Forums Zebulon.fr: [Résolu] Avast est bloqué et restauration impossible - Forums Zebulon.fr

Bonsoir,
Toujours pas d'amélioration
Je vous joins le rapport

ComboFix 12-02-02.02 - Guyon Bruno 03/02/2012 22:51:41.2.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1535.1084 [GMT 1:00]
Lancé depuis: c:\documents and settings\Guyon Bruno\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Guyon Bruno\Bureau\CFScript.txt
AV: avast! Antivirus *Enabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
FILE ::
"c:\program files\gimp-2.0\share\gimp\2.0\patterns\cracked.pat"
"c:\windows\system32\drivers\pavboot.sys"
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\docume~1\GUYONB~1\LOCALS~1\Temp\bad4021e-8b96-4726-a482-7caebf5bc001\CliSecureRT.dll
c:\documents and settings\Guyon Bruno\Local Settings\Temp\bad4021e-8b96-4726-a482-7caebf5bc001\CliSecureRT.dll
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_PAVBOOT
-------\Service_pavboot
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-01-03 au 2012-02-03 ))))))))))))))))))))))))))))))))))))
.
.
2012-02-01 14:24 . 2012-02-01 14:24 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2012-01-31 10:34 . 2012-02-01 18:25 -------- d-----w- C:\ZHP
2012-01-31 10:33 . 2012-02-01 14:24 -------- d-----w- c:\program files\ZHPDiag
2012-01-26 21:24 . 2012-01-26 21:25 -------- d-----w- c:\windows\system32\NtmsData
2012-01-26 08:05 . 2012-01-26 08:05 -------- d-----w- c:\documents and settings\Guyon Nathalie\Application Data\QuickScan
2012-01-19 19:39 . 2012-01-19 19:39 -------- d-----w- c:\documents and settings\All Users\Application Data\IndexEducation
2012-01-19 18:24 . 2012-01-19 19:39 -------- d-----w- C:\PRONOTE Réseau 2011
2012-01-09 21:20 . 2012-02-02 21:57 45016 ----a-w- c:\program files\Mozilla Firefox\mozutils.dll
2012-01-09 21:20 . 2012-01-09 21:20 548864 ----a-w- c:\program files\Mozilla Firefox\msvcp80.dll
2012-01-09 21:20 . 2012-01-09 21:20 479232 ----a-w- c:\program files\Mozilla Firefox\msvcm80.dll
2012-01-09 21:20 . 2012-01-09 21:20 626688 ----a-w- c:\program files\Mozilla Firefox\msvcr80.dll
2012-01-09 20:13 . 2012-01-09 20:16 -------- d-----w- c:\documents and settings\Guyon Nathalie\Application Data\IMAGES_ACTIVES
2012-01-05 09:39 . 2012-01-05 09:39 -------- d-----w- c:\documents and settings\Guyon Bruno\Local Settings\Application Data\Samsung
2012-01-05 09:39 . 2012-01-05 09:39 -------- d-----w- c:\documents and settings\Guyon Bruno\Application Data\Samsung
2012-01-05 09:36 . 2011-12-08 04:22 181432 ----a-w- c:\windows\system32\drivers\ssudmdm.sys
2012-01-05 09:36 . 2011-12-08 04:22 80184 ----a-w- c:\windows\system32\drivers\ssudbus.sys
2012-01-05 09:32 . 2011-12-08 04:22 12776 ----a-w- c:\windows\system32\drivers\ssadmdfl.sys
2012-01-05 09:32 . 2011-12-08 04:22 10472 ----a-w- c:\windows\system32\drivers\ssadcmnt.sys
2012-01-05 09:32 . 2011-12-08 04:22 10472 ----a-w- c:\windows\system32\drivers\ssadcm.sys
2012-01-05 09:32 . 2011-12-08 04:22 136808 ----a-w- c:\windows\system32\drivers\ssadmdm.sys
2012-01-05 09:32 . 2011-12-08 04:22 30312 ----a-w- c:\windows\system32\drivers\ssadadb.sys
2012-01-05 09:32 . 2011-12-08 04:22 1416680 ----a-w- c:\windows\system32\WdfCoInstaller01005.dll
2012-01-05 09:32 . 2011-12-08 04:22 1416680 ----a-w- c:\windows\system32\drivers\WdfCoInstaller01005.dll
2012-01-05 09:32 . 2011-12-08 04:22 121064 ----a-w- c:\windows\system32\drivers\ssadbus.sys
2012-01-05 09:32 . 2011-12-08 04:22 10344 ----a-w- c:\windows\system32\drivers\ssadwhnt.sys
2012-01-05 09:32 . 2011-12-08 04:22 10344 ----a-w- c:\windows\system32\drivers\ssadwh.sys
2012-01-05 09:18 . 2011-12-23 19:58 4659712 ----a-w- c:\windows\system32\Redemption.dll
2012-01-05 09:14 . 2012-01-05 09:14 -------- d-----w- c:\program files\MarkAny
2012-01-05 09:14 . 2011-12-23 19:58 319456 ----a-w- c:\windows\system32\DIFxAPI.dll
2012-01-05 09:14 . 2011-12-23 19:58 20032 ----a-w- c:\windows\system32\drivers\dgderdrv.sys
2012-01-05 09:14 . 2011-12-23 19:58 821824 ----a-w- c:\windows\system32\dgderapi.dll
2012-01-05 08:58 . 2012-01-05 09:23 -------- d-----w- c:\documents and settings\All Users\Application Data\Samsung
2012-01-05 08:48 . 2012-01-05 08:48 -------- d-----w- c:\documents and settings\Guyon Bruno\Local Settings\Application Data\Downloaded Installations
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-12-23 19:58 . 2011-12-23 19:58 90112 ----a-w- c:\windows\MAMCityDownload.ocx
2011-12-23 19:58 . 2011-12-23 19:58 325552 ----a-w- c:\windows\MASetupCaller.dll
2011-12-23 19:58 . 2011-12-23 19:58 30568 ----a-w- c:\windows\MusiccityDownload.exe
2011-12-23 19:58 . 2011-12-23 19:58 974848 ----a-w- c:\windows\system32\cis-2.4.dll
2011-12-23 19:58 . 2011-12-23 19:58 81920 ----a-w- c:\windows\system32\issacapi_bs-2.3.dll
2011-12-23 19:58 . 2011-12-23 19:58 65536 ----a-w- c:\windows\system32\issacapi_pe-2.3.dll
2011-12-23 19:58 . 2011-12-23 19:58 57344 ----a-w- c:\windows\system32\MTXSYNCICON.dll
2011-12-23 19:58 . 2011-12-23 19:58 57344 ----a-w- c:\windows\system32\MK_Lyric.dll
2011-12-23 19:58 . 2011-12-23 19:58 57344 ----a-w- c:\windows\system32\issacapi_se-2.3.dll
2011-12-23 19:58 . 2011-12-23 19:58 569344 ----a-w- c:\windows\system32\muzdecode.ax
2011-12-23 19:58 . 2011-12-23 19:58 491520 ----a-w- c:\windows\system32\muzapp.dll
2011-12-23 19:58 . 2011-12-23 19:58 49152 ----a-w- c:\windows\system32\MaJGUILib.dll
2011-12-23 19:58 . 2011-12-23 19:58 45056 ----a-w- c:\windows\system32\MaXMLProto.dll
2011-12-23 19:58 . 2011-12-23 19:58 45056 ----a-w- c:\windows\system32\MACXMLProto.dll
2011-12-23 19:58 . 2011-12-23 19:58 40960 ----a-w- c:\windows\system32\MTTELECHIP.dll
2011-12-23 19:58 . 2011-12-23 19:58 40960 ----a-w- c:\windows\system32\MAMACExtract.dll
2011-12-23 19:58 . 2011-12-23 19:58 352256 ----a-w- c:\windows\system32\MSLUR71.dll
2011-12-23 19:58 . 2011-12-23 19:58 258048 ----a-w- c:\windows\system32\muzoggsp.ax
2011-12-23 19:58 . 2011-12-23 19:58 245760 ----a-w- c:\windows\system32\MSCLib.dll
2011-12-23 19:58 . 2011-12-23 19:58 24576 ----a-w- c:\windows\system32\MASetupCleaner.exe
2011-12-23 19:58 . 2011-12-23 19:58 200704 ----a-w- c:\windows\system32\muzwmts.dll
2011-12-23 19:58 . 2011-12-23 19:58 172032 ----a-w- c:\windows\system32\muzapp.exe
2011-12-23 19:58 . 2011-12-23 19:58 155648 ----a-w- c:\windows\system32\MSFLib.dll
2011-12-23 19:58 . 2011-12-23 19:58 143360 ----a-w- c:\windows\system32\3DAudio.ax
2011-12-23 19:58 . 2011-12-23 19:58 14336 ----a-w- c:\windows\system32\avrt.dll
2011-12-23 19:58 . 2011-12-23 19:58 135168 ----a-w- c:\windows\system32\muzaf1.dll
2011-12-23 19:58 . 2011-12-23 19:58 131072 ----a-w- c:\windows\system32\muzmpgsp.ax
2011-12-23 19:58 . 2011-12-23 19:58 122880 ----a-w- c:\windows\system32\muzeffect.ax
2011-12-23 19:58 . 2011-12-23 19:58 118784 ----a-w- c:\windows\system32\MaDRM.dll
2011-12-23 19:58 . 2011-12-23 19:58 110592 ----a-w- c:\windows\system32\muzmp4sp.ax
2011-12-10 14:24 . 2011-07-04 12:55 20464 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-12-03 13:57 . 2011-05-16 06:00 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-11-28 18:01 . 2010-08-16 17:53 41184 ----a-w- c:\windows\avastSS.scr
2011-11-28 18:01 . 2010-08-16 17:53 199816 ----a-w- c:\windows\system32\aswBoot.exe
2011-11-28 17:53 . 2011-04-16 19:13 435032 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2011-11-28 17:53 . 2010-08-16 17:54 314456 ----a-w- c:\windows\system32\drivers\aswSP.sys
2011-11-28 17:52 . 2010-08-16 17:54 34392 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2011-11-28 17:52 . 2010-08-16 17:54 52952 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2011-11-28 17:52 . 2010-08-16 17:54 111320 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2011-11-28 17:51 . 2010-08-16 17:54 105176 ----a-w- c:\windows\system32\drivers\aswmon.sys
2011-11-28 17:51 . 2010-09-09 14:33 20568 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2011-11-28 17:48 . 2010-08-16 17:54 30808 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2011-11-25 21:57 . 2001-08-28 12:00 293888 ----a-w- c:\windows\system32\winsrv.dll
2011-11-23 14:40 . 2001-08-28 12:00 1859712 ----a-w- c:\windows\system32\win32k.sys
2011-11-20 06:12 . 2001-08-28 12:00 61952 ----a-w- c:\windows\system32\packager.exe
2011-11-16 14:22 . 2010-08-16 20:47 354816 ----a-w- c:\windows\system32\winhttp.dll
2011-11-16 14:22 . 2001-08-28 12:00 152064 ----a-w- c:\windows\system32\schannel.dll
2011-01-19 14:27 . 2011-01-19 14:27 2997760 ----a-w- c:\program files\openofficeorg33.msi
2011-01-19 14:25 . 2011-01-19 14:25 475016 ----a-w- c:\program files\setup.exe
2012-02-02 21:57 . 2011-05-18 17:08 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2011-11-28 18:01 122512 ----a-w- c:\program files\Alwil Software\Avast5\ashShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"KiesHelper"="c:\program files\Samsung\Kies\KiesHelper.exe" [2011-12-27 937360]
"KiesPDLR"="c:\program files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe" [2011-12-27 21392]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-06-05 335872]
"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"NVMixerTray"="c:\program files\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-12-20 131072]
"avast"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2011-11-28 3744552]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 577536]
"Samsung PanelMgr"="c:\windows\Samsung\PanelMgr\SSMMgr.exe" [2009-08-28 614400]
"CARPService"="carpserv.exe" [2001-12-22 4608]
"KiesTrayAgent"="c:\program files\Samsung\Kies\KiesTrayAgent.exe" [2011-12-27 3508624]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
.
[HKLM\~\startupfolder\C:^Documents and Settings^Guyon Nathalie^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 3.2.lnk]
backup=c:\windows\pss\OpenOffice.org 3.2.lnkStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2012-01-02 09:07 843712 ----a-r- c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 02:34 1695232 ------w- c:\program files\Messenger\msmsgs.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NavX-Sync]
2009-01-13 12:32 1327104 ----a-w- c:\program files\NavX\Sync\NavxSync.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OpwareSE4]
2007-02-04 10:02 79400 ----a-w- c:\program files\ScanSoft\OmniPageSE4\OpWareSE4.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate]
2006-10-25 07:03 210472 ----a-w- c:\program files\Fichiers communs\ScanSoft Shared\SSBkgdUpdate\SSBkgdUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2011-04-08 10:59 254696 ----a-w- c:\program files\Fichiers communs\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe]
2011-04-22 12:21 247728 ----a-w- c:\program files\TomTom HOME 2\TomTomHOMERunner.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"TomTomHOMEService"=2 (0x2)
"SeagateDashboardService"=2 (0x2)
"Nero BackItUp Scheduler 4.0"=2 (0x2)
"MemeoBackgroundService"=2 (0x2)
"maconfservice"=3 (0x3)
"JavaQuickStarterService"=2 (0x2)
"gupdate"=2 (0x2)
"ATI Smart"=2 (0x2)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Microsoft Office\\Office14\\ONENOTE.EXE"=
"c:\\Program Files\\Microsoft Office\\Office14\\OUTLOOK.EXE"=
"c:\\Program Files\\Google\\Google Earth\\client\\googleearth.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Program Files\\eInstruction\\Device Manager\\Launch.exe"=
"c:\\Program Files\\eInstruction\\Device Manager\\jre\\bin\\java.exe"=
"c:\\Program Files\\eInstruction\\Device Manager\\jre\\bin\\javaw.exe"=
"c:\\WINDOWS\\system32\\muzapp.exe"=
.
R0 SI3112r;Silicon Image SiI 3112 SATARaid Controller;c:\windows\system32\drivers\SI3112r.sys [18/08/2010 09:11 89749]
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [16/04/2011 20:13 435032]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [16/08/2010 18:54 314456]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [09/09/2010 15:33 20568]
R2 BBSvc;Bing Bar Update Service;c:\program files\Microsoft\BingBar\BBSvc.EXE [21/10/2011 15:23 196176]
R2 BBUpdate;BBUpdate;c:\program files\Microsoft\BingBar\SeaPort.EXE [13/10/2011 17:21 249648]
R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18/03/2010 12:16 753504]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18/03/2010 12:16 130384]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [25/08/2010 09:02 136176]
S2 SSPORT;SSPORT;\??\c:\windows\system32\Drivers\SSPORT.sys --> c:\windows\system32\Drivers\SSPORT.sys [?]
S3 androidusb;SAMSUNG Android Composite ADB Interface Driver;c:\windows\system32\drivers\ssadadb.sys [05/01/2012 10:32 30312]
S3 dg_ssudbus;SAMSUNG Mobile USB Composite Device Driver (DEVGURU Ver.);c:\windows\system32\drivers\ssudbus.sys [05/01/2012 10:36 80184]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [25/08/2010 09:02 136176]
S3 osppsvc;Office Software Protection Platform;c:\program files\Fichiers communs\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [09/01/2010 20:37 4640000]
S3 ssadbus;SAMSUNG Android USB Composite Device driver (WDM);c:\windows\system32\drivers\ssadbus.sys [05/01/2012 10:32 121064]
S3 ssadmdfl;SAMSUNG Android USB Modem (Filter);c:\windows\system32\drivers\ssadmdfl.sys [05/01/2012 10:32 12776]
S3 ssadmdm;SAMSUNG Android USB Modem Drivers;c:\windows\system32\drivers\ssadmdm.sys [05/01/2012 10:32 136808]
S3 ssudmdm;SAMSUNG Mobile USB Modem Drivers (DEVGURU Ver.);c:\windows\system32\drivers\ssudmdm.sys [05/01/2012 10:36 181432]
S3 yukonx86;NDIS5.1 Miniport Driver for Marvell Yukon Gigabit Ethernet Adapter;c:\windows\system32\drivers\yukonx86.sys [16/08/2010 17:54 176256]
S4 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [08/08/2011 08:48 311928]
S4 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [22/04/2011 13:21 92592]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WINRM REG_MULTI_SZ WINRM
.
Contenu du dossier 'Tâches planifiées'
.
2012-02-03 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-08-25 08:01]
.
2012-02-03 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-08-25 08:01]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Connection Wizard,ShellNext = iexplore
IE: &Envoyer à OneNote - c:\progra~1\MI1933~1\Office14\ONBttnIE.dll/105
IE: E&xporter vers Microsoft Excel - c:\progra~1\MI1933~1\Office14\EXCEL.EXE/3000
TCP: DhcpNameServer = 212.27.40.241 212.27.40.240
FF - ProfilePath - c:\documents and settings\Guyon Bruno\Application Data\Mozilla\Firefox\Profiles\jy0vus9w.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: keyword.URL - hxxp://dts.search-results.com/sr?src=ffb&appid=119&systemid=406&sr=0&q=
FF - user.js: extensions.BabylonToolbar_i.babTrack - affID=10336
FF - user.js: extensions.BabylonToolbar_i.babExt -
FF - user.js: extensions.BabylonToolbar_i.srcExt - def
FF - user.js: extensions.BabylonToolbar_i.id - d415869b000000000000000ea6662c1e
FF - user.js: extensions.BabylonToolbar_i.hardId - d415869b000000000000000ea6662c1e
FF - user.js: extensions.BabylonToolbar_i.instlDay - 15321
FF - user.js: extensions.BabylonToolbar_i.vrsn - 1.5.3.17
FF - user.js: extensions.BabylonToolbar_i.vrsni - 1.5.3.17
FF - user.js: extensions.BabylonToolbar_i.vrsnTs - 1.5.3.1716:38
FF - user.js: extensions.BabylonToolbar_i.prtnrId - babylon
FF - user.js: extensions.BabylonToolbar_i.prdct - BabylonToolbar
FF - user.js: extensions.BabylonToolbar_i.aflt - babclient
FF - user.js: extensions.BabylonToolbar_i.smplGrp - none
FF - user.js: extensions.BabylonToolbar_i.tlbrId - base
FF - user.js: extensions.BabylonToolbar_i.instlRef - std
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2012-02-03 23:13
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(932)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(560)
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\SOUNDMAN.EXE
c:\windows\system32\carpserv.exe
c:\windows\system32\wscntfy.exe
c:\windows\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
.
**************************************************************************
.
Heure de fin: 2012-02-03 23:22:09 - La machine a redémarré
ComboFix-quarantined-files.txt 2012-02-03 22:22
ComboFix2.txt 2012-02-02 21:55
.
Avant-CF: 14 281 748 480 octets libres
Après-CF: 14 264 287 232 octets libres
.
- - End Of File - - 0F2899BBF65E3865925D14E3FB425270

Bonjour,

Le script a fonctionné seulement à moitié. Tu as bien TOUT copié/collé le texte que je t'ai donné?
--

Imprimer ces instructions ou les enregistrer dans un fichier texte sur le Bureau pour les consulter facilement.

>>> Analyse OTL: Télécharger, sur le Bureau OTL (par OldTimer) depuis ici ou ici.
Brancher et allumer tous les médias amovibles disponibles et susceptibles d'être infectés (DD externe, clés USB etc) et fermer toutes les applications et fenêtres ouvertes.
Double-cliquer sur OTL.exe, cocher la case "Tous les utilisateurs" (en haut) et copier/ coller ces lignes (commençant par netsvcs) dans l'espace sous "Personnalisation":

Citation

Sans rien changer, cliquer sur le bouton bleu Analyse et laisser faire.
A la fin du scan, 2 rapports seront créés: "OTL.txt" (qui s'ouvre dans le bloc-note) et "Extras.txt" (qui sera minimisé dans la Barre des tâches).
Les héberger et poster leurs adresses dans une nouvelle réponse.


>>> aswMBR/ Analyse:

• Télécharger aswMBR depuis ici et l'enregistrer sur le Bureau.
  
• Désactiver tous les programmes de protection (antivirus, pare-feu et antispyware) et fermer toutes les fenêtres ouvertes.
  
• Double-cliquer sur aswMBR.exe, cliquer sur [YES] dans le message "Would you like to download latest Avast! virus definitions?" et patienter.
  
• Cliquer sur le bouton "[Scan]" et laisser faire jusqu'à la fin puis cliquer sur le bouton [Save log]. L'enregistrer sur le Bureau en laissant le nom par défault "aswmbr.txt" et poster son contenu dans une prochaine réponse. (NE rien fixer sans y être invité).
  
• Un autre fichier "MBR.dat" sera généré et sauvegardé sur le Bureau. L'héberger et poster son lien.

Bonjour
Il me semble bien avoir tout copier.
Je t'envoie les 2 premiers rapports et fais la suite des opérations
extras.txt Lien CJoint.com BBektA0ojVa

otl.txt Lien CJoint.com BBekuDyG5Uf

Je continues le postage message
aswMBR : je n'ai pas eu de demande d'actualisation de la base de donnée virale
Je l'ai tout de même lancé.
Je joins les rapports
aswMBR.txt Lien CJoint.com BBek0XYcmQS

MBR.dat : Lien CJoint.com BBek2anLyrn

Toujours rien de méchant en vue dans tes rapports.

>>> Correction OTL: (Re)brancher (et allumer) tous les médias amovibles disponibles et fermer toutes les applications et fenêtres en cours.
Désactiver les programmes de protection (antivirus etc...) et lancer OTL.
Copier et coller la liste suivante (commençant par :OTL) dans l'espace sous "Personnalisation" (les : au début et le ] à la fin sont très importants, merci de vérifier).

Citation

Cliquer sur le bouton rouge Correction et laisser faire.
Si un ou plusieurs fichiers ne peuvent pas être supprimés normalement, le programme demandera de redémarrer la machine pour finir le processus, cliquer sur "Oui".
A la fin un rapport s'ouvre dans le bloc-note. L'héberger et poster son adresse dans une nouvelle réponse. Fermer le rapport et OTL.
--

Si tu veux garder Avast! comme antivirus, désinstalle Panda's ActiveScan[/b] avec ceci parce qu'ils peuvent être en conflit l'un avec l'autre.

Si le problème avec Avast persiste, télécharger sur le Bureau cet utilitaire spécifique.
Démarrer en Mode sans échec et double-cliquer sur le nouveau fichier (Vista/W7, Cliquer-droit => "Exécuter en tant qu'administrateur"). Cliquer sur Uninstall.
Une fois la désinstallation finie redémarrez le PC.
Télécharger et réinstaller Avast!.


>>> Dis-moi si tu as encore un souci quelconque

Ce message a été modifié par lance_yien - 04 février 2012 - 12:01 .

Voici le rapport d'OTL Lien CJoint.com BBepH1B7l29
Avast ne fonctionne toujours pas
J'ai essayé l'application et j'obtiens ce message d'erreur : The avast! self protection module is enable. For this reason, the operation cannot be completed. To complete this operation, either run this program from windows safe mode, or disable the avast self protection (via settings > troubleshouting)

Je ne l'ai pas fait en mode sans échec, j'essaye tout de suite

Le problème semble solutionné.
J'ai désinstallé avast, puis réinstallé.
Tout à l'air de fonctionné ok
Merci pour tout
peut-on voir pour le deuxième ordi?
Je pense que c'est le 2ème qui a infecté le 1er, puisque c'est par lui que j'ai lu une clé usb infectée

Quelques suggestions pour t'aider à prendre soin de ta machine (ignore les points déjà traités et/ou ceux que tu juges inutiles pour toi ou ne s'appliquant pas à ton système).

>>> Supprimer les utilitaires:

• Supprimer ZHPDiag depuis "Ajout/ suppression de programmes.
  
• Pour supprimer ComboFix, cliquer sur "Démarrer" => "Exécuter" et saisir (ou copier/ coller): ComboFix /Uninstall (espace entre "ComboFix" et "/Uninstall"). Cliquer sur "OK".
  Ce qui a pour effet de supprimer ComboFix ainsi que les dossiers/ fichiers qu'il a installés et ré-initialiser les points de restauration.
  
• Lancer OTL et cliquer sur Purge outils. Laisser faire et redémarrer le PC quand c'est demandé.
  
• Pour supprimer les autres utilitaires et leurs rapports, s'il en reste sur le Bureau et/ou à la racine de la partition système, cliquer-droit dessus => "Supprimer".

>>> Ré-initialiser les Points de Restauration parce qu'elles peuvent contenir des traces d'infection:
Cliquer-droit sur "Poste de travail" => "Propriétés" => "Restauration Système". Cocher la case "désactiver..." et cliquer sur "appliquer".
Quand c'est prêt, décocher cette même case => "OK" et redémarrer le PC. Un nouveau point de restauration sera créé automatiquement.


>>> Protéger/ Sécuriser:

• LA RÈGLE: UN SEUL antivirus + UN SEUL pare-feu + UN SEUL antispyware en fonctionnement.
  
• Y a-t-il un Pare-feu dans la machine? Un pare-feu est le 1er rempart contre les intrusions. Les versions du type "_Internet Security" (normalement payantes) incluent tous les éléments nécessaires. Il suffit de vérifier, activer si nécessaire et passer directement au paragraphe suivant.
  - Le pare-feu de Vista (et Windows 7) peut suffire. Ils sont là et autant s'en servir au moins par gain de place et de ressources. Juste contrôler et activer si nécessaire depuis le "Centre de sécurité".
  - Celui de Windows XP ne contrôle pas le flux sortant d'Internet d'où l'importance d'en installer un autre.
  Vérifier et choisir, si nécessaire, un parmi ceux-ci (gratuits): Online Armor Firewall, , Outpost Firewall FREE.
  
• Contrôler et configurer les mises à jour Windows: Cliquer sur "Démarrer" => "Tous les programmes" => "Windows update" et installer toutes les Mises à jour critiques après avoir accepté l'installation de l'ActiveX (si proposé).
  - Windows XP: Cliquer sur "Démarrer" => "Panneau de configuration" => "Mises à jour automatiques" et choisir "Installation automatique (recommandé)". Préférer "tous les jours" à une heur où le PC est allumé.
  - Windows Vista/W7: Cliquer sur "Démarrer" => "Tous les programmes" => "Windows Update". Cliquer sur "Modifier les paramètres" => "Installer les mises à jour automatiquement (recommandé)". Préférer "tous les jours" à une heure où le PC est allumé.
  
• Installer Update Checker pour surveiller les MAJ logiciels.
  
• Utiliser Mes drivers pour les MAJ des pilotes (cliquer sur Lancer la détection
  
• Sauvegarder le Registre avec Erunt.
  Pour des raisons évidentes, garder les copies de sauvegarde sur un support autre que le disque système.
  
• Immunisez votre machine avec Spyware Blaster, compatible avec Toutes les versions de Windows 32bit et 64bit et peut s'installer en même temps qu'autre antispyware. Tuto.
  
• Vaccinez votre machine et vos médias amovibles (clés USB...) contre les "vers" (Autorun worms) avec USBFix ou Autorun Protector. Juste brancher tous les médias amovibles, lancer le programme et cliquer sur le bouton Vaccination (l'action est réversible en cliquant sur "Supprimer la vaccination".
  
• Opter pour Firefox ou Opera pour la navigation de tous les jours et réserver Internet Explorer pour les Mises à jour et les cas bien spécifiques.

>>> Optimiser Windows:

• Il y a toujours des programmes qui se lancent inutilement en même temps que Windows.
  Télécharger, sur le Bureau, MBAM' StartUpLite depuis ici.
  Fermer toutes les applications et autres fenêtres en cours et double-cliquer sur StartUpLite.exe Vista W7, cliquer-droit => "Exécuter en tant qu'administrateur") pour lancer le programme qui affichera toutes les entrées inutiles en démarrage automatique. Sélectionner les entrées affichées et cliquer sur "Continue" (à moins que vous vouliez en garder).
  S'il affiche "No unnecessary startups found!", c'est qu'il n'y a rien à faire.
  On peut, aussi, utiliser CCleaner pour gérer l'activité de ces processus:
  Lancer CCleaner => Outils => Démarrage. Dans la liste de droite, sélectionner un processus marqué "Oui" et cliquer sur le bouton "Désactiver".
  Fermer CCleaner et redémarrer pour vérifier s'il n'y a pas d'incidences apparentes (réactiver le processus si nécessaire).
  
• Nettoyer avec (CCleaner) et PureRa puis dé-fragmenter (Defraggler), régulièrement, les Partitions/ Disques.

>>> ÉVITER ABSOLUMENT:

• Crack et Cie: Un peu de lecture sur tout ce qui tourne autour de ces programmes: Warez ; Crack ; keygen.
  - Elle est finie l'époque où les cracks sont là juste pour aider ceux qui n'ont pas les moyens de se payer un tel ou tel programme et/ou c'était un signe de rébellion contre ces concepteurs trop avides...
  La nouvelle orientation est de se faire de l'agent facile en vendant des programmes qui "font tout" ou des barres d'outil qui "cherchent et trouvent tout".
  En fait, ils installent au mieux un spyware ou un adware qui tracent les habitudes de l'utilisateur pour lui afficher des pubs ciblées et au pire un rogue ou un rootkit qui peut aller jusqu'à bloquer une machine ou la rendre complètement inutilisable.
  - A noter que les "plus bénins" de ces cracks, ceux qui vous permettent d'installer un programme sans créer de problèmes apparents, mettent votre machine en danger parce que tout programme illégal ne reçoit pas de mises à jour et est donc porteur de vulnérabilités facilement exploitables par les pirates pour s'ouvrir des portes dérobées et disposer de tout ce qu'il veulent dans votre machine.
  Parce qu'il existe toujours un programme/logiciel gratuit et légal pour pratiquement tout ce qu'on veut, on peut éviter tout risque de catastrophe pour sa machine et ses documents personnels en désinstallant tout programme illégal déjà installé, en vidant les dossiers qui contiennent ce type de programmes et en restant à l'écart de ce type de programmes..
  
• Réseaux/Programmes P2P:
  - Tout ce qui est lié aux applications type P2P/ Torrent devient de plus en plus dangereux pour les machines et les documents personnels et/ ou confidentiels qui y sont stockés.
  Fini le partage entre des gens honnêtes. Les pirates, aussi, veulent partager avec le maximum d'internautes et mettent à disposition leurs applications partout où ils peuvent sous de faux noms aussi attractifs que possibles, des Cracks, keygen etc.
  C'est OK, les programmes P2P ne sont pas tous dangereux en eux-mêmes (et c'est la preuve qu'il y en a qui le sont ) mais qui sait avec certitude lequel est bon et lequel est dangereux?.
  - Penser au principe même de ce type de réseau qui n'est en rien bénéfique: Vous autoriser tout le monde à utiliser votre bande passante ce qui peut ralentir considérablement votre système et communiquer avec votre machine ce qui peut faciliter la tâche aux intrus pour déposer des bombes à retardement.
  - En adhérant à ce type de réseau, non seulement, vous ouvrez délibérément des portes à tout et n'importe quoi mais aussi, vous forcez votre pare-feu et antivirus à les tolérer (c'est compris dans la procédure d'installation). On s'étonne après de ce qui arrive à sa machine ou on accuse son antivirus.
  Prendre la sage décision de désinstaller tout programme de ce type et rester à l'écart de ce type de réseaux.

>>> Ajouter Résolu à ton 1er post (mode d'emploi).

tropdevirus, le 04 février 2012 - 05:39 , dit :

Oui, ouvre un nouveau sujet dans la même section. Je te suggère de séparer ces deux machines, si possible, le temps que tu nettoies la deuxième.

Bonne chance!

Ce message a été modifié par lance_yien - 04 février 2012 - 07:00 .

La suite là-bas pour le 2ème PC >>>>>