Gros soucis, Plantages, Virus, Périphériques.Fermé

Question

Bonjour,  

Voilà mon pc allait ''très bien'' jusqu'à ce qu'il y a quelques jours cette belle m**** de antimalware doctor a décidé de s'implanter sur mon pc. Horreur, impossible d'ouvrir firefox, le firewall qui se désactive tout seul, et le gestionnaire des tâches qui se ferme dès que je l'ouvrait.  

Ce n'était pas le premier virus que je rencontrais, donc j'ai directement fait un scan avec mon AVG free et avec malwarebytes. Malwarebytes détecte pas mal de cochonneries qu'il met en quarantaine et que je supprime, je sauve le log et je redémarre, mais il tient toujours bon.  

Alors en recherchant un peu sur internet et en essayant quelques trucs par ci par là, j'ai réussi à le désactiver (je pense? du moins je l'espérais). Ce que j'ai fait: recherche dans C: avec les mots-clés ''antimalware doctor'' et ''70700''(le processus d'antimalware comprenant cette série de chiffre) , et supprimé tous les fichiers portant ces noms là. Puis désactivé l'apparition au démarrage de antimalware doctor sur msconfig, puis recherché les mots-clés ''antimalware doctor'' et ''70700'' à nouveau dans le registre des clés (executer: regedit), et aussi tout supprimé ce qui se trouvait sur mon passage. Il n'apparaissait plus au démarrage, mais il était toujours là et dès que j'allais dans ''ajouter/supprimer des programmes'' et que je cliquais sur supprimer antimalware doctor, rien ne se passait et il réapparaissait.   

J'ai donc recherché le programme créait en boucle ce virus, le souci est que je ne sais plus exactement ou je l'ai supprimé, surement quelque part dans c:windows ou dans les fichiers temporaires,... Mais je me rappelle que c'était un nom compliqué =) 

Donc après tout ça, il me semblait bien loin, et en effet mon pc a fonctionné correctement durant quelques jours si ce n'est quelques petits problèmes étranges que je citerai plus bas. Mais voilà, aujourd'hui j'allume mon pc et surprise, avg me balance ''multiple threat detected''. J'avais pourtant bien crû qu'après avg, malwarebytes, ccleaner, et du nettoyage de mon côté ce serait bon, et bien non. 

Depuis que j'ai commencé écrire ce message, environ 3 threat ont été détecté par avg. Je les ai mis dans le vault. Il s'agissait pour la plupart de fichiers temporaires ''setup.exe'' créés, ou de trojangeneric (un nom dans le genre). 

Donc, je ne sais plus trop quoi faire, et je n'aimerais vraiment pas du tout avoir à formater mon ordinateur. 

Alors je vais vous donner les scanlogs de Hijackthis, Malwarebytes et zhpdiag, afin de voir si vous pourriez m'apporter votre aide que j'implore. 

Ce qu'il y a d'étrange sur mon pc, outre les threat détectés par avg, depuis que j'ai eu antimalware et que j'ai tenté de le supprimer: 

-parfois aucun périférique son n'est reconnu 
-Je lance firefox, il apparait dans les processus, mais il ne s'ouvre pas 
-il me semble plus lent 

Problèmes que j'ai toujours eu sur mon pc, si au passage quelqu'un avait une idée: 

-Dès que je suis sur internet (même parfois pas, mais c'est plus rare), et le plus souvent celà arrive quand je fais des téléchargements simultanés ou que plusieurs fenêtres sont ouvertes, il plante, càd que l'écran se bloque, le son se bloque sur une boucle, et je dois le rallumer en appuyant 5sec sur le bouton off. 

Je pense que ce dernier problème est dû à un souci de carte réseau, mais ce n'est qu'une hypothèse. 


Merci à ceux qui auront pris la peine de lire ce pavé, et merci d'avance à ceux qui tenteront de m'aider. 

Amicalement, 

Arnaud 

liens pour les logs:

(je les posterai au fur et a mesure, ils se font)


Configuration: Windows XP / Firefox 3.5.13

Utilisateur anonyme · Answer

Bonsoir

Vouloir se débrouiller tout seul ,c'est bien ;mais si le PC est "malade" après c'est pas terrible.

Pour de plus amples informations, fait ceci stp

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

Serveur N°2

Ou

http://www.premiumorange.com/zeb-help-process/zhpdiag.html 
en bas de la page ZHP avec un numéro de version.
 
Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit «  exécuter en tant que administrateur »


Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long. 

Ferme ZHPDiag en fin d'analyse. 


Pour transmettre le rapport clique sur ce lien : 

http://www.cijoint.fr/index.php
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 

Sélectionne le fichier ZHPDiag.txt. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.

Merci

A+

bubull97 · Answer

Bonsoir,

Je n'ai pas tout lu, parce que c'est long, mais je vais quand meme tenter de t'aider.

Tente un retour à une configuration antérieur, ca marche souvent... Il faut retourner à une date avant que tu  ne chope ce maudit logiciel =)

Arno · Answer

Rebonsoir,  

un autre petit truc bizarre: Quand je veux fermer mon pc maintenant, à chaque fois je dois cliquer sur ''terminer le programme, explorer.exe''  

Et les virus qui m'attaquent maintenant se nomment: Trojan Horse Generic19.AHPV  

@bubull97: Je ne sais pas comment faire, et j'ai fait quand même quelques boulots dessus depuis que je n'aimerais pas perdre, mais merci  

@Guillaume5188  
Merci de la réponse si rapide .Je n'arrive pas à héberger les rapports sur le site cijoint, il y a a chaque fois ''connexion réinitialisée'' et sur zippyshare ils me marquent: ''IO error''.  

Je n'arrive pas à les écrire ici, quand je les rentre et que je mets ''valider'', ils me disent ''syntax error'' 

Que dois-je faire?

Utilisateur anonyme · Answer

Re

@ Arno

Ok ;passons à ceci:

Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
Ou ici : https://forospyware.com 
>Renomme le pour l'enregistrer sur ton bureau en  asdehi (tout simplement pour que l'infection ne le contre pas)
-> Double clique combofix.exe.(ou clic droit sous vista «  exécuter en tant que... » )
-> Tape sur la touche 1 (Yes) pour démarrer le scan. 
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt 

 Avant d'utiliser ComboFix :  

->  Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.  

->  Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

Une fois fait, sur ton bureau double-clic sur Combofix.exe ; (ou clic droit sous vista « exécuter en tant que... »)

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. 


- Installe le console de récupération comme demandé ;utile en cas de plantage

- Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordinateur 

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

/!\  Ne touche à rien tant que le scan n'est pas terminé.  /!\ : risque de figer l'ordinateur (plantage complet) 


::Si combofix détecte quelque chose et de demande a redémarrer tu acceptes


@+

arno · Answer

Hello, 

Comment je fais pour désactiver la protection en temps réel de ton Antivirus et de tes Antispywares? (j'ai avg free, je ne vois pas ou je peux le désactiver)

merci d'avance.

Utilisateur anonyme · Answer

Re

Avoir un antivirus c'est bien ;ne pas savoir le configurer ,c'est pas terrible.

Pour désactiver AVG :
Tu doubles clic sur l'icône AVG dans la barre des tâches.
Dans cette fenêtre tu fais un clic droit sur l'intitulé "resident shield"

En bas de cette fenêtre tu décoches "resident shield active "
et tu valides par " Save changes"

et tu quittes.

@+

arno · Answer

Hello,

Voilà le rapport ComboFix =)

Merci d'avance d'y jeter un coup d'oeil.

Arnaud

ComboFix 10-09-30.05 - Administrateur 01.10.2010  22:10:37.1.2 - x86 
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.2046.1423 [GMT 2:00] 
Lancé depuis: c:\documents and settings\Administrateur\Mes documents\Téléchargements\ComboFix.exe 
AV: AVG Anti-Virus Free *On-access scanning enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF} 
. 

((((((((((((((((((((((((((((((((((((   Autres suppressions   )))))))))))))))))))))))))))))))))))))))))))))))) 
. 

c:\documents and settings\Administrateur\Application Data\jsdfgs.bat 
c:\windows\system32\drivers\bfuvzkhf.sys 
c:\windows\system32\krambst.dll 

Une copie infectée de c:\windows\system32\drivers\pci.sys a été trouvée et désinfectée  
Copie restaurée à partir de - Kitty had a snack :p  
Une copie infectée de c:\windows\system32\winlogon.exe a été trouvée et désinfectée  
Copie restaurée à partir de - c:\windows\ServicePackFiles\i386\winlogon.exe  

Une copie infectée de c:\windows\explorer.exe a été trouvée et désinfectée  
Copie restaurée à partir de - c:\windows\ServicePackFiles\i386\explorer.exe  

c:\windows\system32\drivers\cdrom.sys était absent  
Copie restaurée à partir de - c:\windows\ServicePackFiles\i386\cdrom.sys 

. 
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   ))))))))))))))))))))))))))))))))))))))))))))))))) 
. 

-------\Legacy_SSHNAS 


(((((((((((((((((((((((((((((   Fichiers créés du 2010-09-01 au 2010-10-01  )))))))))))))))))))))))))))))))))))) 
. 

2010-10-01 20:17 . 2008-04-13 18:40 62976 ----a-w- c:\windows\system32\drivers\cdrom.sys 
2010-10-01 18:26 . 2010-10-01 18:26 388096 ----a-r- c:\documents and settings\Administrateur\Application Data\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe 
2010-10-01 18:26 . 2010-10-01 18:26 -------- d-----w- c:\program files\Trend Micro 
2010-09-29 13:14 . 2010-09-29 13:14 -------- d-s---w- c:\documents and settings\NetworkService\UserData 
2010-09-28 18:37 . 2010-09-28 18:37 729600 ----a-w- c:\windows\system32\dlo36.dll 
2010-09-28 18:27 . 2010-09-28 18:27 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes 
2010-09-28 18:27 . 2010-09-28 18:27 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes 
2010-09-28 18:27 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 
2010-09-28 18:27 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 
2010-09-28 18:26 . 2010-09-28 18:27 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware 
2010-09-23 10:38 . 2010-09-23 10:38 47876 ----a-w- c:\documents and settings\All Users\Application Data\Blizzard Entertainment\Battle.net\Cache\Download\Scan.dll 
2010-09-21 17:00 . 2010-09-21 17:00 -------- d-----w- c:\program files\Fichiers communs\Corel 
2010-09-21 17:00 . 2010-09-21 17:00 -------- d-----w- c:\program files\Fichiers communs\Protexis 
2010-09-21 17:00 . 2010-09-21 17:00 -------- d-----w- c:\documents and settings\All Users\Application Data\Corel 
2010-09-08 19:38 . 2010-09-08 19:39 -------- d-----w- c:\program files\ZopeExternalEditor 
2010-09-06 11:26 . 2010-10-01 18:07 -------- d-----w- C:ender 
2010-09-06 10:21 . 2010-09-06 10:21 -------- d-----w- c:\program files\Blender Foundation 
2010-09-06 10:19 . 2010-09-06 10:19 -------- d-----w- C:\Python26 
2010-09-06 10:14 . 2010-09-06 10:14 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Blender Foundation 
2010-09-02 15:07 . 2008-01-09 08:04 245760 ----a-r- c:\windows\system32ts5161ccid.dll 
2010-09-02 15:07 . 2008-01-09 07:52 40960 ----a-r- c:\windows\system32\drivers\Rts5161ccid.sys 

. 
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   )))))))))))))))))))))))))))))))))))))))))))))))) 
. 
2010-10-01 19:14 . 2010-07-30 14:42 -------- d-----w- c:\program files\ZHPDiag 
2010-09-30 07:41 . 2010-01-21 18:51 -------- d-----w- c:\program files\Mozilla Thunderbird 
2010-09-29 11:22 . 2010-07-28 16:40 -------- d-----w- c:\program files\StarCraft II 
2010-09-29 10:04 . 2010-01-23 15:51 93936 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT 
2010-09-28 20:55 . 2010-09-01 11:55 674536 ----a-w- c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat 
2010-09-28 20:40 . 2010-09-01 10:55 3766 --sha-w- c:\documents and settings\All Users\Application Data\Protexis\KGyGaAvL.sys 
2010-09-28 20:24 . 2010-09-01 10:57 168 --sh--r- c:\documents and settings\All Users\Application Data\Protexis\7F37D5DD98.sys 
2010-09-28 18:37 . 2010-09-28 18:37 0 ----a-w- c:\windows\system32\dlo36.tmp 
2010-09-21 18:42 . 2010-01-25 20:05 -------- d-----w- c:\program files\TeamSpeak 3 Client 
2010-09-21 18:18 . 2010-01-24 14:54 -------- d-----w- c:\program files\World of Warcraft 
2010-09-21 17:02 . 2010-09-01 10:35 348256 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\VSTAHost\CorelPHOTOPAINT\9.0\1033\ResourceCache.dll 
2010-09-21 17:02 . 2010-09-01 10:28 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help 
2010-09-21 17:01 . 2010-09-01 10:34 348256 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\VSTAHost\CorelDRAW\9.0\1033\ResourceCache.dll 
2010-09-21 12:15 . 2010-01-24 12:14 -------- d-----w- c:\documents and settings\All Users\Application Data\CanonIJPLM 
2010-09-16 09:51 . 2010-01-22 02:20 95480 ----a-w- c:\windows\system32\perfc00C.dat 
2010-09-16 09:51 . 2010-01-22 02:20 532044 ----a-w- c:\windows\system32\perfh00C.dat 
2010-09-11 14:52 . 2010-01-23 07:17 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Apple Computer 
2010-09-11 14:52 . 2010-01-24 07:01 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple 
2010-09-01 18:04 . 2010-09-01 18:03 -------- d-----w- c:\documents and settings\All Users\Application Data\Documed 
2010-09-01 18:03 . 2010-09-01 18:03 -------- d-----w- c:\program files\Documed 
2010-09-01 10:57 . 2010-09-01 10:55 -------- d-----w- c:\documents and settings\All Users\Application Data\Protexis 
2010-09-01 10:55 . 2010-09-01 10:55 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Corel 
2010-09-01 10:31 . 2010-09-01 10:31 416 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\MSDN\9.0\1033\ResourceCache.dll 
2010-09-01 10:29 . 2010-09-01 10:28 -------- d-----w- c:\program files\Microsoft Visual Studio 9.0 
2010-09-01 10:28 . 2010-09-01 10:28 -------- d-----w- c:\program files\Microsoft SDKs 
2010-09-01 10:16 . 2010-09-01 10:16 -------- d-----w- c:\program files\Corel 
2010-08-30 19:55 . 2010-08-30 19:55 -------- d-----w- c:\program files\AVS4YOU 
2010-08-30 19:55 . 2010-07-27 17:48 -------- d-----w- c:\program files\Fichiers communs\AVSMedia 
2010-08-24 16:47 . 2010-08-24 16:47 2148864 ----a-w- c:\windows\system32\python26.dll 
2010-08-22 18:44 . 2010-08-22 18:44 -------- d-----w- c:\program files\VirtualDJ 
2010-08-17 13:17 . 2010-01-22 02:20 58880 ----a-w- c:\windows\system32\spoolsv.exe 
2010-07-31 11:02 . 2010-07-31 11:02 73000 ----a-w- c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 9.2.1.5\SetupAdmin.exe 
2010-07-25 14:31 . 2010-01-21 18:49 243024 ----a-w- c:\windows\system32\drivers\avgtdix.sys 
2010-07-25 14:31 . 2010-07-25 14:31 12536 ----a-w- c:\windows\system32\avgrsstx.dll 
2010-07-25 14:30 . 2010-01-21 18:49 216400 ----a-w- c:\windows\system32\drivers\avgldx86.sys 
2010-07-22 15:48 . 2010-01-22 02:20 590848 ----a-w- c:\windows\system32pcrt4.dll 
2010-07-22 06:19 . 2008-05-05 06:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll 
. 

(((((((((((((((((((((((((((((((((   Points de chargement Reg   )))))))))))))))))))))))))))))))))))))))))))))))) 
. 
. 
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés  
REGEDIT4 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A4B2D5F4-A7BA-4464-8E96-8380C9A980A6}] 
2010-09-28 18:37 729600 ----a-w- c:\windows\system32\dlo36.dll 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\Enhanced Storage] 
@="{A4B2D5F4-A7BA-4464-8E96-8380C9A980A6}" 
[HKEY_CLASSES_ROOT\CLSID\{A4B2D5F4-A7BA-4464-8E96-8380C9A980A6}] 
2010-09-28 18:37 729600 ----a-w- c:\windows\system32\dlo36.dll 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"Phase28Panel"="c:\program files\MUSONIK\TS22 PCI ControlPanel\Protecmixer.exe" [2008-01-15 262144] 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe" [2005-01-07 61952] 
"RTHDCPL"="RTHDCPL.EXE" [2006-06-28 16248320] 
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488] 
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-04-26 8445952] 
"nwiz"="nwiz.exe" [2007-04-26 1626112] 
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-04-26 81920] 
"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-07-25 2065760] 
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672] 
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280] 
"Diamondback"="c:\program files\Razer\Diamondback 3Gazerhid.exe" [2007-08-01 147456] 
"NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] 
"CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2007-05-14 644696] 
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2007-04-03 1603152] 
"SSBkgdUpdate"="c:\program files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472] 
"OpwareSE4"="c:\program files\ScanSoft\OmniPageSE4\OpwareSE4.exe" [2007-02-04 79400] 
"AdobeCS4ServiceManager"="c:\program files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712] 
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-18 421888] 
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-07-21 141608] 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] 
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] 

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\ 
InterVideo WinCinema Manager.lnk - c:\program files\InterVideo\Common\Bin\WinCinemaMgr.exe [2010-1-23 98304] 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\avgrsstarter] 
2010-07-25 14:31 12536 ----a-w- c:\windows\system32\avgrsstx.dll 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] 
"%windir%\system32\sessmgr.exe"= 
"c:\Program Files\AVG\AVG9\avgemc.exe"= 
"c:\Program Files\AVG\AVG9\avgupd.exe"= 
"c:\Program Files\AVG\AVG9\avgnsx.exe"= 
"%windir%\Network Diagnostic\xpnetdiag.exe"= 
"c:\Program Files\World of Warcraft\WoW-3.2.0-frFR-downloader.exe"= 
"c:\Program Files\World of Warcraft\Launcher.exe"= 
"c:\Program Files\World of Warcraft\WoW-3.2.0.10192-to-3.3.0.10958-frFR-downloader.exe"= 
"c:\Program Files\World of Warcraft\WoW-3.3.0.10958-to-3.3.0.11159-frFR-downloader.exe"= 
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"= 
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"= 
"c:\Program Files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe"= 
"c:\Program Files\StarCraft II\StarCraft II.exe"= 
"c:\Program Files\Bonjour\mDNSResponder.exe"= 
"c:\Program Files\iTunes\iTunes.exe"= 
"c:\Program Files\StarCraft II\Versions\Base15405\SC2.exe"= 
"c:\Program Files\StarCraft II\Versions\Base16605\SC2.exe"= 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] 
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724 
"5353:TCP"= 5353:TCP:Adobe CSI CS4 

R?2 lfjtgtfq;AGP Bus y2f62 Helper;c:\windows\System32\svchost.exe -k netsvcs [22.01.2010 04:20 14336] 
R0 cwhqkkog;cwhqkkog;c:\windows\system32\drivers\cwhqkkog.sys [22.01.2010 04:20 23424] 
R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [21.01.2010 20:49 216400] 
R1 AvgTdiX;AVG Free Network Redirector;c:\windows\system32\drivers\avgtdix.sys [21.01.2010 20:49 243024] 
R2 avg9emc;AVG Free E-mail Scanner;c:\program files\AVG\AVG9\avgemc.exe [25.07.2010 16:30 921952] 
R2 avg9wd;AVG Free WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [25.07.2010 16:30 308136] 
R3 AR5513;TRENDware Wireless Network Adapter Service;c:\windows\system32\drivers\ar5513.sys [21.01.2010 21:03 358464] 
R3 Protec;PHASE2X WDM Audio;c:\windows\system32\drivers\Protec.sys [21.01.2010 21:16 69472] 
R3 Razerlow;Diamondback 3G USB Filter Driver;c:\windows\system32\drivers\DB3G.sys [21.01.2010 22:34 13225] 
S3 BEHRINGER_PT_MIDI;Behringer MIDI driver service (pt);c:\windows\system32\drivers\bhrngr_m.sys [26.07.2010 20:05 29184] 

--- Autres Services/Pilotes en mémoire --- 

*NewlyCreated* - CWHQKKOG 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs 
lfjtgtfq 
. 
Contenu du dossier 'Tâches planifiées' 

2010-09-04 c:\windows\Tasks\AppleSoftwareUpdate.job 
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34] 
. 
. 
------- Examen supplémentaire ------- 
. 
uInternet Settings,ProxyOverride = *.local 
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\s3zyre43.default\ 
FF - prefs.js: browser.startup.homepage - hxxp://www.google.ch 
FF - plugin: c:\documents and settings\Administrateur\Application Data\Facebook
pfbplugin_1_0_1.dll 
FF - plugin: c:\documents and settings\Administrateur\Application Data\Facebook
pfbplugin_1_0_3.dll 
FF - plugin: c:\program files\DivX\DivX Plus Web Player
pdivx32.dll 
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ 

---- PARAMETRES FIREFOX ---- 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);  
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);  
. 
- - - - ORPHELINS SUPPRIMES - - - - 

MSConfigStartUp-fixcore70700bin - c:\documents and settings\Administrateur\Application Data\37679C50424EDCF60AAE8DFBBAD2C5AE\fixcore70700bin.exe 



************************************************************************** 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net 
Rootkit scan 2010-10-01 22:21 
Windows 5.1.2600 Service Pack 3 NTFS 

Recherche de processus cachés ...  

Recherche d'éléments en démarrage automatique cachés ...  

Recherche de fichiers cachés ...  

Scan terminé avec succès 
Fichiers cachés: 0 

************************************************************************** 
. 
--------------------- CLES DE REGISTRE BLOQUEES --------------------- 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€-€|ÿÿÿÿÀ*€|ù*9~*] 
"C040111900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL" 
. 
--------------------- DLLs chargées dans les processus actifs --------------------- 

- - - - - - - > 'winlogon.exe'(824) 
c:\program files\Fichiers communs\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll 

- - - - - - - > 'explorer.exe'(592) 
c:\program files\ScanSoft\OmniPageSE4\OpHookSE4.dll 
c:\windows\system32\dlo36.dll 
c:\windows\system32\eappprxy.dll 
c:\windows\system32\libssl32.dll 
c:\windows\system32\LIBEAY32.dll 
. 
------------------------ Autres processus actifs ------------------------ 
. 
c:\program files\AVG\AVG9\avgchsvx.exe 
c:\program files\AVG\AVG9\avgrsx.exe 
c:\windows\System32\SCardSvr.exe 
c:\program files\AVG\AVG9\avgcsrvx.exe 
c:\windows\RTHDCPL.EXE 
c:\windows\system32\RUNDLL32.EXE 
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe 
c:\program files\Bonjour\mDNSResponder.exe 
c:\program files\Canon\IJPLM\IJPLMSVC.EXE 
c:\program files\Java\jre6\bin\jqs.exe 
c:\windows\system32
vsvc32.exe 
c:\program files\AVG\AVG9\avgnsx.exe 
c:\program files\Fichiers communs\Protexis\License Service\PsiService_2.exe 
c:\program files\AVG\AVG9\avgcsrvx.exe 
c:\program files\Razer\Diamondback 3Gazertra.exe 
c:\program files\Razer\Diamondback 3Gazerofa.exe 
c:\program files\iPod\bin\iPodService.exe 
c:\windows\system32\wbem\wmiapsrv.exe 
c:\windows\system32\wscntfy.exe 
c:\program files\Java\jre6\bin\jucheck.exe 
. 
************************************************************************** 
. 
Heure de fin: 2010-10-01  22:25:47 - La machine a redémarré 
ComboFix-quarantined-files.txt  2010-10-01 20:25 

Avant-CF: 10'343'391'232 octets libres 
Après-CF: 10'931'400'704 octets libres 

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe 
[boot loader] 
timeout=2 
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS 
[operating systems] 
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons 
UnsupportedDebug="do not select this" /debug 
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect 

- - End Of File - - 4CBCD61878F6B27347CC3AA0CFCF845E

Utilisateur anonyme · Answer

Re

Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

 Clique sur " parcourir ", cherche un fichier à la fois :

Clique sur Send File. 

c:\windows\system32\dlo36.dll
c:\windows\system32\rts5161ccid.dll 

Un rapport va s'élaborer ligne à ligne. 

 Attends la fin. Il doit comprendre la taille du fichier envoyé. 

 Sauvegarde le rapport avec le bloc-notes. 

 Copie le dans ta réponse et fait le pour chaque fichier ; merci 

(!) Si Virus Total indique que le fichier a déjà été analysé, cliquer sur le bouton. Ré analyser 

@+

arno · Answer

Re,

J'ai effectué entre-temps une analyse rapide malwarebytes

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4712

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

01.10.2010 22:39:15
mbam-log-2010-10-01 (22-39-15).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 136006
Temps écoulé: 6 minute(s), 49 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/Documents and Settings/Administrateur/Local Settings/Temp/enfqqwjf.dat (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\enfqqwjf.dat (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\enfqqwjf.dat (Rootkit.Agent) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Administrateur\Local Settings\Temp\enfqqwjf.dat (Rootkit.Agent) -> No action taken.

arno · Answer

re, 

voici les rapports virustotal

Antivirus  	Version  	Last update  	Result
AhnLab-V3 	2010.10.02.00 	2010.10.01 	-
AntiVir 	7.10.12.111 	2010.10.01 	-
Antiy-AVL 	2.0.3.7 	2010.10.01 	-
Authentium 	5.2.0.5 	2010.10.01 	-
Avast 	4.8.1351.0 	2010.10.01 	-
Avast5 	5.0.594.0 	2010.10.01 	-
AVG 	9.0.0.851 	2010.10.01 	-
BitDefender 	7.2 	2010.10.01 	Gen:Trojan.Heur.SC8aya@9fvnc
CAT-QuickHeal 	11.00 	2010.10.01 	-
ClamAV 	0.96.2.0-git 	2010.10.01 	-
Comodo 	6258 	2010.10.01 	-
DrWeb 	5.0.2.03300 	2010.10.01 	-
Emsisoft 	5.0.0.50 	2010.10.01 	Virus.Win32.Spyware!IK
eSafe 	7.0.17.0 	2010.09.30 	-
eTrust-Vet 	36.1.7888 	2010.10.01 	-
F-Prot 	4.6.2.117 	2010.10.01 	-
F-Secure 	9.0.15370.0 	2010.10.01 	Gen:Trojan.Heur.SC8aya@9fvnc
Fortinet 	4.1.143.0 	2010.09.30 	-
GData 	21 	2010.10.01 	Gen:Trojan.Heur.SC8aya@9fvnc
Ikarus 	T3.1.1.90.0 	2010.10.01 	Virus.Win32.Spyware
Jiangmin 	13.0.900 	2010.10.01 	-
K7AntiVirus 	9.63.2657 	2010.10.01 	-
Kaspersky 	7.0.0.125 	2010.10.01 	-
McAfee 	5.400.0.1158 	2010.10.01 	Suspect-AB!400C708B1CDE
McAfee-GW-Edition 	2010.1C 	2010.10.01 	-
Microsoft 	1.6201 	2010.10.01 	-
NOD32 	5496 	2010.10.01 	-
Norman 	6.06.07 	2010.10.01 	-
nProtect 	2010-10-01.02 	2010.10.01 	-
Panda 	10.0.2.7 	2010.10.01 	Suspicious file
PCTools 	7.0.3.5 	2010.10.01 	-
Prevx 	3.0 	2010.10.01 	-
Rising 	22.67.02.07 	2010.09.30 	-
Sophos 	4.58.0 	2010.10.01 	-
Sunbelt 	6959 	2010.10.01 	-
SUPERAntiSpyware 	4.40.0.1006 	2010.10.01 	Trojan.Agent/Gen-Falcomp[Cont]
Symantec 	20101.2.0.161 	2010.10.01 	-
TheHacker 	6.7.0.1.044 	2010.10.01 	-
TrendMicro 	9.120.0.1004 	2010.10.01 	-
TrendMicro-HouseCall 	9.120.0.1004 	2010.10.01 	-
VBA32 	3.12.14.1 	2010.10.01 	-
ViRobot 	2010.8.31.4017 	2010.10.01 	-
VirusBuster 	12.66.10.0 	2010.10.01 	-
MD5: 400c708b1cdea1682699eaea61c5e3f2
SHA1: 6f5e997174f139d6b1f486472eef441a5629c2c7
SHA256: 08bcffc0bcabd6eb1cc5c4ebc331164fbf8fbe7a8161c3fb227c129bdb983328
File size: 729600 bytes
Scan date: 2010-10-01 20:45:15 (UTC)


Antivirus  	Version  	Last Update  	Result
AhnLab-V3	2010.10.02.00	2010.10.01	-
AntiVir	7.10.12.111	2010.10.01	-
Antiy-AVL	2.0.3.7	2010.10.01	-
Authentium	5.2.0.5	2010.10.01	-
Avast	4.8.1351.0	2010.10.01	-
Avast5	5.0.594.0	2010.10.01	-
AVG	9.0.0.851	2010.10.01	-
BitDefender	7.2	2010.10.01	-
CAT-QuickHeal	11.00	2010.10.01	-
ClamAV	0.96.2.0-git	2010.10.01	-
Comodo	6258	2010.10.01	-
DrWeb	5.0.2.03300	2010.10.01	-
Emsisoft	5.0.0.50	2010.10.01	-
eSafe	7.0.17.0	2010.09.30	-
eTrust-Vet	36.1.7888	2010.10.01	-
F-Prot	4.6.2.117	2010.10.01	-
F-Secure	9.0.15370.0	2010.10.01	-
Fortinet	4.1.143.0	2010.09.30	-
GData	21	2010.10.01	-
Ikarus	T3.1.1.90.0	2010.10.01	-
Jiangmin	13.0.900	2010.10.01	-
K7AntiVirus	9.63.2657	2010.10.01	-
Kaspersky	7.0.0.125	2010.10.01	-
McAfee	5.400.0.1158	2010.10.01	-
McAfee-GW-Edition	2010.1C	2010.10.01	-
Microsoft	1.6201	2010.10.01	-
NOD32	5496	2010.10.01	-
Norman	6.06.07	2010.10.01	-
nProtect	2010-10-01.02	2010.10.01	-
Panda	10.0.2.7	2010.10.01	-
PCTools	7.0.3.5	2010.10.01	-
Prevx	3.0	2010.10.01	-
Rising	22.67.02.07	2010.09.30	-
Sophos	4.58.0	2010.10.01	-
Sunbelt	6959	2010.10.01	-
SUPERAntiSpyware	4.40.0.1006	2010.10.01	-
Symantec	20101.2.0.161	2010.10.01	-
TheHacker	6.7.0.1.044	2010.10.01	-
TrendMicro	9.120.0.1004	2010.10.01	-
TrendMicro-HouseCall	9.120.0.1004	2010.10.01	-
VBA32	3.12.14.1	2010.10.01	-
ViRobot	2010.8.31.4017	2010.10.01	-
VirusBuster	12.66.10.0	2010.10.01	-
Additional information
Show all
MD5   : 1f7e7ec1a528dd51db01fb363dccf7b5
SHA1  : 9d57d0073af598b0f3ed761cb9eb26ede532f1e8
SHA256: eef0d700107e67289eb320dd96ebb8bd21cd79b9cfa37fd6a0f3bbce2b171e92

File name:
rts5161ccid.dll
Submission date:
2010-10-01 20:50:03 (UTC)
Current status:
queued (#14) queued (#14) analysing finished
Result:
0/ 43 (0.0%)

Utilisateur anonyme · Answer

Re

Impeccable;)

As tu supprimé la sélection de Malwaresbytes?

Pour le rapports Virus total;pourrais tu les poster complet ou mieux me mettre le lien de chacun d'eux.
Ceci pour améliorer les outils de détections.


Merci ;)
@+

arno · Answer

Re,

Oui j'ai supprimé ce qui avait été mis dans la quarantaine

Voici les liens virustotal:

http://www.virustotal.com/file-scan/report.html?id=08bcffc0bcabd6eb1cc5c4ebc331164fbf8fbe7a8161c3fb227c129bdb983328-1285965915

http://www.virustotal.com/file-scan/report.html?id=eef0d700107e67289eb320dd96ebb8bd21cd79b9cfa37fd6a0f3bbce2b171e92-1285966203

Merci =)

Utilisateur anonyme · Answer

Re


ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet ordinateur
|===>il est fort déconseillé de le transposer sur un autre ordinateur !<===| 
                ----------------------------------------------------------------------------------------------- 

Toujours avec toutes les protections désactivées, fais ceci : 

* Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) 
* Copie/colle dans le bloc-notes ce qui est entre les lignes ci dessous (sans les lignes) : 

                                       ---------------------------------------------------------- 


KillAll:: 

Driver::
cwhqkkog;cwhqkkog
CWHQKKOG

Rootkit ::
c:\windows\system32\drivers\cwhqkkog.sys

File::
c:\windows\system32\dlo36.dll
c:\windows\system32\dlo36.tmp

Netsvc:: 
lfjtgtfq

                              -----------------------------------------------------------------

* Enregistre ce fichier sur ton Bureau (et pas ailleurs !) Sous le nom CFScript.txt 
* Quitte le Bloc Notes 

* Fais un glisser/déposer de ce fichier CFScript sur le fichier C-Fix.exe (combofix) comme sur ce lien : https://support.microsoft.com/en-us/windows?ui=en-US&rs=en-001&ad=US 
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. 
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu. 
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt


@+

arno · Answer

Hello,

Désolé de ne pas avoir continué la procédure hier soir, j'étais trop fatigué.

J'ai fait ce que tu m'as dit ce matin, merci =)

Voilà le rapport:

ComboFix 10-09-30.05 - Administrateur 02.10.2010   9:56.2.2 - x86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.2046.1278 [GMT 2:00]
Lancé depuis: c:\documents and settings\Administrateur\Mes documents\Téléchargements\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Administrateur\Bureau\CFScript.txt.txt
AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}

FILE ::
"c:\windows\system32\dlo36.dll"
"c:\windows\system32\dlo36.tmp"
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\cyeka.dll
c:\windows\system32\dlo36.dll
c:\windows\system32\dlo36.tmp
c:\windows\system32\drivers\bfuvzkhf.sys
c:\windows\system32\drivers\cwhqkkog.sys

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CWHQKKOG
-------\Legacy_LFJTGTFQ
-------\Service_cwhqkkog
-------\Service_lfjtgtfq


(((((((((((((((((((((((((((((   Fichiers créés du 2010-09-02 au 2010-10-02  ))))))))))))))))))))))))))))))))))))
.

2010-10-01 20:17 . 2008-04-13 18:40	62976	----a-w-	c:\windows\system32\drivers\cdrom.sys
2010-10-01 18:26 . 2010-10-01 18:26	388096	----a-r-	c:\documents and settings\Administrateur\Application Data\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-10-01 18:26 . 2010-10-01 18:26	--------	d-----w-	c:\program files\Trend Micro
2010-09-29 13:14 . 2010-09-29 13:14	--------	d-s---w-	c:\documents and settings\NetworkService\UserData
2010-09-28 18:27 . 2010-09-28 18:27	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\Malwarebytes
2010-09-28 18:27 . 2010-09-28 18:27	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2010-09-28 18:27 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-28 18:27 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-09-28 18:26 . 2010-09-28 18:27	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-09-23 10:38 . 2010-09-23 10:38	47876	----a-w-	c:\documents and settings\All Users\Application Data\Blizzard Entertainment\Battle.net\Cache\Download\Scan.dll
2010-09-21 17:00 . 2010-09-21 17:00	--------	d-----w-	c:\program files\Fichiers communs\Corel
2010-09-21 17:00 . 2010-09-21 17:00	--------	d-----w-	c:\program files\Fichiers communs\Protexis
2010-09-21 17:00 . 2010-09-21 17:00	--------	d-----w-	c:\documents and settings\All Users\Application Data\Corel
2010-09-08 19:38 . 2010-09-08 19:39	--------	d-----w-	c:\program files\ZopeExternalEditor
2010-09-06 11:26 . 2010-10-01 18:07	--------	d-----w-	C:ender
2010-09-06 10:21 . 2010-09-06 10:21	--------	d-----w-	c:\program files\Blender Foundation
2010-09-06 10:19 . 2010-09-06 10:19	--------	d-----w-	C:\Python26
2010-09-06 10:14 . 2010-09-06 10:14	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\Blender Foundation
2010-09-02 15:07 . 2008-01-09 08:04	245760	----a-r-	c:\windows\system32ts5161ccid.dll
2010-09-02 15:07 . 2008-01-09 07:52	40960	----a-r-	c:\windows\system32\drivers\Rts5161ccid.sys

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-01 19:14 . 2010-07-30 14:42	--------	d-----w-	c:\program files\ZHPDiag
2010-09-30 07:41 . 2010-01-21 18:51	--------	d-----w-	c:\program files\Mozilla Thunderbird
2010-09-29 11:22 . 2010-07-28 16:40	--------	d-----w-	c:\program files\StarCraft II
2010-09-29 10:04 . 2010-01-23 15:51	93936	----a-w-	c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-09-28 20:55 . 2010-09-01 11:55	674536	----a-w-	c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat
2010-09-28 20:40 . 2010-09-01 10:55	3766	--sha-w-	c:\documents and settings\All Users\Application Data\Protexis\KGyGaAvL.sys
2010-09-28 20:24 . 2010-09-01 10:57	168	--sh--r-	c:\documents and settings\All Users\Application Data\Protexis\7F37D5DD98.sys
2010-09-21 18:42 . 2010-01-25 20:05	--------	d-----w-	c:\program files\TeamSpeak 3 Client
2010-09-21 18:18 . 2010-01-24 14:54	--------	d-----w-	c:\program files\World of Warcraft
2010-09-21 17:02 . 2010-09-01 10:35	348256	----a-w-	c:\documents and settings\All Users\Application Data\Microsoft\VSTAHost\CorelPHOTOPAINT\9.0\1033\ResourceCache.dll
2010-09-21 17:02 . 2010-09-01 10:28	--------	d-----w-	c:\documents and settings\All Users\Application Data\Microsoft Help
2010-09-21 17:01 . 2010-09-01 10:34	348256	----a-w-	c:\documents and settings\All Users\Application Data\Microsoft\VSTAHost\CorelDRAW\9.0\1033\ResourceCache.dll
2010-09-21 12:15 . 2010-01-24 12:14	--------	d-----w-	c:\documents and settings\All Users\Application Data\CanonIJPLM
2010-09-16 09:51 . 2010-01-22 02:20	95480	----a-w-	c:\windows\system32\perfc00C.dat
2010-09-16 09:51 . 2010-01-22 02:20	532044	----a-w-	c:\windows\system32\perfh00C.dat
2010-09-11 14:52 . 2010-01-23 07:17	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\Apple Computer
2010-09-11 14:52 . 2010-01-24 07:01	--------	d-----w-	c:\documents and settings\All Users\Application Data\Apple
2010-09-01 18:04 . 2010-09-01 18:03	--------	d-----w-	c:\documents and settings\All Users\Application Data\Documed
2010-09-01 18:03 . 2010-09-01 18:03	--------	d-----w-	c:\program files\Documed
2010-09-01 10:57 . 2010-09-01 10:55	--------	d-----w-	c:\documents and settings\All Users\Application Data\Protexis
2010-09-01 10:55 . 2010-09-01 10:55	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\Corel
2010-09-01 10:31 . 2010-09-01 10:31	416	----a-w-	c:\documents and settings\All Users\Application Data\Microsoft\MSDN\9.0\1033\ResourceCache.dll
2010-09-01 10:29 . 2010-09-01 10:28	--------	d-----w-	c:\program files\Microsoft Visual Studio 9.0
2010-09-01 10:28 . 2010-09-01 10:28	--------	d-----w-	c:\program files\Microsoft SDKs
2010-09-01 10:16 . 2010-09-01 10:16	--------	d-----w-	c:\program files\Corel
2010-08-30 19:55 . 2010-08-30 19:55	--------	d-----w-	c:\program files\AVS4YOU
2010-08-30 19:55 . 2010-07-27 17:48	--------	d-----w-	c:\program files\Fichiers communs\AVSMedia
2010-08-24 16:47 . 2010-08-24 16:47	2148864	----a-w-	c:\windows\system32\python26.dll
2010-08-22 18:44 . 2010-08-22 18:44	--------	d-----w-	c:\program files\VirtualDJ
2010-08-17 13:17 . 2010-01-22 02:20	58880	----a-w-	c:\windows\system32\spoolsv.exe
2010-07-31 11:02 . 2010-07-31 11:02	73000	----a-w-	c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 9.2.1.5\SetupAdmin.exe
2010-07-25 14:31 . 2010-01-21 18:49	243024	----a-w-	c:\windows\system32\drivers\avgtdix.sys
2010-07-25 14:31 . 2010-07-25 14:31	12536	----a-w-	c:\windows\system32\avgrsstx.dll
2010-07-25 14:30 . 2010-01-21 18:49	216400	----a-w-	c:\windows\system32\drivers\avgldx86.sys
2010-07-22 15:48 . 2010-01-22 02:20	590848	----a-w-	c:\windows\system32pcrt4.dll
2010-07-22 06:19 . 2008-05-05 06:25	5632	----a-w-	c:\windows\system32\xpsp4res.dll
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Phase28Panel"="c:\program files\MUSONIK\TS22 PCI ControlPanel\Protecmixer.exe" [2008-01-15 262144]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe" [2005-01-07 61952]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-28 16248320]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-04-26 8445952]
"nwiz"="nwiz.exe" [2007-04-26 1626112]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-04-26 81920]
"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-07-25 2065760]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"Diamondback"="c:\program files\Razer\Diamondback 3Gazerhid.exe" [2007-08-01 147456]
"NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2007-05-14 644696]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2007-04-03 1603152]
"SSBkgdUpdate"="c:\program files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
"OpwareSE4"="c:\program files\ScanSoft\OmniPageSE4\OpwareSE4.exe" [2007-02-04 79400]
"AdobeCS4ServiceManager"="c:\program files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-18 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-07-21 141608]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
InterVideo WinCinema Manager.lnk - c:\program files\InterVideo\Common\Bin\WinCinemaMgr.exe [2010-1-23 98304]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\avgrsstarter]
2010-07-25 14:31	12536	----a-w-	c:\windows\system32\avgrsstx.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\AVG\AVG9\avgemc.exe"=
"c:\Program Files\AVG\AVG9\avgupd.exe"=
"c:\Program Files\AVG\AVG9\avgnsx.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\World of Warcraft\WoW-3.2.0-frFR-downloader.exe"=
"c:\Program Files\World of Warcraft\Launcher.exe"=
"c:\Program Files\World of Warcraft\WoW-3.2.0.10192-to-3.3.0.10958-frFR-downloader.exe"=
"c:\Program Files\World of Warcraft\WoW-3.3.0.10958-to-3.3.0.11159-frFR-downloader.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe"=
"c:\Program Files\StarCraft II\StarCraft II.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\iTunes\iTunes.exe"=
"c:\Program Files\StarCraft II\Versions\Base15405\SC2.exe"=
"c:\Program Files\StarCraft II\Versions\Base16605\SC2.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724
"5353:TCP"= 5353:TCP:Adobe CSI CS4

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [21.01.2010 20:49 216400]
R1 AvgTdiX;AVG Free Network Redirector;c:\windows\system32\drivers\avgtdix.sys [21.01.2010 20:49 243024]
R2 avg9emc;AVG Free E-mail Scanner;c:\program files\AVG\AVG9\avgemc.exe [25.07.2010 16:30 921952]
R2 avg9wd;AVG Free WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [25.07.2010 16:30 308136]
R3 AR5513;TRENDware Wireless Network Adapter Service;c:\windows\system32\drivers\ar5513.sys [21.01.2010 21:03 358464]
R3 Protec;PHASE2X WDM Audio;c:\windows\system32\drivers\Protec.sys [21.01.2010 21:16 69472]
R3 Razerlow;Diamondback 3G USB Filter Driver;c:\windows\system32\drivers\DB3G.sys [21.01.2010 22:34 13225]
S3 BEHRINGER_PT_MIDI;Behringer MIDI driver service (pt);c:\windows\system32\drivers\bhrngr_m.sys [26.07.2010 20:05 29184]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - CWHQKKOG
*Deregistered* - cwhqkkog
.
Contenu du dossier 'Tâches planifiées'

2010-09-04 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\s3zyre43.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.ch
FF - plugin: c:\documents and settings\Administrateur\Application Data\Facebook
pfbplugin_1_0_1.dll
FF - plugin: c:\documents and settings\Administrateur\Application Data\Facebook
pfbplugin_1_0_3.dll
FF - plugin: c:\program files\DivX\DivX Plus Web Player
pdivx32.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-10-02 10:04
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€-€|ÿÿÿÿÀ*€|ù*9~*]
"C040111900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(816)
c:\program files\Fichiers communs\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll

- - - - - - - > 'explorer.exe'(2720)
c:\program files\ScanSoft\OmniPageSE4\OpHookSE4.dll
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\AVG\AVG9\avgchsvx.exe
c:\program files\AVG\AVG9\avgrsx.exe
c:\windows\System32\SCardSvr.exe
c:\program files\AVG\AVG9\avgcsrvx.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\RUNDLL32.EXE
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Canon\IJPLM\IJPLMSVC.EXE
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32
vsvc32.exe
c:\program files\Fichiers communs\Protexis\License Service\PsiService_2.exe
c:\program files\AVG\AVG9\avgnsx.exe
c:\program files\Razer\Diamondback 3Gazertra.exe
c:\program files\Razer\Diamondback 3Gazerofa.exe
c:\program files\AVG\AVG9\avgcsrvx.exe
c:\program files\iPod\bin\iPodService.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\Java\jre6\bin\jucheck.exe
.
**************************************************************************
.
Heure de fin: 2010-10-02  10:09:24 - La machine a redémarré
ComboFix-quarantined-files.txt  2010-10-02 08:09
ComboFix2.txt  2010-10-01 20:25

Avant-CF: 10'832'830'464 octets libres
Après-CF: 10'838'421'504 octets libres

- - End Of File - - 81E4AF29A7B6B6C8EA172FBA43F4E349

Utilisateur anonyme · Answer

Bonjour

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

Serveur N°2

Ou

http://www.premiumorange.com/zeb-help-process/zhpdiag.html 
en bas de la page ZHP avec un numéro de version.
 
Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit «  exécuter en tant que administrateur »


Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long. 

Ferme ZHPDiag en fin d'analyse. 


Pour transmettre le rapport clique sur ce lien : 

http://www.cijoint.fr/index.php
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 

Sélectionne le fichier ZHPDiag.txt. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.

Merci

A+

Gros soucis, Plantages, Virus, Périphériques.

15 réponses

Discussions similaires

Newsletters