Désactivation de la restauration systèmeFermé

Question

Bonjour,


J'ai des virus sur mon ordi. j'ai téléchargé les patch depuis securtioo. 
Zafi, Netsky, etc sont détectés. Mais je n'arrive pas à m'en débarraser. 
Les tutoriels me disent de désactiver la restauration du système, mais quand je tente de le faire, un message apparait :

"la restauration du système a rencontré une erreur sur activer/desactiver.... relancez votre ordinateur, etc"

mais rien à faire. Quelqu'un peut-il m'aider à désactiver cette restauration s'il vous pali????


J'ai vu un autre post sur ce sujet, mais j'ai rien compris à la manoeuvre.


D'avance merci et bonne journée

jlpjlp · Answer

slt,


scan ton ordi avec stinger 

http://download.nai.com/products/mcafee-avert/stng399.exe

___________

puis

colle un rapport hijackthis


http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

manuel :
http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm
https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html

Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo.

ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste

Ensuite avec Explorer créer un dossier c:\hijackthis
Décompresser Hijackthis dans ce dossier.
C'est important pour les sauvegardes."

edn.anims · Answer

Bonjour,

merci de ta réponse. voici le rapport

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:57:26, on 04/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\ANTIVIRUS\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32
etdde.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32
tvdm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\hijackthis\edn.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.secuser.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\ANTIVI~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\ANTIVIRUS\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\ANTIVI~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\ANTIVI~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: (no name) - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - 
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://orange.securitoo.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B1634F7F-9B7A-40CE-A2B7-E075243CD864}: NameServer = 192.168.1.1
O22 - SharedTaskScheduler: st3 - {1B68470C-2DEF-493B-8A4A-8E2D81BE4EA5} - (no file)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

jlpjlp · Answer

ok



Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

--------------

scan avec
MalwareByte's Anti-Malware et vire ce qui est trouvé et colle le rapport

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

------------

mets a jour internet explorer:
https://www.01net.com/telecharger/windows/Internet/navigateur/fiches/33081.html

---------
recolle un hijakchits

edn.anims · Answer

Bojour JLPJLP,

Merci pour ton aide.
j'ai lancé une fois l'anti malware MALWAREBYTE, puis j'ai suivi ta procédure.

Il y a eu pas mal de choses désinfectées mais la mise à jour d'internet explorer (installation d'ie7 en fait) a échoué. Est-ce grave? j'utilise firefox.

voici les rapports.

SDFIX


[b]SDFix: Version 1.187 [/b]
Run by Utilisateur on 04/06/2008 at 18:53

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


[b]Checking Files [/b]: 

No Trojan Files Found






Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-04 19:15:23
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Vax347s\Config\jdgg40]
"ujdew"=hex:20,02,00,00,3f,4d,2b,26,eb,62,01,b9,a2,b6,38,bb,6d,35,84,d1,cc,..
"ljej40"=hex:e3,7e,fb,19,34,fa,22,38,82,be,c4,70,43,b5,b2,39,71,60,eb,8c,54,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}]
"DisplayName"="Alcohol 120%"

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\Program Files\MSN Messenger\msncall.exe"="C:\Program Files\MSN Messenger\msncall.exe:*:Disabled:Windows Live Messenger 8.0 (Phone)"
"C:\Program Files\Messenger\msmsgs.exe"="C:\Program Files\Messenger\msmsgs.exe:*:Disabled:Windows Messenger"
"C:\Program Files\eMule\emule.exe"="C:\Program Files\eMule\emule.exe:*:Enabled:eMule"
"C:\WINDOWS\system32\sessmgr.exe"="C:\WINDOWS\system32\sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019"
"C:\Program Files\BitTorrent\bittorrent.exe"="C:\Program Files\BitTorrent\bittorrent.exe:*:Disabled:BitTorrent"
"C:\WINDOWS\Network Diagnostic\xpnetdiag.exe"="C:\WINDOWS\Network Diagnostic\xpnetdiag.exe:*:Disabled:@xpsp3res.dll,-20000"
"C:\WINDOWS\system32\LEXPPS.EXE"="C:\WINDOWS\system32\LEXPPS.EXE:*:Disabled:LEXPPS.EXE"
"C:\Program Files\Media Player Classic\mplayerc.exe"="C:\Program Files\Media Player Classic\mplayerc.exe:*:Disabled:Media Player Classic"
"C:\Program Files\Ahead\Nero MediaHome\NeroMediaHome.exe"="C:\Program Files\Ahead\Nero MediaHome\NeroMediaHome.exe:*:Disabled:Nero MediaHome"
"C:\Program Files\ANTIVIRUS\firewall\kerio\PERSFW.exe"="C:\Program Files\ANTIVIRUS\firewall\kerio\PERSFW.exe:*:Disabled:Kerio Personal Firewall Engine"
"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\MSN Messenger\msncall.exe"="C:\Program Files\MSN Messenger\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

[b]Remaining Files [/b]:



[b]Files with Hidden Attributes [/b]:

Thu 19 Aug 2004        60,416 A.SH. --- "C:\Program Files\Outlook Express\msimn.exe"
Wed 30 Nov 2005         4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Mon 28 Jan 2008     1,404,240 A.SHR --- "C:\Program Files\ANTIVIRUS\Spybot - Search & Destroy\SDUpdate.exe"
Mon 28 Jan 2008     5,146,448 A.SHR --- "C:\Program Files\ANTIVIRUS\Spybot - Search & Destroy\SpybotSD.exe"
Tue  7 Feb 2006       299,008 A..H. --- "C:\Program Files\Canon\MP Navigator 3.0\Maint.exe"
Mon 25 Apr 2005        61,440 A..H. --- "C:\Program Files\Canon\MP Navigator 3.0\uinstrsc.dll"
Sun 18 May 2008     6,104,632 A..H. --- "C:\Program Files\photos\Picasa2\setup.exe"
Fri 10 Aug 2007             0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Thu  8 May 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\24af2a69c06a4de03e35dc89d706475f\BIT1.tmp"
Tue 19 Sep 2006     9,695,232 A..H. --- "C:\Documents and Settings\Utilisateur\Application Data\Microsoft\Word\~WRL0005.tmp"
Mon 30 Apr 2007        45,056 A..H. --- "C:\Documents and Settings\Utilisateur\Application Data\Microsoft\Word\~WRL0026.tmp"
Fri 29 Sep 2006        27,136 A..H. --- "C:\Documents and Settings\Utilisateur\Application Data\Microsoft\Word\~WRL0744.tmp"
Tue 19 Sep 2006     9,690,624 A..H. --- "C:\Documents and Settings\Utilisateur\Application Data\Microsoft\Word\~WRL0922.tmp"
Fri 29 Sep 2006        25,088 A..H. --- "C:\Documents and Settings\Utilisateur\Application Data\Microsoft\Word\~WRL1262.tmp"
Mon 30 Apr 2007        44,032 A..H. --- "C:\Documents and Settings\Utilisateur\Application Data\Microsoft\Word\~WRL3133.tmp"
Fri 29 Sep 2006        27,136 A..H. --- "C:\Documents and Settings\Utilisateur\Application Data\Microsoft\Word\~WRL3370.tmp"
Tue 19 Sep 2006    10,380,800 A..H. --- "C:\Documents and Settings\Utilisateur\Application Data\Microsoft\Word\~WRL3638.tmp"
Fri 29 Sep 2006        31,232 A..H. --- "C:\Documents and Settings\Utilisateur\Application Data\Microsoft\Word\~WRL3868.tmp"
Fri 29 Sep 2006        27,136 A..H. --- "C:\Documents and Settings\Utilisateur\Application Data\Microsoft\Word\~WRL4075.tmp"

[b]Finished![/b]



Ensuite

Malwarebytes' Anti-Malware 1.14
Version de la base de données: 824

18:20:59 04/06/2008
mbam-log-6-4-2008 (18-20-59).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 106028
Temps écoulé: 27 minute(s), 8 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté) SDFix :  report.txt




Puis 




hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:45:21, on 04/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\ANTIVIRUS\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32
etdde.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\hijackthis\edn.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.01net.com/telecharger/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\ANTIVI~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\ANTIVIRUS\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\ANTIVI~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\ANTIVI~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: (no name) - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O14 - IERESET.INF: START_PAGE_URL=https://www.01net.com/telecharger/
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - 
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://orange.securitoo.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B1634F7F-9B7A-40CE-A2B7-E075243CD864}: NameServer = 192.168.1.1
O22 - SharedTaskScheduler: st3 - {1B68470C-2DEF-493B-8A4A-8E2D81BE4EA5} - (no file)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

jlpjlp · Answer

relance hijackthis, fais do a sytem scan only et fix ces lignes (fix cheked)


F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O9 - Extra button: (no name) - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -

_________________



Télécharge Combofix de sUBs : Renomme le avant toute installation, par exemple, nomme le "KillBagle". aide ici : https://forum.pcastuces.com/sujet.asp?f=25&s=37315

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !

Aide à l’utilisation de combofix ici: https://bibou0007.forumpro.fr/login?redirect=%2Ft121-topic

Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

_________________
recolle un hijkahcits et dis tes soucis actuels

edn.anims · Answer

Re, encore merci de ton intérêt pour mon problème. le rapport affiche des mots vulgaires maintenant... :-/ Combofix a créé un fichier avec une quarantaine. je peux l'effacer??? Sinon mon problème n'est toujours pas résolu. le "propiété du système" ne veut pas autoriser la désactivation de la restauration du système voici le rapport du COMBOFIX ComboFix 08-06-03.4 - Utilisateur 2008-06-04 21:07:45.1 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.519 [GMT 2:00] Endroit: C:\Documents and Settings\Utilisateur\Bureau ueurdebagle.exe [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\MSINET.oca C:\WINDOWS\system32\stera.log . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_FOPN ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-04 to 2008-06-04 )))))))))))))))))))))))))))))))))))) . 2008-06-04 19:38 . 2008-06-04 19:38 d--h----- C:\WINDOWS\msdownld.tmp 2008-06-04 18:57 . 2008-06-04 18:57 552 --a------ C:\WINDOWS\system32\d3d8caps.dat 2008-06-04 18:49 . 2008-06-04 18:49 d-------- C:\WINDOWS\ERUNT 2008-06-04 18:45 . 2008-06-04 19:17 d-------- C:\SDFix 2008-06-04 17:44 . 2008-06-04 17:44 d-------- C:\Documents and Settings\Utilisateur\Application Data\Malwarebytes 2008-06-04 17:44 . 2008-06-04 17:44 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-06-04 17:44 . 2008-05-30 01:06 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys 2008-06-04 17:44 . 2008-05-30 01:06 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-06-04 16:53 . 2008-06-04 21:01 d-------- C:\hijackthis 2008-06-04 11:47 . 2008-06-04 11:47 138,032 --a------ C:\WINDOWS\~GLC0001.TMP 2008-06-04 11:47 . 2008-06-04 11:47 5,607 --a------ C:\WINDOWS\~GLH0001.TMP 2008-06-04 09:34 . 2008-06-04 15:47 d-------- C:\Program Files\Trend Micro 2008-06-04 09:32 . 2008-06-04 17:12 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-06-04 09:32 . 2008-06-04 09:32 1,409 --a------ C:\WINDOWS\QTFont.for 2008-06-03 20:44 . 2006-05-24 10:33 56,832 --a------ C: eboot.exe 2008-06-03 18:38 . 2008-06-03 18:37 36,520,389 --a------ C:\WINDOWS\LPT$VPN.315 2008-06-03 18:38 . 2008-06-03 18:50 517 --a------ C:\WINDOWS\TSC.INI 2008-06-03 18:37 . 2008-06-03 18:37 d-------- C:\WINDOWS\AU_Backup 2008-06-03 18:37 . 2008-06-03 18:37 36,520,389 --a------ C:\WINDOWS\VPTNFILE.315 2008-06-03 18:37 . 2008-06-03 18:37 1,213,784 --a------ C:\WINDOWS\vsapi32.dll 2008-06-03 18:37 . 2008-06-03 18:37 91,744 --a------ C:\WINDOWS\BPMNT.dll 2008-06-03 18:33 . 2008-06-03 18:37 d-------- C:\WINDOWS\AU_Temp 2008-06-03 18:29 . 2008-06-03 18:29 d-------- C:\WINDOWS\AU_Log 2008-06-03 18:29 . 2008-06-03 18:29 507,904 --a------ C:\WINDOWS\TMUPDATE.DLL 2008-06-03 18:29 . 2008-06-03 18:29 69,689 --a------ C:\WINDOWS\UNZIP.DLL 2008-06-03 18:29 . 2008-06-03 18:33 170 --a------ C:\WINDOWS\GetServer.ini 2008-05-23 10:24 . 2008-05-23 10:24 d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft 2008-05-23 10:23 . 2008-05-23 10:23 d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard 2008-05-20 11:29 . 2008-05-20 11:29 d-------- C:\Program Files\Skyline 2008-05-18 20:11 . 2008-05-18 21:11 d-------- C:\Documents and Settings\All Users\Application Data\Google Updater 2008-05-18 18:32 . 2008-05-18 18:58 d-------- C:\Documents and Settings\Utilisateur\Application Data\XnView 2008-05-18 18:22 . 2008-06-01 16:26 116 --a------ C:\WINDOWS\NeroDigital.ini 2008-05-18 18:08 . 2006-10-05 04:42 2,560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys 2008-05-18 18:08 . 2006-10-05 04:42 2,432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys 2008-05-18 18:07 . 2008-05-18 18:09 d-------- C:\Program Files\photos 2008-05-18 17:56 . 2004-05-14 17:12 1,916,928 --------- C:\WINDOWS\UNNVEContent.exe 2008-05-18 17:56 . 2004-11-30 19:14 67,990 --------- C:\WINDOWS\UNNVEContent.cfg 2008-05-18 17:55 . 2005-02-08 14:12 2,670,592 --------- C:\WINDOWS\UNNMP.exe 2008-05-18 17:55 . 2005-06-07 11:40 49,655 --------- C:\WINDOWS\UNNMP.cfg 2008-05-18 17:52 . 2001-07-09 11:50 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe 2008-05-18 17:50 . 2005-04-20 13:32 2,916,352 --------- C:\WINDOWS\UNNeroVision.exe 2008-05-18 17:50 . 2005-06-07 11:40 154,855 --------- C:\WINDOWS\UNNeroVision.cfg 2008-05-18 17:49 . 2004-07-26 17:16 1,568,768 --------- C:\WINDOWS\system32\ImagX7.dll 2008-05-18 17:49 . 2004-07-26 17:16 476,320 --------- C:\WINDOWS\system32\ImagXpr7.dll 2008-05-18 17:49 . 2004-07-26 17:16 471,040 --------- C:\WINDOWS\system32\ImagXRA7.dll 2008-05-18 17:49 . 2004-07-09 09:43 364,544 --------- C:\WINDOWS\system32\TwnLib4.dll 2008-05-18 17:49 . 2004-07-26 17:16 262,144 --------- C:\WINDOWS\system32\ImagXR7.dll 2008-05-18 17:49 . 2000-06-26 11:45 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll 2008-05-18 17:49 . 2001-06-26 08:15 38,912 --------- C:\WINDOWS\system32\picn20.dll 2008-05-18 17:48 . 2008-05-18 17:55 d-------- C:\Program Files\Ahead 2008-05-18 11:20 . 2008-05-18 11:20 d-------- C:\Documents and Settings\All Users\Application Data\Ahead 2008-05-07 11:07 . 2008-06-03 22:47 d-------- C:\Documents and Settings\All Users\Application Data\Avira 2008-05-07 11:06 . 2008-05-07 11:06 237,710 --a------ C:\WINDOWS\system32\def.vpc 2008-05-07 11:06 . 2008-05-28 08:27 172 --a------ C:\curr_ver.tmp . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-06-04 18:02 --------- d-----w C:\Program Files\Mozilla Thunderbird 2008-06-04 15:44 --------- d-----w C:\Program Files\ANTIVIRUS 2008-06-04 11:50 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2008-06-03 16:35 --------- d-----w C:\Program Files\eMule 2008-05-22 09:29 --------- d-----w C:\Documents and Settings\Utilisateur\Application Data\AdobeUM 2008-05-20 09:30 --------- d-----w C:\Documents and Settings\All Users\Application Data\Skyline 2008-05-18 18:13 --------- d-----w C:\Program Files\Google 2008-05-18 15:48 --------- d-----w C:\Program Files\Fichiers communs\Ahead 2008-05-17 21:14 --------- d-----w C:\Documents and Settings\Utilisateur\Application Data\Thunderbird 2008-05-17 20:52 --------- d-----w C:\Program Files\pack téléchargement 2008-05-07 19:26 --------- d-----w C:\Program Files\Spybot - Search & Destroy 2008-05-07 09:01 --------- d-----w C:\Documents and Settings\Utilisateur\Application Data\AVG7 2008-05-07 09:01 --------- d-----w C:\Documents and Settings\LocalService\Application Data\AVG7 2008-05-07 09:01 --------- d-----w C:\Documents and Settings\All Users\Application Data\Grisoft 2008-05-07 09:01 --------- d-----w C:\Documents and Settings\All Users\Application Data\avg7 2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll 2008-03-25 04:51 194,144 ----a-w C:\WINDOWS\system32\msjint40.dll 2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys 2007-09-24 15:48 79,728 ----a-w C:\Documents and Settings\Utilisateur\Application Data\GDIPFONTCACHEV1.DAT 2006-10-15 14:31 95 -c--a-w C:\Program Files\satsukidecodersettings.ini . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SpybotSD TeaTimer"="C:\Program Files\ANTIVIRUS\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-05-12 22:05 344064] [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^VIA RAID TOOL.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\VIA RAID TOOL.lnk backup=C:\WINDOWS\pss\VIA RAID TOOL.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alevir] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Avril Lavigne - Muse] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Brasil] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cronos] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe] --a------ 2004-08-19 16:09 15360 C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cuzao!Old] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Explorer] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\instit] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Load] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\load32] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LoadManager] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\messnger] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Inet Xp..] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MicrosoftServiceManager] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Module Call initialize] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mqbkup] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mstask] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ] --------- 2005-04-14 16:56 1957888 C:\Program Files\Ahead\Nero BackItUp\NBJ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Program In Windows] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Puta!!] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PutAS!] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] C:\Program Files\lecteur multimédia\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Remote Procedure Call Locator] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] --a------ 2003-10-31 20:42 32768 C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Run] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Scandisk] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\scr] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ScrSvr] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ScrSvrOld] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SFtrb Service] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SocketListner] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Spees1] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Spees3] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpywareTerminator] C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSK Service] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\syshelp] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\System MScvb] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\System Tray] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SystemInit] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Taskman] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrayX] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr] -ra--c--- 2006-03-30 17:45 313472 C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\windows auto update] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\windows automation] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows shellext.32] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WindowsMGM] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinGate initialize] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Winhelp] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\winreg] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinServices] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Winsrv] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG] --a------ 2006-11-03 09:59 204288 C:\Program Files\Windows Media Player\WMPNSCFG.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WQK] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\www.hidro.4t.com] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "Boonty Games"=3 (0x3) "InCDsrv"=2 (0x2) "C-DillaCdaC11BA"=2 (0x2) "PersFw"=3 (0x3) "InCDsrvR"=2 (0x2) "WZCSVC"=2 (0x2) "Alerter"=2 (0x2) "gusvc"=2 (0x2) "usnjsvc"=3 (0x3) "StarWindService"=2 (0x2) "aawservice"=2 (0x2) "a2free"=2 (0x2) "WMPNetworkSvc"=2 (0x2) "WmdmPmSN"=3 (0x3) "WebClient"=2 (0x2) "VSS"=3 (0x3) "UPS"=3 (0x3) "TrkWks"=2 (0x2) "SwPrv"=3 (0x3) "SSDPSRV"=3 (0x3) "RSVP"=3 (0x3) "RemoteRegistry"=2 (0x2) "ProtectedStorage"=2 (0x2) "PolicyAgent"=2 (0x2) "NtLmSsp"=3 (0x3) "MSDTC"=3 (0x3) "MDM"=2 (0x2) "HTTPFilter"=3 (0x3) "helpsvc"=2 (0x2) "FastUserSwitchingCompatibility"=3 (0x3) "Dhcp"=2 (0x2) "CryptSvc"=3 (0x3) "clr_optimization_v2.0.50727_32"=3 (0x3) "sp_rssrv"=2 (0x2) [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un-] "SpywareTerminator"="C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe" [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "C:\Program Files\Messenger\msmsgs.exe"= "C:\Program Files\eMule\emule.exe"= "C:\WINDOWS\system32\sessmgr.exe"= "C:\WINDOWS\Network Diagnostic\xpnetdiag.exe"= "C:\Program Files\Media Player Classic\mplayerc.exe"= "C:\Program Files\MSN Messenger\msnmsgr.exe"= "C:\Program Files\MSN Messenger\livecall.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009 R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20] R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16] S3 CrystalCpuInfo;CrystalCpuInfo;C:\Program Files\OCCT\CpuInfo.sys [] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{03bd4026-d50e-11da-89c4-001485824152}] \Shell\AutoRun\command - I:\EasyCN.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5bef6989-8c10-11db-8b1d-001485824152}] \Shell\AutoRun\command - wscript.exe VirusRemoval.vbs \Shell\open\Command - wscript.exe VirusRemoval.vbs [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{abd29cb4-68d3-11db-8acc-001485824152}] \Shell\AutoRun\command - H:\RunGame.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f6184079-d4f0-11da-89c3-001485824152}] \Shell\AutoRun\command - H:\EasyCN.exe . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' "2008-06-04 16:05:05 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Program Files\Apple Software Update\SoftwareUpdate.exe "2008-06-02 10:23:53 C:\WINDOWS\Tasks\Spybot - Search & Destroy - Scheduled Task.job" - C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-06-04 21:11:40 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\system32\ati2evxx.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\ati2evxx.exe C:\WINDOWS\system32\scardsvr.exe C:\WINDOWS\system32 etdde.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe . ************************************************************************** . Temps d'accomplissement: 2008-06-04 21:15:26 - machine was rebooted ComboFix-quarantined-files.txt 2008-06-04 19:15:22 Pre-Run: 135,024,099,328 octets libres Post-Run: 134,946,607,104 octets libres 267 --- E O F --- 2008-05-24 10:59:51 et le Hijackthis Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:25:04, on 04/06/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32 etdde.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Program Files\ANTIVIRUS\Spybot - Search & Destroy\TeaTimer.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\explorer.exe C:\Program Files\Mozilla Thunderbird hunderbird.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\hijackthis\edn.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\ANTIVI~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\ANTIVIRUS\Spybot - Search & Destroy\TeaTimer.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\ANTIVI~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\ANTIVI~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O14 - IERESET.INF: START_PAGE_URL=https://www.01net.com/telecharger/ O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://orange.securitoo.com/ols/fscax.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{B1634F7F-9B7A-40CE-A2B7-E075243CD864}: NameServer = 192.168.1.1 O22 - SharedTaskScheduler: st3 - {1B68470C-2DEF-493B-8A4A-8E2D81BE4EA5} - (no file) O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

edn.anims · Answer

Re, encore merci de ton intérêt pour mon problème. le rapport affiche des mots vulgaires maintenant... :-/ Combofix a créé un fichier avec une quarantaine. je peux l'effacer??? Sinon mon problème n'est toujours pas résolu. le "propiété du système" ne veut pas autoriser la désactivation de la restauration du système voici le rapport du COMBOFIX ComboFix 08-06-03.4 - Utilisateur 2008-06-04 21:07:45.1 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.519 [GMT 2:00] Endroit: C:\Documents and Settings\Utilisateur\Bureau ueurdebagle.exe [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\MSINET.oca C:\WINDOWS\system32\stera.log . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_FOPN ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-04 to 2008-06-04 )))))))))))))))))))))))))))))))))))) . 2008-06-04 19:38 . 2008-06-04 19:38 d--h----- C:\WINDOWS\msdownld.tmp 2008-06-04 18:57 . 2008-06-04 18:57 552 --a------ C:\WINDOWS\system32\d3d8caps.dat 2008-06-04 18:49 . 2008-06-04 18:49 d-------- C:\WINDOWS\ERUNT 2008-06-04 18:45 . 2008-06-04 19:17 d-------- C:\SDFix 2008-06-04 17:44 . 2008-06-04 17:44 d-------- C:\Documents and Settings\Utilisateur\Application Data\Malwarebytes 2008-06-04 17:44 . 2008-06-04 17:44 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-06-04 17:44 . 2008-05-30 01:06 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys 2008-06-04 17:44 . 2008-05-30 01:06 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-06-04 16:53 . 2008-06-04 21:01 d-------- C:\hijackthis 2008-06-04 11:47 . 2008-06-04 11:47 138,032 --a------ C:\WINDOWS\~GLC0001.TMP 2008-06-04 11:47 . 2008-06-04 11:47 5,607 --a------ C:\WINDOWS\~GLH0001.TMP 2008-06-04 09:34 . 2008-06-04 15:47 d-------- C:\Program Files\Trend Micro 2008-06-04 09:32 . 2008-06-04 17:12 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-06-04 09:32 . 2008-06-04 09:32 1,409 --a------ C:\WINDOWS\QTFont.for 2008-06-03 20:44 . 2006-05-24 10:33 56,832 --a------ C: eboot.exe 2008-06-03 18:38 . 2008-06-03 18:37 36,520,389 --a------ C:\WINDOWS\LPT$VPN.315 2008-06-03 18:38 . 2008-06-03 18:50 517 --a------ C:\WINDOWS\TSC.INI 2008-06-03 18:37 . 2008-06-03 18:37 d-------- C:\WINDOWS\AU_Backup 2008-06-03 18:37 . 2008-06-03 18:37 36,520,389 --a------ C:\WINDOWS\VPTNFILE.315 2008-06-03 18:37 . 2008-06-03 18:37 1,213,784 --a------ C:\WINDOWS\vsapi32.dll 2008-06-03 18:37 . 2008-06-03 18:37 91,744 --a------ C:\WINDOWS\BPMNT.dll 2008-06-03 18:33 . 2008-06-03 18:37 d-------- C:\WINDOWS\AU_Temp 2008-06-03 18:29 . 2008-06-03 18:29 d-------- C:\WINDOWS\AU_Log 2008-06-03 18:29 . 2008-06-03 18:29 507,904 --a------ C:\WINDOWS\TMUPDATE.DLL 2008-06-03 18:29 . 2008-06-03 18:29 69,689 --a------ C:\WINDOWS\UNZIP.DLL 2008-06-03 18:29 . 2008-06-03 18:33 170 --a------ C:\WINDOWS\GetServer.ini 2008-05-23 10:24 . 2008-05-23 10:24 d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft 2008-05-23 10:23 . 2008-05-23 10:23 d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard 2008-05-20 11:29 . 2008-05-20 11:29 d-------- C:\Program Files\Skyline 2008-05-18 20:11 . 2008-05-18 21:11 d-------- C:\Documents and Settings\All Users\Application Data\Google Updater 2008-05-18 18:32 . 2008-05-18 18:58 d-------- C:\Documents and Settings\Utilisateur\Application Data\XnView 2008-05-18 18:22 . 2008-06-01 16:26 116 --a------ C:\WINDOWS\NeroDigital.ini 2008-05-18 18:08 . 2006-10-05 04:42 2,560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys 2008-05-18 18:08 . 2006-10-05 04:42 2,432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys 2008-05-18 18:07 . 2008-05-18 18:09 d-------- C:\Program Files\photos 2008-05-18 17:56 . 2004-05-14 17:12 1,916,928 --------- C:\WINDOWS\UNNVEContent.exe 2008-05-18 17:56 . 2004-11-30 19:14 67,990 --------- C:\WINDOWS\UNNVEContent.cfg 2008-05-18 17:55 . 2005-02-08 14:12 2,670,592 --------- C:\WINDOWS\UNNMP.exe 2008-05-18 17:55 . 2005-06-07 11:40 49,655 --------- C:\WINDOWS\UNNMP.cfg 2008-05-18 17:52 . 2001-07-09 11:50 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe 2008-05-18 17:50 . 2005-04-20 13:32 2,916,352 --------- C:\WINDOWS\UNNeroVision.exe 2008-05-18 17:50 . 2005-06-07 11:40 154,855 --------- C:\WINDOWS\UNNeroVision.cfg 2008-05-18 17:49 . 2004-07-26 17:16 1,568,768 --------- C:\WINDOWS\system32\ImagX7.dll 2008-05-18 17:49 . 2004-07-26 17:16 476,320 --------- C:\WINDOWS\system32\ImagXpr7.dll 2008-05-18 17:49 . 2004-07-26 17:16 471,040 --------- C:\WINDOWS\system32\ImagXRA7.dll 2008-05-18 17:49 . 2004-07-09 09:43 364,544 --------- C:\WINDOWS\system32\TwnLib4.dll 2008-05-18 17:49 . 2004-07-26 17:16 262,144 --------- C:\WINDOWS\system32\ImagXR7.dll 2008-05-18 17:49 . 2000-06-26 11:45 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll 2008-05-18 17:49 . 2001-06-26 08:15 38,912 --------- C:\WINDOWS\system32\picn20.dll 2008-05-18 17:48 . 2008-05-18 17:55 d-------- C:\Program Files\Ahead 2008-05-18 11:20 . 2008-05-18 11:20 d-------- C:\Documents and Settings\All Users\Application Data\Ahead 2008-05-07 11:07 . 2008-06-03 22:47 d-------- C:\Documents and Settings\All Users\Application Data\Avira 2008-05-07 11:06 . 2008-05-07 11:06 237,710 --a------ C:\WINDOWS\system32\def.vpc 2008-05-07 11:06 . 2008-05-28 08:27 172 --a------ C:\curr_ver.tmp . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-06-04 18:02 --------- d-----w C:\Program Files\Mozilla Thunderbird 2008-06-04 15:44 --------- d-----w C:\Program Files\ANTIVIRUS 2008-06-04 11:50 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2008-06-03 16:35 --------- d-----w C:\Program Files\eMule 2008-05-22 09:29 --------- d-----w C:\Documents and Settings\Utilisateur\Application Data\AdobeUM 2008-05-20 09:30 --------- d-----w C:\Documents and Settings\All Users\Application Data\Skyline 2008-05-18 18:13 --------- d-----w C:\Program Files\Google 2008-05-18 15:48 --------- d-----w C:\Program Files\Fichiers communs\Ahead 2008-05-17 21:14 --------- d-----w C:\Documents and Settings\Utilisateur\Application Data\Thunderbird 2008-05-17 20:52 --------- d-----w C:\Program Files\pack téléchargement 2008-05-07 19:26 --------- d-----w C:\Program Files\Spybot - Search & Destroy 2008-05-07 09:01 --------- d-----w C:\Documents and Settings\Utilisateur\Application Data\AVG7 2008-05-07 09:01 --------- d-----w C:\Documents and Settings\LocalService\Application Data\AVG7 2008-05-07 09:01 --------- d-----w C:\Documents and Settings\All Users\Application Data\Grisoft 2008-05-07 09:01 --------- d-----w C:\Documents and Settings\All Users\Application Data\avg7 2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll 2008-03-25 04:51 194,144 ----a-w C:\WINDOWS\system32\msjint40.dll 2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys 2007-09-24 15:48 79,728 ----a-w C:\Documents and Settings\Utilisateur\Application Data\GDIPFONTCACHEV1.DAT 2006-10-15 14:31 95 -c--a-w C:\Program Files\satsukidecodersettings.ini . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SpybotSD TeaTimer"="C:\Program Files\ANTIVIRUS\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-05-12 22:05 344064] [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^VIA RAID TOOL.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\VIA RAID TOOL.lnk backup=C:\WINDOWS\pss\VIA RAID TOOL.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alevir] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Avril Lavigne - Muse] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Brasil] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cronos] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe] --a------ 2004-08-19 16:09 15360 C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cuzao!Old] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Explorer] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\instit] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Load] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\load32] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LoadManager] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\messnger] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Inet Xp..] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MicrosoftServiceManager] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Module Call initialize] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mqbkup] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mstask] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ] --------- 2005-04-14 16:56 1957888 C:\Program Files\Ahead\Nero BackItUp\NBJ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Program In Windows] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Puta!!] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PutAS!] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] C:\Program Files\lecteur multimédia\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Remote Procedure Call Locator] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] --a------ 2003-10-31 20:42 32768 C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Run] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Scandisk] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\scr] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ScrSvr] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ScrSvrOld] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SFtrb Service] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SocketListner] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Spees1] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Spees3] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpywareTerminator] C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSK Service] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\syshelp] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\System MScvb] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\System Tray] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SystemInit] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Taskman] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrayX] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr] -ra--c--- 2006-03-30 17:45 313472 C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\windows auto update] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\windows automation] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows shellext.32] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WindowsMGM] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinGate initialize] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Winhelp] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\winreg] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinServices] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Winsrv] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG] --a------ 2006-11-03 09:59 204288 C:\Program Files\Windows Media Player\WMPNSCFG.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WQK] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\www.hidro.4t.com] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "Boonty Games"=3 (0x3) "InCDsrv"=2 (0x2) "C-DillaCdaC11BA"=2 (0x2) "PersFw"=3 (0x3) "InCDsrvR"=2 (0x2) "WZCSVC"=2 (0x2) "Alerter"=2 (0x2) "gusvc"=2 (0x2) "usnjsvc"=3 (0x3) "StarWindService"=2 (0x2) "aawservice"=2 (0x2) "a2free"=2 (0x2) "WMPNetworkSvc"=2 (0x2) "WmdmPmSN"=3 (0x3) "WebClient"=2 (0x2) "VSS"=3 (0x3) "UPS"=3 (0x3) "TrkWks"=2 (0x2) "SwPrv"=3 (0x3) "SSDPSRV"=3 (0x3) "RSVP"=3 (0x3) "RemoteRegistry"=2 (0x2) "ProtectedStorage"=2 (0x2) "PolicyAgent"=2 (0x2) "NtLmSsp"=3 (0x3) "MSDTC"=3 (0x3) "MDM"=2 (0x2) "HTTPFilter"=3 (0x3) "helpsvc"=2 (0x2) "FastUserSwitchingCompatibility"=3 (0x3) "Dhcp"=2 (0x2) "CryptSvc"=3 (0x3) "clr_optimization_v2.0.50727_32"=3 (0x3) "sp_rssrv"=2 (0x2) [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un-] "SpywareTerminator"="C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe" [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "C:\Program Files\Messenger\msmsgs.exe"= "C:\Program Files\eMule\emule.exe"= "C:\WINDOWS\system32\sessmgr.exe"= "C:\WINDOWS\Network Diagnostic\xpnetdiag.exe"= "C:\Program Files\Media Player Classic\mplayerc.exe"= "C:\Program Files\MSN Messenger\msnmsgr.exe"= "C:\Program Files\MSN Messenger\livecall.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009 R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20] R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16] S3 CrystalCpuInfo;CrystalCpuInfo;C:\Program Files\OCCT\CpuInfo.sys [] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{03bd4026-d50e-11da-89c4-001485824152}] \Shell\AutoRun\command - I:\EasyCN.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5bef6989-8c10-11db-8b1d-001485824152}] \Shell\AutoRun\command - wscript.exe VirusRemoval.vbs \Shell\open\Command - wscript.exe VirusRemoval.vbs [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{abd29cb4-68d3-11db-8acc-001485824152}] \Shell\AutoRun\command - H:\RunGame.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f6184079-d4f0-11da-89c3-001485824152}] \Shell\AutoRun\command - H:\EasyCN.exe . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' "2008-06-04 16:05:05 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Program Files\Apple Software Update\SoftwareUpdate.exe "2008-06-02 10:23:53 C:\WINDOWS\Tasks\Spybot - Search & Destroy - Scheduled Task.job" - C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-06-04 21:11:40 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\system32\ati2evxx.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\ati2evxx.exe C:\WINDOWS\system32\scardsvr.exe C:\WINDOWS\system32 etdde.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe . ************************************************************************** . Temps d'accomplissement: 2008-06-04 21:15:26 - machine was rebooted ComboFix-quarantined-files.txt 2008-06-04 19:15:22 Pre-Run: 135,024,099,328 octets libres Post-Run: 134,946,607,104 octets libres 267 --- E O F --- 2008-05-24 10:59:51 et le Hijackthis Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:25:04, on 04/06/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32 etdde.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Program Files\ANTIVIRUS\Spybot - Search & Destroy\TeaTimer.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\explorer.exe C:\Program Files\Mozilla Thunderbird hunderbird.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\hijackthis\edn.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\ANTIVI~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\ANTIVIRUS\Spybot - Search & Destroy\TeaTimer.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\ANTIVI~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\ANTIVI~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O14 - IERESET.INF: START_PAGE_URL=https://www.01net.com/telecharger/ O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://orange.securitoo.com/ols/fscax.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{B1634F7F-9B7A-40CE-A2B7-E075243CD864}: NameServer = 192.168.1.1 O22 - SharedTaskScheduler: st3 - {1B68470C-2DEF-493B-8A4A-8E2D81BE4EA5} - (no file) O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

jlpjlp · Answer

Combofix a créé un fichier avec une quarantaine. je peux l'effacer??? oui _____________ Télécharge RavAntivirus d'Evosla : http://ww25.evosla.com/compteur.php?soft=rav_antivirus # Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX # Fais un clic droit sur le fichier .ZIP > Extraire sur > le Bureau # Doucle-clique sur >> RAV.exe << afin de lancer l'outil. # Une fois RAV ANTIVIRUS lancé, laisse-le réagir , il scanne automatiquement tout les lecteurs (disques fixes et amovibles) # Si infection > un log s'établira, sinon le soft affichera (très rapide) ==>Votre Ordinateur est sain . # Retire tes disques amovibles et redémarrez votre ordinateur. # Poste le rapport, si infection! ___________________ colle le rapport d'un scan en ligne avec un des suivants: bitdefender en ligne : http://www.bitdefender.fr/scan_fr/scan8/ie.html Panda en ligne : http://pandasoftware.fr Kaspersky en ligne https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr _____________________ repare windows avec zeb restore http://telechargement.zebulon.fr/zeb-restore.html _____________________ encore des soucis

edn.anims · Answer

Bonjour JLPJLP,


j'avais déjà RAV.
Bitdefender a supprimé 2 virus.
Impossible de lancer Panda ou Kaspersky.
Zafi, bagle, yaha, netsky ne sont plus détecter sur mon ordi. Mais je ne peux toujours pas désactiver la restauration du système. Est-ce que cela traduit encore la présence de virus?


L'icone d'Avaast a disparu de ma barre de tâche en bas à droite. Est-ce normal? 




voici le rapport de bitdefender


BitDefender Online Scanner
  
  
 
Rapport d'analyse généré à: Thu, Jun 05, 2008 - 08:29:20
 
 
  
  
 
Voie d'analyse: A:\;C:\;D:\;E:\;F:\;G:\;
  
  
 
 
  
  
 
Statistiques
 
Temps
 00:17:43
 
Fichiers
 50890
 
Directoires
 6582
 
Secteurs de boot
 4
 
Archives
 1124
 
Paquets programmes
 3935
 
  
  
 
Résultats
 
Virus identifiés
 2
 
Fichiers infectés
 2
 
Fichiers suspects
 0
 
Avertissements
 0
 
Désinfectés
 0
 
Fichiers effacés
 2
 
  
  
 
Info sur les moteurs
 
Définition virus
 1256307
 
Version des moteurs
 AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)
 
Analyse des plugins
 16
 
Archive des plugins
 42
 
Unpack des plugins
 7
 
E-mail plugins
 6
 
Système plugins
 5
 
  
  
 
Paramètres d'analyse
 
Première action
 Désinfecté
 
Seconde Action
 Supprimé
 
Heuristique
 Oui
 
Acceptez les avertissements
 Oui
 
Extensions analysées
 exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;
 
Excludez les extensions
  
 
Analyse d'emails
 Oui
 
Analyse des Archives
 Oui
 
Analyser paquets programmes
 Oui
 
Analyse des fichiers
 Oui
 
Analyse de boot
 Oui
 
  
  
 
  Fichier analysé
  Statut
 
C:\Program Files\ANTIVIRUS\firewall\kerio-pf-2.1.5-en-win.exe
 Infecté par: Trojan.Generic.205890
 
C:\Program Files\ANTIVIRUS\firewall\kerio-pf-2.1.5-en-win.exe
 Supprimé
 
C:\reboot.exe
 Détecté avec: Application.Reboot.A
 
C:\reboot.exe
 Echec de la désinfection
 
C:\reboot.exe
 Supprimé

Désactivation de la restauration système

9 réponses

Discussions similaires

Newsletters