix v1.12.306 by Nicolas Coolman - Rapport de suppression du 23/02/2010 22:38:39
Fichier d'export Registre : C:\ZHPExportRegistry-23-02-2010-22-38-39.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
O23 - Service: (SfCtlCom) . (.Pas de propriétaire - Pas de description.) - C:\Program Files\Trend Micro\Internet Security\SfCtlCom.exe => Clé supprimée avec succès
O23 - Service: (TMBMServer) . (.Pas de propriétaire - Pas de description.) - C:\Program Files\Trend Micro\BM\TMBMSRV.exe => Clé supprimée avec succès
O23 - Service: (TmProxy) . (.Pas de propriétaire - Pas de description.) - C:\Program Files\Trend Micro\Internet Security\TmProxy.exe => Clé supprimée avec succès
O41 - Driver: (tmtdi) . (.Trend Micro Inc. - Trend Micro TDI Driver (i386-fre).) - C:\WINDOWS\system32\DRIVERS\tmtdi.sys => Clé supprimée avec succès

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
c:\program files\trend micro\internet security\sfctlcom.exe => Supprimé et mis en quarantaine
c:\program files\trend micro\bm\tmbmsrv.exe => Supprimé et mis en quarantaine
c:\program files\trend micro\internet security\tmproxy.exe => Supprimé et mis en quarantaine
c:\windows\system32\fjhdyfhsn.bat => Supprimé et mis en quarantaine
c:\windows\system32\drivers\tmactmon.sys => Supprimé et mis en quarantaine
c:\windows\system32\drivers\tmcomm.sys => Supprimé et mis en quarantaine
c:\windows\system32\drivers\tmevtmgr.sys => Supprimé et mis en quarantaine
c:\windows\system32\drivers\tmpreflt.sys => Supprimé et mis en quarantaine
c:\windows\system32\drivers\tmtdi.sys => Supprimé et mis en quarantaine
c:\windows\system32\drivers\tmxpflt.sys => Supprimé et mis en quarantaine
c:\windows\system32\drivers\vsapint.sys => Supprimé et mis en quarantaine

Logiciel :
(Néant)

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 4
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 0
Fichier : 11
Logiciel : 0
Autre : 0


End of the scan













.
======= RAPPORT D'AD-REMOVER 1.1.4.6_J | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 05.02.2010 à 17:34
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 22:40:26, 23/02/2010 | Mode Normal | Option: SCAN
Exécuté de: C:\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™ Service Pack 3 v5.1.2600
Nom du PC: THE_ROAD_66 | Utilisateur actuel: gran kief
.
============== ÉLÉMENT(S) TROUVÉ(S) ==============
.

C:\WINDOWS\icons\digsby.ico
C:\WINDOWS\icons\pimped.ico
.
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{BC4FFE41-DE9F-46FA-B455-AAD49B9F9938}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1A0AADCD-3A72-4B5F-900F-E3BB5A838E2A}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{BC4FFE41-DE9F-46fa-B455-AAD49B9F9938}
HKCU\software\pacificpoker
HKLM\Software\Classes\CLSID\{4260e0cc-0f75-462e-88a3-1e05c248bf4c}
HKLM\Software\Microsoft\Code Store Database\Distribution Units\CabBuilder
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\980289C22F80A7C4BB9323DC61255E4E
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\FA96423FE2B98E248A3B23548D1E22D9
HKU\s-1-5-21-2690646912-4200844247-1566674502-1009\software\pacificpoker
.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version [Impossible d'obtenir la version] *
.
Nom du profil: 61wavql7.default (gran kief)
.
(GRANKI~1, prefs.js) Browser.search.defaultenginename, Google
(GRANKI~1, prefs.js) Browser.search.defaulturl, hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
(GRANKI~1, prefs.js) Browser.search.selectedEngine, Google
(GRANKI~1, prefs.js) Browser.startup.homepage, hxxp://en-us.start.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
.
.
* Internet Explorer Version 6.0.2900.2180 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Local Page: C:\WINDOWS\system32\blank.htm
Show_ToolBar: yes
Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Enable Browser Extensions: yes
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Start Page: hxxp://fr.msn.com/
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Error: Value: "Tabs" does not exist!
.
============== Suspect (Cracks, Serials, ...) ==============
.
C:\Documents and Settings\gran kief\Favoris\Jeux Vid‚os\PES 2009\FPF - Download Center Patchs PES 2009.url
.
===================================
.
3024 Octet(s) - C:\Ad-Report-SCAN[1].log
.
10 Fichier(s) - C:\DOCUME~1\GRANKI~1\LOCALS~1\Temp
2 Fichier(s) - C:\WINDOWS\Temp
0 Fichier(s) - C:\WINDOWS\Prefetch
.
2 Fichier(s) - C:\Ad-Remover\BACKUP
0 Fichier(s) - C:\Ad-Remover\QUARANTINE
.
Fin à: 22:58:42 | 23/02/2010 - SCAN[1]
.
============== E.O.F ==============
.
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
454
Impec ...



la suite :


1- ! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !


• Double clique sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .

• Au menu principal choisis cette fois l'option "L" et tape sur [entrée] .

• Le nettoyage débute > Laisse travailler l'outil et ne touche à rien !...

/!\ l'outil donne l'impression qu'il a planté et qu'il ne se passe rien , mais ce n'est pas le cas ! ( le scan est très discret et assez long , donc patience ... )


--> Poste le rapport qui apparait à la fin dans ta prochaine réponse pour analyse ...

( Le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN.log)
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )


========================

2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...


Voici le rapport de ADremover avec option L:
.
======= RAPPORT D'AD-REMOVER 1.1.4.6_J | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 05.02.2010 à 17:34
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 11:33:13, 24/02/2010 | Mode Normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™ Service Pack 3 v5.1.2600
Nom du PC: THE_ROAD_66 | Utilisateur actuel: gran kief
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.

C:\WINDOWS\icons\digsby.ico
C:\WINDOWS\icons\pimped.ico

(!) -- Fichiers temporaires supprimés.

.
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{BC4FFE41-DE9F-46FA-B455-AAD49B9F9938}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1A0AADCD-3A72-4B5F-900F-E3BB5A838E2A}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{BC4FFE41-DE9F-46fa-B455-AAD49B9F9938}
HKCU\software\pacificpoker
HKLM\Software\Classes\CLSID\{4260e0cc-0f75-462e-88a3-1e05c248bf4c}
HKLM\Software\Microsoft\Code Store Database\Distribution Units\CabBuilder
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\980289C22F80A7C4BB9323DC61255E4E
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\FA96423FE2B98E248A3B23548D1E22D9
.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version [Impossible d'obtenir la version] *
.
Nom du profil: 61wavql7.default (gran kief)
.
(GRANKI~1, prefs.js) Browser.search.defaultenginename, Google
(GRANKI~1, prefs.js) Browser.search.defaulturl, hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
(GRANKI~1, prefs.js) Browser.search.selectedEngine, Google
(GRANKI~1, prefs.js) Browser.startup.homepage, hxxp://en-us.start.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
.
.
* Internet Explorer Version 6.0.2900.2180 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Local Page: C:\WINDOWS\system32\blank.htm
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Enable Browser Extensions: yes
Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Start Page: hxxp://fr.msn.com/
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search bar: hxxp://search.msn.com/spbasic.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
============== Suspect (Cracks, Serials, ...) ==============
.
C:\Documents and Settings\gran kief\Favoris\Jeux Vid‚os\PES 2009\FPF - Download Center Patchs PES 2009.url
.
===================================
.
3206 Octet(s) - C:\Ad-Report-CLEAN[1].log
.
1 Fichier(s) - C:\DOCUME~1\GRANKI~1\LOCALS~1\Temp
2 Fichier(s) - C:\WINDOWS\Temp
0 Fichier(s) - C:\WINDOWS\Prefetch
.
18 Fichier(s) - C:\Ad-Remover\BACKUP
2 Fichier(s) - C:\Ad-Remover\QUARANTINE
.
Fin à: 11:40:18 | 24/02/2010 - CLEAN[1]
.
============== E.O.F ==============
.



Voici le rapport ZHPDiag:
http://www.cijoint.fr/cjlink.php?file=cj201002/cijAaub3o8.tx
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
454
hello,


il y as des suppressions avec ZHPfix qui n'ont pas fonctionnées ...



reprends ceci donc :


Utilisation de l'outil ZHPFix :

> Lance ZHPFix depuis le raccouci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal ( qui est vierge ), copie/colle tout le texte qui se trouve sur cette page ( et rien d'autre ! ) :

> http://www.cijoint.fr/cj201002/cijelCY3PX.txt


Vérifie :
- que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
- que les lignes soient disposées les unes en dessous des autres comme sur cette page lorsque tu les copies dans ZHPFix.


* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

* Enfin clique sur le bouton [ Nettoyer ] .


-> laisse travailler l'outil et ne touche à rien ...


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )

Pense à réactiver tes défenses !...




Voici le rapport avec USB Fix selon les lignes que tu m'as donné:

ZHPFix v1.12.306 by Nicolas Coolman - Rapport de suppression du 24/02/2010 13:43:45
Fichier d'export Registre :
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
(Néant)

Logiciel :
(Néant)

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 0
Fichier : 0
Logiciel : 0
Autre : 0


End of the scan


Apparemment ça n'a rien supprimé de tout ce qui est "Trend Micro"... pourtant je suis allé voir dans C:/program files et il n'y a pas de trace d'un dossier Trend, comme il pouvait y avoir auparavant.
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
454
grrrr ....



l'outil merdouille quelque peu ....


1- Supprime proprement ZHPDiag/ZHPfix ainsi :

* Double clique sur l'utilitaire de désisnatlle qui est ici > C:\Program files\ZHPDiag\Unins000.exe

* puis supprime manuellement le dossier C:\Program files\ZHPDiag


=============================


2- reprends avec la dernière version dispo ,

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


!! déconnecte toi et ferme toutes tes applications en cours !!

> double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ) .

> Lance ZHPDiag depuis le raccourci du bureau .

> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite .
( celui avec le tournevis )

Une liste apparait dans l'encadré principal > vérifie que toutes les lignes soient bien cochées sauf les 045 et 061 ( important ! ) .

> Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .


Laisses travailler l'outil ...


> Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

( Sinon le rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag )

Puis ferme le programme ...


> rends toi ensuite sur ce site : http://www.cijoint.fr/

Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....



voili voilou:

http://www.cijoint.fr/cjlink.php?file=cj201002/cijombvVeZ.txt
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
454
bien ....




on reprends avec ZHPfix maintenant :


Utilisation de l'outil ZHPFix :

> Lance ZHPFix depuis le raccouci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal ( qui est vierge ), copie/colle tout le texte qui se trouve sur cette page ( et rien d'autre ! ) :

> http://www.cijoint.fr/cj201002/cijJ8kvWhr.txt


Vérifie :
- que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
- que les lignes soient disposées les unes en dessous des autres comme sur cette page lorsque tu les copies dans ZHPFix.


* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

* Enfin clique sur le bouton [ Nettoyer ] .


-> laisse travailler l'outil et ne touche à rien ...


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )

Pense à réactiver tes défenses !...



:s même résultat il me semble...

ZHPFix v1.12.306 by Nicolas Coolman - Rapport de suppression du 24/02/2010 14:23:32
Fichier Registre :
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
(Néant)

Logiciel :
(Néant)

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 0
Fichier : 0
Logiciel : 0
Autre : 0


End of the scan
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
454
Dis moi,


lors que tu copies le script dans ZHPfix , il n'y aurait pas un soucis au niveau des " é " qui seraient remplacés par des caractères spéciaux ? ....


Non tout est nickel quand je copies le texte sous ZHPFix, pas de caractères spéciaux à l'horizon, peut-être que je peux procéder autrement? Manuellement?
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
454
bon ....



on va faire autrement :


1- Créer un doc texte sur ton bureau:
pointe ta souris sur ton bureau , clique droit / va dans "nouveau" et choisis "document texte" .

* Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :


Driver::
RITCPT
SASDIFSV
SASENUM
SASKUTIL
SfCtlCom
TMBMServer
tmcomm
tmevtmgr
mpreflt
TmProxy
tmtdi
tmxpflt
vsapint



* Pour sauvegarder, va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ... ( sauvegarde le bien sur le bureau )



2- Nettoyage :

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

-->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )

Cette manipulation va relancer Combofix .

> Puis patiente le temps du scan ( Le Bureau va disparaître à plusieurs reprises : c'est normal !).

! Ne touches à rien tant que le scan n'est pas terminé !

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.


> Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...


( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )


Voili voilou le rapport de combofix:

ComboFix 10-02-23.04 - gran kief 24/02/2010 16:31:17.3.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.2047.1462 [GMT 1:00]
Lancé depuis: c:\documents and settings\gran kief\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\gran kief\Bureau\CFScript.txt
AV: AntiVirus Firewall 8.01 *On-access scanning disabled* (Updated) {E7512ED5-4245-4B4D-AF3A-382D3F313F15}
FW: AntiVirus Firewall 8.01 *disabled* {D4747503-0346-49EB-9262-997542F79BF4}
.

((((((((((((((((((((((((((((( Fichiers créés du 2010-01-24 au 2010-02-24 ))))))))))))))))))))))))))))))))))))
.

2010-02-24 14:16 . 2010-02-24 14:16 -------- d-----w- c:\program files\Game Graphic Studio
2010-02-24 12:43 . 2010-02-24 13:01 -------- d-----w- c:\program files\ZHPDiag
2010-02-24 10:29 . 2010-02-24 10:40 -------- d-----w- C:\Ad-Remover
2010-02-20 15:30 . 2010-02-20 15:30 72192 ----a-w- c:\windows\system32\tasklist.exe
2010-02-19 23:10 . 2001-08-17 20:52 5760 -c--a-w- c:\windows\system32\dllcache\hpt4qic.sys
2010-02-19 23:09 . 2001-08-23 16:47 13312 -c--a-w- c:\windows\system32\dllcache\hpsjmcro.dll
2010-02-19 23:09 . 2001-08-23 16:47 324608 -c--a-w- c:\windows\system32\dllcache\hpojwia.dll
2010-02-19 23:09 . 2001-08-17 21:07 25952 -c--a-w- c:\windows\system32\dllcache\hpn.sys
2010-02-19 23:09 . 2001-08-23 16:47 32768 -c--a-w- c:\windows\system32\dllcache\hpgtmcro.dll
2010-02-19 23:09 . 2001-08-23 16:47 68608 -c--a-w- c:\windows\system32\dllcache\hpgt53tk.dll
2010-02-19 23:09 . 2001-08-23 16:47 165888 -c--a-w- c:\windows\system32\dllcache\hpgt53.dll
2010-02-19 23:09 . 2001-08-23 16:47 31232 -c--a-w- c:\windows\system32\dllcache\hpgt42tk.dll
2010-02-19 23:08 . 2001-08-23 16:47 93696 -c--a-w- c:\windows\system32\dllcache\hpgt42.dll
2010-02-19 23:08 . 2001-08-23 16:47 126976 -c--a-w- c:\windows\system32\dllcache\hpgt34tk.dll
2010-02-19 23:08 . 2001-08-23 16:47 101376 -c--a-w- c:\windows\system32\dllcache\hpgt34.dll
2010-02-19 23:08 . 2001-08-23 16:47 48128 -c--a-w- c:\windows\system32\dllcache\hpgt33tk.dll
2010-02-19 23:08 . 2001-08-23 16:47 89088 -c--a-w- c:\windows\system32\dllcache\hpgt33.dll
2010-02-19 23:08 . 2001-08-23 16:47 123392 -c--a-w- c:\windows\system32\dllcache\hpgt21tk.dll
2010-02-19 23:07 . 2001-08-23 16:47 83968 -c--a-w- c:\windows\system32\dllcache\hpgt21.dll
2010-02-19 23:07 . 2001-08-23 16:47 119296 -c--a-w- c:\windows\system32\dllcache\hpdigwia.dll
2010-02-19 23:07 . 2001-08-17 21:02 2688 -c--a-w- c:\windows\system32\dllcache\hidswvd.sys
2010-02-19 23:07 . 2008-04-14 03:33 21504 -c--a-w- c:\windows\system32\dllcache\hidserv.dll
2010-02-19 23:07 . 2001-08-17 21:02 8576 -c--a-w- c:\windows\system32\dllcache\hidgame.sys
2010-02-19 23:07 . 2008-04-13 19:36 20352 -c--a-w- c:\windows\system32\dllcache\hidbatt.sys
2010-02-19 23:07 . 2001-08-23 16:19 908000 -c--a-w- c:\windows\system32\dllcache\hcf_msft.sys
2010-02-19 23:06 . 2008-04-14 02:59 28544 -c--a-w- c:\windows\system32\dllcache\grserial.sys
2010-02-19 23:06 . 2001-08-23 16:18 82560 -c--a-w- c:\windows\system32\dllcache\grclass.sys
2010-02-19 23:06 . 2001-08-23 16:18 17664 -c--a-w- c:\windows\system32\dllcache\gpr400.sys
2010-02-19 23:06 . 2004-08-05 12:00 634880 -c--a-w- c:\windows\system32\dllcache\getuname.dll
2010-02-19 23:06 . 2008-04-13 19:45 59136 -c--a-w- c:\windows\system32\dllcache\gckernel.sys
2010-02-19 23:06 . 2008-04-13 19:45 10624 -c--a-w- c:\windows\system32\dllcache\gameenum.sys
2010-02-19 23:06 . 2001-08-23 16:18 322560 -c--a-w- c:\windows\system32\dllcache\g400m.sys
2010-02-19 23:06 . 2001-08-23 16:46 1733120 -c--a-w- c:\windows\system32\dllcache\g400d.dll
2010-02-19 23:05 . 2001-08-23 16:18 320512 -c--a-w- c:\windows\system32\dllcache\g200m.sys
2010-02-19 23:05 . 2001-08-23 16:46 470144 -c--a-w- c:\windows\system32\dllcache\g200d.dll
2010-02-19 23:05 . 2001-08-17 19:15 454912 -c--a-w- c:\windows\system32\dllcache\fxusbase.sys
2010-02-19 23:05 . 2004-08-05 12:00 11776 -c--a-w- c:\windows\system32\dllcache\fxssend.exe
2010-02-19 23:05 . 2004-08-05 12:00 31744 -c--a-w- c:\windows\system32\dllcache\fxsroute.dll
2010-02-19 23:05 . 2004-08-05 12:00 141312 -c--a-w- c:\windows\system32\dllcache\fxsclntr.dll
2010-02-19 23:05 . 2004-08-05 12:00 113664 -c--a-w- c:\windows\system32\dllcache\fxscfgwz.dll
2010-02-19 23:05 . 2001-08-23 16:47 92672 -c--a-w- c:\windows\system32\dllcache\fuusd.dll
2010-02-19 23:04 . 2001-08-17 19:15 455296 -c--a-w- c:\windows\system32\dllcache\fusbbase.sys
2010-02-19 23:04 . 2001-08-17 19:15 455680 -c--a-w- c:\windows\system32\dllcache\fus2base.sys
2010-02-19 23:04 . 2004-08-05 12:00 6144 -c--a-w- c:\windows\system32\dllcache\ftlx041e.dll
2010-02-19 23:04 . 2004-08-05 12:00 55808 -c--a-w- c:\windows\system32\dllcache\freecell.exe
2010-02-19 23:04 . 2001-08-17 19:15 442240 -c--a-w- c:\windows\system32\dllcache\fpnpbase.sys
2010-02-19 23:04 . 2001-08-17 19:14 441728 -c--a-w- c:\windows\system32\dllcache\fpcmbase.sys
2010-02-19 23:04 . 2001-08-17 19:14 444416 -c--a-w- c:\windows\system32\dllcache\fpcibase.sys
2010-02-19 23:04 . 2004-08-03 21:31 34173 -c--a-w- c:\windows\system32\dllcache\forehe.sys
2010-02-19 23:03 . 2001-08-23 16:47 72192 -c--a-w- c:\windows\system32\dllcache\fnfilter.dll
2010-02-19 23:03 . 2004-08-05 12:00 15360 -c--a-w- c:\windows\system32\dllcache\flattemp.exe
2010-02-19 23:03 . 2001-08-17 19:13 27165 -c--a-w- c:\windows\system32\dllcache\fetnd5.sys
2010-02-19 23:03 . 2001-08-17 19:10 22090 -c--a-w- c:\windows\system32\dllcache\fem556n5.sys
2010-02-19 23:03 . 2001-08-23 16:47 43520 -c--a-w- c:\windows\system32\dllcache\EXCH_fcachdll.dll
2010-02-19 23:03 . 2001-08-17 19:12 24618 -c--a-w- c:\windows\system32\dllcache\fa410nd5.sys
2010-02-19 23:02 . 2001-08-17 19:12 16074 -c--a-w- c:\windows\system32\dllcache\fa312nd5.sys
2010-02-19 23:02 . 2001-08-17 19:11 11850 -c--a-w- c:\windows\system32\dllcache\f3ab18xj.sys
2010-02-19 23:02 . 2001-08-17 19:11 12362 -c--a-w- c:\windows\system32\dllcache\f3ab18xi.sys
2010-02-19 23:02 . 2001-08-17 20:52 7040 -c--a-w- c:\windows\system32\dllcache\exabyte2.sys
2010-02-19 23:02 . 2001-08-17 19:12 16998 -c--a-w- c:\windows\system32\dllcache\ex10.sys
2010-02-19 23:02 . 2004-08-05 12:00 25856 -c--a-w- c:\windows\system32\dllcache\et4000.sys
2010-02-19 23:02 . 2004-08-05 12:00 45568 -c--a-w- c:\windows\system32\dllcache\esunid.dll
2010-02-19 23:02 . 2001-08-23 16:47 46080 -c--a-w- c:\windows\system32\dllcache\esunib.dll
2010-02-19 23:01 . 2001-08-23 16:47 46080 -c--a-w- c:\windows\system32\dllcache\esuni.dll
2010-02-19 23:01 . 2004-08-05 12:00 57856 -c--a-w- c:\windows\system32\dllcache\esuimgd.dll
2010-02-19 23:01 . 2001-08-23 16:47 34816 -c--a-w- c:\windows\system32\dllcache\esuimg.dll
2010-02-19 23:01 . 2004-08-05 12:00 31744 -c--a-w- c:\windows\system32\dllcache\esucmd.dll
2010-02-19 23:01 . 2001-08-23 16:47 43008 -c--a-w- c:\windows\system32\dllcache\esucm.dll
2010-02-19 23:01 . 2004-08-03 21:32 137088 -c--a-w- c:\windows\system32\dllcache\essm2e.sys
2010-02-19 23:01 . 2001-08-17 19:19 63360 -c--a-w- c:\windows\system32\dllcache\ess.sys
2010-02-19 23:01 . 2001-08-23 16:16 348222 -c--a-w- c:\windows\system32\dllcache\es56tpi.sys
2010-02-19 23:01 . 2001-08-23 16:16 594910 -c--a-w- c:\windows\system32\dllcache\es56hpi.sys
2010-02-19 23:00 . 2001-08-23 16:16 596319 -c--a-w- c:\windows\system32\dllcache\es56cvmp.sys
2010-02-19 23:00 . 2001-08-17 19:19 174464 -c--a-w- c:\windows\system32\dllcache\es198x.sys
2010-02-19 23:00 . 2001-08-17 19:19 72192 -c--a-w- c:\windows\system32\dllcache\es1969.sys
2010-02-19 23:00 . 2001-08-17 19:19 40704 -c--a-w- c:\windows\system32\dllcache\es1371mp.sys
2010-02-19 23:00 . 2001-08-17 19:19 37120 -c--a-w- c:\windows\system32\dllcache\es1370mp.sys
2010-02-19 23:00 . 2001-08-23 16:47 62464 -c--a-w- c:\windows\system32\dllcache\eqnloop.exe
2010-02-19 23:00 . 2001-08-23 16:47 51712 -c--a-w- c:\windows\system32\dllcache\eqnlogr.exe
2010-02-19 23:00 . 2001-08-23 16:47 53760 -c--a-w- c:\windows\system32\dllcache\eqndiag.exe
2010-02-19 22:59 . 2001-08-23 16:16 630016 -c--a-w- c:\windows\system32\dllcache\eqn.sys
2010-02-19 22:59 . 2001-08-17 20:50 114944 -c--a-w- c:\windows\system32\dllcache\epstw2k.sys
2010-02-19 22:59 . 2001-08-17 19:12 18503 -c--a-w- c:\windows\system32\dllcache\epro4.sys
2010-02-19 22:59 . 2001-08-17 20:50 144896 -c--a-w- c:\windows\system32\dllcache\epcfw2k.sys
2010-02-19 22:59 . 2001-08-17 19:19 283904 -c--a-w- c:\windows\system32\dllcache\emu10k1m.sys
2010-02-19 22:59 . 2001-08-17 19:10 19996 -c--a-w- c:\windows\system32\dllcache\em556n4.sys
2010-02-19 22:59 . 2001-08-17 19:10 25159 -c--a-w- c:\windows\system32\dllcache\elnk3.sys
2010-02-19 22:58 . 2001-08-17 20:53 7296 -c--a-w- c:\windows\system32\dllcache\elmsmc.sys
2010-02-19 22:58 . 2001-08-23 16:13 175104 -c--a-w- c:\windows\system32\dllcache\el99xn51.sys
2010-02-19 22:58 . 2001-08-17 19:11 70174 -c--a-w- c:\windows\system32\dllcache\el98xn5.sys
2010-02-19 22:58 . 2001-08-23 16:13 455711 -c--a-w- c:\windows\system32\dllcache\el985n51.sys
2010-02-19 22:58 . 2001-08-23 16:13 153631 -c--a-w- c:\windows\system32\dllcache\el90xnd5.sys
2010-02-19 22:58 . 2001-08-17 19:11 66591 -c--a-w- c:\windows\system32\dllcache\el90xbc5.sys
2010-02-19 22:58 . 2001-08-23 16:13 241238 -c--a-w- c:\windows\system32\dllcache\el656se5.sys
2010-02-19 22:58 . 2001-08-17 19:11 77386 -c--a-w- c:\windows\system32\dllcache\el656nd5.sys
2010-02-19 22:58 . 2001-08-23 16:13 634166 -c--a-w- c:\windows\system32\dllcache\el656ct5.sys
2010-02-19 22:58 . 2001-08-17 19:11 69194 -c--a-w- c:\windows\system32\dllcache\el656cd5.sys
2010-02-19 22:58 . 2001-08-17 19:10 26141 -c--a-w- c:\windows\system32\dllcache\el589nd5.sys
2010-02-19 22:57 . 2001-08-17 19:10 69692 -c--a-w- c:\windows\system32\dllcache\el575nd5.sys
2010-02-19 22:57 . 2001-08-17 19:10 24653 -c--a-w- c:\windows\system32\dllcache\el574nd4.sys
2010-02-19 22:57 . 2001-08-17 19:10 55999 -c--a-w- c:\windows\system32\dllcache\el556nd5.sys
2010-02-19 22:57 . 2001-08-23 16:13 44615 -c--a-w- c:\windows\system32\dllcache\el515.sys
2010-02-19 22:57 . 2004-08-05 12:00 514587 -c--a-w- c:\windows\system32\dllcache\edb500.dll
2010-02-19 22:57 . 2001-08-17 19:12 19594 -c--a-w- c:\windows\system32\dllcache\e100isa4.sys
2010-02-19 22:57 . 2001-08-23 16:12 117760 -c--a-w- c:\windows\system32\dllcache\e100b325.sys
2010-02-19 22:57 . 2001-08-23 16:12 51743 -c--a-w- c:\windows\system32\dllcache\e1000nt5.sys
2010-02-19 22:56 . 2001-08-17 19:20 334208 -c--a-w- c:\windows\system32\dllcache\ds1wdm.sys
2010-02-19 22:56 . 2001-08-17 21:07 20192 -c--a-w- c:\windows\system32\dllcache\dpti2o.sys
2010-02-19 22:56 . 2001-08-17 19:12 28062 -c--a-w- c:\windows\system32\dllcache\dp83820.sys
2010-02-19 22:56 . 2001-08-23 16:11 24064 -c--a-w- c:\windows\system32\dllcache\dot4usb.sys
2010-02-19 22:56 . 2001-08-17 20:47 8704 -c--a-w- c:\windows\system32\dllcache\dot4scan.sys
2010-02-19 22:56 . 2001-08-17 20:47 12928 -c--a-w- c:\windows\system32\dllcache\dot4prt.sys
2010-02-19 22:56 . 2008-04-13 19:39 206976 -c--a-w- c:\windows\system32\dllcache\dot4.sys
2010-02-19 22:55 . 2001-08-17 19:11 29696 -c--a-w- c:\windows\system32\dllcache\dm9pci5.sys
2010-02-19 22:55 . 2008-04-13 19:40 8320 -c--a-w- c:\windows\system32\dllcache\dlttape.sys
2010-02-19 22:55 . 2001-08-17 19:11 26698 -c--a-w- c:\windows\system32\dllcache\dlh5xnd5.sys
2010-02-19 22:55 . 2001-08-17 19:14 952007 -c--a-w- c:\windows\system32\dllcache\diwan.sys
2010-02-19 22:55 . 2001-08-23 16:47 29768 -c--a-w- c:\windows\system32\dllcache\divasu.dll
2010-02-19 22:55 . 2001-08-23 16:47 37962 -c--a-w- c:\windows\system32\dllcache\divaprop.dll
2010-02-19 22:55 . 2001-08-23 16:47 6216 -c--a-w- c:\windows\system32\dllcache\divaci.dll
2010-02-19 22:55 . 2001-08-23 16:47 236060 -c--a-w- c:\windows\system32\dllcache\ditrace.exe
2010-02-19 22:55 . 2001-08-23 16:47 38985 -c--a-w- c:\windows\system32\dllcache\disrvsu.dll
2010-02-19 22:54 . 2001-08-23 16:47 31817 -c--a-w- c:\windows\system32\dllcache\disrvpp.dll
2010-02-19 22:54 . 2001-08-23 16:47 6729 -c--a-w- c:\windows\system32\dllcache\disrvci.dll
2010-02-19 22:54 . 2001-08-17 19:13 91305 -c--a-w- c:\windows\system32\dllcache\dimaint.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-24 12:35 . 2006-09-23 09:49 -------- d-----w- c:\program files\AntivirusFirewall
2010-02-22 00:10 . 2008-10-08 15:29 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard
2010-02-22 00:09 . 2009-09-09 16:49 -------- d-----w- c:\program files\AGEIA Technologies
2010-02-22 00:08 . 2009-09-10 14:12 -------- d-----w- c:\program files\NVIDIA Corporation
2010-02-20 16:30 . 2004-12-15 15:25 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-02-20 16:30 . 2008-06-17 16:39 -------- d-----w- c:\documents and settings\gran kief\Application Data\DataCast
2010-02-18 23:52 . 2004-12-15 13:56 95454 ----a-w- c:\windows\system32\perfc00C.dat
2010-02-18 23:52 . 2004-12-15 13:56 535282 ----a-w- c:\windows\system32\perfh00C.dat
2010-02-18 22:19 . 2008-12-18 22:26 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-02-10 14:08 . 2009-12-07 14:51 -------- d-----w- c:\documents and settings\gran kief\Application Data\www.pro-evo.xooit.fr
2010-02-09 10:23 . 2008-08-04 18:40 -------- d-----w- c:\program files\Paint.NET
2010-01-12 04:03 . 2009-12-21 11:05 61440 ----a-w- c:\windows\system32\OpenCL.dll
2010-01-12 04:03 . 2009-12-21 11:05 11632640 ----a-w- c:\windows\system32\nvcompiler.dll
2010-01-12 04:03 . 2009-08-16 22:57 4077672 ----a-w- c:\windows\system32\nvcuvenc.dll
2010-01-12 04:03 . 2009-08-16 22:57 2283526 ----a-w- c:\windows\system32\nvdata.bin
2010-01-12 04:03 . 2009-08-16 22:57 2259560 ----a-w- c:\windows\system32\nvcuvid.dll
2010-01-12 04:03 . 2008-05-16 18:31 4104192 ----a-w- c:\windows\system32\nvcuda.dll
2010-01-12 04:03 . 2008-05-16 18:31 182888 ----a-w- c:\windows\system32\nvcodins.dll
2010-01-12 04:03 . 2008-05-16 18:31 14458880 ----a-w- c:\windows\system32\nvoglnt.dll
2010-01-12 04:03 . 2008-05-16 18:31 1081344 ----a-w- c:\windows\system32\nvapi.dll
2010-01-12 04:03 . 2004-12-09 10:11 6359168 ----a-w- c:\windows\system32\nv4_disp.dll
2010-01-12 04:03 . 2004-12-09 10:11 10276768 ----a-w- c:\windows\system32\drivers\nv4_mini.sys
2010-01-11 16:52 . 2009-12-13 20:48 -------- d-----w- c:\program files\Fichiers communs\Adobe
2010-01-07 15:07 . 2008-12-18 22:26 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-07 15:07 . 2008-12-18 22:26 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-02 22:22 . 2010-01-02 22:22 -------- d-----w- c:\program files\Fichiers communs\Windows Live
2010-01-02 16:56 . 2010-01-02 16:56 -------- d-----w- c:\documents and settings\All Users\Application Data\Canneverbe Limited
2010-01-02 16:56 . 2008-12-21 15:44 -------- d-----w- c:\program files\CDBurnerXP
2009-12-22 05:09 . 2004-12-15 13:55 671232 ------w- c:\windows\system32\wininet.dll
2009-12-22 05:08 . 2009-05-07 09:42 81920 ----a-w- c:\windows\system32\ieencode.dll
.

------- Sigcheck -------

[7] 2008-06-20 . AD978A1B783B5719720CFF204B666C8E . 361600 . . [5.1.2600.5625] . . c:\windows\$hf_mig$\KB951748\SP3QFE\tcpip.sys
[7] 2008-06-20 . 9AEFA14BD6B182D61E3119FA5F436D3D . 361600 . . [5.1.2600.5625] . . c:\windows\$hf_mig$\KB951748\SP3GDR\tcpip.sys
[-] 2008-06-20 . 4AFB3B0919649F95C1964AA1FAD27D73 . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys
[7] 2008-06-20 . 744E57C99232201AE98C49168B918F48 . 360960 . . [5.1.2600.3394] . . c:\windows\$hf_mig$\KB951748\SP2QFE\tcpip.sys
[7] 2008-04-13 . 93EA8D04EC73A85DB02EB8805988F733 . 361344 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\tcpip.sys
[-] 2007-10-30 . 64798ECFA43D78C7178375FCDD16D8C8 . 360832 . . [5.1.2600.3244] . . c:\windows\$hf_mig$\KB941644\SP2QFE\tcpip.sys
[-] 2006-04-20 . B2220C618B42A2212A59D91EBD6FC4B4 . 360576 . . [5.1.2600.2892] . . c:\windows\$hf_mig$\KB917953\SP2QFE\tcpip.sys
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ccleaner"="c:\program files\CCleaner\CCleaner.exe" [2010-01-26 1724728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"F-Secure Manager"="c:\program files\AntivirusFirewall\Common\FSM32.EXE" [2008-12-04 182936]
"F-Secure TNB"="c:\program files\AntivirusFirewall\FSGUI\TNBUtil.exe" [2008-12-04 957024]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Démarrage rapide du logiciel HP Image Zone.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Démarrage rapide du logiciel HP Image Zone.lnk
backup=c:\windows\pss\Démarrage rapide du logiciel HP Image Zone.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=c:\windows\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
2004-04-13 11:49 88363 ----a-w- c:\windows\AGRSMMSG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
2009-05-12 13:05 133104 ----atw- c:\documents and settings\gran kief\Local Settings\Application Data\Google\Update\GoogleUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Component Manager]
2004-05-12 14:18 241664 ----a-w- c:\program files\HP\hpcoretech\hpcmpmgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LVCOMSX]
2005-12-09 13:32 225280 ----a-w- c:\windows\system32\LVCOMSX.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2009-07-26 15:44 3883856 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2010-01-11 21:17 13666408 ----a-w- c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2010-01-11 21:17 110696 ----a-w- c:\windows\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-06-21 10:53 148888 ----a-w- c:\program files\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG]
2006-11-03 07:59 204288 ----a-w- c:\program files\Windows Media Player\wmpnscfg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ATI Smart"=2 (0x2)
"Ati HotKey Poller"=2 (0x2)
"maconfservice"=3 (0x3)
"NMIndexingService"=3 (0x3)
"Nero BackItUp Scheduler 3"=2 (0x2)
"usnjsvc"=3 (0x3)
"WLSetupSvc"=3 (0x3)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"updateMgr"=c:\documents and settings\gran kief\Mes documents\Dossiers d'utilisation annexe\Programmes nécessaires\Reader\AdobeUpdateManager.exe AcRdB7_0_5

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"farstone"=
"fenaffiche"=c:\program files\FenAffiche\Fenpowernet.exe
"Raccourci vers la page des propriétés de High Definition Audio"=HDAudPropShortcut.exe
"WinSys2"=c:\windows\system32\winsys2.exe
"nwiz"=nwiz.exe /install

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Microsoft Games\\Age of Empires III\\age3.exe"=
"c:\\Program Files\\Microsoft Games\\Age of Empires III\\age3x.exe"=
"c:\\Program Files\\Microsoft Games\\Age of Empires III\\age3y.exe"=
"c:\\Program Files\\KONAMI\\Pro Evolution Soccer 2010\\Kitserver2010_PESedit\\pes2010.exe"=

R0 fsbts;fsbts;c:\windows\system32\drivers\fsbts.sys [26/06/2009 23:18 33920]
R0 FSFW;F-Secure Firewall Driver;c:\windows\system32\drivers\fsdfw.sys [23/09/2006 10:50 79872]
R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\drivers\xfilt.sys [10/09/2009 15:21 22168]
R1 F-Secure HIPS;F-Secure HIPS Driver;c:\program files\AntivirusFirewall\HIPS\drivers\fshs.sys [26/06/2009 23:17 67808]
R3 cmudax;C-Media High Definition Audio Interface;c:\windows\system32\drivers\cmudax.sys [01/10/2004 14:58 1475712]
R3 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\program files\AntivirusFirewall\Anti-Virus\minifilter\fsgk.sys [23/09/2006 10:50 107104]
R3 FSORSPClient;F-Secure ORSP Client;c:\program files\AntivirusFirewall\ORSP Client\fsorsp.exe [26/06/2009 23:17 55904]
S0 sptd;sptd;c:\windows\system32\Drivers\sptd.sys --> c:\windows\system32\Drivers\sptd.sys [?]
S2 tmevtmgr;tmevtmgr;\??\c:\windows\system32\drivers\tmevtmgr.sys --> c:\windows\system32\drivers\tmevtmgr.sys [?]
S2 tmpreflt;tmpreflt;c:\windows\system32\DRIVERS\tmpreflt.sys --> c:\windows\system32\DRIVERS\tmpreflt.sys [?]
S3 FT8A91;FT8A91 Filter;c:\windows\system32\drivers\ft8a91.sys [01/10/2008 18:46 69701]
S3 PsShutdownSvc;PsShutdown;c:\windows\system32\PSSDNSVC.EXE [20/12/2004 11:18 65536]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\d:\ntglm7x.sys --> d:\NTGLM7X.sys [?]
S3 ZDCndis5;ZDCndis5 Protocol Driver;\??\c:\windows\system32\ZDCndis5.SYS --> c:\windows\system32\ZDCndis5.SYS [?]
S4 F-Secure Filter;F-Secure File System Filter;c:\program files\AntivirusFirewall\Anti-Virus\win2k\fsfilter.sys [23/09/2006 10:50 39776]
S4 F-Secure Recognizer;F-Secure File System Recognizer;c:\program files\AntivirusFirewall\Anti-Virus\win2k\fsrec.sys [23/09/2006 10:50 25184]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - MBAMSwissArmy
.
Contenu du dossier 'Tâches planifiées'

2010-02-23 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2690646912-4200844247-1566674502-1009Core.job
- c:\documents and settings\gran kief\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-05-12 13:05]

2010-02-24 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2690646912-4200844247-1566674502-1009UA.job
- c:\documents and settings\gran kief\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-05-12 13:05]
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
LSP: c:\program files\AntivirusFirewall\FSPS\program\FSLSP.DLL
TCP: {C3BD41D0-837A-4071-A827-75F73FCE1017} = 192.168.1.1
DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game01.zylom.com/activex/zylomgamesplayer.cab
.
- - - - ORPHELINS SUPPRIMES - - - -

AddRemove-HijackThis - c:\documents and settings\gran kief\Bureau\HijackThis.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-24 16:36
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-2690646912-4200844247-1566674502-1009\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_USERS\S-1-5-21-2690646912-4200844247-1566674502-1009\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:70,c0,17,b2,fa,50,16,8c,4e,23,8a,2c,0b,5a,4a,09,66,00,2b,87,b2,7a,da,
a4,d2,45,19,65,95,6f,a1,37,ac,31,69,8a,f8,ee,5b,85,ed,3b,1f,16,ea,ba,78,3d,\
"??"=hex:af,4c,1b,ea,3b,bf,b9,68,f7,29,e3,ee,93,07,74,fe

[HKEY_USERS\S-1-5-21-2690646912-4200844247-1566674502-1009\Software\SecuROM\License information*]
"datasecu"=hex:f5,06,94,cf,05,4c,f1,72,a6,1f,af,1c,35,25,38,09,49,aa,04,43,eb,
9e,16,5f,da,58,57,d9,54,53,c7,ad,03,90,7a,f4,42,98,67,b5,6a,ff,5f,6a,3d,2a,\
"rkeysecu"=hex:c9,64,3c,69,b4,8b,4e,e0,87,a8,76,2c,a0,b1,a3,09
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(700)
c:\program files\AntivirusFirewall\FWES\Program\fsdc32.dll

- - - - - - - > 'lsass.exe'(760)
c:\program files\AntivirusFirewall\FSPS\program\FSLSP.DLL
c:\program files\AntivirusFirewall\FWES\Program\fsdc32.dll

- - - - - - - > 'explorer.exe'(848)
c:\program files\AntivirusFirewall\Spam Control\fsscoepl.dll
c:\program files\AntivirusFirewall\FWES\Program\fsdc32.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\program files\AntivirusFirewall\FSPS\program\FSLSP.DLL
c:\program files\antivirusfirewall\scanner-interface\fsgkiapi.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll

- - - - - - - > 'csrss.exe'(676)
c:\program files\AntivirusFirewall\FWES\Program\fsdc32.dll
.
Heure de fin: 2010-02-24 16:39:44
ComboFix-quarantined-files.txt 2010-02-24 15:39

Avant-CF: 35 333 206 016 octets libres
Après-CF: 35 293 462 528 octets libres

- - End Of File - - 2CC7F305C3B91DA39B14BC635CA31CB9
1 2