isalou95

Merci pour tout ! Je crois que je vais prendre l'option safe, mais cela va prendre pas mal de temps à sauvergarder... Ca devra donc attendre une semaine : je pars cet après midi pour une semaine en Angleterre, sans mon ordi. Je suppose que éteint je ne risque pas de propagation du virus Je ferais un up du post quand je reviendrais et que tous ces scans seront finis ! Merci vraiment pour votre aide très précieuse, et surtout pour votre temps ! Isaline

Bonjour, Je vais faire tout ça, mais première déviation : quand j'ouvre avenger, j'ai un "input script here" et non pas d'icône en forme de loupe ou encore de feu vert. Après le input script here, j'ai deux options en dessous : scan for rootkits et automatically disable any rootkkits found... Je colle le script la dedans et appuie ensuite sur execute ? Aussi quand vous me dites de sauvergarder mes données, vous penser que je dois aussi formater mon DD de données, ou bien juste supprimer tous mes .exe du DD sera suffisant ? Isaline

Bonjour, Alors il ne m'a pas proposé de réparation... Oui je sais, ce n'est pas une version officielle (mais j'y repasse bientôt), et il m'a donc juste réinstallé windows, au dessus de l'autre... Au dessus voulant dire que j'ai encore accès à mes docs and settings d'avant. En soit pas de soucis pour mes fichiers perso vu que j'ai deux disques séparés, mais quand même pas ce qui était prévu... Je me retrouve dans mon "nouveau" windows : je mets le driver carte éthernet, je télécharge antivir. Il l'installe correctement, mais ne veut pas faire la mise à jour (au bout de 8 min aucun téléchargement de commencer). Ayant un doute sur .exe se trouvant dans mon disque de données (donc pas celui ou se trouve windows), je me dit que je vais tous aller les supprimer. Quand je suis rentrée dans mon dossier "logiciel", antivir a réagit : quasi tous mes .exe contiennent le code du w32/Sality.Y d'après lui. Je les ais quasi tous supprimés avec antivir (gardés deux en quarantaine pour le nom...) et ai viré le reste manuellement. Mais rebellote dans mon C: (et donc des restes du précédent windows) ; plusieurs .exe infecté de la même chose. Je les ai mis en quarantaine... Désolée, je n'ai suivi le plan voulu, mais bon... voilà où j'en suis... Je ne vais pas réinstaller trop de choses au cas où vous me dites qu'il faut reformater ou autre... J'ai lancé un scan antivir quand même, même si je n'ai pas pu faire la mise à jour. Je me suis dit qu'il avait quand même repéré sality... Merci encore pour tout, Isaline

Une fois le log posté, j'ai tenté le coup et ai relancé c:\explorer.exe (donc la copie de mon mari), et pour le moment ça fonctionne... J'espère que je ne suis pas en train de faire des bêtises... Isaline

Re... J'ai obtenu un log combofix !! Comment ? Je ne voulais pas faire une réparation windows sans que François (mon mari, donc son ordi est sur le même réseau) aille chercher deux trois fichiers sur mon bureau.. juste au cas ou.. En les récupérant, il s'est dit qu'il allait essayer de copier son fichier explorer.exe sur mon ordi. Il n'arrivait pas à avoir accès à c:windows, et l'a donc mis juste dans le c:. Quand je l'ai lancé, mes icônes sont revenues, mais surtout combofix s'est relancé, et m'a finit le log report... Juste une chose : j'avais bien désactivé superantispyware et mbam avant de lancer combofix, mais les avait remis pendant la journée "juste pour voir si ça ferait quelque chose".. peut être bête, mais du coup ils se sont lancés en même temps que explorer... Le voici donc : dois-je toujours faire la réparation (sachant que juste avant qu'il ne m'affiche le log, toutes mes icônes ont redisparu) ? ComboFix 09-10-27.07 - Administrator 28/10/2009 11:49.1.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.2047.1522 [GMT 1:00] Running from: c:\documents and settings\Administrator\Desktop\ComboFix.exe . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . c:\recycler\S-1-5-21-1801674531-1644491937-839522115-1003 c:\windows\Alcmtr.exe F:\Autorun.inf c:\windows\system32\mmc.exe . . . is infected!! . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_ASC3360PR -------\Service_asc3360pr ((((((((((((((((((((((((( Files Created from 2009-09-28 to 2009-10-28 ))))))))))))))))))))))))))))))) . 2009-10-28 19:29 . 2008-04-14 00:12 1033728 ----a-w- C:\explorer.exe 2009-10-25 21:07 . 2009-10-25 21:21 -------- d-----w- C:\Gamer 2009-10-25 10:26 . 2009-10-25 10:26 -------- d-----w- C:\_OTM 2009-10-23 21:14 . 2009-10-23 21:14 -------- d-----w- c:\documents and settings\Administrator\Application Data\Malwarebytes 2009-10-23 21:14 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-10-23 21:14 . 2009-10-23 21:14 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware 2009-10-23 21:14 . 2009-10-23 21:14 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Malwarebytes 2009-10-23 21:14 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-10-15 20:46 . 2009-10-15 20:50 -------- d-----w- C:\ToolBar SD 2009-10-15 14:56 . 2009-10-15 14:56 -------- d-----w- c:\documents and settings\NetworkService.NT AUTHORITY\Local Settings\Application Data\Google 2009-10-15 14:51 . 2009-10-15 14:51 -------- d-----w- c:\documents and settings\Administrator\Local Settings\Application Data\Temp 2009-10-15 14:51 . 2009-10-15 14:51 -------- d-----w- c:\documents and settings\LocalService.NT AUTHORITY\Local Settings\Application Data\Google 2009-10-15 14:50 . 2009-10-15 14:52 -------- d-----w- c:\program files\Google 2009-10-15 14:50 . 2009-10-15 14:50 -------- d-----w- c:\documents and settings\Administrator\Local Settings\Application Data\Google 2009-10-15 14:19 . 2009-10-15 14:19 -------- d-----w- c:\windows\Sun 2009-10-15 11:20 . 2009-10-15 12:02 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Spybot - Search & Destroy 2009-10-15 11:17 . 2009-10-15 11:17 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\SUPERAntiSpyware.com 2009-10-15 11:16 . 2009-10-15 11:16 -------- d-----w- c:\documents and settings\Administrator\Application Data\SUPERAntiSpyware.com 2009-10-15 11:15 . 2009-10-15 11:15 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard 2009-10-14 19:00 . 2009-10-28 15:54 -------- d-----w- c:\documents and settings\Administrator\Application Data\dvdcss 2009-10-14 18:26 . 2009-10-28 16:05 -------- d-----w- c:\documents and settings\Administrator\Application Data\vlc 2009-10-14 17:07 . 2009-10-14 17:07 -------- d-----w- c:\documents and settings\Administrator\Application Data\Media Player Classic 2009-10-14 16:23 . 2009-10-27 13:02 -------- d-----w- c:\documents and settings\Administrator\Application Data\BitTorrent 2009-10-14 13:41 . 2009-10-14 13:41 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\{755AC846-7372-4AC8-8550-C52491DAA8BD} 2009-10-14 13:39 . 2009-10-14 13:40 -------- d-----w- c:\program files\QuickTime 2009-10-14 13:32 . 2009-10-14 13:42 -------- d-----w- c:\documents and settings\Administrator\Application Data\Apple Computer 2009-10-14 13:32 . 2009-05-18 12:17 26600 ----a-w- c:\windows\system32\drivers\GEARAspiWDM.sys 2009-10-14 13:32 . 2008-04-17 11:12 107368 ----a-w- c:\windows\system32\GEARAspi.dll 2009-10-14 13:31 . 2009-10-14 13:32 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906} 2009-10-14 13:30 . 2009-10-14 13:31 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Apple Computer 2009-10-14 13:28 . 2009-10-14 13:28 -------- d-----w- c:\documents and settings\Administrator\Local Settings\Application Data\Apple 2009-10-14 13:26 . 2009-10-14 13:41 -------- d-----w- c:\program files\Common Files\Apple 2009-10-14 13:26 . 2009-10-14 13:26 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Apple 2009-10-14 13:24 . 2009-10-14 13:42 -------- d-----w- c:\documents and settings\Administrator\Local Settings\Application Data\Apple Computer 2009-10-14 13:21 . 2009-10-28 08:43 -------- d-----w- c:\documents and settings\Administrator\Tracing 2009-10-14 13:20 . 2009-10-14 13:20 -------- d-----w- c:\documents and settings\Administrator\Application Data\Foxit 2009-10-14 13:18 . 2009-10-14 13:18 -------- d-----w- c:\program files\Common Files\Windows Live 2009-10-14 13:15 . 2009-10-14 13:15 0 ----a-w- c:\windows\nsreg.dat 2009-10-14 13:15 . 2009-10-14 13:15 -------- d-----w- c:\documents and settings\Administrator\Local Settings\Application Data\Mozilla 2009-10-14 13:04 . 2009-10-14 13:04 -------- d-----w- c:\documents and settings\Administrator\Local Settings\Application Data\Microsoft Help 2009-10-14 13:04 . 2009-10-28 19:08 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Microsoft Help 2009-10-14 12:59 . 2009-10-14 12:59 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\ATI 2009-10-14 12:59 . 2009-10-14 12:59 -------- d-----w- c:\documents and settings\Administrator\Local Settings\Application Data\ATI 2009-10-14 12:59 . 2009-10-14 12:59 -------- d-----w- c:\documents and settings\Administrator\Application Data\ATI 2009-10-14 12:58 . 2009-10-14 12:58 0 ----a-w- c:\windows\ativpsrm.bin 2009-10-14 12:52 . 2009-10-14 12:52 -------- d-----w- C:\ATI 2009-10-14 12:47 . 2009-10-14 12:47 64200 ----a-w- c:\documents and settings\LocalService.NT AUTHORITY\Local Settings\Application Data\FontCache3.0.0.0.dat 2009-10-14 12:46 . 2009-10-14 12:46 -------- d-----w- c:\windows\system32\XPSViewer 2009-10-14 12:46 . 2009-10-14 12:46 -------- d-----w- c:\program files\Reference Assemblies 2009-10-14 12:45 . 2008-07-06 12:06 89088 ------w- c:\windows\system32\dllcache\filterpipelineprintproc.dll 2009-10-14 12:45 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll 2009-10-14 12:45 . 2008-07-06 10:50 597504 ------w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe 2009-10-14 12:45 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll 2009-10-14 12:45 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\dllcache\xpsshhdr.dll 2009-10-14 12:45 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll 2009-10-14 12:45 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\dllcache\xpssvcs.dll 2009-10-14 12:24 . 2009-10-14 12:24 -------- d-----w- c:\program files\Common Files\ATI Technologies 2009-10-14 12:21 . 2006-12-28 16:44 84992 ----a-r- c:\windows\system32\drivers\AtiHdAud.sys 2009-10-14 12:21 . 2009-08-13 19:05 593920 ------w- c:\windows\system32\ati2sgag.exe 2009-10-14 12:21 . 2009-08-14 02:00 311296 ----a-w- c:\windows\system32\atiiiexx.dll 2009-10-14 12:21 . 2009-08-14 02:28 446464 ----a-w- c:\windows\system32\ATIDEMGX.dll 2009-10-14 12:20 . 2009-08-14 01:42 887724 ----a-w- c:\windows\system32\ativva6x.dat 2009-10-14 12:20 . 2009-08-14 01:42 3 ----a-w- c:\windows\system32\ativva5x.dat 2009-10-14 12:20 . 2009-07-14 15:09 197654 ----a-w- c:\windows\system32\atiicdxx.dat 2009-10-14 12:20 . 2007-06-27 01:30 3107788 ----a-r- c:\windows\system32\ativvaxx.dat 2009-10-14 12:15 . 2009-10-14 12:15 411368 ----a-w- c:\windows\system32\deploytk.dll 2009-10-14 12:14 . 2009-10-14 12:14 -------- d-s---w- c:\documents and settings\Administrator\UserData 2009-10-14 03:55 . 2008-03-20 23:36 4096 ----a-w- c:\windows\system32\ksuser.dll 2009-10-14 03:55 . 2008-03-20 19:38 60032 ----a-w- c:\windows\system32\drivers\USBAUDIO.sys 2009-10-14 03:55 . 2008-03-20 18:11 146048 ----a-w- c:\windows\system32\drivers\portcls.sys 2009-10-14 03:55 . 2008-03-20 17:38 60160 ----a-w- c:\windows\system32\drivers\drmk.sys 2009-10-14 03:55 . 2008-03-20 19:33 57600 ----a-w- c:\windows\system32\drivers\redbook.sys 2009-10-14 03:54 . 2008-03-20 23:36 74240 ----a-w- c:\windows\system32\usbui.dll 2009-10-14 03:50 . 2008-05-03 12:00 5120 ----a-w- c:\windows\system\SHELL.DLL 2009-10-14 03:47 . 2007-05-27 09:08 280011 ----a-w- C:\pmtimer.exe 2009-10-14 03:47 . 2007-05-27 09:08 280671 ----a-w- C:\DSPdsblr.exe 2009-10-14 03:47 . 2007-05-27 09:08 320151 ----a-w- C:\DPsFnshr.exe 2009-10-14 03:47 . 2007-04-05 12:33 90624 ----a-w- C:\makePNF.exe 2009-10-14 03:47 . 2007-04-05 12:33 137728 ----a-w- C:\mute.exe 2009-10-14 03:47 . 2007-04-05 12:33 125440 ----a-w- C:\devcon.exe 2009-10-14 03:47 . 2002-05-31 15:35 76976 ----a-w- c:\windows\system32\drivers\pnp680r.sys 2009-10-14 03:47 . 2006-02-26 15:02 5810 ----a-w- c:\windows\system32\drivers\ASACPI.sys 2009-10-14 03:47 . 2009-10-14 03:47 -------- d-----w- C:\D 2009-10-14 03:46 . 2009-10-28 10:47 -------- d--h--w- c:\documents and settings\Default User.WINDOWS 2009-10-14 03:46 . 2009-10-14 03:03 -------- d-----w- c:\documents and settings\All Users.WINDOWS 2009-10-14 03:40 . 2009-10-14 03:46 -------- d-----w- c:\windows\system32\scripting 2009-10-14 03:40 . 2009-10-14 03:46 -------- d-----w- c:\windows\system32\en 2009-10-14 03:04 . 2009-10-14 03:04 -------- d-----w- c:\documents and settings\Default User.WINDOWS\Local Settings\Application Data\Microsoft 2009-10-14 03:04 . 2009-10-14 12:45 -------- d-----w- c:\windows\system32\dllcache 2009-10-14 03:03 . 2009-10-14 03:03 -------- d-sh--w- c:\documents and settings\All Users.WINDOWS\DRM 2009-10-14 03:02 . 2008-05-03 12:00 11264 ----a-w- c:\windows\system32\atrace.dll 2009-10-14 03:02 . 2008-05-03 12:00 12288 ----a-w- c:\windows\system32\nmevtmsg.dll 2009-10-14 03:02 . 2008-05-03 12:00 64512 ----a-w- c:\windows\system32\acctres.dll 2009-10-14 03:00 . 2009-10-14 03:00 21640 ----a-w- c:\windows\system32\emptyregdb.dat 2009-10-14 02:59 . 2008-05-03 12:00 5632 ----a-w- c:\windows\system32\write.exe 2009-10-14 02:59 . 2008-05-03 12:00 73216 ----a-w- c:\windows\system32\avwav.dll 2009-10-14 02:59 . 2008-05-03 12:00 44544 ----a-w- c:\windows\system32\hticons.dll 2009-10-14 02:59 . 2008-05-03 12:00 216576 ----a-w- c:\windows\system32\sndvol32.exe 2009-10-14 02:59 . 2008-05-03 12:00 35328 ----a-w- c:\windows\system32\winchat.exe 2009-10-14 02:59 . 2008-05-03 12:00 227840 ----a-w- c:\windows\system32\avtapi.dll 2009-10-14 02:59 . 2008-05-03 12:00 16384 ----a-w- c:\windows\system32\avmeter.dll 2009-10-14 02:43 . 2004-03-11 19:16 62865 ----a-w- c:\windows\system32\drivers\odysseyIM3.sys 2009-10-14 02:24 . 2009-10-14 13:18 68456 ----a-w- c:\documents and settings\Administrator\Local Settings\Application Data\GDIPFONTCACHEV1.DAT 2009-10-14 02:24 . 2009-10-14 02:24 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\LogiShrd 2009-10-14 02:23 . 2009-10-14 02:23 -------- d-----w- c:\documents and settings\Administrator\Application Data\Logitech 2009-10-14 02:23 . 2007-11-30 11:18 26488 ----a-w- c:\windows\system32\spupdsvc.exe 2009-10-14 02:22 . 2007-04-11 13:33 1419024 ----a-w- c:\windows\system32\WdfCoInstaller01005.dll 2009-10-14 02:22 . 2007-04-11 13:32 36112 ----a-w- c:\windows\system32\drivers\LMouFilt.Sys 2009-10-14 02:22 . 2007-04-11 13:32 34832 ----a-w- c:\windows\system32\drivers\LHidFilt.Sys 2009-10-14 02:22 . 2007-04-11 13:32 125712 ----a-w- c:\windows\KHALMNPR.Exe 2009-10-14 02:22 . 2007-04-23 02:00 69632 ----a-w- c:\windows\system32\KemXML.dll 2009-10-14 02:22 . 2007-04-23 02:00 163840 ----a-w- c:\windows\system32\kemutb.dll 2009-10-14 02:22 . 2007-04-23 02:00 135168 ----a-w- c:\windows\system32\KemUtil.dll 2009-10-14 02:22 . 2007-04-23 02:00 110592 ----a-w- c:\windows\system32\KemWnd.dll 2009-10-14 02:22 . 2009-10-14 02:22 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Logitech 2009-10-14 02:22 . 2009-10-14 02:22 -------- d-----w- c:\program files\Common Files\Logitech 2009-10-14 02:21 . 2009-10-14 02:21 -------- d-----w- c:\documents and settings\Administrator\Application Data\InstallShield 2009-10-14 02:16 . 2005-09-14 09:24 179200 ----a-r- c:\windows\system32\drivers\e1e5132.sys 2009-10-14 02:16 . 2005-07-06 08:12 163840 ----a-r- c:\windows\system32\e1000msg.dll 2009-10-14 02:16 . 2005-06-23 02:59 17408 ----a-r- c:\windows\system32\EtCo32.dll 2009-10-14 02:16 . 2005-06-15 05:27 126976 ----a-r- c:\windows\system32\Prounstl.exe 2009-10-14 02:16 . 2005-06-14 14:08 20480 ----a-r- c:\windows\system32\NicCo32.dll 2009-10-14 02:16 . 2005-05-18 23:28 21504 ----a-r- c:\windows\system32\NicIn32.dll 2009-10-14 02:14 . 2005-10-31 10:17 135168 ------r- c:\windows\system32\RtlCPAPI.dll 2009-10-14 02:14 . 2005-07-15 08:48 40960 ------r- c:\windows\system32\ChCfg.exe . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-10-14 12:55 . 2009-10-13 15:48 -------- d-----w- c:\program files\ATI Technologies 2009-10-14 12:04 . 2009-10-13 15:48 -------- d--h--w- c:\program files\InstallShield Installation Information 2009-10-14 12:03 . 2009-10-13 16:25 -------- d-----w- c:\program files\U.S. Robotics 2009-10-14 02:23 . 2009-10-14 02:23 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_LMouFilt_01005.Wdf 2009-10-14 02:23 . 2009-10-14 02:23 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_LHidFilt_01005.Wdf 2009-10-14 02:23 . 2009-10-14 02:23 0 ---ha-w- c:\windows\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf 2009-10-13 21:04 . 2009-10-13 16:24 -------- d-----w- c:\program files\Fichiers communs 2009-10-13 18:04 . 2009-10-13 16:05 -------- d-----w- c:\program files\Intel 2009-10-13 18:00 . 2009-10-14 17:05 85504 ----a-w- c:\windows\system32\ff_vfw.dll 2009-10-13 16:39 . 2009-10-13 16:39 -------- d-----w- c:\program files\Logitech 2009-10-13 15:39 . 2009-10-13 15:39 -------- d-----w- c:\program files\microsoft frontpage 2009-10-13 15:34 . 2009-10-13 15:34 -------- d-----w- c:\program files\Services en ligne 2009-08-16 15:08 . 2009-10-14 17:05 178176 ----a-w- c:\windows\system32\unrar.dll 2009-08-14 04:27 . 2007-06-27 01:58 4485632 ----a-w- c:\windows\system32\drivers\ati2mtag.sys 2009-08-14 02:27 . 2007-06-27 01:58 345600 ----a-w- c:\windows\system32\ati2dvag.dll 2009-08-14 02:10 . 2007-06-27 01:51 204800 ----a-w- c:\windows\system32\atipdlxx.dll 2009-08-14 02:10 . 2007-06-27 01:51 155648 ----a-w- c:\windows\system32\Oemdspif.dll 2009-08-14 02:09 . 2007-06-27 01:51 95744 ----a-w- c:\windows\system32\Ati2mdxx.exe 2009-08-14 02:09 . 2007-06-27 01:50 43520 ----a-w- c:\windows\system32\ati2edxx.dll 2009-08-14 02:09 . 2007-06-27 01:50 155648 ----a-w- c:\windows\system32\ati2evxx.dll 2009-08-14 02:08 . 2007-06-27 01:49 602112 ----a-w- c:\windows\system32\ati2evxx.exe 2009-08-14 02:06 . 2007-06-27 01:48 53248 ----a-w- c:\windows\system32\ATIDDC.DLL 2009-08-14 01:58 . 2007-06-27 01:41 3492576 ----a-w- c:\windows\system32\ati3duag.dll 2009-08-14 01:47 . 2009-08-14 01:47 12959744 ----a-w- c:\windows\system32\atioglxx.dll 2009-08-14 01:42 . 2007-06-27 01:31 2081920 ----a-w- c:\windows\system32\ativvaxx.dll 2009-08-14 01:25 . 2009-08-14 01:25 49664 ----a-w- c:\windows\system32\atimpc32.dll 2009-08-14 01:25 . 2009-08-14 01:25 49664 ----a-w- c:\windows\system32\amdpcom32.dll 2009-08-14 01:21 . 2007-06-27 01:17 561152 ----a-w- c:\windows\system32\atikvmag.dll 2009-08-14 01:21 . 2009-08-14 01:21 45056 ----a-w- c:\windows\system32\aticalrt.dll 2009-08-14 01:20 . 2009-08-14 01:20 45056 ----a-w- c:\windows\system32\aticalcl.dll 2009-08-14 01:19 . 2009-08-14 01:19 3469312 ----a-w- c:\windows\system32\aticaldd.dll 2009-08-14 01:19 . 2009-08-14 01:19 163840 ----a-w- c:\windows\system32\atiadlxx.dll 2009-08-14 01:18 . 2007-06-27 01:16 17408 ----a-w- c:\windows\system32\atitvo32.dll 2009-08-14 01:17 . 2007-06-27 01:15 53248 ----a-w- c:\windows\system32\drivers\ati2erec.dll 2009-08-14 01:17 . 2007-06-27 01:14 376832 ----a-w- c:\windows\system32\atiok3x2.dll 2009-08-14 01:12 . 2007-06-27 01:10 614400 ----a-w- c:\windows\system32\ati2cqag.dll . ------- Sigcheck ------- [-] 2008-05-03 . 37D8387CBD4437C55F454209BE10EF11 . 361344 . . [5.1.2600.5508] . . c:\windows\system32\drivers\tcpip.sys [-] 2008-05-03 . 486B984A82EF507C72A4C010852BF06F . 1103360 . . [6.00.2900.5508] . . c:\windows\explorer.exe [-] 2008-05-03 . E5A092DB65125A62AF9BCB48754166E2 . 84992 . . [5.1.2600.5508] . . c:\windows\system32\ctfmon.exe . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3961680] "SUPERAntiSpyware"="e:\a_disque logiciel\Program Files\Super anti spyware\SUPERAntiSpyware.exe" [2009-10-12 2069744] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-05-03 84992] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-14 227104] "StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-08-13 172032] "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-09-04 487424] "iTunesHelper"="e:\a_disque logiciel\Program Files\iTunes\iTunesHelper.exe" [2009-09-21 383264] "Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1385808] "RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2006-04-04 16120832] "Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" - c:\windows\KHALMNPR.Exe [2007-04-11 125712] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "nltide_3"="advpack.dll" - c:\windows\system32\advpack.dll [2008-05-03 99840] c:\documents and settings\All Users.WINDOWS\Start Menu\Programs\Startup\ Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2009-10-13 774144] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "DisableCAD"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "MemCheckBoxInRunDlg"= 1 (0x1) "StartMenuFavorites"= 0 (0x0) "Start_ShowMyComputer"= 1 (0x1) "Start_ShowMyDocs"= 1 (0x1) "Start_ShowMyMusic"= 0 (0x0) "Start_ShowRun"= 1 (0x1) "Start_ShowSearch"= 0 (0x0) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoResolveTrack"= 1 (0x1) "NoSMConfigurePrograms"= 1 (0x1) "MemCheckBoxInRunDlg"= 1 (0x1) [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"= 1 (0x1) "NoResolveTrack"= 1 (0x1) "NoSMConfigurePrograms"= 1 (0x1) "MemCheckBoxInRunDlg"= 1 (0x1) [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "e:\a_disque logiciel\Program Files\Super anti spyware\SASSEH.DLL" [2008-05-13 77824] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon] 2009-09-03 13:21 548352 ----a-w- e:\a_disque logiciel\Program Files\Super anti spyware\SASWINLO.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup] @="" [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 "FirewallOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\Program Files\\Logitech\\SetPoint\\LULnchr.exe"= "c:\\WINDOWS\\KHALMNPR.EXE"= "c:\\WINDOWS\\RTHDCPL.EXE"= "c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"= "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Program Files\\Bonjour\\mDNSResponder.exe"= "e:\\a_DISQUE LOGICIEL\\Program Files\\iTunes\\iTunes.exe"= "e:\\a_DISQUE LOGICIEL\\Program Files\\BitTorrent\\bittorrent.exe"= "c:\\WINDOWS\\system32\\Ati2mdxx.exe"= "c:\\WINDOWS\\system32\\regsvr32.exe"= "c:\\WINDOWS\\system32\\msiexec.exe"= "c:\\Program Files\\QuickTime\\QTTask.exe"= "c:\\Program Files\\Google\\Update\\GoogleUpdate.exe"= "c:\\Program Files\\ATI Technologies\\ATI.ACE\\Core-Static\\MOM.exe"= "c:\\Program Files\\ATI Technologies\\ATI.ACE\\Core-Static\\ccc.exe"= "c:\\PROGRA~1\\COMMON~1\\MICROS~1\\DW\\DW20.EXE"= "c:\\Program Files\\iPod\\bin\\iPodService.exe"= "c:\\Program Files\\Google\\Update\\1.2.183.7\\GoogleCrashHandler.exe"= "e:\\a_DISQUE LOGICIEL\\Program Files\\iTunes\\iTunesHelper.exe"= "c:\\Program Files\\Java\\jre6\\bin\\jqs.exe"= "c:\\WINDOWS\\system32\\taskmgr.exe"= "c:\\Program Files\\Common Files\\Logitech\\KhalShared\\KHALMNPR.EXE"= "c:\\WINDOWS\\system32\\cmd.exe"= "c:\\WINDOWS\\TEMP\\windadx.exe"= R1 SASDIFSV;SASDIFSV;e:\a_disque logiciel\Program Files\Super anti spyware\sasdifsv.sys [10/12/2009 8:24 PM 9968] R1 SASKUTIL;SASKUTIL;e:\a_disque logiciel\Program Files\Super anti spyware\SASKUTIL.SYS [10/12/2009 8:24 PM 74480] R3 SASENUM;SASENUM;e:\a_disque logiciel\Program Files\Super anti spyware\SASENUM.SYS [10/12/2009 8:24 PM 7408] S0 pnp680;pnp680;c:\windows\system32\drivers\pnp680.sys [5/3/2008 1:00 PM 66736] S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [10/15/2009 3:51 PM 206832] S3 SysProtDrv.sys;SysProtDrv.sys;c:\documents and settings\Administrator\Desktop\SysProt\SysProtDrv.sys [10/26/2009 1:50 PM 44288] --- Other Services/Drivers In Memory --- *Deregistered* - mbr . Contents of the 'Scheduled Tasks' folder 2009-10-14 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34] 2009-10-28 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\program files\Google\Update\GoogleUpdate.exe [2009-10-15 14:50] 2009-10-28 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\program files\Google\Update\GoogleUpdate.exe [2009-10-15 14:50] . . ------- Supplementary Scan ------- . uStart Page = hxxp://www.google.com/ uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 mWindow Title = uInternet Settings,ProxyOverride = *.local uSearchURL,(Default) = hxxp://www.google.com/keyword/%s IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000 FF - ProfilePath - c:\documents and settings\Administrator\Application Data\Mozilla\Firefox\Profiles\6s4re0uj.default\ FF - prefs.js: browser.startup.homepage - www.google.be/fr FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll FF - plugin: c:\program files\Google\Update\1.2.183.7\npGoogleOneClick8.dll FF - plugin: c:\program files\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll FF - plugin: e:\a_disque logiciel\Program Files\iTunes\Mozilla Plugins\npitunes.dll FF - plugin: e:\a_disque logiciel\Program Files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll FF - plugin: e:\a_disque logiciel\Program Files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll ---- FIREFOX POLICIES ---- c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true); . - - - - ORPHANS REMOVED - - - - AddRemove-Ask Toolbar_is1 - c:\program files\AskBarDis\unins000.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-10-28 20:30 Windows 5.1.2600 Service Pack 3 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- - - - - - - - > 'winlogon.exe'(848) e:\a_disque logiciel\Program Files\Super anti spyware\SASWINLO.dll c:\windows\system32\Ati2evxx.dll . ------------------------ Other Running Processes ------------------------ . c:\windows\system32\Ati2evxx.exe c:\windows\system32\Ati2evxx.exe c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe c:\program files\Bonjour\mDNSResponder.exe c:\program files\Java\jre6\bin\jqs.exe c:\windows\system32\wscntfy.exe c:\windows\TEMP\windadx.exe c:\combofix\CF11668.exe c:\program files\Common Files\Logitech\KhalShared\KHALMNPR.EXE c:\program files\iPod\bin\iPodService.exe c:\combofix\PEV.cfxxe . ************************************************************************** . Completion time: 2009-10-28 20:36 - machine was rebooted ComboFix-quarantined-files.txt 2009-10-28 19:36 Pre-Run: 14.265.778.176 bytes free Post-Run: 13.627.289.600 bytes free WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /noexecute=optin - - End Of File - - DD8FA3B2DE3A204C3022409B2A5253A6

Oui, je sais, je n'appuie pas sur F6. Je suis arrivée au bon endroit les premières fois, mais pas les deux dernières... il n'arrivait pas jusqu'au tiret clignotant et à la place j'ai le message d'erreur. Isaline

Non je ne suis pas en réinstallation vu que mon cd windows n'est pas dans le lecteur. Dans le démarrage de windows, comme combofix l'avait annoncé, j'ai un écran noir qui me demande si je veux démarrer dans la console ou bien dans windows. Je mets la console. Là il y a la barre en bas, avec des I qui ont des accents, qui mets quelque chose du genre setup (j'avoue que j'ai lu la première fois mais pas après quand j'ai vu le temps que ça prenait). Puis après ça (je ne sais pas si la barre de I est devenue blanche ou pas, je n'ai pas regardé désolée...), un écran noir avec le message. Je ne suis donc pas encore entrée dans la console... Isaline

Je suis une mine à problèmes !! Cette fois ci j'ai eu droit à : "File setupdd.sys could not be loaded. The error code is 7. Setup cannot continue. Press any key to exit". Deux fois de suite... Quelles sont mes options ? Isaline

Re.. Ca aurait bien sûr été trop beau que je réussisse du premier coup... Tout d'abord, quand j'ai lancé la console pour la première fois j'ai eu droit à un message d'erreur : ql1240.sys is corrupted, press any key to continue. J'ai appuyé sur une touche, qui m'a amené à un "setup failed. Press any key to restart your computer". Comme j'avais laissé mon cd d'installation windows dans le lecteur, je me suis que j'allais quand même redémarrer la console sans, juste pour voir... bingo, j'entre dedans. Je tape ce que vous m'avez demandé, mais à la commande expand... il me dit "the file name, directory name or volume label syntax is incorrect". Je me demandais pourquoi vous lui donniez "E:\" comme référence disque alors que dans windows mon lecteur cd est le D: (le E: est mon deuxième DD... Mais peut être que ce n'est pas la même chose dans la console... Merci, Isaline

Bonjour, Comme je ne peux rien copier/coller sur mon ordi, je suppose que je vais devoir aller avec le msconfig, mais je ne connais pas la commande extraire... Comment ça marche ? J'ai trouvé la commande, mais il me demande "restore from", et par défaut chercher un .cab. Je cherche quoi et ou dans mon cd d'installation ? Merci, Isaline

Je recorrige : j'ai réfléchi deux secondes, et ai ouvert le notepad avec le windows task manager, mais quand je regarde pour un fichier dans le C, il n'y a pas de fichier combofix.txt... J'ai bien un fichier combofix, mais il a un petit ordi avec écran bleu comme icône devant... Ca veut dire que c'est un fichier quoi ? Je dois tenter de l'ouvrir ? Isaline

Bonjour, Ça a marché, mais après le redémarrage, je ne vois plus rien sur mon bureau, explorer ne s'est pas lancé... Je redémarre en mode récupération ? Pour précision, ça n'a pas suivi toutes les étapes décrites plus haut... Je n'ai pas du choisir ma configuration de windows, il m'a installé la console tout seul. Et puis il m'a demandé si je voulais enchainer directement avec le scan, et j'ai cliqué sur "yes", donc je n'ai pas eu non plus la partie ou je dois taper sur la touche 1. Maintenant que je n'ai pas d'explorer, j'ai pu démarrer firefox depuis le "windows task manager", mais pas explorer, que je tape "explorer" ou "explorer.exe", ça ne change rien. Mais ça ne m'étonne pas, depuis quelques jours, il plantait régulièrement (mais au moins se rallumait...) Que dois-je faire pour récupérer explorer et donc pouvoir vous donner votre rapport ? Car je ne sais pas comment faire pour aller le chercher comme ça Merci, Isaline

Bonjour, voici le maigre rapport... Running from: C:\Documents and Settings\Administrator\Desktop\Win32kDiag.exe Log file at : C:\Documents and Settings\Administrator\Desktop\Win32kDiag.txt WARNING: Could not get backup privileges! Searching 'C:\WINDOWS'... Finished! Isaline

Bonjour, J'ai commencé à télécharger combofix d'après le lien que vous m'avez donné, et pendant le téléchargement : coupure d'électricité. Une fois l'électricité revenue, j'ai recommencé le téléchargement. J'avais laissé les fichiers sur mon bureau, pensant qu'ils seraient écrasés si je retéléchargeait, mais pas. Une fois le nouveau combofix téléchargé (qui portait un numéro différent donc), j'ai supprimé les premiers fichiers. Comme indiqué, j'ai double cliqué dessus. J'ai d'abord eu un message d'avertissement comme quoi deux sites n'étaient pas officiels, j'ai cliqué yes. Puis j'ai eu un message du genre "error, combofix has been compromised, please download a fresh copy from this website, etc". J'ai cliqué sur ok, et là l'icône .exe a été supprimée de mon bureau automatiquement. Je n'ai bien sur pas eu la présence d'esprit de vous faire une capture d'écran, désolée... Comment ma version aurait pu être compromised alors que je n'ai que cliqué sur votre lien ? Merci, Isaline

Bonjour, Voici le rapport : Logfile of The Avenger Version 2.0, © by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Completed script processing. ******************* Finished! Terminate.

Bonjour, C'est bien cela que je ne comprends pas. Voulez vous que je relance un log ou bien vous voulez que je cherche dans les onglets de Sysprot. Si c'est cette dernière solution, je ne pense pas que j'y arriverais, car Sysprot plante à chaque que je cliques sur un autre onglet que log... Isaline

Bonjour, Merci pour les explications. Le rapport Sysprot est un fichier .txt. Que je l'ouvre avec notepad ou avec wordpad, je ne vois pas de couleurs. Peut-être faut-il que je l'ouvre avec un autre programme pour voir si ces lignes sont en rouge ? Sinon vous me demandez de relancer Sysprot, je refais tout le scan comme indiqué plus haut ? Je dois tuer des processus, mais dans quel endroit dois-je faire le clic droit : le rapport (mais c'est un fichier txt) ou bien une autre fenêtre s'ouvre-t-elle (je ne me rappelles plus) ? Isaline

Bonjour, Je préfère poser une question con que pas du tout... Qu'est ce que kernel ? Quand vous me demandez si les lignes étaient en rouge, dans quel rapport de quel programme ? Si sur le rapport d'hier, je ne pense pas qu'il se soit enregistré ou que ce soit, mais je suis repassée sur la liste trois fois pour vérifier... Maintenant peut être que malgré moi j'en ai raté... Merci, Isaline

Bonjour, Voici le rapport : SysProt AntiRootkit v1.0.1.0 by swatkat ******************************************************************************** ********** ******************************************************************************** ********** No Hidden Processes found ******************************************************************************** ********** ******************************************************************************** ********** Kernel Modules: Module Name: \SystemRoot\System32\Drivers\dump_atapi.sys Service Name: --- Module Base: AA6F2000 Module End: AA70A000 Hidden: Yes Module Name: \SystemRoot\System32\Drivers\dump_WMILIB.SYS Service Name: --- Module Base: F79BD000 Module End: F79BF000 Hidden: Yes Module Name: \??\C:\WINDOWS\system32\drivers\hmrmqn.sys Service Name: asc3360pr Module Base: F79DF000 Module End: F79E1000 Hidden: Yes ******************************************************************************** ********** ******************************************************************************** ********** SSDT: Function Name: ZwTerminateProcess Address: A6F4F0B0 Driver Base: A6F46000 Driver End: A6F6B000 Driver Name: \??\E:\a_DISQUE LOGICIEL\Program Files\Super anti spyware\SASKUTIL.sys ******************************************************************************** ********** ******************************************************************************** ********** No Kernel Hooks found ******************************************************************************** ********** ******************************************************************************** ********** No IRP Hooks found ******************************************************************************** ********** ******************************************************************************** ********** Ports: Local Address: EXPERIEN-E6CBC2.LOCALDOMAIN:3221 Remote Address: MXF1.RAMBLER.RU:SMTP Type: TCP Process: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winioysij.exe State: SYN_SENT Local Address: EXPERIEN-E6CBC2.LOCALDOMAIN:3219 Remote Address: 74.125.9.23:HTTP Type: TCP Process: C:\Program Files\Mozilla Firefox\firefox.exe State: ESTABLISHED Local Address: EXPERIEN-E6CBC2.LOCALDOMAIN:3218 Remote Address: EY-IN-F113.1E100.NET:HTTP Type: TCP Process: C:\Program Files\Mozilla Firefox\firefox.exe State: ESTABLISHED Local Address: EXPERIEN-E6CBC2.LOCALDOMAIN:3210 Remote Address: 33.100-78-194.AKAMAI.COM:HTTP Type: TCP Process: C:\Program Files\Mozilla Firefox\firefox.exe State: ESTABLISHED Local Address: EXPERIEN-E6CBC2.LOCALDOMAIN:3197 Remote Address: A92-123-88-100.DEPLOY.AKAMAITECHNOLOGIES.COM:HTTP Type: TCP Process: C:\Program Files\Mozilla Firefox\firefox.exe State: ESTABLISHED Local Address: EXPERIEN-E6CBC2.LOCALDOMAIN:3182 Remote Address: 24.100-78-194.AKAMAI.COM:HTTP Type: TCP Process: C:\Program Files\Mozilla Firefox\firefox.exe State: ESTABLISHED Local Address: EXPERIEN-E6CBC2.LOCALDOMAIN:3178 Remote Address: 71.100-78-194.AKAMAI.COM:HTTP Type: TCP Process: C:\Program Files\Mozilla Firefox\firefox.exe State: ESTABLISHED Local Address: EXPERIEN-E6CBC2.LOCALDOMAIN:3164 Remote Address: WY-IN-F154.1E100.NET:HTTP Type: TCP Process: C:\Program Files\Mozilla Firefox\firefox.exe State: ESTABLISHED Local Address: EXPERIEN-E6CBC2.LOCALDOMAIN:3163 Remote Address: WW-IN-F165.1E100.NET:HTTP Type: TCP Process: C:\Program Files\Mozilla Firefox\firefox.exe State: ESTABLISHED Local Address: EXPERIEN-E6CBC2.LOCALDOMAIN:3129 Remote Address: HB-IN-F113.1E100.NET:HTTP Type: TCP Process: C:\Program Files\Mozilla Firefox\firefox.exe State: ESTABLISHED Local Address: EXPERIEN-E6CBC2.LOCALDOMAIN:3111 Remote Address: WW-IN-F104.1E100.NET:HTTP Type: TCP Process: C:\Program Files\Mozilla Firefox\firefox.exe State: ESTABLISHED Local Address: EXPERIEN-E6CBC2.LOCALDOMAIN:3109 Remote Address: WW-IN-F104.1E100.NET:HTTP Type: TCP Process: C:\Program Files\Mozilla Firefox\firefox.exe State: ESTABLISHED Local Address: EXPERIEN-E6CBC2.LOCALDOMAIN:3108 Remote Address: WW-IN-F104.1E100.NET:HTTP Type: TCP Process: C:\Program Files\Mozilla Firefox\firefox.exe State: ESTABLISHED Local Address: EXPERIEN-E6CBC2.LOCALDOMAIN:3086 Remote Address: APACHE2-ARGON.PACERS.DREAMHOST.COM:HTTP Type: TCP Process: \Device\HarddiskDmVolumes\PhysicalDmVolumes\BlockVolume1\a_DISQUE LOGICIEL\Program Files\iTunes\iTunesHelper.exe State: CLOSE_WAIT Local Address: EXPERIEN-E6CBC2.LOCALDOMAIN:3081 Remote Address: S2.UCOZ.NET:HTTP Type: TCP Process: \Device\HarddiskDmVolumes\PhysicalDmVolumes\BlockVolume1\a_DISQUE LOGICIEL\Program Files\iTunes\iTunesHelper.exe State: CLOSE_WAIT Local Address: EXPERIEN-E6CBC2.LOCALDOMAIN:1101 Remote Address: 32.100-78-194.AKAMAI.COM:HTTP Type: TCP Process: C:\Program Files\Java\jre6\bin\jusched.exe State: CLOSE_WAIT Local Address: EXPERIEN-E6CBC2.LOCALDOMAIN:1041 Remote Address: BY2MSG1010816.GATEWAY.EDGE.MESSENGER.LIVE.COM:1863 Type: TCP Process: C:\Program Files\Windows Live\Messenger\msnmsgr.exe State: ESTABLISHED Local Address: EXPERIEN-E6CBC2.LOCALDOMAIN:NETBIOS-SSN Remote Address: 0.0.0.0:0 Type: TCP Process: System State: LISTENING Local Address: EXPERIEN-E6CBC2:27015 Remote Address: LOCALHOST:1026 Type: TCP Process: C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe State: ESTABLISHED Local Address: EXPERIEN-E6CBC2:27015 Remote Address: 0.0.0.0:0 Type: TCP Process: C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe State: LISTENING Local Address: EXPERIEN-E6CBC2:5354 Remote Address: 0.0.0.0:0 Type: TCP Process: C:\Program Files\Bonjour\mDNSResponder.exe State: LISTENING Local Address: EXPERIEN-E6CBC2:5152 Remote Address: LOCALHOST:3107 Type: TCP Process: C:\Program Files\Java\jre6\bin\jqs.exe State: CLOSE_WAIT Local Address: EXPERIEN-E6CBC2:5152 Remote Address: 0.0.0.0:0 Type: TCP Process: C:\Program Files\Java\jre6\bin\jqs.exe State: LISTENING Local Address: EXPERIEN-E6CBC2:3106 Remote Address: LOCALHOST:3105 Type: TCP Process: C:\Program Files\Mozilla Firefox\firefox.exe State: ESTABLISHED Local Address: EXPERIEN-E6CBC2:3105 Remote Address: LOCALHOST:3106 Type: TCP Process: C:\Program Files\Mozilla Firefox\firefox.exe State: ESTABLISHED Local Address: EXPERIEN-E6CBC2:3104 Remote Address: LOCALHOST:3103 Type: TCP Process: C:\Program Files\Mozilla Firefox\firefox.exe State: ESTABLISHED Local Address: EXPERIEN-E6CBC2:3103 Remote Address: LOCALHOST:3104 Type: TCP Process: C:\Program Files\Mozilla Firefox\firefox.exe State: ESTABLISHED Local Address: EXPERIEN-E6CBC2:1056 Remote Address: LOCALHOST:1043 Type: TCP Process: C:\Program Files\Windows Live\Messenger\msnmsgr.exe State: ESTABLISHED Local Address: EXPERIEN-E6CBC2:1043 Remote Address: LOCALHOST:1056 Type: TCP Process: C:\Program Files\Windows Live\Messenger\msnmsgr.exe State: ESTABLISHED Local Address: EXPERIEN-E6CBC2:1043 Remote Address: 0.0.0.0:0 Type: TCP Process: C:\Program Files\Windows Live\Messenger\msnmsgr.exe State: LISTENING Local Address: EXPERIEN-E6CBC2:1026 Remote Address: LOCALHOST:27015 Type: TCP Process: \Device\HarddiskDmVolumes\PhysicalDmVolumes\BlockVolume1\a_DISQUE LOGICIEL\Program Files\iTunes\iTunesHelper.exe State: ESTABLISHED Local Address: EXPERIEN-E6CBC2:6956 Remote Address: 0.0.0.0:0 Type: TCP Process: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winioysij.exe State: LISTENING Local Address: EXPERIEN-E6CBC2:MICROSOFT-DS Remote Address: 0.0.0.0:0 Type: TCP Process: System State: LISTENING Local Address: EXPERIEN-E6CBC2:EPMAP Remote Address: 0.0.0.0:0 Type: TCP Process: C:\WINDOWS\system32\svchost.exe State: LISTENING Local Address: EXPERIEN-E6CBC2.LOCALDOMAIN:5353 Remote Address: NA Type: UDP Process: C:\Program Files\Bonjour\mDNSResponder.exe State: NA Local Address: EXPERIEN-E6CBC2.LOCALDOMAIN:1900 Remote Address: NA Type: UDP Process: C:\WINDOWS\system32\svchost.exe State: NA Local Address: EXPERIEN-E6CBC2.LOCALDOMAIN:138 Remote Address: NA Type: UDP Process: System State: NA Local Address: EXPERIEN-E6CBC2.LOCALDOMAIN:NETBIOS-NS Remote Address: NA Type: UDP Process: System State: NA Local Address: EXPERIEN-E6CBC2.LOCALDOMAIN:123 Remote Address: NA Type: UDP Process: C:\WINDOWS\system32\svchost.exe State: NA Local Address: EXPERIEN-E6CBC2.LOCALDOMAIN:DISCARD Remote Address: NA Type: UDP Process: C:\Program Files\Windows Live\Messenger\msnmsgr.exe State: NA Local Address: EXPERIEN-E6CBC2:1900 Remote Address: NA Type: UDP Process: C:\WINDOWS\system32\svchost.exe State: NA Local Address: EXPERIEN-E6CBC2:1074 Remote Address: NA Type: UDP Process: C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE State: NA Local Address: EXPERIEN-E6CBC2:1064 Remote Address: NA Type: UDP Process: C:\Program Files\Windows Live\Contacts\wlcomm.exe State: NA Local Address: EXPERIEN-E6CBC2:1038 Remote Address: NA Type: UDP Process: C:\Program Files\Windows Live\Messenger\msnmsgr.exe State: NA Local Address: EXPERIEN-E6CBC2:123 Remote Address: NA Type: UDP Process: C:\WINDOWS\system32\svchost.exe State: NA Local Address: EXPERIEN-E6CBC2:61707 Remote Address: NA Type: UDP Process: C:\Program Files\Bonjour\mDNSResponder.exe State: NA Local Address: EXPERIEN-E6CBC2:4530 Remote Address: NA Type: UDP Process: \Device\HarddiskDmVolumes\PhysicalDmVolumes\BlockVolume1\a_DISQUE LOGICIEL\Program Files\iTunes\iTunesHelper.exe State: NA Local Address: EXPERIEN-E6CBC2:4500 Remote Address: NA Type: UDP Process: C:\WINDOWS\system32\lsass.exe State: NA Local Address: EXPERIEN-E6CBC2:2081 Remote Address: NA Type: UDP Process: C:\WINDOWS\system32\svchost.exe State: NA Local Address: EXPERIEN-E6CBC2:2080 Remote Address: NA Type: UDP Process: C:\WINDOWS\system32\svchost.exe State: NA Local Address: EXPERIEN-E6CBC2:1266 Remote Address: NA Type: UDP Process: C:\WINDOWS\system32\svchost.exe State: NA Local Address: EXPERIEN-E6CBC2:1238 Remote Address: NA Type: UDP Process: C:\WINDOWS\system32\svchost.exe State: NA Local Address: EXPERIEN-E6CBC2:1121 Remote Address: NA Type: UDP Process: C:\WINDOWS\system32\svchost.exe State: NA Local Address: EXPERIEN-E6CBC2:1029 Remote Address: NA Type: UDP Process: C:\WINDOWS\system32\svchost.exe State: NA Local Address: EXPERIEN-E6CBC2:1028 Remote Address: NA Type: UDP Process: C:\WINDOWS\system32\svchost.exe State: NA Local Address: EXPERIEN-E6CBC2:1027 Remote Address: NA Type: UDP Process: C:\Program Files\Bonjour\mDNSResponder.exe State: NA Local Address: EXPERIEN-E6CBC2:500 Remote Address: NA Type: UDP Process: C:\WINDOWS\system32\lsass.exe State: NA Local Address: EXPERIEN-E6CBC2:MICROSOFT-DS Remote Address: NA Type: UDP Process: System State: NA ******************************************************************************** ********** ******************************************************************************** ********** Hidden files/folders: Object: C:\System Volume Information\MountPointManagerRemoteDatabase Status: Access denied Object: C:\System Volume Information\tracking.log Status: Access denied Object: C:\System Volume Information\_restore{D84706BD-52C0-4EDC-ADE6-899981D5D4D7} Status: Access denied Merci, Isaline

Bonsoir, Si les infos sur le scan sont bien la liste qui apparait dans la fenêtre qui était vide, alors il n'y a aucune ligne rouge quand je scanne le disque C. Merci, Isaline

voici le rapport : Malwarebytes' Anti-Malware 1.41 Version de la base de données: 3029 Windows 5.1.2600 Service Pack 3 25/10/2009 14:27:24 mbam-log-2009-10-25 (14-27-24).txt Type de recherche: Examen complet (C:\|E:\|F:\|G:\|H:\|) Eléments examinés: 261391 Temps écoulé: 2 hour(s), 3 minute(s), 43 second(s) Processus mémoire infecté(s): 1 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 0 Valeur(s) du Registre infectée(s): 0 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 1 Processus mémoire infecté(s): C:\WINDOWS\Temp\gyvl.exe (Trojan.Downloader) -> Failed to unload process. Module(s) mémoire infecté(s): (Aucun élément nuisible détecté) Clé(s) du Registre infectée(s): (Aucun élément nuisible détecté) Valeur(s) du Registre infectée(s): (Aucun élément nuisible détecté) Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté) Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): C:\WINDOWS\Temp\gyvl.exe (Trojan.Downloader) -> Delete on reboot. Gros plantage à la fin du scan (c'est a dire grose freeze de tout). J'ai voulu enregistrer le rapport sous, mais plante aussi, un ctrl+alt+supp a fait redémarré... Isaline

Bonjour, Merci. Voici le rapport : All processes killed ========== PROCESSES ========== No active process named winpvpty was found! ========== FILES ========== File/Folder C:\WINDOWS\Temp\winpvpty.exe not found. ========== SERVICES/DRIVERS ========== ========== REGISTRY ========== ========== COMMANDS ========== [EMPTYTEMP] User: Administrator ->Temp folder emptied: 27790850 bytes File delete failed. C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot. ->Temporary Internet Files folder emptied: 12102445 bytes ->Java cache emptied: 26423555 bytes ->FireFox cache emptied: 39203300 bytes User: All Users User: All Users.WINDOWS User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Default User.WINDOWS ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: LocalService.NT AUTHORITY ->Temp folder emptied: 0 bytes File delete failed. C:\Documents and Settings\LocalService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot. ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 402 bytes User: NetworkService.NT AUTHORITY ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 402 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 2401591 bytes %systemroot%\System32 .tmp files removed: 2577 bytes Windows Temp folder emptied: 59996 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 103,11 mb OTM by OldTimer - Version 3.0.0.6 log created on 10252009_112610 Files moved on Reboot... Registry entries deleted on Reboot... Il dit qu'il ne trouve pas le fichier .exe, mais en soit ce fichier change de nom à chaque redémarrage j'avais l'impression... Encore merci, Isaline

Re... Et le rapport du complet fait après donc le redémarrage demandé à la fin du rapide... Vraiment désolée... :-s Malwarebytes' Anti-Malware 1.41 Version de la base de données: 3020 Windows 5.1.2600 Service Pack 3 24/10/2009 1:27:58 mbam-log-2009-10-24 (01-27-58).txt Type de recherche: Examen complet (C:\|E:\|F:\|G:\|H:\|) Eléments examinés: 261429 Temps écoulé: 1 hour(s), 53 minute(s), 27 second(s) Processus mémoire infecté(s): 1 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 0 Valeur(s) du Registre infectée(s): 0 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 1 Processus mémoire infecté(s): C:\WINDOWS\Temp\winpvpty.exe (Trojan.Downloader) -> Failed to unload process. Module(s) mémoire infecté(s): (Aucun élément nuisible détecté) Clé(s) du Registre infectée(s): (Aucun élément nuisible détecté) Valeur(s) du Registre infectée(s): (Aucun élément nuisible détecté) Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté) Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): C:\WINDOWS\Temp\winpvpty.exe (Trojan.Downloader) -> Delete on reboot. Merci, Isaline

Bonsoir, Merci pour cette réponse ! Je vais paraitre encore une fois pour une idiote qui ne sait pas lire ... J'ai d'abord fait un examen rapide au lieu de complet... Je lance le complet et poste le rapport juste après... Voici le rapport du rapide : Malwarebytes' Anti-Malware 1.41 Version de la base de données: 3020 Windows 5.1.2600 Service Pack 3 23/10/2009 23:25:14 mbam-log-2009-10-23 (23-25-14).txt Type de recherche: Examen rapide Eléments examinés: 110128 Temps écoulé: 6 minute(s), 52 second(s) Processus mémoire infecté(s): 1 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 0 Valeur(s) du Registre infectée(s): 1 Elément(s) de données du Registre infecté(s): 4 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 2 Processus mémoire infecté(s): C:\WINDOWS\Temp\winfirn.exe (Trojan.Downloader) -> Unloaded process successfully. Module(s) mémoire infecté(s): (Aucun élément nuisible détecté) Clé(s) du Registre infectée(s): (Aucun élément nuisible détecté) Valeur(s) du Registre infectée(s): HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully. Elément(s) de données du Registre infecté(s): HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): C:\WINDOWS\Temp\winfirn.exe (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Documents and Settings\Administrator\Local Settings\Temp\hshm.exe (Trojan.Downloader) -> Quarantined and deleted successfully. Merci encore, Isaline

Bonsoir, Je voulais juste rajouter, si jamais c'est une info utile : quand je dis freeze, c'est juste la fenêtre à laquelle je demande quelque chose qui plante, pas le reste de l'ordi, il suffit donc que je clique sur la croix, et que je lui demande de fermer même si ça a planté. Sinon, il me semble qu'à chaque redémarrage de l'ordi, un nouveau ".exe" est lancé qui sort de nulle part. Toujours au même endroit : doc and settings/admin/local settings/temp/. Depuis quelques démarrage j'ai aussi un .pf (trouvé par superantispyware, je n'ai rien supprimé, juste mis entre parenthèse, je l'ai fait tourné pour voir si c'était toujours au même endroit que le fichier se mettait) qui est dans c/windows/prefetch/ que superantispyware considère comme un trojan... Voilà, à part ça pas de progrès dans mon ordi, un fichier de ma carte graphique qui ne veut pas se lancer au démarrage, mais l'ordi tourne donc pas trop de soucis... Merci pour votre aide, Isaline