Virus boo-sinowal [Résolu/Fermé]

Signaler
Messages postés
65
Date d'inscription
samedi 9 mai 2009
Statut
Membre
Dernière intervention
11 décembre 2012
-
 Utilisateur anonyme -
Bonjour,
Mon antivirus a détecté le résultat positif boo-sinowal dans l'amorçage. Il est impossible de le supprimer et j'ai essayé avec antivir removal tool sans résultat.
Merci de m'aider.


22 réponses


Salut

* Bienvenue sur CCM !
* N'ouvre pas d'autres sujets pour le même problème >> sur ce forum ou sur un autre
* Ensemble nous allons essayer de régler ton problème .



* Télécharge ZHPDiag (de Nicolas coolman)

* ZHPDiag est un outil de diagnostic (Réalisé par Nicolas Coolman) .
Le logiciel permet d'effectuer un diagnostic rapide et complet de son système d'exploitation plus complet qu un rapport d'HijackThis
Il scrute ta Base de Registre et énumère les zones sensibles qui sont susceptibles d'être infectées.


ICI >> ZHPDiag (de Nicolas coolman)

* Une fois le téléchargement achevé,
* double clique sur ZHPDiag.exe et suis les instructions.
* /!\Utilisateurs de Windows Vista et Windows 7
* >> Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »
* Laisse toi guider lors de l'installation,
* coche >> créer une icône sur le bureau
* il se lancera automatiquement à la fin.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport sur ce site,
>> Cijoint.fr
* puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.


* Pour t aider ,pour heberger le rapport
* rends toi sur Cijoint.fr
* clic sur Parcourir
* trouve >> le rapport que tu viens d'enregistrer qui doit par exemple être sur ton bureau
* et valide en cliquant sur >> Cliquez ici pour déposer le Fichier
* un lien de ce genre http://www.cijoint.fr/cjlink.php?file=cj201004/cijecaEGX.txt te sera généré,
* il te suffit de le poster ici pour que je puisse voir le rapport
Messages postés
65
Date d'inscription
samedi 9 mai 2009
Statut
Membre
Dernière intervention
11 décembre 2012
2
Voilà j'ai fait le scan et donc voici le lien.
Merci de votre aide!
http://www.cijoint.fr/cjlink.php?file=cj201009/cijEygBAOY.txt

Salut

plusieurs infections infectionsBT,des Amovibles et Rootkit TDSS ......

fais dans l'ordre et lis bien

1) * Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)

* Ad-Remover permet d'éliminer proprement les publiciels vérolés, « adware » en anglais.
* Affichant de la publicité en échange d'un service gratuit,
* certains d'entre eux contiennent des logiciels espions violant votre vie privée numérique tout en modifiant le comportement de ton système.

ICI >>AD-Remover

/!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\

* Double-clique sur l'icône Ad-remover située sur ton Bureau.
* Sur la page, clique sur le bouton « Nettoyer »
* Confirme l'opération
* Poste le rapport qui apparaît à la fin.
* (Le rapport est sauvegardé aussi sous C:\Ad-report.)
* (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

ensuite


2) * Desactive ton antivirus le temps de la manip

* Telecharge et install UsbFix (de El Desaparecido et C_XX )

* UsbFix est un programme spécifique , son rôle est la suppression d'infection se propageant via les supports amovibles
* Il rétablit certaines fonctions de sécurité endommagées, comme l'accès au registre, au gestionnaire des tâches, à l'affichage des fichiers cachés etc
.

>> UsbFix (de El Desaparecido et C_XX )

* Déconnectes toi et fermes toutes applications en cours
* Au message ==> Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d avoir été infectés sans les ouvrir
* Double clic sur le raccourci UsbFix présent sur ton bureau .
* Choisi >> l option >> Suppression
* Laisse travailler l outil.
* Ensuite poste le rapport UsbFix.txt qui apparaitra.
* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


* Réactive ton antivirus


en dernier


3) ========> ZHPFix <========


* ferme toutes les applications ouvertes.
* Copies tout le texte présent en gras dans l'encadré ci-dessous
*( tu le selectionnes avec ta souris >> Clique droit dessus et choisis "copier" ou fait Ctrl+C )



[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified
O4 - HKCU\..\Run: [mscj.exe] C:\Documents and Settings\Proprietaire\Application Data\MSA\mscj.exe (.not file.)
O4 - HKCU\..\Run: [mscjm.exe] C:\Documents and Settings\Proprietaire\Application Data\MSA\mscjm.exe (.not file.)
O4 - HKCU\..\Run: [EBUNWVLUMV] C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\Cn1.exe (.not file.)
O4 - HKCU\..\Run: [QNB2EB90WX] C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\Cn1.exe (.not file.)
O4 - HKUS\S-1-5-21-3646400337-2953829839-2003898919-1005\..\Run: [mscj.exe] C:\Documents and Settings\Proprietaire\Application Data\MSA\mscj.exe (.not file.)
O4 - HKUS\S-1-5-21-3646400337-2953829839-2003898919-1005\..\Run: [mscjm.exe] C:\Documents and Settings\Proprietaire\Application Data\MSA\mscjm.exe (.not file.)
O4 - HKUS\S-1-5-21-3646400337-2953829839-2003898919-1005\..\Run: [EBUNWVLUMV] C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\Cn1.exe (.not file.)
O4 - HKUS\S-1-5-21-3646400337-2953829839-2003898919-1005\..\Run: [QNB2EB90WX] C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\Cn1.exe (.not file.)
[HKCU\Software\Conduit]
[HKCU\Software\EBUNWVLUMV]
[HKCU\Software\QNB2EB90WX]
[HKCU\Software\RZDVL2F27W]
[HKCU\Software\V71IQL7HI7]
[HKCU\Software\Winsudate]
[HKCU\Software\XML]
[HKLM\Software\Bandoo]
[HKLM\Software\BrowserChoice]
O43 - CFD:Common File Directory ----D- C:\Program Files\Bandoo
O43 - CFD:Common File Directory ----D- C:\Program Files\Conduit
O53 - SMSR:HKLM\...\startupreg\WinUsr [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Winsudate\gibusr.exe
O64 - Services: CurCS - C:\WINDOWS\system32\svchost.exe - SSHNAS (SSHNAS) .(.Microsoft Corporation - Generic Host Process for Win32 Services.) - LEGACY_SSHNAS
O64 - Services: CurCS - (.not file.) - Gestionnaire de mise à jour Winsudate (WinSvc) .(.Pas de propriétaire - Pas de description.) - LEGACY_WINSVC
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe





* Double Clique sur l'icone ZhpFix du bureau pour le lancer .
* Windows7/Vista >> Fais un clic-droit sur le raccourci de ZHPFix et choisis "Exécuter en temps qu'administrateur"
* Une fois l'outil ZHPFix ouvert ,

* clique sur le bouton [ H ] ==> Image ( "coller les lignes Helper" ) .

* Dans l'encadré principal
* tu verras donc les lignes que tu as copié précédemment apparaitre .
* Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
* cliques >> OK puis
* Cliques sur >>Tous
* Pour finir clique sur >> Nettoyer .
* colle le rapport obtenu .
( ce rapport est sauvegardé dans ce dossier C:\Program files\ZHPDiag\ZHPFixReport.txt )



@+



Membre Contributeur sécurité CCM
Windows Vista // Windows XP
Messages postés
65
Date d'inscription
samedi 9 mai 2009
Statut
Membre
Dernière intervention
11 décembre 2012
2
Voici le rapport de ad-remover.

======= RAPPORT D'AD-REMOVER 2.0.0.1,E | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 06/09/10 à 15:20
Contact: AdRemover.contact[AT]gmail.com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 11:31:26 le 11/09/2010, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86)
Proprietaire@NOM-F9F45340BC2 ( )

============== ACTION(S) ==============


0,Dossier supprimé: C:\WINDOWS\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
0,Fichier supprimé: C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job
0,Dossier supprimé: C:\Program Files\Ask.com
0,Dossier supprimé: C:\Documents and Settings\Proprietaire\Local Settings\Application Data\AskToolbar
0,Dossier supprimé: C:\Program Files\Bandoo
0,Dossier supprimé: C:\Program Files\Conduit
3,Fichier supprimé: C:\WINDOWS\Installer\ea023f5.msi

(!) -- Fichiers temporaires supprimés.


1,Clé supprimée: HKLM\Software\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{27F69C85-64E1-43CE-98B5-3C9F22FB408E}
3,Clé supprimée: HKLM\Software\Classes\AppID\{1301A8A5-3DFB-4731-A162-B357D00C9644}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{B543EF05-9758-464E-9F37-4C28525B4A4C}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{BB76A90B-2B4C-4378-8506-9A2B6E16943C}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{C3AB94A4-BFD0-4BBA-A331-DE504F07D2DB}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
1,Clé supprimée: HKLM\Software\Classes\Interface\{477F210A-2A86-4666-9C4B-1189634D2C84}
1,Clé supprimée: HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
1,Clé supprimée: HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
1,Clé supprimée: HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
1,Clé supprimée: HKLM\Software\Classes\Interface\{FF871E51-2655-4D06-AED5-745962A96B32}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{8F5F1CB6-EA9E-40AF-A5CA-C7FD63CC1971}
0,Clé supprimée: HKLM\Software\Classes\BandooCore.BandooCore
0,Clé supprimée: HKLM\Software\Classes\BandooCore.BandooCore.1
0,Clé supprimée: HKLM\Software\Classes\BandooCore.ResourcesMngr
0,Clé supprimée: HKLM\Software\Classes\BandooCore.ResourcesMngr.1
0,Clé supprimée: HKLM\Software\Classes\BandooCore.SettingsMngr
0,Clé supprimée: HKLM\Software\Classes\BandooCore.SettingsMngr.1
0,Clé supprimée: HKLM\Software\Classes\BandooCore.StatisticMngr
0,Clé supprimée: HKLM\Software\Classes\BandooCore.StatisticMngr.1
0,Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd
0,Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1
0,Clé supprimée: HKLM\Software\Classes\Toolbar.CT2405725
0,Clé supprimée: HKLM\Software\Classes\AppID\BandooCore.EXE
0,Clé supprimée: HKLM\Software\Classes\AppID\GenericAskToolbar.DLL
1,Clé supprimée: HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
0,Clé supprimée: HKLM\Software\bandoo
0,Clé supprimée: HKLM\Software\Winsudate
0,Clé supprimée: HKCU\Software\Ask.com
0,Clé supprimée: HKCU\Software\AskToolbar
0,Clé supprimée: HKCU\Software\Conduit
0,Clé supprimée: HKCU\Software\Winsudate
0,Clé supprimée: HKCU\Software\AppDataLow\AskToolbarInfo
0,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Bandoo
0,Clé supprimée: HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\winusr
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{8A96AF9E-4074-43b7-BEA3-87217BDA74C8}
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{424624F4-C5DD-4e1d-BDD0-1E9C9B7799CC}
3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7f000001-db8e-f89c-2fec-49bf726f8c12}
3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9C8A3CA5-889E-4554-BEEC-EC0876E4E96A}
3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F9189560-573A-4fde-B055-AE7B0F4CF080}
0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

0,Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{D4027C7F-154A-4066-A1AD-4243D8127440}
0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}


============== SCAN ADDITIONNEL ==============

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
AutoHide: no
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 18 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 13 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 11/09/2010 (5271 Octet(s))

Fin à: 11:36:09, 11/09/2010

============== E.O.F ==============

Je fais la suite.

Re

ok la suite !!

@+
Messages postés
65
Date d'inscription
samedi 9 mai 2009
Statut
Membre
Dernière intervention
11 décembre 2012
2
Voici le rapport usb fix

############################## | UsbFix 7.024 | [Suppression]

Utilisateur: Proprietaire (Administrateur) # NOM-F9F45340BC2 [ ]
Mis à jour le 09/09/10 par El Desaparecido / C_XX
Lancé à 12:30:02 | 11/09/2010
Site Web: http://www.teamxscript.org
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Core(TM)2 Duo CPU T5850 @ 2.16GHz
CPU 2: Intel(R) Core(TM)2 Duo CPU T5850 @ 2.16GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Activé
Antivirus: AntiVir Desktop 9.0.1.32 [(!) Disabled | Updated]
RAM -> 3071 Mo
C:\ (%systemdrive%) -> Disque fixe # 233 Go (190 Go libre(s) - 82%) [] # NTFS
D:\ -> CD-ROM
E:\ -> Disque amovible # 4 Go (2 Mo libre(s) - 0%) [USB2] # FAT32
F:\ -> Disque amovible # 4 Go (3 Mo libre(s) - 0%) [USB2] # FAT32

################## | Éléments infectieux |

Supprimé! C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\IXP001.TMP
Supprimé! C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\IXP002.TMP
Supprimé! C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\IXP003.TMP
Supprimé! C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\IXP004.TMP
Supprimé! C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\IXP005.TMP
Supprimé! C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\IXP006.TMP
Supprimé! C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\IXP007.TMP
Supprimé! C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\IXP008.TMP
Supprimé! C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
Supprimé! C:\WINDOWS\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job

################## | Registre |

Supprimé! HKCU\Software\Microsoft\Handle
Supprimé! HKCU\Software\RZDVL2F27W
Supprimé! HKCU\Software\V71IQL7HI7
Supprimé! HKCU\Software\XML
Non supprimé ! HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SSHNAS
Supprimé! HKLM\SYSTEM\ControlSet001\Services\SSHNAS
Non supprimé ! HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SSHNAS
Supprimé! HKLM\SYSTEM\ControlSet002\Services\SSHNAS
Non supprimé ! HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSHNAS
Supprimé! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman

################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{b7fe0b48-460c-11de-917b-00224385a0aa}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{eef192b6-77ca-11df-96e5-00224385a0aa}

################## | Listing |

[12/05/2010 - 15:07:30 | D ] C:\1debeb76f223e1c997874dade9a5
[06/05/2009 - 16:24:46 | D ] C:\5752dc303732001af00fd4358d0dfd21
[07/05/2009 - 10:45:48 | D ] C:\968ac3ad20c9118857b722f13a1de3
[11/09/2010 - 11:36:10 | A | 6661] C:\Ad-Report-CLEAN[1].txt
[20/05/2009 - 18:01:18 | A | 16] C:\asdict.dat
[14/11/2009 - 13:30:14 | D ] C:\Audacity 1.3 Beta (Unicode)
[06/05/2009 - 15:30:14 | A | 0] C:\AUTOEXEC.BAT
[06/05/2009 - 16:19:30 | D ] C:\b8572a7a34881f7d4b
[24/01/2010 - 16:27:34 | A | 12096333] C:\BdUninstallTool2010.01.24-03.26.32.log
[24/01/2010 - 16:27:34 | A | 262802] C:\BdUninstallTool2010.01.24-03.26.32.reg
[24/02/2010 - 15:15:56 | RASH | 212] C:\boot.ini
[02/03/2006 - 15:00:00 | RASH | 4952] C:\Bootfont.bin
[27/08/2010 - 19:52:08 | SHD ] C:\Config.Msi
[06/05/2009 - 15:30:14 | A | 0] C:\CONFIG.SYS
[06/05/2009 - 15:50:52 | A | 286720] C:\Debug.txt
[06/05/2009 - 15:23:36 | D ] C:\Documents and Settings
[21/05/2009 - 08:08:40 | A | 141] C:\dwl.dat
[15/08/2009 - 15:14:16 | SHD ] C:\FOUND.000
[16/08/2009 - 17:58:24 | SHD ] C:\FOUND.001
[01/09/2009 - 00:45:44 | SHD ] C:\FOUND.002
[18/09/2009 - 23:05:28 | SHD ] C:\FOUND.003
[06/10/2009 - 19:13:58 | SHD ] C:\FOUND.004
[20/10/2009 - 20:06:20 | SHD ] C:\FOUND.005
[13/11/2009 - 21:10:12 | SHD ] C:\FOUND.006
[19/12/2009 - 17:03:08 | SHD ] C:\FOUND.007
[23/02/2010 - 18:24:24 | SHD ] C:\FOUND.008
[21/05/2009 - 08:08:40 | A | 132] C:\httpdwl.dat
[06/05/2009 - 15:30:14 | RASH | 0] C:\IO.SYS
[06/05/2009 - 15:30:14 | RASH | 0] C:\MSDOS.SYS
[06/05/2009 - 17:30:10 | D ] C:\MyWorks
[02/03/2006 - 15:00:00 | RASH | 47564] C:\NTDETECT.COM
[06/05/2009 - 16:54:02 | RASH | 252240] C:\ntldr
[11/09/2010 - 11:37:43 | ASH | 2145386496] C:\pagefile.sys
[11/09/2010 - 11:34:40 | RD ] C:\Program Files
[06/05/2009 - 15:46:10 | SHD ] C:\Recycled
[11/09/2010 - 12:35:02 | SHD ] C:\RECYCLER
[06/05/2009 - 16:07:56 | A | 651] C:\RHDSetup.log
[21/05/2009 - 08:08:40 | A | 815] C:\rtsr_eml_sr.dat
[06/05/2009 - 16:55:46 | A | 166] C:\setup.log
[14/08/2006 - 04:05:54 | A | 3] C:\SP2B.TXT
[06/05/2009 - 15:22:52 | D ] C:\SUPPORT
[08/03/2010 - 18:32:59 | SHD ] C:\System Volume Information
[11/09/2010 - 12:35:17 | D ] C:\UsbFix
[11/09/2010 - 12:35:26 | A | 2043] C:\UsbFix.txt
[06/05/2009 - 15:22:54 | D ] C:\VALUEADD
[30/07/2010 - 09:29:01 | D ] C:\WINDOWS
[19/09/2004 - 20:13:02 | A | 14] C:\XPPF_SP2.FRN

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_NOM-F9F45340BC2.zip
https://www.ionos.fr/?affiliate_id=77097
Merci de votre contribution.

################## | E.O.F |
Messages postés
65
Date d'inscription
samedi 9 mai 2009
Statut
Membre
Dernière intervention
11 décembre 2012
2
J'ai un problème pour zhpfix, car je ne trouve pas de lien pour le télécharger.
Messages postés
65
Date d'inscription
samedi 9 mai 2009
Statut
Membre
Dernière intervention
11 décembre 2012
2
C'est bon j'ai trouvé, puisque je l'avais déjà =='.
Voici le rapport.

Rapport de ZHPFix v1.12.3148 par Nicolas Coolman, Update du 09/09/2010
Fichier d'export Registre : C:\ZHPExportRegistry-11-09-2010-12-47-18.txt
Run by Proprietaire at 11/09/2010 12:47:40
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
HKCU\Software\Conduit => Clé absente
HKCU\Software\EBUNWVLUMV => Clé supprimée avec succès
HKCU\Software\QNB2EB90WX => Clé supprimée avec succès
HKCU\Software\RZDVL2F27W => Clé absente
HKCU\Software\V71IQL7HI7 => Clé absente
HKCU\Software\Winsudate => Clé absente
HKCU\Software\XML => Clé absente
HKLM\Software\Bandoo => Clé absente
HKLM\Software\BrowserChoice => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\WinUsr [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Winsudate\gibusr.exe => Clé absente
O64 - Services: CurCS - C:\WINDOWS\system32\svchost.exe - SSHNAS (SSHNAS) .(.Microsoft Corporation - Generic Host Process for Win32 Services.) - LEGACY_SSHNAS => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - Gestionnaire de mise à jour Winsudate (WinSvc) .(.Pas de propriétaire - Pas de description.) - LEGACY_WINSVC => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKCU\..\Run: [mscj.exe] C:\Documents and Settings\Proprietaire\Application Data\MSA\mscj.exe (.not file.) => Valeur absente
O4 - HKCU\..\Run: [mscjm.exe] C:\Documents and Settings\Proprietaire\Application Data\MSA\mscjm.exe (.not file.) => Valeur absente
O4 - HKCU\..\Run: [EBUNWVLUMV] C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\Cn1.exe (.not file.) => Valeur absente
O4 - HKCU\..\Run: [QNB2EB90WX] C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\Cn1.exe (.not file.) => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-3646400337-2953829839-2003898919-1005\..\Run: [mscj.exe] C:\Documents and Settings\Proprietaire\Application Data\MSA\mscj.exe (.not file.) => Valeur absente
O4 - HKUS\S-1-5-21-3646400337-2953829839-2003898919-1005\..\Run: [mscjm.exe] C:\Documents and Settings\Proprietaire\Application Data\MSA\mscjm.exe (.not file.) => Valeur absente
O4 - HKUS\S-1-5-21-3646400337-2953829839-2003898919-1005\..\Run: [EBUNWVLUMV] C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\Cn1.exe (.not file.) => Valeur absente
O4 - HKUS\S-1-5-21-3646400337-2953829839-2003898919-1005\..\Run: [QNB2EB90WX] C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\Cn1.exe (.not file.) => Valeur absente
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur supprimée avec succès
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente

========== Elément(s) de donnée du Registre ==========
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified => Donnée supprimée avec succès

========== Dossier(s) ==========
C:\Program Files\Bandoo => Dossier absent
C:\Program Files\Conduit => Dossier absent

========== Fichier(s) ==========
c:\documents and settings\proprietaire\application data\msa\mscj.exe => Supprimé et mis en quarantaine
c:\documents and settings\proprietaire\application data\msa\mscjm.exe => Supprimé et mis en quarantaine
c:\docume~1\propri~1\locals~1\temp\cn1.exe => Supprimé et mis en quarantaine
c:\program files\winsudate\gibusr.exe => Supprimé et mis en quarantaine


========== Récapitulatif ==========
12 : Clé(s) du Registre
10 : Valeur(s) du Registre
2 : Elément(s) de donnée du Registre
2 : Dossier(s)
4 : Fichier(s)


End of the scan

Re

tu n as pas besoin de le télécharger ZHPFix lors de l installation de ZHPDiag
tu as eu automatiquement l icône decréer sur le bureau de ZHPFix

donc tu devrais trouver sur ton Bureau ZHPFix


========> ZHPFix <========


* ferme toutes les applications ouvertes.
* Copies tout le texte présent en gras dans l'encadré ci-dessous
*( tu le selectionnes avec ta souris >> Clique droit dessus et choisis "copier" ou fait Ctrl+C )



[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified
O4 - HKCU\..\Run: [mscj.exe] C:\Documents and Settings\Proprietaire\Application Data\MSA\mscj.exe (.not file.)
O4 - HKCU\..\Run: [mscjm.exe] C:\Documents and Settings\Proprietaire\Application Data\MSA\mscjm.exe (.not file.)
O4 - HKCU\..\Run: [EBUNWVLUMV] C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\Cn1.exe (.not file.)
O4 - HKCU\..\Run: [QNB2EB90WX] C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\Cn1.exe (.not file.)
O4 - HKUS\S-1-5-21-3646400337-2953829839-2003898919-1005\..\Run: [mscj.exe] C:\Documents and Settings\Proprietaire\Application Data\MSA\mscj.exe (.not file.)
O4 - HKUS\S-1-5-21-3646400337-2953829839-2003898919-1005\..\Run: [mscjm.exe] C:\Documents and Settings\Proprietaire\Application Data\MSA\mscjm.exe (.not file.)
O4 - HKUS\S-1-5-21-3646400337-2953829839-2003898919-1005\..\Run: [EBUNWVLUMV] C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\Cn1.exe (.not file.)
O4 - HKUS\S-1-5-21-3646400337-2953829839-2003898919-1005\..\Run: [QNB2EB90WX] C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\Cn1.exe (.not file.)
[HKCU\Software\Conduit]
[HKCU\Software\EBUNWVLUMV]
[HKCU\Software\QNB2EB90WX]
[HKCU\Software\RZDVL2F27W]
[HKCU\Software\V71IQL7HI7]
[HKCU\Software\Winsudate]
[HKCU\Software\XML]
[HKLM\Software\Bandoo]
[HKLM\Software\BrowserChoice]
O43 - CFD:Common File Directory ----D- C:\Program Files\Bandoo
O43 - CFD:Common File Directory ----D- C:\Program Files\Conduit
O53 - SMSR:HKLM\...\startupreg\WinUsr [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Winsudate\gibusr.exe
O64 - Services: CurCS - C:\WINDOWS\system32\svchost.exe - SSHNAS (SSHNAS) .(.Microsoft Corporation - Generic Host Process for Win32 Services.) - LEGACY_SSHNAS
O64 - Services: CurCS - (.not file.) - Gestionnaire de mise à jour Winsudate (WinSvc) .(.Pas de propriétaire - Pas de description.) - LEGACY_WINSVC
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe








* Double Clique sur l'icone ZhpFix du bureau pour le lancer .
* Windows7/Vista >> Fais un clic-droit sur le raccourci de ZHPFix et choisis "Exécuter en temps qu'administrateur"
* Une fois l'outil ZHPFix ouvert ,

* clique sur le bouton [ H ] ==> Image ( "coller les lignes Helper" ) .

* Dans l'encadré principal
* tu verras donc les lignes que tu as copié précédemment apparaitre .
* Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
* cliques >> OK puis
* Cliques sur >>Tous
* Pour finir clique sur >> Nettoyer .
* colle le rapport obtenu .
( ce rapport est sauvegardé dans ce dossier C:\Program files\ZHPDiag\ZHPFixReport.txt )



Messages postés
65
Date d'inscription
samedi 9 mai 2009
Statut
Membre
Dernière intervention
11 décembre 2012
2
Rapport de ZHPFix v1.12.3148 par Nicolas Coolman, Update du 09/09/2010
Fichier d'export Registre : C:\ZHPExportRegistry-11-09-2010-12-47-18.txt
Run by Proprietaire at 11/09/2010 12:47:40
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
HKCU\Software\Conduit => Clé absente
HKCU\Software\EBUNWVLUMV => Clé supprimée avec succès
HKCU\Software\QNB2EB90WX => Clé supprimée avec succès
HKCU\Software\RZDVL2F27W => Clé absente
HKCU\Software\V71IQL7HI7 => Clé absente
HKCU\Software\Winsudate => Clé absente
HKCU\Software\XML => Clé absente
HKLM\Software\Bandoo => Clé absente
HKLM\Software\BrowserChoice => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\WinUsr [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Winsudate\gibusr.exe => Clé absente
O64 - Services: CurCS - C:\WINDOWS\system32\svchost.exe - SSHNAS (SSHNAS) .(.Microsoft Corporation - Generic Host Process for Win32 Services.) - LEGACY_SSHNAS => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - Gestionnaire de mise à jour Winsudate (WinSvc) .(.Pas de propriétaire - Pas de description.) - LEGACY_WINSVC => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKCU\..\Run: [mscj.exe] C:\Documents and Settings\Proprietaire\Application Data\MSA\mscj.exe (.not file.) => Valeur absente
O4 - HKCU\..\Run: [mscjm.exe] C:\Documents and Settings\Proprietaire\Application Data\MSA\mscjm.exe (.not file.) => Valeur absente
O4 - HKCU\..\Run: [EBUNWVLUMV] C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\Cn1.exe (.not file.) => Valeur absente
O4 - HKCU\..\Run: [QNB2EB90WX] C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\Cn1.exe (.not file.) => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-3646400337-2953829839-2003898919-1005\..\Run: [mscj.exe] C:\Documents and Settings\Proprietaire\Application Data\MSA\mscj.exe (.not file.) => Valeur absente
O4 - HKUS\S-1-5-21-3646400337-2953829839-2003898919-1005\..\Run: [mscjm.exe] C:\Documents and Settings\Proprietaire\Application Data\MSA\mscjm.exe (.not file.) => Valeur absente
O4 - HKUS\S-1-5-21-3646400337-2953829839-2003898919-1005\..\Run: [EBUNWVLUMV] C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\Cn1.exe (.not file.) => Valeur absente
O4 - HKUS\S-1-5-21-3646400337-2953829839-2003898919-1005\..\Run: [QNB2EB90WX] C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\Cn1.exe (.not file.) => Valeur absente
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur supprimée avec succès
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente

========== Elément(s) de donnée du Registre ==========
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified => Donnée supprimée avec succès

========== Dossier(s) ==========
C:\Program Files\Bandoo => Dossier absent
C:\Program Files\Conduit => Dossier absent

========== Fichier(s) ==========
c:\documents and settings\proprietaire\application data\msa\mscj.exe => Supprimé et mis en quarantaine
c:\documents and settings\proprietaire\application data\msa\mscjm.exe => Supprimé et mis en quarantaine
c:\docume~1\propri~1\locals~1\temp\cn1.exe => Supprimé et mis en quarantaine
c:\program files\winsudate\gibusr.exe => Supprimé et mis en quarantaine


========== Récapitulatif ==========
12 : Clé(s) du Registre
10 : Valeur(s) du Registre
2 : Elément(s) de donnée du Registre
2 : Dossier(s)
4 : Fichier(s)


End of the scan
Re

1)*Télécharges Malwarebytes' (mbam)

* Logiciel de désinfection généraliste , il peut détecter et supprimer les logiciels malveillants .

ICI >> Malwarebytes' (mbam)

* installes + mise a jour
* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) sans les ouvrir
* Lances--> Malwarebytes (MBAM)
* Puis vas dans l'onglet "Recherche", coche >>Exécuter un examen complet
* puis "Rechercher"
* Sélectionnes tes disques durs" puis clique sur "Lancer l'examen"
* A la fin du scan, clique sur Afficher les résultats puis sur Enregistrer le rapport
*Si MalwareBytes' détecte des infections, clique sur ==>Afficher les résultats, puis sur ==>Supprimer la sélection
* S'il t' es demandé de redémarrer, clique sur "oui "
* aprés la suppression(s) de ou des infections trouvées --> poste le rapport ici
!!! Ne pas vider la quarantaine de MBAM sans avis !!!
* Un tutoriel est à ta disposition sur ce site
Tutoriel MalwareBytes

ensuite

2) * Télécharge MBRCheck.exe sur ton bureau

ICI >> MBRCheck

* Utilisateurs Windows XP => double clique >>sur MBRCheck.exe
* Utilisateurs Windows Vista / windows 7 => clic droit "executer en tant que en tant qu'administrateur "sur MBRCheck.exe pour le lancer.

* Une fenêtre s'ouvre :
* Si tu as un message de ce genre : Done! Press ENTER to exit...
* Appuie sur Entrée
* Si tu as un message de ce genre : Found non-standard or infected MBR.
* Enter 'Y' and hit ENTER for more options, or 'N' to exit:
* Appuie sur la touche N puis ur Entrée
* Un fichier texte du type MBRCheck_AA.JJ.MM_hh.mm.ss.txt (i.e. MBRCheck_xx.xx.xx.xx.xx.xx.txt).
* Héberge le rapport sur ce site,
>> Cijoint.fr
* puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

* Pour t aider ,pour heberger le rapport
* rends toi sur Cijoint.fr
* clic sur Parcourir
* trouve >> le rapport que tu viens d'enregistrer qui doit par exemple être sur ton bureau
* et valide en cliquant sur >> Cliquez ici pour déposer le Fichier
* un lien de ce genre http://www.cijoint.fr/cjlink.php?file=cj201004/cijecaEGX.txt te sera généré,
* il te suffit de le poster ici pour que je puisse voir le rapport




Membre Contributeur sécurité CCM
Windows Vista // Windows XP
Messages postés
65
Date d'inscription
samedi 9 mai 2009
Statut
Membre
Dernière intervention
11 décembre 2012
2
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4594

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

11/09/2010 15:09:41
mbam-log-2010-09-11 (15-09-41).txt

Type d'examen: Examen complet (C:\|E:\|)
Elément(s) analysé(s): 274638
Temps écoulé: 1 heure(s), 29 minute(s), 27 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run\firevall administrating (Trojan.Backdoor) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Proprietaire\Local Settings\Application Data\Google\Chrome\User Data\Default\Cache\f_0000a7 (Rogue.Installer) -> Quarantined and deleted successfully.
C:\Documents and Settings\Proprietaire\Application Data\Icones\icones_pa.ico (Adware.GibMedia) -> Quarantined and deleted successfully.
C:\Documents and Settings\HelpAssistant\Application Data\Icones\icones_pa.ico (Adware.GibMedia) -> Quarantined and deleted successfully.
C:\Documents and Settings\HelpAssistant\Menu Démarrer\Pages Annuaire.lnk (Adware.GibMedia) -> Quarantined and deleted successfully.
C:\Documents and Settings\Proprietaire\Menu Démarrer\Pages Annuaire.lnk (Adware.GibMedia) -> Quarantined and deleted successfully.


et le lien :
http://www.cijoint.fr/cjlink.php?file=cj201009/cij2595TdJ.txt
Re

ceci demande toute ton attention


* Relance l'outil MBRCheck.exe enregistrer sous Bureau:

1)Tu verras ceci >>Found non-standard or infected MBR.
Tape la lettre Y puis valide avec la touche [Entrée]

2) * Ensuite, tu auras ceci :Options
Choisis l'option 2 (tape le chiffre) et appuie sur [Entrée]

3) * Ensuite, tu verras ceci >> Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel):
Tape le chiffre 0 puis valide avec [Entrée]

4)* Tu auras maintenant un choix à faire, avec des codes de MBR :Available MBR codes
* Tape le chiffre 1 puis valide avec [Entrée]

5)* Ensuite, tu verras ceci :Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue:
tu dois taper YES (en minuscules ça va aussi) puis valide avec [Entrée]

6)En principe, tu devrais maintenant voir ceci (ajouté au bout de la ligne) :Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue: Successfully wrote new MBR code!


...suivi de "Please reboot your computer to complete the fix."

* Maintenant, je te demanded'éteindre ton PC (via le bouton "Démarrer")
* Patiente 5 minutes. Après les 5 minutes, démarre ton PC normalement, puis viens coller le contenu du rapport de l'outil (du même fichier texte, qui se trouve sur ton Bureau).





Membre Contributeur sécurité CCM
Windows Vista // Windows XP
Messages postés
65
Date d'inscription
samedi 9 mai 2009
Statut
Membre
Dernière intervention
11 décembre 2012
2
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000000c

Kernel Drivers (total 134):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E4000 \WINDOWS\system32\hal.dll
0xBA5A8000 \WINDOWS\system32\KDCOM.DLL
0xBA4B8000 \WINDOWS\system32\BOOTVID.dll
0xBA0A8000 itajt.sys
0xB9F78000 ACPI.sys
0xBA5AA000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xB9F67000 pci.sys
0xBA0B8000 isapnp.sys
0xBA0C8000 ohci1394.sys
0xBA0D8000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xBA4BC000 compbatt.sys
0xBA4C0000 \WINDOWS\system32\DRIVERS\BATTC.SYS
0xBA670000 pciide.sys
0xBA328000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xBA0E8000 MountMgr.sys
0xB9F48000 ftdisk.sys
0xBA5AC000 dmload.sys
0xB9F22000 dmio.sys
0xBA4C4000 ACPIEC.sys
0xBA671000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
0xBA330000 PartMgr.sys
0xBA0F8000 VolSnap.sys
0xB9F0A000 atapi.sys
0xBA108000 disk.sys
0xBA118000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xB9EEA000 fltmgr.sys
0xB9ED8000 sr.sys
0xB9EC1000 KSecDD.sys
0xB9EAE000 WudfPf.sys
0xB9E21000 Ntfs.sys
0xB9DF4000 NDIS.sys
0xB9DDA000 Mup.sys
0xBA360000 \SystemRoot\system32\DRIVERS\ATKACPI.sys
0xBA168000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xB9741000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xB972D000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xBA178000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xBA5B2000 \SystemRoot\system32\DRIVERS\kbfiltr.sys
0xBA378000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xB96F5000 \SystemRoot\system32\DRIVERS\SynTP.sys
0xBA5B6000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xBA390000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xBA3A0000 \SystemRoot\system32\DRIVERS\usbohci.sys
0xB96D1000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xBA3A8000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xBA188000 \SystemRoot\system32\DRIVERS\SiSGbeXP.sys
0xBA198000 \SystemRoot\system32\DRIVERS\imapi.sys
0xBA1A8000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xBA1B8000 \SystemRoot\system32\DRIVERS\redbook.sys
0xB96AE000 \SystemRoot\system32\DRIVERS\ks.sys
0xBA1C8000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
0xB956C000 \SystemRoot\system32\DRIVERS\athw.sys
0xBA1D8000 \SystemRoot\system32\DRIVERS\nic1394.sys
0xB9558000 \SystemRoot\system32\DRIVERS\sdbus.sys
0xB9547000 \SystemRoot\system32\DRIVERS\rimmptsk.sys
0xB9533000 \SystemRoot\system32\DRIVERS\rimsptsk.sys
0xB94E1000 \SystemRoot\system32\DRIVERS\rixdptsk.sys
0xB9491000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xBA578000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0xBA76D000 \SystemRoot\system32\DRIVERS\audstub.sys
0xBA1E8000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xBA580000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xB947A000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xBA1F8000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xBA208000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xBA3E0000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xB93C9000 \SystemRoot\system32\DRIVERS\psched.sys
0xBA218000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xBA3F0000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xBA400000 \SystemRoot\system32\DRIVERS\raspti.sys
0xB9399000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xBA228000 \SystemRoot\system32\DRIVERS\termdd.sys
0xBA5C0000 \SystemRoot\system32\DRIVERS\swenum.sys
0xB933B000 \SystemRoot\system32\DRIVERS\update.sys
0xBA5A4000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xBA238000 \SystemRoot\system32\DRIVERS\wsimd.sys
0xB8E61000 \SystemRoot\system32\drivers\RtkHDAud.sys
0xB8E3D000 \SystemRoot\system32\drivers\portcls.sys
0xBA248000 \SystemRoot\system32\drivers\drmk.sys
0xBA258000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xBA268000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xBA5CA000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xBA7DF000 \SystemRoot\System32\Drivers\Null.SYS
0xBA5CE000 \SystemRoot\System32\Drivers\Beep.SYS
0xBA408000 \SystemRoot\System32\drivers\vga.sys
0xBA5D2000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xBA5D6000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xBA418000 \SystemRoot\System32\Drivers\Msfs.SYS
0xBA420000 \SystemRoot\System32\Drivers\Npfs.SYS
0xB932B000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xB7DBA000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xB7D61000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xB7D39000 \SystemRoot\system32\DRIVERS\netbt.sys
0xB7D13000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xBA288000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xB7CF1000 \SystemRoot\System32\drivers\afd.sys
0xBA298000 \SystemRoot\system32\DRIVERS\arp1394.sys
0xBA2A8000 \SystemRoot\system32\DRIVERS\netbios.sys
0xBA428000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xB7C07000 \??\C:\Program Files\SUPERAntiSpyware\SASKUTIL.SYS
0xBA458000 \??\C:\Program Files\SUPERAntiSpyware\SASDIFSV.SYS
0xB7BDC000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xB7B6C000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xBA2B8000 \SystemRoot\System32\Drivers\Fips.SYS
0xB7B50000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xBA5DE000 \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys
0xB79A5000 \SystemRoot\system32\DRIVERS\snp2uvc.sys
0xBA2D8000 \SystemRoot\system32\DRIVERS\STREAM.SYS
0xBA448000 \SystemRoot\system32\DRIVERS\sncduvc.SYS
0xBA2F8000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xB7C3D000 \SystemRoot\System32\drivers\Dxapi.sys
0xBA4B0000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xBA783000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\nv4_disp.dll
0xB6529000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xB63D3000 \SystemRoot\system32\DRIVERS\nwlnkipx.sys
0xB65ED000 \SystemRoot\system32\DRIVERS\nwlnknb.sys
0xB6415000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xB6387000 \SystemRoot\System32\Drivers\Fastfat.SYS
0xBA3D8000 \??\C:\Program Files\ATKGFNEX\ASMMAP.sys
0xB6242000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xB62C7000 \SystemRoot\system32\DRIVERS\nwlnkspx.sys
0xB613D000 \SystemRoot\system32\drivers\wdmaud.sys
0xB61E2000 \SystemRoot\system32\drivers\sysaudio.sys
0xB5F29000 \??\C:\Program Files\ASUS\NB Probe\SPM\ghaio.sys
0xB5D4E000 \SystemRoot\system32\DRIVERS\srv.sys
0xBA468000 \SystemRoot\System32\Drivers\TDTCP.SYS
0xB5763000 \SystemRoot\System32\Drivers\RDPWD.SYS
0xB58EA000 \??\C:\PROGRA~1\ASUS\ATKHOT~1\ASNDIS5.SYS
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 50):
0 System Idle Process
4 System
428 C:\WINDOWS\system32\smss.exe
552 csrss.exe
584 C:\WINDOWS\system32\winlogon.exe
632 C:\WINDOWS\system32\services.exe
644 C:\WINDOWS\system32\lsass.exe
832 C:\WINDOWS\system32\svchost.exe
896 svchost.exe
940 C:\WINDOWS\system32\svchost.exe
996 C:\WINDOWS\system32\svchost.exe
1152 svchost.exe
1196 svchost.exe
1248 C:\Program Files\ATKGFNEX\GFNEXSrv.exe
1304 C:\WINDOWS\system32\spoolsv.exe
1356 C:\WINDOWS\system32\acs.exe
1384 C:\Program Files\Avira\AntiVir Desktop\sched.exe
1460 svchost.exe
352 C:\WINDOWS\explorer.exe
400 C:\Program Files\Avira\AntiVir Desktop\avguard.exe
512 C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
672 C:\Program Files\Bonjour\mDNSResponder.exe
1176 C:\Program Files\Java\jre6\bin\jqs.exe
1416 C:\WINDOWS\system32\nvsvc32.exe
1596 C:\Program Files\CyberLink\Shared Files\RichVideo.exe
1804 C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
2072 C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
2080 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
2128 C:\Program Files\Wireless Console 2\wcourier.exe
2136 C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe
2144 C:\Program Files\ASUS\ATK Hotkey\MsgTranAgt.exe
2152 C:\Program Files\ASUS\ATK Hotkey\HControlUser.exe
2160 C:\Program Files\ASUS\ATK Hotkey\HControl.exe
2168 C:\WINDOWS\ASScrPro.exe
2176 C:\Program Files\ASUS\ASUS Live Update\ALU.exe
2204 C:\WINDOWS\RTHDCPL.EXE
2220 C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
2236 C:\WINDOWS\system32\ctfmon.exe
2268 C:\Program Files\Messenger\msmsgs.exe
2292 C:\WINDOWS\system32\svchost.exe
2328 C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
2336 C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
3672 C:\WINDOWS\system32\wbem\wmiapsrv.exe
3900 C:\Program Files\ASUS\ATK Hotkey\ATKOSD.exe
3924 C:\Program Files\ASUS\ATK Hotkey\KBFiltr.exe
3932 alg.exe
4056 C:\Program Files\ASUS\ATK Hotkey\WDC.exe
1660 C:\Documents and Settings\Proprietaire\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
1284 C:\Documents and Settings\Proprietaire\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
2924 C:\Documents and Settings\Proprietaire\Mes documents\Downloads\MBRCheck (1).exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000'00007e00 (NTFS)

PhysicalDrive0 Model Number: ST9250827AS, Rev: 3.AAA

Size Device Name MBR Status
--------------------------------------------
232 GB \\.\PhysicalDrive0 Known-bad MBR code detected (Whistler / Black Internet)!
SHA1: DE2F20FB78424B588B9C6026F431065AB5A02AE8


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:
Options:
[1] Dump the MBR of a physical disk to file.
[2] Restore the MBR of a physical disk with a standard boot code.
[3] Exit.

Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel): 0Available MBR codes:
[ 0] Default (Windows XP)
[ 1] Windows XP
[ 2] Windows Server 2003
[ 3] Windows Vista
[ 4] Windows 2008
[ 5] Windows 7
[-1] Cancel

Please select the MBR code to write to this drive: 1
Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue: yes
Successfully wrote new MBR code!
Please reboot your computer to complete the fix.


Done!

Re

1) Redémarre l'ordinateur

* lance Avira Antivir ,fais une analyse pour voir si on obtient un résultat positif pour >> boo-sinowal dans l'amorçage

poste le rapport

@+
Messages postés
65
Date d'inscription
samedi 9 mai 2009
Statut
Membre
Dernière intervention
11 décembre 2012
2
Avira trouve encore le virus et je n'ai donc pas terminé le scan...
Faut-il que je restaure l'ordinateur?
Et comment j'ai pu chopé ce virus?

Re

non attends


1) * Télécharge Defogger (de jpshortstuff) sur ton Bureau
ICI >> Defogger (de jpshortstuff)
* Lance le
* Pour Windows Vista et Windows 7,
* faire un clic droit et >> Exécuter en tant qu'administrateur.
* Une fenêtre apparait : clique sur "Disable"
* Fais redémarrer l'ordinateur si l'outil te le demande
* PS >> Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"


/!\ Il faut IMPERATIVEMENT désactiver tous tes logiciels de protection(antivirus , antispyware )pour utiliser ce programme/!\


2) * Télécharge ComboFix (de sUBs) .
* sur ton bureau et pas ailleurs

* ComboFix est un programme, créé par sUBs, qui recherche sur votre ordinateur certains nuisibles,
et qui, s'il les trouve, essaie de nettoyer ces infections automatiquement.


* ICI >> ComboFix (de sUBs)
* Ferme toutes les fenêtres ouvertes

/!\ Déconnecte-toi du net/!\

* Double clique >> sur ComboFix.exe afin de le lancer
* sous Windows7/ Vista --> Ne pas oublier l'élévation des privilèges
* (Clic droit sur ComboFix.exe, puis sur Exécuter en tant qu'administrateur dans le menu déroulant.)
* Tapes sur la touche1 pour démarrer le scan et suis les instructions indiquées par combofix.

** Si tu es sous Windows XP, il va te demander d'installer la console de récupération : tu dois absolument accepter.

** si il te propose de l'installer remets provisoirement internet

* /!\ Déconnecte-toi du net aprés l installation /!\



- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes. /!\
/!\ (ne touche a rien pendant que l'outil travaille pour ne pas figer ton pc)/!\


* Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\
Messages postés
65
Date d'inscription
samedi 9 mai 2009
Statut
Membre
Dernière intervention
11 décembre 2012
2
ComboFix 10-09-09.04 - Proprietaire 11/09/2010 16:53:43.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.3071.2658 [GMT 2:00]
Lancé depuis: c:\documents and settings\Proprietaire\Mes documents\Downloads\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Proprietaire\Application Data\MSA
c:\windows\jestertb.dll
c:\windows\system32\scrrnfr.dll

Une copie infectée de c:\windows\system32\drivers\mouclass.sys a été trouvée et désinfectée
Copie restaurée à partir de - Kitty had a snack :p
.
\\.\PhysicalDrive0 - Bootkit Sinowal was found and disinfected
.
\\.\PhysicalDrive0 - Bootkit Sinowal was found and disinfected
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-08-11 au 2010-09-11 ))))))))))))))))))))))))))))))))))))
.

2010-09-11 11:16 . 2010-09-11 11:16 -------- d-----w- c:\documents and settings\Proprietaire\Application Data\Malwarebytes
2010-09-11 11:15 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-11 11:15 . 2010-09-11 11:15 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-09-11 11:15 . 2010-09-11 11:16 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-09-11 11:15 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-09-11 10:35 . 2010-09-11 10:35 4191 ----a-w- C:\UsbFix_Upload_Me_NOM-F9F45340BC2.zip
2010-09-11 10:01 . 2010-09-11 10:35 -------- d-----w- C:\UsbFix
2010-09-11 09:31 . 2010-09-11 09:34 -------- d-----w- c:\program files\Ad-Remover
2010-09-11 08:27 . 2010-09-11 10:47 -------- d-----w- c:\program files\ZHPDiag
2010-09-10 17:42 . 2010-09-10 17:42 -------- d-sh--w- c:\documents and settings\LocalService\IECompatCache
2010-09-10 17:35 . 2010-09-10 17:35 63488 ----a-w- c:\documents and settings\Proprietaire\Application Data\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10006.dll
2010-09-10 17:35 . 2010-09-10 17:35 52224 ----a-w- c:\documents and settings\Proprietaire\Application Data\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10005.dll
2010-09-10 17:35 . 2010-09-10 17:35 117760 ----a-w- c:\documents and settings\Proprietaire\Application Data\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2010-09-10 17:32 . 2010-09-10 17:34 -------- d-----w- c:\program files\SUPERAntiSpyware
2010-08-28 07:23 . 2010-08-28 07:23 503808 ----a-w- c:\documents and settings\Proprietaire\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-39dd7ae8-n\msvcp71.dll
2010-08-28 07:23 . 2010-08-28 07:23 499712 ----a-w- c:\documents and settings\Proprietaire\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-39dd7ae8-n\jmc.dll
2010-08-28 07:23 . 2010-08-28 07:23 348160 ----a-w- c:\documents and settings\Proprietaire\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-39dd7ae8-n\msvcr71.dll
2010-08-28 07:23 . 2010-08-28 07:23 61440 ----a-w- c:\documents and settings\Proprietaire\Application Data\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-3003c123-n\decora-sse.dll
2010-08-28 07:23 . 2010-08-28 07:23 12800 ----a-w- c:\documents and settings\Proprietaire\Application Data\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-3003c123-n\decora-d3d.dll
2010-08-27 17:50 . 2010-08-27 17:52 -------- d-----w- c:\program files\LimeWire

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-11 15:06 . 2010-08-27 17:52 -------- d-----w- c:\documents and settings\Proprietaire\Application Data\LimeWire
2010-09-11 13:09 . 2009-12-30 07:58 -------- d-----w- c:\documents and settings\Proprietaire\Application Data\Icones
2010-09-11 12:47 . 2009-05-07 09:01 -------- d-----w- c:\documents and settings\Proprietaire\Application Data\OFFICEOne7
2010-09-10 17:33 . 2009-12-19 16:44 -------- d-----w- c:\documents and settings\Proprietaire\Application Data\SUPERAntiSpyware.com
2010-08-27 18:11 . 2009-09-01 13:16 -------- d-----w- c:\documents and settings\Proprietaire\Application Data\Apple Computer
2010-08-27 17:51 . 2009-05-07 08:38 411368 ----a-w- c:\windows\system32\deploytk.dll
2010-07-29 20:12 . 2009-07-25 16:15 -------- d-----w- c:\program files\Google
2010-07-02 13:53 . 2010-07-02 13:53 0 ----a-w- c:\documents and settings\Proprietaire\Application Data\DRO43.tmp
2010-06-30 09:56 . 2006-08-18 07:14 84964 ----a-w- c:\windows\system32\perfc00C.dat
2010-06-30 09:56 . 2006-08-18 07:14 510980 ----a-w- c:\windows\system32\perfh00C.dat
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{9ec204df-0e48-4c32-816e-2e928a4fd9c2}"= "mscoree.dll" [2009-11-06 297808]

[HKEY_CLASSES_ROOT\clsid\{9ec204df-0e48-4c32-816e-2e928a4fd9c2}]
[HKEY_CLASSES_ROOT\IEToolbar.Toolbar]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"Google Update"="c:\documents and settings\Proprietaire\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2010-03-19 136176]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-07-29 39408]
"SUPERAntiSpyware"="c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2010-08-25 2424560]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UpdatePPShortCut"="c:\program files\CyberLink\PowerProducer\MUITransfer\MUIStartMenu.exe" [2008-01-04 222504]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Wireless Console 2"="c:\program files\Wireless Console 2\wcourier.exe" [2007-07-05 1040384]
"Power_Gear"="c:\program files\ASUS\Power4 Gear\BatteryLife.exe" [2006-07-26 90112]
"MsgTranAgt"="c:\program files\ASUS\ATK Hotkey\MsgTranAgt.exe" [2008-08-18 117304]
"HControlUser"="c:\program files\ASUS\ATK Hotkey\HControlUser.exe" [2008-08-18 98304]
"ATKHOTKEY"="c:\program files\ASUS\ATK Hotkey\HControl.exe" [2008-08-29 223800]
"ASUS Screen Saver Protector"="c:\windows\ASScrPro.exe" [2009-05-06 33136]
"ASUS Live Update"="c:\program files\ASUS\ASUS Live Update\ALU.exe" [2007-11-30 51768]
"ASUS Camera ScreenSaver"="c:\windows\AsScrProlog.exe" [2009-05-06 47672]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-05-26 413696]
"RTHDCPL"="RTHDCPL.EXE" [2008-07-29 16805888]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-01-11 246504]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

c:\documents and settings\Proprietaire\Menu D'marrer\Programmes\D'marrage\
LimeWire On Startup.lnk - c:\program files\LimeWire\LimeWire.exe [2010-8-19 503808]

c:\documents and settings\Proprietaire\Menu D'marrer\Programmes\D'marrage\
LimeWire On Startup.lnk - c:\program files\LimeWire\LimeWire.exe [2010-8-19 503808]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"jpyvlqebhurzusezlkwyTaskMgr"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 22:21 548352 ----a-w- c:\program files\SUPERAntiSpyware\SASWINLO.DLL

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Synchronizer.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Reader Synchronizer.lnk
backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=c:\windows\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^OFFICE One Startup v7.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\OFFICE One Startup v7.lnk
backup=c:\windows\pss\OFFICE One Startup v7.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ACMON]
2008-01-15 16:27 851968 ----a-w- c:\program files\ASUS\Splendid\ACMON.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-01-11 21:16 39792 ----a-w- c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2008-06-19 08:20 57344 ----a-r- c:\windows\ALCMTR.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATKMEDIA]
2008-02-01 13:29 61440 ----a-w- c:\program files\ASUS\ATK Media\DMedia.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATKOSD2]
2008-07-15 10:29 7651328 ----a-w- c:\program files\ASUS\ATKOSD2\ATKOSD2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2009-07-13 13:03 292128 ----a-w- c:\program files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
2008-02-22 10:19 62760 ----a-w- c:\program files\CyberLink\PowerDVD\Language\Language.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel]
2008-03-17 16:59 2289664 ----a-w- c:\program files\Fichiers communs\LightScribe\LightScribeControlPanel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-13 18:34 1695232 ------w- c:\program files\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2009-07-26 15:44 3883856 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Net4Switch]
2007-11-20 12:44 1145400 ----a-w- c:\program files\ASUS\Net4Switch\Net4Switch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2008-09-19 04:28 13545472 ----a-w- c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2008-09-19 04:28 86016 ----a-w- c:\windows\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
2008-09-19 04:28 1630208 ----a-w- c:\windows\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Power2GoExpress]
2008-03-18 09:15 2508072 ----a-w- c:\program files\CyberLink\Power2Go\Power2GoExpress.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PowerForPhone]
2008-01-25 17:32 778240 ----a-w- c:\program files\P4P\P4P.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-05-26 16:18 413696 ----a-w- c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2008-04-02 18:09 87336 ----a-w- c:\program files\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2008-07-29 06:31 16805888 ----a-r- c:\windows\RTHDCPL.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2010-07-29 20:12 39408 ----a-w- c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
2008-07-03 09:10 1323008 ----a-w- c:\program files\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"SharedAccess"=2 (0x2)
"LightScribeService"=2 (0x2)
"JavaQuickStarterService"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
"3246:TCP"= 3246:TCP:Services
"2479:TCP"= 2479:TCP:Services
"3389:TCP"= 3389:TCP:Remote Desktop

R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [17/02/2010 20:25 12872]
R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [10/05/2010 20:41 67656]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [04/01/2010 12:30 108289]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [27/10/2009 18:18 133104]
S3 ASUSProcObsrv;ASUS Process Creation/Termination Observer;\??\d:\i386\AsProcOb.sys --> d:\i386\AsProcOb.sys [?]
S3 ipswuio;ipswuio;c:\windows\system32\drivers\ipswuio.sys [06/05/2009 16:55 41656]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx REG_MULTI_SZ scan

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2008-03-17 16:56 451872 ----a-w- c:\program files\Fichiers communs\LightScribe\LSRunOnce.exe
.
Contenu du dossier 'Tâches planifiées'

2010-09-06 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2010-09-11 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-10-27 16:18]

2010-09-11 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-10-27 16:18]

2010-09-08 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3646400337-2953829839-2003898919-1005Core.job
- c:\documents and settings\Proprietaire\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-06-30 17:10]

2010-09-11 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3646400337-2953829839-2003898919-1005UA.job
- c:\documents and settings\Proprietaire\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-06-30 17:10]
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://www.durable.com/result?cx=partner-pub-7902900401080901%3Azbljezwsgul&cof=FORID%3A10&ie=UTF-8&q={searchTerms}
uStart Page = hxxp://www.google.fr/
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = *.local
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
.
- - - - ORPHELINS SUPPRIMES - - - -

MSConfigStartUp-AuditMode - c:\sysprep\factory.exe
MSConfigStartUp-Firevall Administrating - rndll.exe
MSConfigStartUp-SunJavaUpdateSched - c:\program files\Java\jre6\bin\jusched.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-09-11 17:03
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(572)
c:\program files\SUPERAntiSpyware\SASWINLO.DLL

- - - - - - - > 'explorer.exe'(2328)
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\ATKGFNEX\GFNEXSrv.exe
c:\windows\system32\acs.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\ASUS\NB Probe\SPM\spmgr.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\ASUS\ATK Hotkey\ATKOSD.exe
c:\program files\ASUS\ATK Hotkey\KBFiltr.exe
c:\program files\ASUS\ATK Hotkey\WDC.exe
.
**************************************************************************
.
Heure de fin: 2010-09-11 17:09:46 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-09-11 15:09

Avant-CF: 204 909 625 344 octets libres
Après-CF: 205 237 518 336 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

- - End Of File - - F89BBAC1A63B0AE8CDB5CA677857BDF8

Salut

je crois que cest bon

\\.\PhysicalDrive0 - Bootkit Sinowal was found and disinfected
\\.\PhysicalDrive0 - Bootkit Sinowal was found and disinfected
.
ce qui veut dire >> Bootkit Sinowal a été trouvé et désinfecté


fais ceci


1) * télécharges et installes Ccleaner

* Ccleaner est un utilitaire de nettoyage gratuit de la base de registre de Windows .
* Il permet de la vérifier et de l'optimiser en nettoyant les librairies dynamiques (DLL) inexistantes, les contrôles ActiveX, les raccourcis sans cible, les programmes obsolètes, classes invalides et les extensions de fichier inexistantes
.

>> Ccleaner

* Une fois sur le bureau, clic sur l'install de CCleaner.
* Ensuite, clique sur Options ==> Avancé et décoche la case
* Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 24 heures
* Clique sur l'onglet ==> Nettoyeur puis sur ==>Lancer le Nettoyage.
* Ensuite clique sur l'icône==> Registre , à droite, clique sur ==>Chercher des erreurs" puis sur "Réparer les erreurs sélectionnées.
* Accepte la sauvegarde, de la BDR (base de registre )qu'il propose
* Je te conseille de le repasser au moins deux fois,(ou + jusqu'à qu'il ne trouve plus d'erreurs.)


2) Redémarres ton Ordinateur



3) * lance Avira Antivir ,fais une analyse pour voir si on obtient un résultat positif pour >> boo-sinowal dans l'amorçage

poste le rapport

@+



Membre Contributeur sécurité CCM
Windows Vista // Windows XP

Salut

c est bon on dirai

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

\\.\PhysicalDrive0 - Bootkit Sinowal was found and disinfected
.
\\.\PhysicalDrive0 - Bootkit Sinowal was found and disinfected
.

ce qui veut dire >> Bootkit Sinowal a été trouvé et désinfecté


Donc
1) * télécharges et installes Ccleaner

* Ccleaner est un utilitaire de nettoyage gratuit de la base de registre de Windows .
* Il permet de la vérifier et de l'optimiser en nettoyant les librairies dynamiques (DLL) inexistantes, les contrôles ActiveX, les raccourcis sans cible, les programmes obsolètes, classes invalides et les extensions de fichier inexistantes
.

>> Ccleaner

* Une fois sur le bureau, clic sur l'install de CCleaner.
* Ensuite, clique sur Options ==> Avancé et décoche la case
* Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 24 heures
* Clique sur l'onglet ==> Nettoyeur puis sur ==>Lancer le Nettoyage.
* Ensuite clique sur l'icône==> Registre , à droite, clique sur ==>Chercher des erreurs" puis sur "Réparer les erreurs sélectionnées.
* Accepte la sauvegarde, de la BDR (base de registre )qu'il propose
* Je te conseille de le repasser au moins deux fois,(ou + jusqu'à qu'il ne trouve plus d'erreurs.)


2) Redémarres le PC




3) * lance Avira Antivir ,fais une analyse pour voir si on obtient un résultat positif pour >> boo-sinowal dans l'amorçage





Membre Contributeur sécurité CCM
Windows Vista // Windows XP
1 2