Bolo

Bon, la joie aura été de courte durée, après un scan total bien réalisé la nuit suivante le scan n'a encore duré que 3 min, j'ai donc à nouveau désisntallé l'AVG 2010 et remis mon bon vieux AVG9 qui lui fonctionne vraiment sous mon contrôle. A bientôt

Bonjour, Pour Winpatrol je l'ai mis à jour sans désinstaller la version 2009 d'où cet affichage mais il est àà jour, Pour Flashplayer je vais le faire cet après-midi. Il y a 2 jours j'ai désinstallé AVG à l'aide de l'avgremover et réinstallé (toujours la version 2010). Avec nettoyage complet avant et après avec Ccleaner (même la base de registre) et 2ème couche avec Glary. Des options sont apparus (comme les jours de la semaine pour le scan programmé) j'ai mis à jour, configuré. Hier le scan n'a pas démarré, mais cela me semble normal car je faisais tourner dans la nuit FAIRUSE WIzard qui me sert à encoder des DVD et qui bloque même le savescreen, je pense que le gestionnaire de priorité (mode automatique) d AVG en a bloqué le lancement et lorsque j'ai fermé FU AVG a démarré mais toujours en faisant un scan de 3 min. cette nuit je n'ai lancé aucun travail, ce matin j'ai constaté qu AVG avait bien fait un scan COMPLET à l'heure prévue mais il a duré 1h pile (bizarre) or pour une demande de scan complet manuel il met entre 30/40 min, je ne sait pas si ça vient encore du gestionnaire de priorité d'AVG, je vais configurer ce scan programmé sur priorité HAUTE (et non pas automatique comme par défaut) et on verra .... merci pour vos réponses

Results of screen317's Security Check version 0.99.17 Windows XP Service Pack 3 Internet Explorer 8 `````````````````````````````` Antivirus/Firewall Check: AVG 2011 ZoneAlarm Antivirus up to date! ``````````````````````````````` Anti-malware/Other Utilities Check: WinPatrol 2009 (Outdated! Latest version is WinPatrol 2011) Malwarebytes' Anti-Malware CCleaner Java 6 Update 26 Flash Player Out of Date! Adobe Flash Player 10.2.152.26 ```````````````````````````````` Process Check: objlist.exe by Marc WinPatrol winpatrol.exe AVG avgwdsvc.exe AVG avgtray.exe AVG avgrsx.exe AVG avgnsx.exe AVG avgemc.exe WinPatrol WinPatrol.exe ZoneAlarm zlclient.exe ``````````End of Log````````````

Bonjour, J'ai effectué une recherche dans le forum mais je n'ai pas trouvé de réponse à ma question. Voici donc le soucis que je rencontre: Je viens de mettre à jour mon antivirus AVG je suis passé du 8.5 à la version 2010. J'ai vérifié rapidement qu'il fonctionnait par une analyse de quelques fichiers, le moteur de scan démarre, et les mises à jour de la base de donnée virale fonctionne également. L'AVG ayant récupéré mes options de la version précédente il doit se mettre à jour tôt le matin (vers 2h) et faire un scan complet tous les jours vers 04h00 (cela prend environs 40 min) avec toutes les options cochées (analyse approfondie, tous types de fichiers, les fichiers n'ayant pas d'extensions, les tracking cookies, les rootkits, tout quoi)et je vérifie le log du scan vers 08/09h. OR je me rend compte que AVG scanne environs 10% des fichiers puis s'arrête, le scan dure 3/4 min, il ne précise pas "ANALYSE ARRETEE PREMATUREMENT", ce comportement me semble étrange ... Dans la foulée je fais donc MANUELLEMENT un scan complet, AVG ne trouve rien, je scanne aussi avec MBAM qui ne trouve pas d'infection également, je suppose donc que c'est AVG qui a un soucis ou bien un détail de la configuration de cet antivirus que j'aurais loupé. Je précise que je suis sous Win Xp Sp3 et que je n'ai jamais eu de soucis avec la version précédente d'AVG. Je remercie toute personne qui aurait une information sur ce comportement inhabituel d' AVG ou qui poiterais du doigt l'erreur que j'ai faite. Veuillez m'excuser par avance si je n'ai posté le sujet au bon forum. Merci à tous.

Bonjour, je n'ai pas accès à la console de récupération, à peine l'écarn de choix s'affiche-t-il qu'il s'efface, et là je suis presque sûr que ça vient de mysight2006 car cette page est la même choix du bootscreen classique ou du personnalisé avec temporisation, et j'ai configuré la tempo à 0 ... C'est aussi de ma faute... Donc j'ai lancé la bombe atomique, et histoire d'être sûr de repartir sur une base saine (et d'expérimenter pc cloneur en restauration), j'ai: démarré sur le Cd d'installation de windows supprimé la partition principale installé windows après formatage installé le sp3, zonealarm, avg et pc cloneur et le driver ATI pour bien voir l'écran, zonealarm c'était pour bloquer tout accès internet mais de toute façon sans les drivers de la carte mère le pc ne se connectait pas. hier soir démarrage de pc cloneur et demande de restauration, vu qu'il travaillait sur la partition active il a refusé et proposé de redémarrer il a redémarré et fonctionné avant le lancement de windows, j'ai à nouveau eu le menu j'ai demandé la restauratio et pointé vers le fichier sur le hdd externe avec vérification, temps estimé : 7 heures (alors qu'il ne met que 30min pour générer l'image de 13 Go) Ce matin il affiche que c'était réussi, je viens de redémarrer, tout est OK, je passe un coup de Dr Web pour être sûr qu'il n'y a plus rien, et déjà il n'a pas détecté le backdoor.tdss.565 en processus actif, je pense donc que c'est bon. encore un grand merci (je vais de ce pas modifier le temps d'attente de la paged e choix du bootscreen au cas où...) je vais marquer le sujet comme résolu même si c'était "radical" mais comme ma sauvegarde de système était très récente je n'ai rien perdu. à bientôt !

j'ai suivi scrupuleusement les indications (je me suis déconnecté du net, j'ai même désinstallé AVG pour qu'il n'interfère pas). après le scan et la suppression des fichies, au reboot : ECRAN BLEU, je reset, encore ECRAN BLEU je reset et choisi mode sans ECHEC, ECRAN BLEU, je retente, toujours ECRAN BLEU, je recopie ici: Un problème a été détecté et Windows a été arre^té afin de prévenir tout dommage sur votre ordinateur. etc...etc... Informations techniques : ***STOP : 0x0000007B (0xF789E524, 0xC0000034, 0x00000000, 0x000000000) (ça vient peut être de mysight2006 qui m'a servi à personnaliser mon bootscreen et qui est souvent reconnu comme rootkit ?par Dr Web en tout cas) Je crois que je vais devoir tenter une restauration avec mon PC Cloneur en espérant qu'il ne plante pas... j'espère juste qu'il plante pas ça serait bien j'ai fais une image récemement sur un hdd externe alors si ça fonctionne ça irait bien... Sinon une idée ? De toute façon je reste zen, mes données ne sont pas touchées et d'ailleur ce malware ne semble pas ni se reproduire ni migrer vers d'autres disques, bon utiliser la bombe atomique pour une fourmie c'est un peu démesuré mais je vais faire table rase, puisque je n'ai plus accès à windows je ne peux pas essayé une restauration à partir de celui-ci et je ne sais pas si à partir du CD de démarrage de pc cloneur si il formate, donc dans le doute, je vais réinstaller windows (de base) puis installer pc cloneur et tenter de restaurer ma dernière image. Ce n'est que du temps, il y a bien plus grave !!! arf !!! Merci encore de toutes vos indications, en espérant que cela puisse servir ultérieurement pour tout autre personne infectée. à bientôt !

Fichier is-FJJM2.exe reçu le 2010.04.09 18:21:53 (UTC) Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE Résultat: 0/39 (0%) en train de charger les informations du serveur... Votre fichier est dans la file d'attente, en position: 2. L'heure estimée de démarrage est entre 49 et 70 secondes. Ne fermez pas la fenêtre avant la fin de l'analyse. L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats. Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier. Votre fichier est, en ce moment, en cours d'analyse par VirusTotal, les résultats seront affichés au fur et à mesure de leur génération. Formaté Formaté Impression des résultats Impression des résultats Votre fichier a expiré ou n'existe pas. Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie. Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée. Email: Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.50 2010.04.09 - AhnLab-V3 5.0.0.2 2010.04.09 - AntiVir 7.10.6.55 2010.04.09 - Antiy-AVL 2.0.3.7 2010.04.09 - Authentium 5.2.0.5 2010.04.09 - Avast 4.8.1351.0 2010.04.09 - Avast5 5.0.332.0 2010.04.09 - AVG 9.0.0.787 2010.04.09 - BitDefender 7.2 2010.04.09 - CAT-QuickHeal 10.00 2010.04.09 - ClamAV 0.96.0.3-git 2010.04.09 - Comodo 4549 2010.04.09 - DrWeb 5.0.2.03300 2010.04.09 - eSafe 7.0.17.0 2010.04.08 - eTrust-Vet 35.2.7418 2010.04.09 - F-Prot 4.5.1.85 2010.04.09 - F-Secure 9.0.15370.0 2010.04.09 - Fortinet 4.0.14.0 2010.04.08 - GData 19 2010.04.09 - Ikarus T3.1.1.80.0 2010.04.09 - Jiangmin 13.0.900 2010.04.09 - Kaspersky 7.0.0.125 2010.04.09 - McAfee-GW-Edition 6.8.5 2010.04.09 - Microsoft 1.5605 2010.04.09 - NOD32 5014 2010.04.09 - Norman 6.04.11 2010.04.09 - nProtect 2009.1.8.0 2010.04.06 - Panda 10.0.2.2 2010.04.09 - PCTools 7.0.3.5 2010.04.09 - Prevx 3.0 2010.04.09 - Rising 22.42.04.03 2010.04.09 - Sophos 4.52.0 2010.04.09 - Sunbelt 6156 2010.04.09 - Symantec 20091.2.0.41 2010.04.09 - TheHacker 6.5.2.0.258 2010.04.09 - TrendMicro 9.120.0.1004 2010.04.09 - VBA32 3.12.12.4 2010.04.09 - ViRobot 2010.4.9.2269 2010.04.09 - VirusBuster 5.0.27.0 2010.04.09 - Information additionnelle File size: 1542144 bytes MD5...: f319315b6c138fdc8d39282606c17e70 SHA1..: 24cf48066878095102d7068ad3fa442e91d193e1 SHA256: d24d88a0878c9ce7d99515283b5affb0c86e1898d643017ea845a219b1a0de52 ssdeep: 24576:zOlc2oOjSrX6F9204jf7oOJd9eZEdRapWhmAMJ8vDjWe/Y/L5x94x:JcSo O7wWhBGvk PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0xf9e20 timedatestamp.....: 0x4b445e49 (Wed Jan 06 09:56:25 2010) machinetype.......: 0x14c (I386) ( 9 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0xf78ac 0xf7a00 6.48 01b2f66b398894a6f143790a84981ffb .itext 0xf9000 0x1010 0x1200 5.71 6bcd00cd949a92261a05047b55e7777a .data 0xfb000 0x2f14 0x3000 4.33 b14be6498e994755a4cd918389e4a217 .bss 0xfe000 0x607c 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .idata 0x105000 0x3790 0x3800 5.07 14da4ebc0db35ebfbc269345e930460f .tls 0x109000 0x3c 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .rdata 0x10a000 0x18 0x200 0.21 026d019357204bb2cd4cb2481d31cc45 .reloc 0x10b000 0xfc7c 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .rsrc 0x11b000 0x78de0 0x78e00 4.75 f53f98f51a02e99fed87e37c27ebd928 ( 23 imports ) > oleaut32.dll: SysFreeString, SysReAllocStringLen, SysAllocStringLen > advapi32.dll: RegQueryValueExW, RegOpenKeyExW, RegCloseKey > user32.dll: GetKeyboardType, LoadStringW, MessageBoxA, CharNextW > kernel32.dll: GetACP, Sleep, VirtualFree, VirtualAlloc, GetSystemInfo, GetTickCount, QueryPerformanceCounter, GetVersion, GetCurrentThreadId, VirtualQuery, WideCharToMultiByte, SetCurrentDirectoryW, MultiByteToWideChar, lstrlenW, lstrcpynW, LoadLibraryExW, GetThreadLocale, GetStartupInfoA, GetProcAddress, GetModuleHandleW, GetModuleFileNameW, GetLocaleInfoW, GetCurrentDirectoryW, GetCommandLineW, FreeLibrary, FindFirstFileW, FindClose, ExitProcess, ExitThread, CreateThread, CompareStringW, WriteFile, UnhandledExceptionFilter, RtlUnwind, RaiseException, GetStdHandle, CloseHandle > kernel32.dll: TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleW > user32.dll: CreateWindowExW, WindowFromPoint, WaitMessage, WaitForInputIdle, UpdateWindow, UnregisterClassW, UnhookWindowsHookEx, TranslateMessage, TranslateMDISysAccel, TrackPopupMenu, SystemParametersInfoW, ShowWindow, ShowScrollBar, ShowOwnedPopups, SetWindowsHookExW, SetWindowTextW, SetWindowPos, SetWindowPlacement, SetWindowLongW, SetTimer, SetScrollRange, SetScrollPos, SetScrollInfo, SetRectEmpty, SetRect, SetPropW, SetParent, SetMenuItemInfoW, SetMenu, SetForegroundWindow, SetFocus, SetCursor, SetClassLongW, SetCapture, SetActiveWindow, SendNotifyMessageW, SendMessageTimeoutW, SendMessageA, SendMessageW, ScrollWindowEx, ScrollWindow, ScreenToClient, ReplyMessage, RemovePropW, RemoveMenu, ReleaseDC, ReleaseCapture, RegisterWindowMessageW, RegisterClipboardFormatW, RegisterClassW, RedrawWindow, PtInRect, PostQuitMessage, PostMessageW, PeekMessageA, PeekMessageW, OffsetRect, OemToCharBuffA, MsgWaitForMultipleObjectsEx, MsgWaitForMultipleObjects, MessageBoxW, MessageBeep, MapWindowPoints, MapVirtualKeyW, LoadStringW, LoadKeyboardLayoutW, LoadIconW, LoadCursorW, LoadBitmapW, KillTimer, IsZoomed, IsWindowVisible, IsWindowUnicode, IsWindowEnabled, IsWindow, IsRectEmpty, IsIconic, IsDialogMessageA, IsDialogMessageW, IsChild, InvalidateRect, IntersectRect, InsertMenuItemW, InsertMenuW, InflateRect, GetWindowThreadProcessId, GetWindowTextW, GetWindowRect, GetWindowPlacement, GetWindowLongW, GetWindowDC, GetTopWindow, GetSystemMetrics, GetSystemMenu, GetSysColorBrush, GetSysColor, GetSubMenu, GetScrollRange, GetScrollPos, GetScrollInfo, GetPropW, GetParent, GetWindow, GetMessagePos, GetMessageW, GetMenuStringW, GetMenuState, GetMenuItemInfoW, GetMenuItemID, GetMenuItemCount, GetMenu, GetLastActivePopup, GetKeyboardState, GetKeyboardLayoutNameW, GetKeyboardLayoutList, GetKeyboardLayout, GetKeyState, GetKeyNameTextW, GetIconInfo, GetForegroundWindow, GetFocus, GetDesktopWindow, GetDCEx, GetDC, GetCursorPos, GetCursor, GetClientRect, GetClassLongW, GetClassInfoW, GetCapture, GetActiveWindow, FrameRect, FindWindowExW, FindWindowW, FillRect, ExitWindowsEx, EnumWindows, EnumThreadWindows, EnumChildWindows, EndPaint, EnableWindow, EnableScrollBar, EnableMenuItem, DrawTextExW, DrawTextW, DrawMenuBar, DrawIconEx, DrawIcon, DrawFrameControl, DrawFocusRect, DrawEdge, DispatchMessageA, DispatchMessageW, DestroyWindow, DestroyMenu, DestroyIcon, DestroyCursor, DeleteMenu, DefWindowProcW, DefMDIChildProcW, DefFrameProcW, CreatePopupMenu, CreateMenu, CreateIcon, ClientToScreen, CheckMenuItem, CharUpperBuffW, CharNextW, CharLowerBuffW, CharLowerW, CallWindowProcW, CallNextHookEx, BringWindowToTop, BeginPaint, AppendMenuW, CharToOemBuffA, AdjustWindowRectEx, ActivateKeyboardLayout > msimg32.dll: AlphaBlend > gdi32.dll: UnrealizeObject, StretchBlt, SetWindowOrgEx, SetViewportOrgEx, SetTextColor, SetStretchBltMode, SetROP2, SetPixel, SetDIBColorTable, SetBrushOrgEx, SetBkMode, SetBkColor, SelectPalette, SelectObject, SaveDC, RoundRect, RestoreDC, RemoveFontResourceW, Rectangle, RectVisible, RealizePalette, Polyline, Pie, PatBlt, MoveToEx, MaskBlt, LineTo, LineDDA, IntersectClipRect, GetWindowOrgEx, GetTextMetricsW, GetTextExtentPointW, GetTextExtentPoint32W, GetSystemPaletteEntries, GetStockObject, GetRgnBox, GetPixel, GetPaletteEntries, GetObjectW, GetDeviceCaps, GetDIBits, GetDIBColorTable, GetDCOrgEx, GetCurrentPositionEx, GetClipBox, GetBrushOrgEx, GetBitmapBits, FrameRgn, ExtTextOutW, ExtFloodFill, ExcludeClipRect, EnumFontsW, Ellipse, DeleteObject, DeleteDC, CreateSolidBrush, CreateRectRgn, CreatePenIndirect, CreatePalette, CreateHalftonePalette, CreateFontIndirectW, CreateDIBitmap, CreateDIBSection, CreateCompatibleDC, CreateCompatibleBitmap, CreateBrushIndirect, CreateBitmap, Chord, BitBlt, Arc, AddFontResourceW > version.dll: VerQueryValueW, GetFileVersionInfoSizeW, GetFileVersionInfoW > mpr.dll: WNetOpenEnumW, WNetGetUniversalNameW, WNetGetConnectionW, WNetEnumResourceW, WNetCloseEnum > kernel32.dll: lstrcpyW, lstrcmpW, WriteProfileStringW, WritePrivateProfileStringW, WriteFile, WideCharToMultiByte, WaitForSingleObject, WaitForMultipleObjectsEx, VirtualQueryEx, VirtualQuery, VirtualFree, VirtualAlloc, TransactNamedPipe, TerminateProcess, SwitchToThread, SizeofResource, SignalObjectAndWait, SetThreadLocale, SetNamedPipeHandleState, SetLastError, SetFileTime, SetFilePointer, SetFileAttributesW, SetEvent, SetErrorMode, SetEndOfFile, SetCurrentDirectoryW, ResumeThread, ResetEvent, RemoveDirectoryW, ReleaseMutex, ReadFile, QueryPerformanceCounter, OpenProcess, OpenMutexW, MultiByteToWideChar, MulDiv, MoveFileExW, MoveFileW, LockResource, LocalFree, LocalFileTimeToFileTime, LoadResource, LoadLibraryExA, LoadLibraryA, LoadLibraryW, LeaveCriticalSection, IsDBCSLeadByte, IsBadWritePtr, InitializeCriticalSection, GlobalFindAtomW, GlobalDeleteAtom, GlobalAddAtomW, GetWindowsDirectoryW, GetVersionExW, GetVersion, GetUserDefaultLangID, GetTickCount, GetThreadLocale, GetSystemTimeAsFileTime, GetSystemInfo, GetSystemDirectoryW, GetStdHandle, GetShortPathNameW, GetProfileStringW, GetProcAddress, GetPrivateProfileStringW, GetOverlappedResult, GetModuleHandleW, GetModuleFileNameW, GetLogicalDrives, GetLocaleInfoW, GetLocalTime, GetLastError, GetFullPathNameW, GetFileSize, GetFileAttributesW, GetExitCodeThread, GetExitCodeProcess, GetEnvironmentVariableW, GetDriveTypeW, GetDiskFreeSpaceW, GetDateFormatW, GetCurrentThreadId, GetCurrentThread, GetCurrentProcessId, GetCurrentProcess, GetComputerNameW, GetCommandLineW, GetCPInfo, FreeResource, InterlockedIncrement, InterlockedExchangeAdd, InterlockedExchange, InterlockedDecrement, InterlockedCompareExchange, FreeLibrary, FormatMessageW, FlushFileBuffers, FindResourceW, FindNextFileW, FindFirstFileW, FindClose, FileTimeToSystemTime, FileTimeToLocalFileTime, EnumCalendarInfoW, EnterCriticalSection, DeviceIoControl, DeleteFileW, DeleteCriticalSection, CreateThread, CreateProcessW, CreateNamedPipeW, CreateMutexW, CreateFileW, CreateEventW, CreateDirectoryW, CopyFileW, CompareStringW, CompareFileTime, CloseHandle > advapi32.dll: RegSetValueExW, RegQueryValueExW, RegQueryInfoKeyW, RegOpenKeyExW, RegFlushKey, RegEnumValueW, RegEnumKeyExW, RegDeleteValueW, RegDeleteKeyW, RegCreateKeyExW, RegCloseKey, OpenThreadToken, OpenProcessToken, LookupPrivilegeValueW, GetUserNameW, GetTokenInformation, FreeSid, EqualSid, AllocateAndInitializeSid > oleaut32.dll: GetErrorInfo, GetActiveObject, RegisterTypeLib, LoadTypeLib, SysFreeString > ole32.dll: OleUninitialize, OleInitialize, CoTaskMemFree, CLSIDFromProgID, CLSIDFromString, StringFromCLSID, CoCreateInstance, CoFreeUnusedLibraries, CoUninitialize, CoInitialize, IsEqualGUID > comctl32.dll: InitializeFlatSB, FlatSB_SetScrollProp, FlatSB_SetScrollPos, FlatSB_SetScrollInfo, FlatSB_GetScrollPos, FlatSB_GetScrollInfo, _TrackMouseEvent, ImageList_SetIconSize, ImageList_GetIconSize, ImageList_Write, ImageList_Read, ImageList_GetDragImage, ImageList_DragShowNolock, ImageList_DragMove, ImageList_DragLeave, ImageList_DragEnter, ImageList_EndDrag, ImageList_BeginDrag, ImageList_Remove, ImageList_DrawEx, ImageList_Draw, ImageList_GetBkColor, ImageList_SetBkColor, ImageList_Add, ImageList_SetImageCount, ImageList_GetImageCount, ImageList_Destroy, ImageList_Create, InitCommonControls > kernel32.dll: Sleep > oleaut32.dll: SafeArrayPtrOfIndex, SafeArrayPutElement, SafeArrayGetElement, SafeArrayGetUBound, SafeArrayGetLBound, SafeArrayCreate, VariantChangeType, VariantCopyInd, VariantCopy, VariantClear, VariantInit > shell32.dll: ShellExecuteExW, ShellExecuteW, SHGetFileInfoW, ExtractIconW > shell32.dll: SHGetPathFromIDListW, SHGetMalloc, SHChangeNotify, SHBrowseForFolderW > comdlg32.dll: GetSaveFileNameW, GetOpenFileNameW > ole32.dll: CoDisconnectObject > advapi32.dll: AdjustTokenPrivileges > oleaut32.dll: SysFreeString ( 0 exports ) RDS...: NSRL Reference Data Set - pdfid.: - trid..: Windows OCX File (96.8%) Generic Win/DOS Executable (1.5%) DOS Executable Generic (1.5%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) sigcheck: publisher....: n/a copyright....: n/a product......: n/a description..: Setup/Uninstall original name: n/a internal name: n/a file version.: 51.1050.0.0 comments.....: n/a signers......: - signing date.: - verified.....: Unsigned

bonsoir, fichiers envoyés, il présentent l'icone de CDBurner Xp pour information, un utilitaire gratuit de gravure de CD/DVD Fichier is-6O0QJ.exe reçu le 2010.04.09 18:20:10 (UTC) Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE Résultat: 0/39 (0%) en train de charger les informations du serveur... Votre fichier est dans la file d'attente, en position: 5. L'heure estimée de démarrage est entre 70 et 100 secondes. Ne fermez pas la fenêtre avant la fin de l'analyse. L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats. Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier. Votre fichier est, en ce moment, en cours d'analyse par VirusTotal, les résultats seront affichés au fur et à mesure de leur génération. Formaté Formaté Impression des résultats Impression des résultats Votre fichier a expiré ou n'existe pas. Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie. Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée. Email: Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.50 2010.04.09 - AhnLab-V3 5.0.0.2 2010.04.09 - AntiVir 7.10.6.55 2010.04.09 - Antiy-AVL 2.0.3.7 2010.04.09 - Authentium 5.2.0.5 2010.04.09 - Avast 4.8.1351.0 2010.04.09 - Avast5 5.0.332.0 2010.04.09 - AVG 9.0.0.787 2010.04.09 - BitDefender 7.2 2010.04.09 - CAT-QuickHeal 10.00 2010.04.09 - ClamAV 0.96.0.3-git 2010.04.09 - Comodo 4549 2010.04.09 - DrWeb 5.0.2.03300 2010.04.09 - eSafe 7.0.17.0 2010.04.08 - eTrust-Vet 35.2.7418 2010.04.09 - F-Prot 4.5.1.85 2010.04.09 - F-Secure 9.0.15370.0 2010.04.09 - Fortinet 4.0.14.0 2010.04.08 - GData 19 2010.04.09 - Ikarus T3.1.1.80.0 2010.04.09 - Jiangmin 13.0.900 2010.04.09 - Kaspersky 7.0.0.125 2010.04.09 - McAfee-GW-Edition 6.8.5 2010.04.09 - Microsoft 1.5605 2010.04.09 - NOD32 5014 2010.04.09 - Norman 6.04.11 2010.04.09 - nProtect 2009.1.8.0 2010.04.06 - Panda 10.0.2.2 2010.04.09 - PCTools 7.0.3.5 2010.04.09 - Prevx 3.0 2010.04.09 - Rising 22.42.04.03 2010.04.09 - Sophos 4.52.0 2010.04.09 - Sunbelt 6156 2010.04.09 - Symantec 20091.2.0.41 2010.04.09 - TheHacker 6.5.2.0.258 2010.04.09 - TrendMicro 9.120.0.1004 2010.04.09 - VBA32 3.12.12.4 2010.04.09 - ViRobot 2010.4.9.2269 2010.04.09 - VirusBuster 5.0.27.0 2010.04.09 - Information additionnelle File size: 1542144 bytes MD5...: f319315b6c138fdc8d39282606c17e70 SHA1..: 24cf48066878095102d7068ad3fa442e91d193e1 SHA256: d24d88a0878c9ce7d99515283b5affb0c86e1898d643017ea845a219b1a0de52 ssdeep: 24576:zOlc2oOjSrX6F9204jf7oOJd9eZEdRapWhmAMJ8vDjWe/Y/L5x94x:JcSo O7wWhBGvk PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0xf9e20 timedatestamp.....: 0x4b445e49 (Wed Jan 06 09:56:25 2010) machinetype.......: 0x14c (I386) ( 9 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0xf78ac 0xf7a00 6.48 01b2f66b398894a6f143790a84981ffb .itext 0xf9000 0x1010 0x1200 5.71 6bcd00cd949a92261a05047b55e7777a .data 0xfb000 0x2f14 0x3000 4.33 b14be6498e994755a4cd918389e4a217 .bss 0xfe000 0x607c 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .idata 0x105000 0x3790 0x3800 5.07 14da4ebc0db35ebfbc269345e930460f .tls 0x109000 0x3c 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .rdata 0x10a000 0x18 0x200 0.21 026d019357204bb2cd4cb2481d31cc45 .reloc 0x10b000 0xfc7c 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .rsrc 0x11b000 0x78de0 0x78e00 4.75 f53f98f51a02e99fed87e37c27ebd928 ( 23 imports ) > oleaut32.dll: SysFreeString, SysReAllocStringLen, SysAllocStringLen > advapi32.dll: RegQueryValueExW, RegOpenKeyExW, RegCloseKey > user32.dll: GetKeyboardType, LoadStringW, MessageBoxA, CharNextW > kernel32.dll: GetACP, Sleep, VirtualFree, VirtualAlloc, GetSystemInfo, GetTickCount, QueryPerformanceCounter, GetVersion, GetCurrentThreadId, VirtualQuery, WideCharToMultiByte, SetCurrentDirectoryW, MultiByteToWideChar, lstrlenW, lstrcpynW, LoadLibraryExW, GetThreadLocale, GetStartupInfoA, GetProcAddress, GetModuleHandleW, GetModuleFileNameW, GetLocaleInfoW, GetCurrentDirectoryW, GetCommandLineW, FreeLibrary, FindFirstFileW, FindClose, ExitProcess, ExitThread, CreateThread, CompareStringW, WriteFile, UnhandledExceptionFilter, RtlUnwind, RaiseException, GetStdHandle, CloseHandle > kernel32.dll: TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleW > user32.dll: CreateWindowExW, WindowFromPoint, WaitMessage, WaitForInputIdle, UpdateWindow, UnregisterClassW, UnhookWindowsHookEx, TranslateMessage, TranslateMDISysAccel, TrackPopupMenu, SystemParametersInfoW, ShowWindow, ShowScrollBar, ShowOwnedPopups, SetWindowsHookExW, SetWindowTextW, SetWindowPos, SetWindowPlacement, SetWindowLongW, SetTimer, SetScrollRange, SetScrollPos, SetScrollInfo, SetRectEmpty, SetRect, SetPropW, SetParent, SetMenuItemInfoW, SetMenu, SetForegroundWindow, SetFocus, SetCursor, SetClassLongW, SetCapture, SetActiveWindow, SendNotifyMessageW, SendMessageTimeoutW, SendMessageA, SendMessageW, ScrollWindowEx, ScrollWindow, ScreenToClient, ReplyMessage, RemovePropW, RemoveMenu, ReleaseDC, ReleaseCapture, RegisterWindowMessageW, RegisterClipboardFormatW, RegisterClassW, RedrawWindow, PtInRect, PostQuitMessage, PostMessageW, PeekMessageA, PeekMessageW, OffsetRect, OemToCharBuffA, MsgWaitForMultipleObjectsEx, MsgWaitForMultipleObjects, MessageBoxW, MessageBeep, MapWindowPoints, MapVirtualKeyW, LoadStringW, LoadKeyboardLayoutW, LoadIconW, LoadCursorW, LoadBitmapW, KillTimer, IsZoomed, IsWindowVisible, IsWindowUnicode, IsWindowEnabled, IsWindow, IsRectEmpty, IsIconic, IsDialogMessageA, IsDialogMessageW, IsChild, InvalidateRect, IntersectRect, InsertMenuItemW, InsertMenuW, InflateRect, GetWindowThreadProcessId, GetWindowTextW, GetWindowRect, GetWindowPlacement, GetWindowLongW, GetWindowDC, GetTopWindow, GetSystemMetrics, GetSystemMenu, GetSysColorBrush, GetSysColor, GetSubMenu, GetScrollRange, GetScrollPos, GetScrollInfo, GetPropW, GetParent, GetWindow, GetMessagePos, GetMessageW, GetMenuStringW, GetMenuState, GetMenuItemInfoW, GetMenuItemID, GetMenuItemCount, GetMenu, GetLastActivePopup, GetKeyboardState, GetKeyboardLayoutNameW, GetKeyboardLayoutList, GetKeyboardLayout, GetKeyState, GetKeyNameTextW, GetIconInfo, GetForegroundWindow, GetFocus, GetDesktopWindow, GetDCEx, GetDC, GetCursorPos, GetCursor, GetClientRect, GetClassLongW, GetClassInfoW, GetCapture, GetActiveWindow, FrameRect, FindWindowExW, FindWindowW, FillRect, ExitWindowsEx, EnumWindows, EnumThreadWindows, EnumChildWindows, EndPaint, EnableWindow, EnableScrollBar, EnableMenuItem, DrawTextExW, DrawTextW, DrawMenuBar, DrawIconEx, DrawIcon, DrawFrameControl, DrawFocusRect, DrawEdge, DispatchMessageA, DispatchMessageW, DestroyWindow, DestroyMenu, DestroyIcon, DestroyCursor, DeleteMenu, DefWindowProcW, DefMDIChildProcW, DefFrameProcW, CreatePopupMenu, CreateMenu, CreateIcon, ClientToScreen, CheckMenuItem, CharUpperBuffW, CharNextW, CharLowerBuffW, CharLowerW, CallWindowProcW, CallNextHookEx, BringWindowToTop, BeginPaint, AppendMenuW, CharToOemBuffA, AdjustWindowRectEx, ActivateKeyboardLayout > msimg32.dll: AlphaBlend > gdi32.dll: UnrealizeObject, StretchBlt, SetWindowOrgEx, SetViewportOrgEx, SetTextColor, SetStretchBltMode, SetROP2, SetPixel, SetDIBColorTable, SetBrushOrgEx, SetBkMode, SetBkColor, SelectPalette, SelectObject, SaveDC, RoundRect, RestoreDC, RemoveFontResourceW, Rectangle, RectVisible, RealizePalette, Polyline, Pie, PatBlt, MoveToEx, MaskBlt, LineTo, LineDDA, IntersectClipRect, GetWindowOrgEx, GetTextMetricsW, GetTextExtentPointW, GetTextExtentPoint32W, GetSystemPaletteEntries, GetStockObject, GetRgnBox, GetPixel, GetPaletteEntries, GetObjectW, GetDeviceCaps, GetDIBits, GetDIBColorTable, GetDCOrgEx, GetCurrentPositionEx, GetClipBox, GetBrushOrgEx, GetBitmapBits, FrameRgn, ExtTextOutW, ExtFloodFill, ExcludeClipRect, EnumFontsW, Ellipse, DeleteObject, DeleteDC, CreateSolidBrush, CreateRectRgn, CreatePenIndirect, CreatePalette, CreateHalftonePalette, CreateFontIndirectW, CreateDIBitmap, CreateDIBSection, CreateCompatibleDC, CreateCompatibleBitmap, CreateBrushIndirect, CreateBitmap, Chord, BitBlt, Arc, AddFontResourceW > version.dll: VerQueryValueW, GetFileVersionInfoSizeW, GetFileVersionInfoW > mpr.dll: WNetOpenEnumW, WNetGetUniversalNameW, WNetGetConnectionW, WNetEnumResourceW, WNetCloseEnum > kernel32.dll: lstrcpyW, lstrcmpW, WriteProfileStringW, WritePrivateProfileStringW, WriteFile, WideCharToMultiByte, WaitForSingleObject, WaitForMultipleObjectsEx, VirtualQueryEx, VirtualQuery, VirtualFree, VirtualAlloc, TransactNamedPipe, TerminateProcess, SwitchToThread, SizeofResource, SignalObjectAndWait, SetThreadLocale, SetNamedPipeHandleState, SetLastError, SetFileTime, SetFilePointer, SetFileAttributesW, SetEvent, SetErrorMode, SetEndOfFile, SetCurrentDirectoryW, ResumeThread, ResetEvent, RemoveDirectoryW, ReleaseMutex, ReadFile, QueryPerformanceCounter, OpenProcess, OpenMutexW, MultiByteToWideChar, MulDiv, MoveFileExW, MoveFileW, LockResource, LocalFree, LocalFileTimeToFileTime, LoadResource, LoadLibraryExA, LoadLibraryA, LoadLibraryW, LeaveCriticalSection, IsDBCSLeadByte, IsBadWritePtr, InitializeCriticalSection, GlobalFindAtomW, GlobalDeleteAtom, GlobalAddAtomW, GetWindowsDirectoryW, GetVersionExW, GetVersion, GetUserDefaultLangID, GetTickCount, GetThreadLocale, GetSystemTimeAsFileTime, GetSystemInfo, GetSystemDirectoryW, GetStdHandle, GetShortPathNameW, GetProfileStringW, GetProcAddress, GetPrivateProfileStringW, GetOverlappedResult, GetModuleHandleW, GetModuleFileNameW, GetLogicalDrives, GetLocaleInfoW, GetLocalTime, GetLastError, GetFullPathNameW, GetFileSize, GetFileAttributesW, GetExitCodeThread, GetExitCodeProcess, GetEnvironmentVariableW, GetDriveTypeW, GetDiskFreeSpaceW, GetDateFormatW, GetCurrentThreadId, GetCurrentThread, GetCurrentProcessId, GetCurrentProcess, GetComputerNameW, GetCommandLineW, GetCPInfo, FreeResource, InterlockedIncrement, InterlockedExchangeAdd, InterlockedExchange, InterlockedDecrement, InterlockedCompareExchange, FreeLibrary, FormatMessageW, FlushFileBuffers, FindResourceW, FindNextFileW, FindFirstFileW, FindClose, FileTimeToSystemTime, FileTimeToLocalFileTime, EnumCalendarInfoW, EnterCriticalSection, DeviceIoControl, DeleteFileW, DeleteCriticalSection, CreateThread, CreateProcessW, CreateNamedPipeW, CreateMutexW, CreateFileW, CreateEventW, CreateDirectoryW, CopyFileW, CompareStringW, CompareFileTime, CloseHandle > advapi32.dll: RegSetValueExW, RegQueryValueExW, RegQueryInfoKeyW, RegOpenKeyExW, RegFlushKey, RegEnumValueW, RegEnumKeyExW, RegDeleteValueW, RegDeleteKeyW, RegCreateKeyExW, RegCloseKey, OpenThreadToken, OpenProcessToken, LookupPrivilegeValueW, GetUserNameW, GetTokenInformation, FreeSid, EqualSid, AllocateAndInitializeSid > oleaut32.dll: GetErrorInfo, GetActiveObject, RegisterTypeLib, LoadTypeLib, SysFreeString > ole32.dll: OleUninitialize, OleInitialize, CoTaskMemFree, CLSIDFromProgID, CLSIDFromString, StringFromCLSID, CoCreateInstance, CoFreeUnusedLibraries, CoUninitialize, CoInitialize, IsEqualGUID > comctl32.dll: InitializeFlatSB, FlatSB_SetScrollProp, FlatSB_SetScrollPos, FlatSB_SetScrollInfo, FlatSB_GetScrollPos, FlatSB_GetScrollInfo, _TrackMouseEvent, ImageList_SetIconSize, ImageList_GetIconSize, ImageList_Write, ImageList_Read, ImageList_GetDragImage, ImageList_DragShowNolock, ImageList_DragMove, ImageList_DragLeave, ImageList_DragEnter, ImageList_EndDrag, ImageList_BeginDrag, ImageList_Remove, ImageList_DrawEx, ImageList_Draw, ImageList_GetBkColor, ImageList_SetBkColor, ImageList_Add, ImageList_SetImageCount, ImageList_GetImageCount, ImageList_Destroy, ImageList_Create, InitCommonControls > kernel32.dll: Sleep > oleaut32.dll: SafeArrayPtrOfIndex, SafeArrayPutElement, SafeArrayGetElement, SafeArrayGetUBound, SafeArrayGetLBound, SafeArrayCreate, VariantChangeType, VariantCopyInd, VariantCopy, VariantClear, VariantInit > shell32.dll: ShellExecuteExW, ShellExecuteW, SHGetFileInfoW, ExtractIconW > shell32.dll: SHGetPathFromIDListW, SHGetMalloc, SHChangeNotify, SHBrowseForFolderW > comdlg32.dll: GetSaveFileNameW, GetOpenFileNameW > ole32.dll: CoDisconnectObject > advapi32.dll: AdjustTokenPrivileges > oleaut32.dll: SysFreeString ( 0 exports ) RDS...: NSRL Reference Data Set - pdfid.: - trid..: Windows OCX File (96.8%) Generic Win/DOS Executable (1.5%) DOS Executable Generic (1.5%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) sigcheck: publisher....: n/a copyright....: n/a product......: n/a description..: Setup/Uninstall original name: n/a internal name: n/a file version.: 51.1050.0.0 comments.....: n/a signers......: - signing date.: - verified.....: Unsigned

j'ai pu me faire prêter un pc portable pour rester connecté plus facilement sur le forum. en attendant j'ai tenté une detection par Dr Web Cure It, il trouve toujours Backdoor.tdss.565 en actif. J'ai alors lancé tdsskiller, il le trouve dans le fameux tsk5.tmp et propose de le supprimer au reboot mais comme avec le fichier atapi.sys précédement après le reboot, même résultat, le rootkit est toujours là. il est coriace !

WinPatrol a encore détecté cette demande , je ne sais pas si ça a un rapport...j'ai à nouveau cliqué "non" mais si ça revient tous les 15 minutes ça va rapidement me déranger...

Bonjour, non, moi aussi la ligne O4 - HKLM\..\Run: [GEST] m’|\ü m'a semblée étrange, je ne sais pas du tout ce que c'est. j'ai suivi l'ensemble des indications, lorsque Combofix m'a indiqué qu'il devait rebooter j'ai cliqué sur OK mais il n'a pas redémarré; j'ai tenté via le gestionnaire des tâches en l'appelant via ctrl+alt+supr toujours sans succès. J'ai donc appuyé sur le "reset" de l'UC, après le reboot, Combofix s'est remis à analyser et afficher différents étapes:1,2,3,4,5,6,6A,etc...48 il a indiqué avoir supprimé 3 fichiers puis redémarrer le système Après le reboot il a affiché être en train de préparer le compte-rendu. Un raccourcis d'internet explorer est apparu sur le bureau. A la fin de combofix Winpatrol a détecté la modification du fichier hosts dans driver, je l'ai autorisé, il a demandé 2 fois si je voulais modifier la page de émarage de IE, j'ai refusé j'ai supprimé le raccourcis de IE, j'ai réactivé le bouclier d' AVG, je poste le rapport ci-dessous et j'ai rebloqué le traffic internet avec Zonealarm, je me reconnecterais dans quelques heures pour la suite. encore merci ComboFix 10-04-08.02 - Admin 09/04/2010 15:03:41.1.2 - x86 Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.3326.2819 [GMT 2:00] Lancé depuis: c:\documents and settings\Admin\Bureau\ComboFix.exe AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF} FW: ZoneAlarm Firewall *enabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B} . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\Ijl11.dll c:\windows\system32\reboot.txt c:\windows\system32\SIntf16.dll c:\windows\system32\drivers\tsk5.tmp . . . est infecté!! . ((((((((((((((((((((((((((((((((((((((( Pilotes/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_ZWUNZI_SERVICE ((((((((((((((((((((((((((((( Fichiers créés du 2010-03-09 au 2010-04-09 )))))))))))))))))))))))))))))))))))) . 2010-04-08 23:21 . 2010-04-08 23:21 -------- d-----w- C:\tdsskiller 2010-04-08 23:03 . 2010-04-09 06:11 50176 ----a-w- c:\windows\system32\drivers\rk_remover.sys 2010-04-08 19:46 . 2010-04-08 19:46 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache 2010-04-05 18:04 . 2010-04-05 18:04 -------- d-----w- c:\program files\VirtualDub-1.9.8 2010-03-27 16:40 . 2010-03-27 16:40 -------- d-----w- c:\documents and settings\All Users\Application Data\ATI 2010-03-27 16:33 . 2010-03-27 16:33 -------- d-----w- C:\ATI 2010-03-27 11:14 . 2004-08-19 16:09 221184 ----a-w- c:\windows\system32\wmpns.dll 2010-03-27 11:13 . 2010-03-27 11:13 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache 2010-03-27 10:59 . 2008-04-13 18:33 4255 ------w- c:\windows\system32\drivers\adv01nt5.dll 2010-03-26 13:52 . 2005-07-26 12:43 5632 ----a-w- c:\windows\system32\ptpusb.dll 2010-03-26 13:52 . 2005-07-26 12:44 159232 ----a-w- c:\windows\system32\ptpusd.dll 2010-03-25 13:53 . 2010-03-25 13:53 -------- d-----w- c:\documents and settings\Admin\Application Data\Publish Providers 2010-03-19 19:35 . 2010-03-19 19:35 -------- d-----w- c:\documents and settings\Admin\Application Data\Canneverbe Limited 2010-03-19 19:34 . 2010-03-19 19:34 1542144 ----a-w- c:\windows\is-FJJM2.exe 2010-03-17 21:02 . 2010-03-17 21:02 4096 ----a-w- c:\windows\d3dx.dat 2010-03-17 20:55 . 2010-03-17 21:19 -------- d-----w- c:\program files\Ground Control 2010-03-17 20:55 . 1999-02-09 13:33 401484 ------w- c:\windows\system32\Msvcrtd.dll 2010-03-17 16:42 . 2010-03-17 21:30 -------- d-----w- c:\program files\Homeworld2 2010-03-17 16:04 . 2010-03-17 16:04 -------- d-----w- c:\program files\Sierra 2010-03-12 12:41 . 2010-03-12 12:41 -------- d-----w- c:\program files\Ogg Codecs . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2010-04-09 13:01 . 2004-08-03 22:59 96512 ----a-w- c:\windows\system32\drivers\atapi.sys 2010-04-09 12:53 . 2010-04-09 12:53 96512 ----a-w- c:\windows\system32\drivers\tsk5.tmp 2010-04-08 20:23 . 2009-09-09 11:36 -------- d-----w- c:\program files\Spider Player 2010-04-08 20:20 . 2009-09-09 09:59 -------- d-----w- c:\program files\KeePass 2010-04-08 20:05 . 2010-01-30 15:36 -------- d-----w- c:\program files\adslTV 2010-04-08 19:40 . 2009-09-11 05:21 24741810 ----a-w- c:\windows\Internet Logs\tvDebug.Zip 2010-04-08 15:02 . 2009-09-09 09:22 -------- d-----w- c:\program files\CCleaner 2010-04-05 18:16 . 2009-09-09 09:50 -------- d-----w- c:\program files\Free Video Converter 2010-04-05 06:49 . 2009-09-10 09:08 -------- d-----w- c:\documents and settings\Admin\Application Data\Audacity 2010-04-04 16:43 . 2009-10-15 18:37 -------- d-----w- c:\program files\Malwarebytes 2010-04-04 08:00 . 2010-01-02 15:09 5918776 ----a-w- c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe 2010-04-03 19:09 . 2009-09-09 09:23 -------- d-----w- c:\program files\CDBurnerXP 2010-04-02 11:10 . 2009-09-09 09:41 1 ----a-w- c:\documents and settings\Admin\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys 2010-04-02 06:53 . 2009-09-11 08:17 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP 2010-04-02 06:52 . 2009-09-09 13:27 -------- d-----w- c:\program files\SpywareBlaster 2010-04-01 15:21 . 2009-09-09 10:51 -------- d-----w- c:\program files\Sony Vegas 7.0 2010-04-01 13:47 . 2009-09-09 09:28 -------- d-----w- c:\program files\FairUse Wizard 2 2010-03-29 22:46 . 2009-10-15 18:37 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-03-29 22:45 . 2009-10-15 18:37 20824 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-03-29 08:08 . 2010-02-17 09:58 -------- d-----w- c:\program files\CSI Miami 2010-03-29 08:06 . 2001-10-02 18:17 88432 ----a-w- c:\windows\system32\perfc00C.dat 2010-03-29 08:06 . 2001-10-02 18:17 518730 ----a-w- c:\windows\system32\perfh00C.dat 2010-03-28 18:21 . 2009-09-30 17:13 -------- d-----w- c:\documents and settings\Admin\Application Data\VSO 2010-03-28 10:25 . 2010-01-02 16:59 21840 ----atw- c:\windows\system32\SIntfNT.dll 2010-03-28 10:25 . 2010-01-02 16:59 17212 ----atw- c:\windows\system32\SIntf32.dll 2010-03-27 16:37 . 2009-09-09 08:19 -------- d-----w- c:\program files\ATI Technologies 2010-03-27 11:17 . 2009-09-09 09:39 2287616 ----a-w- c:\windows\system32\mysight.exe 2010-03-27 11:15 . 2009-09-09 08:21 272760 ----a-w- c:\documents and settings\Admin\Local Settings\Application Data\GDIPFONTCACHEV1.DAT 2010-03-27 11:03 . 2009-09-09 08:10 86331 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat 2010-03-26 16:22 . 2009-09-09 11:11 -------- d-----w- c:\program files\notepad2 2010-03-26 11:19 . 2009-09-09 09:28 -------- d-----w- c:\documents and settings\Admin\Application Data\FileZilla 2010-03-25 17:24 . 2009-09-09 09:42 -------- d-----w- c:\program files\PhotoFiltre 2010-03-18 13:33 . 2009-09-29 20:51 43520 ----a-w- c:\windows\system32\CmdLineExt03.dll 2010-03-15 16:53 . 2010-03-15 16:55 2254336 ----a-w- c:\windows\Internet Logs\xDB1.tmp 2010-03-09 07:17 . 2010-02-28 09:11 -------- d-----w- c:\program files\USB-set 2010-02-28 10:14 . 2010-02-28 10:14 -------- d-----w- c:\program files\MSN BackUp 2010-02-28 09:31 . 2009-09-09 11:04 -------- d-----w- c:\program files\Defraggler 2010-02-27 06:53 . 2009-09-09 10:06 -------- d-----w- c:\program files\Xtremsplit 2010-02-25 06:17 . 2005-10-12 10:25 916480 ----a-w- c:\windows\system32\wininet.dll 2010-02-22 21:18 . 2009-12-17 07:02 -------- d-----w- c:\program files\UltraISO 2010-02-18 12:30 . 2009-09-09 08:19 -------- d--h--w- c:\program files\InstallShield Installation Information 2010-02-17 10:14 . 2010-02-17 10:14 -------- d-----w- c:\program files\Ubisoft 2010-02-16 18:24 . 2010-02-16 18:24 -------- d-----w- c:\documents and settings\All Users\Application Data\InstallShield 2010-02-16 18:20 . 2009-09-09 08:19 -------- d-----w- c:\program files\Fichiers communs\InstallShield 2010-02-15 08:44 . 2009-09-09 09:51 -------- d-----w- c:\documents and settings\Admin\Application Data\Vidalia 2010-02-15 08:40 . 2009-09-09 10:20 -------- d-----w- c:\documents and settings\Admin\Application Data\tor 2010-02-15 07:45 . 2010-02-15 07:42 -------- d-----w- c:\documents and settings\Admin\Application Data\Wallpaper 2010-02-15 07:42 . 2010-02-15 07:42 -------- d-----w- c:\program files\Wallpaper 2010-02-14 14:28 . 2009-11-13 21:01 98304 ----a-w- c:\windows\system32\CmdLineExt.dll 2010-02-11 07:38 . 2008-05-12 16:30 3565056 ----a-w- c:\windows\system32\drivers\ati2mtag.sys 2010-02-11 05:17 . 2008-05-12 15:05 11845632 ----a-w- c:\windows\system32\atioglxx.dll 2010-02-11 05:07 . 2009-09-09 08:20 307200 ----a-w- c:\windows\system32\atiiiexx.dll 2010-02-11 04:46 . 2009-09-09 08:20 442368 ----a-w- c:\windows\system32\ATIDEMGX.dll 2010-02-11 04:45 . 2008-05-12 15:54 325120 ----a-w- c:\windows\system32\ati2dvag.dll 2010-02-11 04:37 . 2008-05-12 15:02 290816 ----a-w- c:\windows\system32\atiok3x2.dll 2010-02-11 04:36 . 2008-05-12 15:45 204800 ----a-w- c:\windows\system32\atipdlxx.dll 2010-02-11 04:35 . 2008-05-12 15:45 155648 ----a-w- c:\windows\system32\Oemdspif.dll 2010-02-11 04:35 . 2008-05-12 15:45 26112 ----a-w- c:\windows\system32\Ati2mdxx.exe 2010-02-11 04:35 . 2008-05-12 15:45 43520 ----a-w- c:\windows\system32\ati2edxx.dll 2010-02-11 04:35 . 2008-05-12 15:44 155648 ----a-w- c:\windows\system32\ati2evxx.dll 2010-02-11 04:33 . 2008-05-12 15:43 602112 ----a-w- c:\windows\system32\ati2evxx.exe 2010-02-11 04:32 . 2008-05-12 15:41 53248 ----a-w- c:\windows\system32\ATIDDC.DLL 2010-02-11 04:25 . 2008-05-12 15:32 3818144 ----a-w- c:\windows\system32\ati3duag.dll 2010-02-11 04:23 . 2010-02-11 04:23 45056 ----a-w- c:\windows\system32\aticalrt.dll 2010-02-11 04:22 . 2010-02-11 04:22 45056 ----a-w- c:\windows\system32\aticalcl.dll 2010-02-11 04:21 . 2010-02-11 04:21 3227648 ----a-w- c:\windows\system32\aticaldd.dll 2010-02-11 04:19 . 2008-05-12 15:03 53248 ----a-w- c:\windows\system32\drivers\ati2erec.dll 2010-02-11 04:12 . 2008-05-12 15:22 2670592 ----a-w- c:\windows\system32\ativvaxx.dll 2010-02-11 04:12 . 2009-09-09 08:20 887724 ----a-w- c:\windows\system32\ativva6x.dat 2010-02-11 04:12 . 2009-09-09 08:20 3107788 ----a-w- c:\windows\system32\ativva5x.dat 2010-02-11 03:59 . 2008-05-12 15:09 49664 ----a-w- c:\windows\system32\amdpcom32.dll 2010-02-11 03:55 . 2008-05-12 15:05 475136 ----a-w- c:\windows\system32\atikvmag.dll 2010-02-11 03:54 . 2008-05-12 15:03 126976 ----a-w- c:\windows\system32\atiadlxx.dll 2010-02-11 03:53 . 2008-05-12 15:03 17408 ----a-w- c:\windows\system32\atitvo32.dll 2010-02-11 03:47 . 2008-05-12 14:57 626688 ----a-w- c:\windows\system32\ati2cqag.dll 2010-02-10 20:20 . 2009-09-09 08:20 593920 ------w- c:\windows\system32\ati2sgag.exe 2010-01-16 08:53 . 2010-01-16 08:53 0 ----a-w- c:\windows\nsreg.dat 2010-01-09 16:34 . 2010-01-09 16:34 1542144 ----a-w- c:\windows\is-6O0QJ.exe . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{A3BC75A2-1F87-4686-AA43-5347D756017C}"= "c:\program files\AVG\AVG8\Toolbar\IEToolbar.dll" [2009-11-25 1230080] [HKEY_CLASSES_ROOT\clsid\{a3bc75a2-1f87-4686-aa43-5347d756017c}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\program files\AVG\AVG8\Toolbar\IEToolbar.dll" [2009-11-25 1230080] [HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser] "{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\program files\AVG\AVG8\Toolbar\IEToolbar.dll" [2009-11-25 1230080] [HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TrueCrypt"="c:\program files\TrueCrypt\TrueCrypt.exe" [2009-10-23 1412552] "IncrediMail"="c:\program files\IncrediMail\bin\IncMail.exe" [2005-08-03 188459] "msnmsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-07-26 3883856] "Wallpaper"="c:\program files\Wallpaper\Wallpaper.exe" [2007-08-20 233472] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "GEST"="m’|\ü" [X] "AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2010-03-19 2046816] "RTHDCPL"="RTHDCPL.EXE" [2008-02-13 16857600] "ZoneAlarm Client"="c:\program files\ZoneAlarm\zlclient.exe" [2009-02-15 981384] "MySight 2006 BS Check&Random"="c:\program files\MySight 2006\quickbs.exe" [2009-09-09 409088] "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-03-28 413696] "Acronis Scheduler2 Service"="c:\program files\Fichiers communs\Acronis\Schedule2\schedhlp.exe" [2009-09-09 90112] "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-09-16 149280] "WinPatrol"="c:\program files\WinPatrol\winpatrol.exe" [2009-07-27 341312] "Diamondback"="c:\program files\Razer\Diamondback 3G\razerhid.exe" [2007-08-01 147456] "BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-13 110592] "StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-02-10 61440] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "nlsf"="move" [X] "Config"="c:\windows\system32\run.cmd" [2005-08-23 341] "tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-19 44544] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "NoSMMyPictures"= 0 (0x0) "NoStartMenuMyMusic"= 0 (0x0) "NoRecentDocsNetHood"= 0 (0x0) "NoSimpleStartMenu"= 0 (0x0) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "MemCheckBoxInRunDlg"= 1 (0x1) "NoSMBalloonTip"= 1 (0x1) "NoWelcomeScreen"= 1 (0x1) "NoAutoUpdate"= 1 (0x1) "NoSMMyPictures"= 0 (0x0) "NoStartMenuMyMusic"= 0 (0x0) "NoRecentDocsNetHood"= 0 (0x0) [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoSMHelp"= 1 (0x1) "MemCheckBoxInRunDlg"= 1 (0x1) "NoSMBalloonTip"= 1 (0x1) "NoWelcomeScreen"= 1 (0x1) "NoAutoUpdate"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter] 2009-09-09 08:35 11952 ----a-w- c:\windows\system32\avgrsstx.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 "FirewallOverride"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) "DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Program Files\\AVG\\AVG8\\avgemc.exe"= "c:\\Program Files\\AVG\\AVG8\\avgupd.exe"= "c:\\Program Files\\AVG\\AVG8\\avgnsx.exe"= "c:\\Program Files\\IncrediMail\\bin\\IMApp.exe"= "c:\\Program Files\\IncrediMail\\bin\\IncMail.exe"= "c:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"= "c:\\Program Files\\BlueSoleil\\BlueSoleil.exe"= "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"= "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= R0 rk_remover-boot;rk_remover-boot;c:\windows\system32\drivers\rk_remover.sys [09/04/2010 01:03 50176] R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [09/09/2009 10:35 335240] R1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [09/09/2009 10:35 108552] R2 avg8emc;AVG Free8 E-mail Scanner;c:\progra~1\AVG\AVG8\avgemc.exe [09/09/2009 10:35 908056] R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [09/09/2009 10:35 297752] R3 Razerlow;Diamondback 3G USB Filter Driver;c:\windows\system32\drivers\DB3G.sys [14/10/2009 16:43 13225] R3 VMC322;Vimicro Camera Service VMC322;c:\windows\system32\drivers\VMC322.sys [06/11/2009 11:51 232320] R3 vvftC322;Vimicro Camera Filter Service VMC322;c:\windows\system32\drivers\vvftC322.sys [06/11/2009 11:51 476544] S3 oflpydin;oflpydin;\??\c:\docume~1\Admin\LOCALS~1\Temp\oflpydin.sys --> c:\docume~1\Admin\LOCALS~1\Temp\oflpydin.sys [?] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] getPlusHelper REG_MULTI_SZ getPlusHelper . . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.google.fr uSearch Page = hxxp://www.google.fr uInternet Connection Wizard,ShellNext = hxxp://www.google.fr/ uSearchURL,(Default) = hxxp://www.google.fr/keyword/%s IE: &Add animation to IncrediMail Style Box - c:\progra~1\INCRED~1\bin\resources\WebMenuImg.htm DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.zebulon.fr/scan8/oscan8.cab FF - ProfilePath - c:\documents and settings\Admin\Application Data\Mozilla\Firefox\Profiles\8jjezjpp.default\ FF - prefs.js: keyword.URL - hxxp://fr.yhs.search.yahoo.com/avg/search?fr=yhs-avg&type=yahoo_avg_hs2-tb-web_fr&p= FF - component: c:\documents and settings\Admin\Application Data\Mozilla\Firefox\Profiles\8jjezjpp.default\extensions\piclens@cooliris.com\components\coolirisstub.dll FF - component: c:\program files\AVG\AVG8\Firefox\components\avgssff.dll FF - component: c:\program files\AVG\AVG8\Toolbar\Firefox\avg@igeared\components\IGeared_tavgp_xputils2.dll FF - component: c:\program files\AVG\AVG8\Toolbar\Firefox\avg@igeared\components\IGeared_tavgp_xputils3.dll FF - component: c:\program files\AVG\AVG8\Toolbar\Firefox\avg@igeared\components\IGeared_tavgp_xputils35.dll FF - component: c:\program files\AVG\AVG8\Toolbar\Firefox\avg@igeared\components\xpavgtbapi.dll FF - plugin: c:\documents and settings\Admin\Application Data\Mozilla\Firefox\Profiles\8jjezjpp.default\extensions\piclens@cooliris.com\plugins\npcoolirisplugin.dll FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll FF - plugin: c:\program files\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- PARAMETRES FIREFOX ---- c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32); c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false); c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false); c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5); c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false); c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pr ef", true); c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", ""); c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false); c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false); c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600); c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com"); c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20); . - - - - ORPHELINS SUPPRIMES - - - - SafeBoot-klmdb.sys AddRemove-{E2883E8F-472F-4fb0-9522-AC9BF37916A7} - c:\program files\NOS\bin\getPlus_Helper.dll ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-04-09 15:13 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully called modules: MYSIGHT.EXE CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8AD14AC8]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\Disk -> CLASSPNP.SYS @ 0xf74dbf28 \Driver\ACPI -> ACPI.sys @ 0xf743dcb8 \Driver\atapi -> tsk5.tmp @ 0xf73cf852 IoDeviceObjectType -> DeleteProcedure -> MYSIGHT.EXE @ 0x805e668e ParseProcedure -> MYSIGHT.EXE @ 0x8057b6b1 \Device\Harddisk0\DR0 -> DeleteProcedure -> MYSIGHT.EXE @ 0x805e668e ParseProcedure -> MYSIGHT.EXE @ 0x8057b6b1 user & kernel MBR OK ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\atapi] "ImagePath"="system32\drivers\tsk5.tmp" . --------------------- DLLs chargées dans les processus actifs --------------------- - - - - - - - > 'winlogon.exe'(1280) c:\windows\system32\Ati2evxx.dll - - - - - - - > 'explorer.exe'(3500) c:\program files\WinPatrol\PATROLPRO.DLL c:\windows\system32\eappprxy.dll c:\windows\system32\webcheck.dll . ------------------------ Autres processus actifs ------------------------ . c:\windows\system32\Ati2evxx.exe c:\windows\system32\Ati2evxx.exe c:\program files\Fichiers communs\Acronis\Schedule2\schedul2.exe c:\program files\BlueSoleil\BTNtService.exe c:\progra~1\AVG\AVG8\avgrsx.exe c:\progra~1\AVG\AVG8\avgnsx.exe c:\windows\system32\dllhost.exe c:\program files\Java\jre6\bin\jqs.exe c:\program files\CDBurnerXP\NMSAccessU.exe c:\windows\system32\wdfmgr.exe c:\program files\AVG\AVG8\avgcsrvx.exe c:\windows\RTHDCPL.EXE c:\windows\system32\rundll32.exe c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe c:\progra~1\INCRED~1\bin\IMApp.exe c:\program files\Razer\Diamondback 3G\razertra.exe c:\program files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe c:\program files\Razer\Diamondback 3G\razerofa.exe c:\program files\Windows Live\Contacts\wlcomm.exe . ************************************************************************** . Heure de fin: 2010-04-09 15:17:28 - La machine a redémarré ComboFix-quarantined-files.txt 2010-04-09 13:17 Avant-CF: 38 523 916 288 octets libres Après-CF: 38 533 251 072 octets libres WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="pirated" /noexecute=optin /fastdetect /kernel=mysight.exe multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect [boot loader] default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS timeout=2 - - End Of File - - 6035C45B69B087D6FD402ACFEC752193

Bon en tout cas ça n'a pas l'air de se propager, quand je ne suis pas devant le PC je bloque l'activité internet avec Zonealarm et jai fais un scan avec MBAM qui ne trouve rien: Malwarebytes' Anti-Malware 1.45 www.malwarebytes.org Version de la base de données: 3970 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 09/04/2010 06:20:36 mbam-log-2010-04-09 (06-20-36).txt Type d'examen: Examen complet (C:\|D:\|) Elément(s) analysé(s): 169544 Temps écoulé: 30 minute(s), 53 seconde(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 0 Valeur(s) du Registre infectée(s): 0 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 0 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): (Aucun élément nuisible détecté) Clé(s) du Registre infectée(s): (Aucun élément nuisible détecté) Valeur(s) du Registre infectée(s): (Aucun élément nuisible détecté) Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté) Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): (Aucun élément nuisible détecté) par contre là pendant l'écritire de mon post j'ai un onglet de pub qui s'est affiché.

Bonsoir, Après de multiples recherches et essais pour me débrouiller seul sans importuner quiconque je me rends compte que je n'arrive pas à éradiquer cette infection. Je l'ai détectée grâce à un scan avec MBAM (de routine 1 fois/semaine): Malwarebytes' Anti-Malware 1.45 www.malwarebytes.org Version de la base de données: 3969 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 08/04/2010 21:38:18 mbam-log-2010-04-08 (21-38-18).txt Type d'examen: Examen complet (C:\|D:\|T:\|) Elément(s) analysé(s): 190027 Temps écoulé: 32 minute(s), 39 seconde(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 1 Clé(s) du Registre infectée(s): 2 Valeur(s) du Registre infectée(s): 0 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 4 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): C:\WINDOWS\system32\winfjt32.dll (Trojan.Agent) -> Delete on reboot. Clé(s) du Registre infectée(s): HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR (Trojan.Downloader) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winfjt32 (Trojan.Dialer) -> Quarantined and deleted successfully. Valeur(s) du Registre infectée(s): (Aucun élément nuisible détecté) Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté) Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): C:\Documents and Settings\Admin\Local Settings\Temp\9D5.tmp (Malware.Packer.Gen) -> Quarantined and deleted successfully. C:\WINDOWS\Temp\9D6.tmp (Malware.Packer.Gen) -> Delete on reboot. C:\WINDOWS\system32\winfjt32.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\ (Trojan.Dialer) -> Quarantined and deleted successfully. donc dans la foulée j'ai fais un scan avec AVG qui n'a rien détecté J'ai préféré "assurer" en faisant un scan avec Dr Web Cure It qui m'a trouvé un processus actif qu'il a mentionné comme éradiqué, le fameux backdoor.tdss.565, j'ai fait quelques recherches et il est apparu qu'il est coriace celui-là et récent de surcroit. je redemarre la "bête", utilise tdss_remover_latest qui trouce une clef de registre cachée qu'il supprime, je reboote je lance tdsskiller et il trouve que atapi.sys est infecté (seulement lui) et qu'il supprimera après un reboot, je reboot je rescanne avec Dr Web et il le trouve encore! je relance tdsskiller et lui aussi le trouve dans l'atapi.sys (et toujours uniquement là) dans le doute j'ai refait un scan rapide avec MBAM qui ne trouve rien: Malwarebytes' Anti-Malware 1.45 www.malwarebytes.org Version de la base de données: 3970 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 09/04/2010 01:29:33 mbam-log-2010-04-09 (01-29-33).txt Type d'examen: Examen rapide Elément(s) analysé(s): 100529 Temps écoulé: 3 minute(s), 0 seconde(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 0 Valeur(s) du Registre infectée(s): 0 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 0 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): (Aucun élément nuisible détecté) Clé(s) du Registre infectée(s): (Aucun élément nuisible détecté) Valeur(s) du Registre infectée(s): (Aucun élément nuisible détecté) Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté) Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): (Aucun élément nuisible détecté) Ne sachant plus que faire j'ai fais un scan Hijack et vous le poste en vous demandant bien humblement ce que je pourrais faire pour me débarrasser de ça et je vous remercie d'avance: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 01:33:34, on 09/04/2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\AVG\AVG8\avgtray.exe C:\WINDOWS\RTHDCPL.EXE C:\Program Files\ZoneAlarm\zlclient.exe C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\Program Files\WinPatrol\winpatrol.exe C:\Program Files\Razer\Diamondback 3G\razerhid.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe C:\Program Files\TrueCrypt\TrueCrypt.exe C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe C:\Program Files\Wallpaper\Wallpaper.exe C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe C:\Program Files\BlueSoleil\BTNtService.exe C:\PROGRA~1\AVG\AVG8\avgrsx.exe C:\PROGRA~1\AVG\AVG8\avgnsx.exe C:\WINDOWS\system32\dllhost.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\Program Files\CDBurnerXP\NMSAccessU.exe C:\WINDOWS\system32\svchost.exe C:\PROGRA~1\AVG\AVG8\avgemc.exe C:\PROGRA~1\INCRED~1\bin\IMApp.exe C:\Program Files\AVG\AVG8\avgcsrvx.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\Program Files\Razer\Diamondback 3G\razertra.exe C:\Program Files\Razer\Diamondback 3G\razerofa.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Windows Live\Contacts\wlcomm.exe C:\PROGRA~1\INCRED~1\bin\IncMail.exe C:\Program Files\Mozilla Firefox\firefox.exe d:\Temporaire\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.fr/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [GEST] m’|\ü O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [MySight 2006 BS Check&Random] C:\Program Files\MySight 2006\quickbs.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [WinPatrol] C:\Program Files\WinPatrol\winpatrol.exe -expressboot O4 - HKLM\..\Run: [Diamondback] C:\Program Files\Razer\Diamondback 3G\razerhid.exe O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [startCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKCU\..\Run: [TrueCrypt] "C:\Program Files\TrueCrypt\TrueCrypt.exe" /q preferences O4 - HKCU\..\Run: [incrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Wallpaper] "C:\Program Files\Wallpaper\Wallpaper.exe" Starter O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user') O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\BlueSoleil\BTNtService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 8329 bytes