LadyHunter

C'est justement mon propos de dire qu'IE est contamine par une infection... Ce n'est pas normal que son processus se lance a chaque demarrage alors qu'en plus, je ne l'utilise meme pas comme navigateur. J'aimerais bien savoir ou on trouve ca dans mes propos... TDSSKiller.exe... ton collegue Apollo me l'a deja fait utiliser, ce qui etait depourvu de pertinence puisque l'infection dont s'occupe ce logiciel n'est pas celle qui m'a contamine. On stagne encore et encore... De plus, tu te preoccupes toujours des consequences sans te soucier de la cause ! On tourne en circuit ferme. Et par dessus le marche, tu n'as meme pas ete lire ce qu'on a fait avec ton collegue. Du grand art... PS : Vous suivez tous des procedures standards sans vous poser de questions lorsque vous etes face a quelqu'un qui a une infection. Mais il existe plusieurs types de virus dont chaque routine est differente. Au lieu de faire du cas par cas en tentant de comprendre la logique du virus pour trouver la bonne marche a suivre, vous utilisez des pre-procedures standards, ce qui est totalement stupide. Et la preuve en est... au final, l'utilisateur finit dans la majorite des cas par formater. Et dans mon propre cas, on tourne dans le vide. PS2 : Sans oublier qu'on ne m'a pose strictement aucunes questions quelles qu'elles soient afin de tenter de cibler le probleme cause, pourtant il me semble que pour etablir un diagnostic, la toute premiere etape est d'en identifier les symptomes pour savoir dans quelle direction aller... Et la, c'est tout azimut... Il n'y a acuune methologie structuree dans vos demarches. Pas de questions sur mon systeme, pas de questions sur mon utilisation de celui-ci, absences d'explications pour certaines demarches qu'on m'a fait faire, et absence aussi d'explications d'actions des logiciels qu'on m'a fait installer comme la console de recuperation, par exemple. Pour cette derniere, il m'a juste ete dit, comme son nom l'indique, que ca allait m'installer un module de redemarrage en cas de privation d'acces a mon systeme. Ouais, d'accord, et l'imposition du centre de securite dont j'avais desactive le service qui se reactive a chaque demarrage malgre ma desactivation ?!... Merci pour l'information complete, j'ai l'impression de regarder le JT.

Depuis la derniere manip', je n'ai ni redemarre ni arrete ma becane. Le log... ComboFix 11-03-04.06 - AnneGel 05/03/2011 22:32:58.7.2 - x86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.2038.1586 [GMT 1:00] Lancé depuis: c:\docs and sets\AnneGel\Bureau\ComboFix.exe Commutateurs utilisés :: c:\docs and sets\AnneGel\Bureau\CFScript.txt AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7} AV: G Data AntiVirus 2011 *Enabled/Outdated* {71310606-6F3B-49F2-9A81-8315AA75FBB3} FW: Outpost Firewall *Enabled* {8A20CA2A-9E02-4A64-923B-0A38208EB7FD} . FILE :: "c:\docs and sets\AnneGel\MENUDM~1\PROGRA~1\DMARRA~1\rdphiapq.exe" "c:\windows\system32\config\systemprofile\MENUDM~1\PROGRA~1\DMARRA~1\rdphiapq.exe" . . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . . c:\programmes\Internet Explorer\dmlconf.dat c:\programmes\jwxuxaga c:\programmes\jwxuxaga\rdphiapq.exe c:\windows\system32\config\systemprofile\MENUDM~1\PROGRA~1\DMARRA~1\rdphiapq.exe . . ((((((((((((((((((((((((((((( Fichiers créés du 2011-02-05 au 2011-03-05 )))))))))))))))))))))))))))))))))))) . . 2011-02-19 19:47 . 2009-10-22 11:54 37392 ----a-w- c:\windows\system32\drivers\71140782.sys 2011-02-19 19:47 . 2009-10-09 21:31 315408 ----a-w- c:\windows\system32\drivers\7114078.sys 2011-02-19 19:47 . 2009-09-25 15:59 128016 ----a-w- c:\windows\system32\drivers\71140781.sys 2011-02-18 14:15 . 2009-10-22 11:54 37392 ----a-w- c:\windows\system32\drivers\88026492.sys 2011-02-18 14:15 . 2009-10-09 21:31 315408 ----a-w- c:\windows\system32\drivers\8802649.sys 2011-02-18 14:15 . 2009-09-25 15:59 128016 ----a-w- c:\windows\system32\drivers\88026491.sys 2011-02-16 14:37 . 2011-02-16 14:53 -------- d-----w- c:\docs and sets\All Users\Application Data\Alwil Software 2011-02-15 17:23 . 2011-02-15 17:23 38600 ----a-w- c:\windows\system32\drivers\HookCentre.sys 2011-02-15 17:22 . 2011-02-20 18:00 -------- d-----w- c:\docs and sets\All Users\Application Data\G DATA 2011-02-15 16:40 . 2011-02-15 16:40 -------- d-----w- c:\docs and sets\AnneGel\Local Settings\Application Data\Downloaded Installations 2011-02-14 14:21 . 2011-02-14 14:21 -------- d-----w- c:\docs and sets\AnneGel\DoctorWeb 2011-02-13 01:52 . 2011-02-13 01:52 -------- d-----w- c:\docs and sets\AnneGel\Application Data\Avira 2011-02-13 01:47 . 2011-02-17 13:43 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys 2011-02-13 01:47 . 2011-02-15 23:23 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2011-02-13 01:47 . 2010-06-17 14:28 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys 2011-02-13 01:47 . 2010-06-17 14:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys 2011-02-13 01:47 . 2011-02-13 01:47 -------- d-----w- c:\programmes\Avira 2011-02-12 20:13 . 2011-02-12 20:18 -------- d-----w- c:\docs and sets\All Users\Application Data\moosoft 2011-02-12 16:20 . 2011-02-12 16:20 -------- d-----w- c:\docs and sets\AnneGel\Application Data\thecleaner 2011-02-11 22:01 . 2011-02-14 19:47 -------- d-----w- c:\docs and sets\AnneGel\Application Data\QuickScan 2011-02-11 17:35 . 2011-02-11 17:35 -------- d--h--w- c:\windows\PIF . . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2011-03-04 19:11 . 2009-04-16 11:57 2672 -csha-w- c:\docs and sets\All Users\Application Data\KGyGaAvL.sys 2011-01-29 03:43 . 2011-01-29 03:43 1409 ----a-w- c:\windows\QTFont.for 2010-12-20 17:09 . 2009-03-07 23:40 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-12-20 17:08 . 2009-03-07 23:41 20952 -c--a-w- c:\windows\system32\drivers\mbam.sys . . ------- Sigcheck ------- . [-] 2004-08-18 . 27A5959C94EE173A063CA06BD14F021A . 359040 . . [5.1.2600.2180] . . c:\windows\system32\drivers\tcpip.sys . [-] 2004-08-23 . 998F3F568F6074A35AB08CD3395A9DC2 . 1036288 . . [6.00.2900.2180] . . c:\windows\explorer.exe . [-] 2008-04-23 . 2FA055D9A0AB73CC91912646FDF9C5EB . 1548288 . . [5.1.2600.2180] . . c:\windows\system32\sfcfiles.dll . ((((((((((((((((((((((((((((( SnapShot@2011-02-20_17.07.49 ))))))))))))))))))))))))))))))))))))))))) . - 2001-08-24 16:00 . 2010-11-11 11:38 82156 c:\windows\system32\perfc00C.dat + 2001-08-24 16:00 . 2011-03-03 16:28 82156 c:\windows\system32\perfc00C.dat - 2001-08-24 16:00 . 2010-11-11 11:38 68856 c:\windows\system32\perfc009.dat + 2001-08-24 16:00 . 2011-03-03 16:28 68856 c:\windows\system32\perfc009.dat + 2011-03-05 21:39 . 2011-03-05 21:39 99840 c:\windows\system32\config\systemprofile\Menu Démarrer\Programmes\Démarrage\rdphiapq.exe + 2001-08-24 16:00 . 2011-03-03 16:28 503822 c:\windows\system32\perfh00C.dat - 2001-08-24 16:00 . 2010-11-11 11:38 503822 c:\windows\system32\perfh00C.dat - 2001-08-24 16:00 . 2010-11-11 11:38 435374 c:\windows\system32\perfh009.dat + 2001-08-24 16:00 . 2011-03-03 16:28 435374 c:\windows\system32\perfh009.dat . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 . [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360] . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "StartupFaster"="d:\progs\Startup Faster\startuploader.exe" [2009-10-25 1455376] . [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360] . [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "nltide_3"="advpack.dll" [2007-08-13 123904] . c:\windows\system32\config\systemprofile\Menu D‚marrer\Programmes\D‚marrage\ rdphiapq.exe [2011-3-5 99840] . c:\windows\system32\config\systemprofile\Menu D‚marrer\Programmes\D‚marrage\ rdphiapq.exe [2011-3-5 99840] . c:\docs and sets\AnneGel\Menu D‚marrer\Programmes\D‚marrage\StartupFaster setup_9.0.0.722_19.02.2011_20-12.lnk - d:\virus removal tool\setup_9.0.0.722_19.02.2011_20-12\startup.exe [2011-2-19 72208] StartupFaster.ini [2011-3-4 353] . c:\docs and sets\All Users\Menu D‚marrer\Programmes\D‚marrage\StartupFaster Bluetooth Manager.lnk - c:\programmes\Toshiba\Bluetooth Toshiba Stack\TosBtMng1.exe [N/A] StartupFaster.ini [2011-3-4 296] . c:\windows\system32\config\systemprofile\Menu D‚marrer\Programmes\D‚marrage\ rdphiapq.exe [2011-3-5 99840] . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "SynchronousMachineGroupPolicy"= 0 (0x0) "SynchronousUserGroupPolicy"= 0 (0x0) . [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoSMConfigurePrograms"= 1 (0x1) "NoSMMyDocs"= 1 (0x1) "NoSMMyPictures"= 1 (0x1) . [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"= 1 (0x1) "NoSMHelp"= 1 (0x1) "NoSMConfigurePrograms"= 1 (0x1) "StartMenuLogoff"= 1 (0x1) "NoSMMyDocs"= 1 (0x1) "NoSMMyPictures"= 1 (0x1) . [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "Userinit"="c:\windows\system32\userinit.exe,c:\programmes\jwxuxaga\rdphiapq.exe," "Taskman"="" . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AcronisTimounterMonitor] 2006-07-20 23:15 1848218 ------w- d:\progs\Acronis True Image\TimounterMonitor.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\agentantidote.exe] 2010-06-29 18:22 806080 ------w- d:\progs\Antidote\Programmes32\agentantidote.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IAStorIcon] 2010-11-05 22:54 283160 -c----w- c:\programmes\Intel\Intel® Rapid Storage Technology\IAStorIcon.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickFinder Scheduler] 2009-06-22 23:29 83232 -c----w- d:\progs\Word Perfect\WordPerfect Office X4\Programs\QFSCHD140.EXE . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] 2011-02-19 21:54 201051 -c----w- d:\progs\Le Visuel\qttask.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] 2010-02-18 09:43 248040 -c----w- c:\programmes\Fichiers communs\Java\Java Update\jusched.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrueImageMonitor.exe] 2006-07-20 23:12 1106531 ------w- d:\progs\Acronis True Image\TrueImageMonitor.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ultralingua 7 Hotkey] 2009-11-04 12:07 1483264 ----a-w- d:\progs\Ultralingua\ULHotkey.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "AcrSch2Svc"=2 (0x2) "AVKWCtl"=2 (0x2) "AVKService"=2 (0x2) "AVKProxy"=2 (0x2) . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:2\\Vmware\\vmware-authd.exe"= "d:\\Progs\\Vlc\\vlc.exe"= "d:\\Progs\\Emule\\emule.exe"= "d:\\Progs\\Opera\\opera.exe"= "d:\\Progs\\µTorrent\\µTorrent.exe"= "c:\\Programmes\\NetMeeting\\conf.exe"= . R0 71140782;71140782 Boot Guard Driver;c:\windows\system32\drivers\71140782.sys [19/02/2011 20:47 37392] R0 88026492;88026492 Boot Guard Driver;c:\windows\system32\drivers\88026492.sys [18/02/2011 15:15 37392] R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [08/03/2009 12:37 717296] R1 71140781;71140781;c:\windows\system32\drivers\71140781.sys [19/02/2011 20:47 128016] R1 88026491;88026491;c:\windows\system32\drivers\88026491.sys [18/02/2011 15:15 128016] R1 SandBox;SandBox;c:\windows\system32\drivers\SandBox.sys [11/11/2010 12:50 704384] R1 setup_9.0.0.722_17.02.2011_18-13drv;setup_9.0.0.722_17.02.2011_18-13drv;c:\windows\system32\drivers\8802649.sys [18/02/2011 15:15 315408] R1 setup_9.0.0.722_19.02.2011_20-12drv;setup_9.0.0.722_19.02.2011_20-12drv;c:\windows\system32\drivers\7114078.sys [19/02/2011 20:47 315408] R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\programmes\Avira\AntiVir Desktop\sched.exe [13/02/2011 02:47 135336] R2 MBAMService;MBAMService;c:\programmes\Malwarebytes\mbamservice.exe [08/03/2009 00:41 363344] R2 vmci;VMware vmci;c:\windows\system32\drivers\vmci.sys [26/03/2009 22:05 54960] R3 afw;Agnitum firewall driver;c:\windows\system32\drivers\afw.sys [11/11/2010 12:49 31128] R3 afwcore;afwcore;c:\windows\system32\drivers\afwcore.sys [11/11/2010 12:50 257432] R3 FUJ02E1;%FUJ02E1.DeviceDesc%;c:\windows\system32\drivers\FUJ02E1.sys [07/03/2009 23:31 5632] R3 FUJ02E3;Fujitsu FUJ02E3 Device Driver;c:\windows\system32\drivers\fuj02e3.sys [07/03/2009 23:31 4864] R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [08/03/2009 00:41 20952] R3 VCSVADHWSer;Avnex Virtual Audio Device (WDM);c:\windows\system32\drivers\vcsvad.sys [26/01/2010 23:31 17792] S0 GDBehave;GDBehave;c:\windows\system32\drivers\GDBehave.sys --> c:\windows\system32\drivers\GDBehave.sys [?] S1 GDMnIcpt;GDMnIcpt;\??\c:\windows\system32\drivers\MiniIcpt.sys --> c:\windows\system32\drivers\MiniIcpt.sys [?] S2 IAStorDataMgrSvc;Intel® Rapid Storage Technology;c:\programmes\Intel\Intel® Rapid Storage Technology\IAStorDataMgrSvc.exe [04/11/2010 18:19 13336] S2 OS Selector;Acronis OS Selector activator;d:\progs\Acronis Disk Director\OSS\reinstall_svc.exe [25/05/2010 18:53 2139400] S2 vnccom;vnccom;c:\windows\system32\drivers\vnccom.SYS [13/03/2009 14:03 6016] S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [07/03/2009 23:20 1684736] S3 HookCentre;HookCentre;c:\windows\system32\drivers\HookCentre.sys [15/02/2011 18:23 38600] S3 I97DRIVER;I97DRIVER;\??\d:\progs\Fix-It\dgs.sys --> d:\progs\Fix-It\dgs.sys [?] S3 PORTMON;PORTMON;\??\d:\progs\Sysinternals Suite\PORTMSYS.SYS --> d:\progs\Sysinternals Suite\PORTMSYS.SYS [?] S3 SCREAMINGBDRIVER;Screaming Bee Audio;c:\windows\system32\drivers\ScreamingBAudio.sys [26/11/2009 00:06 34384] S3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;d:\progs\Tune Up Utilities\TuneUpUtilitiesDriver32.sys [24/02/2010 14:41 10064] S4 AVKService;G Data Scheduler;c:\programmes\GData\AVK\AVKService.exe --> c:\programmes\GData\AVK\AVKService.exe [?] S4 AVKWCtl;G Data Gardien;c:\programmes\GData\AVK\AVKWCtl.exe --> c:\programmes\GData\AVK\AVKWCtl.exe [?] S4 TuneUp.UtilitiesSvc;TuneUp Utilities Service;d:\progs\Tune Up Utilities\TuneUpUtilitiesService32.exe [30/09/2010 16:15 1051968] . HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Contenu du dossier 'Tâches planifiées' . 2011-02-15 c:\windows\Tasks\SyncBack Synchro Bureau 2.job - d:\progs\Syncback\SyncBack.exe [2009-05-26 10:00] . 2011-02-09 c:\windows\Tasks\SyncBack Synchro Bureau.job - d:\progs\Syncback\SyncBack.exe [2009-05-26 10:00] . 2011-01-31 c:\windows\Tasks\SyncBack Synchro config.job - d:\progs\Syncback\SyncBack.exe [2009-05-26 10:00] . 2011-01-31 c:\windows\Tasks\SyncBack Synchro docs.job - d:\progs\Syncback\SyncBack.exe [2009-05-26 10:00] . . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.google.fr/ IE: Add to &Evernote - d:\progs\Evernote\enbar.dll/2000 IE: Ouvrir dans WordPerfect - d:\progs\Word Perfect\WordPerfect Office X4\Programs\WPLauncher.hta FF - ProfilePath - c:\docs and sets\AnneGel\Application Data\Mozilla\Firefox\Profiles\5jf06vqf.default\ FF - prefs.js: browser.startup.homepage - www.google.fr FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - d:\progs\Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} FF - Ext: Java Quick Starter: jqs@sun.com - c:\programmes\Java\lib\deploy\jqs\ff . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover Rootkit scan 2011-03-05 22:39 Windows 5.1.2600 Service Pack 2 NTFS . Recherche de processus cachés ... . Recherche d'éléments en démarrage automatique cachés ... . Recherche de fichiers cachés ... . Scan terminé avec succès Fichiers cachés: 0 . ************************************************************************** . --------------------- CLES DE REGISTRE BLOQUEES --------------------- . [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101" . [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation] "Enabled"=dword:00000001 . [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32] @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe" . [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" . [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}] @Denied: (A 2) (Everyone) @="IFlashBroker4" . [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" . [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . --------------------- DLLs chargées dans les processus actifs --------------------- . - - - - - - - > 'explorer.exe'(2144) c:\windows\system32\msi.dll d:\progs\Unlocker\UnlockerCOM.dll c:\programmes\Avira\AntiVir Desktop\shlext.dll c:\programmes\Malwarebytes\mbamext.dll c:\windows\system32\browselc.dll c:\windows\system32\ZiepodOneClicker.dll c:\windows\system32\shdoclc.dll . ------------------------ Autres processus actifs ------------------------ . c:\programmes\Avira\AntiVir Desktop\avgnt.exe c:\windows\system32\igfxsrvc.exe c:\windows\system32\igfxpers.exe c:\programmes\Avira\AntiVir Desktop\avguard.exe c:\programmes\Internet Explorer\iexplore.exe c:\windows\system32\hkcmd.exe c:\programmes\Synaptics\SynTP\SynTPEnh.exe c:\progra~1\Outpost\op_mon.exe c:\programmes\Fichiers communs\Protexis\License Service\PsiService_2.exe c:\programmes\Avira\AntiVir Desktop\avshadow.exe d:\progs\Alcohol\StarWind\StarWindServiceAE.exe c:\windows\system32\wscntfy.exe . ************************************************************************** . Heure de fin: 2011-03-05 22:41:47 - La machine a redémarré ComboFix-quarantined-files.txt 2011-03-05 21:41 ComboFix2.txt 2011-03-05 19:27 ComboFix3.txt 2011-03-03 15:31 ComboFix4.txt 2011-02-20 18:16 ComboFix5.txt 2011-03-05 21:32 . Avant-CF: 1 304 322 048 octets libres Après-CF: 1 141 452 800 octets libres . - - End Of File - - 3175A1FE80F8B2CEECC8A074AB98824D PS : J'avais deja la console de recuperation d'installer mais ComboFix me dit sans arret qu'elle ne s'y trouve pas... Quant aux deux derniere manip que tu m'as fait faire, il est normal que le virus se regenere encore puisqu'on est toujours pas remonte a la source de sa regeneration... Pour VRT : merde. PS2 : Tu n'as pas tenu compte de l'affiliation du virus avec le processus iexplorer.exe que je t'avais signale...

Salut, ComboFix 11-03-04.06 - AnneGel 05/03/2011 20:18:03.6.2 - x86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.2038.1618 [GMT 1:00] Lancé depuis: c:\docs and sets\AnneGel\Bureau\ComboFix.exe Commutateurs utilisés :: c:\docs and sets\AnneGel\Bureau\CFScript.txt AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7} AV: G Data AntiVirus 2011 *Enabled/Outdated* {71310606-6F3B-49F2-9A81-8315AA75FBB3} FW: Outpost Firewall *Enabled* {8A20CA2A-9E02-4A64-923B-0A38208EB7FD} . FILE :: "c:\docs and sets\AnneGel\MENUDM~1\PROGRA~1\DMARRA~1\rdphiapq.exe" "c:\programmes\Internet Explorer\iexploremgrmgr.exe" "c:\windows\system32\config\systemprofile\MENUDM~1\PROGRA~1\DMARRA~1\rdphiapq.exe" "c:\windows\system32\lsassmgr.exe" "c:\windows\system32\lsassmgrmgr.exe" "c:\windows\system32\lsassmgrmgrmgr.exe" "c:\windows\system32\lsassmgrmgrmgrmgr.exe" "c:\windows\system32\lsassmgrmgrmgrmgrmgr.exe" "c:\windows\system32\lsassmgrmgrmgrmgrmgrmgr.exe" "c:\windows\system32\servicesmgr.exe" "c:\windows\system32\servicesmgrmgr.exe" "c:\windows\system32\servicesmgrmgrmgr.exe" "c:\windows\system32\servicesmgrmgrmgrmgr.exe" "c:\windows\system32\servicesmgrmgrmgrmgrmgr.exe" "c:\windows\system32\servicesmgrmgrmgrmgrmgrmgr.exe" "c:\windows\system32\svchostmgr.exe" "c:\windows\system32\svchostmgrmgr.exe" . . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . . c:\docs and sets\AnneGel\MENUDM~1\PROGRA~1\DMARRA~1\rdphiapq.exe c:\programmes\Internet Explorer\dmlconf.dat c:\programmes\Internet Explorer\iexploremgrmgr.exe c:\windows\system32\config\systemprofile\MENUDM~1\PROGRA~1\DMARRA~1\rdphiapq.exe c:\windows\system32\lsassmgr.exe c:\windows\system32\lsassmgrmgr.exe c:\windows\system32\lsassmgrmgrmgr.exe c:\windows\system32\lsassmgrmgrmgrmgr.exe c:\windows\system32\lsassmgrmgrmgrmgrmgr.exe c:\windows\system32\lsassmgrmgrmgrmgrmgrmgr.exe c:\windows\system32\servicesmgr.exe c:\windows\system32\servicesmgrmgr.exe c:\windows\system32\servicesmgrmgrmgr.exe c:\windows\system32\servicesmgrmgrmgrmgr.exe c:\windows\system32\servicesmgrmgrmgrmgrmgr.exe c:\windows\system32\servicesmgrmgrmgrmgrmgrmgr.exe c:\windows\system32\svchostmgr.exe c:\windows\system32\svchostmgrmgr.exe . . ((((((((((((((((((((((((((((( Fichiers créés du 2011-02-05 au 2011-03-05 )))))))))))))))))))))))))))))))))))) . . 2011-03-03 15:36 . 2011-03-03 15:36 -------- d-----w- c:\programmes\jwxuxaga 2011-02-19 19:47 . 2009-10-22 11:54 37392 ----a-w- c:\windows\system32\drivers\71140782.sys 2011-02-19 19:47 . 2009-10-09 21:31 315408 ----a-w- c:\windows\system32\drivers\7114078.sys 2011-02-19 19:47 . 2009-09-25 15:59 128016 ----a-w- c:\windows\system32\drivers\71140781.sys 2011-02-18 14:15 . 2009-10-22 11:54 37392 ----a-w- c:\windows\system32\drivers\88026492.sys 2011-02-18 14:15 . 2009-10-09 21:31 315408 ----a-w- c:\windows\system32\drivers\8802649.sys 2011-02-18 14:15 . 2009-09-25 15:59 128016 ----a-w- c:\windows\system32\drivers\88026491.sys 2011-02-16 14:37 . 2011-02-16 14:53 -------- d-----w- c:\docs and sets\All Users\Application Data\Alwil Software 2011-02-15 17:23 . 2011-02-15 17:23 38600 ----a-w- c:\windows\system32\drivers\HookCentre.sys 2011-02-15 17:22 . 2011-02-20 18:00 -------- d-----w- c:\docs and sets\All Users\Application Data\G DATA 2011-02-15 16:40 . 2011-02-15 16:40 -------- d-----w- c:\docs and sets\AnneGel\Local Settings\Application Data\Downloaded Installations 2011-02-14 14:21 . 2011-02-14 14:21 -------- d-----w- c:\docs and sets\AnneGel\DoctorWeb 2011-02-13 01:52 . 2011-02-13 01:52 -------- d-----w- c:\docs and sets\AnneGel\Application Data\Avira 2011-02-13 01:47 . 2011-02-17 13:43 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys 2011-02-13 01:47 . 2011-02-15 23:23 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2011-02-13 01:47 . 2010-06-17 14:28 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys 2011-02-13 01:47 . 2010-06-17 14:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys 2011-02-13 01:47 . 2011-02-13 01:47 -------- d-----w- c:\programmes\Avira 2011-02-12 20:13 . 2011-02-12 20:18 -------- d-----w- c:\docs and sets\All Users\Application Data\moosoft 2011-02-12 16:20 . 2011-02-12 16:20 -------- d-----w- c:\docs and sets\AnneGel\Application Data\thecleaner 2011-02-11 22:01 . 2011-02-14 19:47 -------- d-----w- c:\docs and sets\AnneGel\Application Data\QuickScan 2011-02-11 17:35 . 2011-02-11 17:35 -------- d--h--w- c:\windows\PIF . . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2011-03-04 19:11 . 2009-04-16 11:57 2672 -csha-w- c:\docs and sets\All Users\Application Data\KGyGaAvL.sys 2011-01-29 03:43 . 2011-01-29 03:43 1409 ----a-w- c:\windows\QTFont.for 2010-12-20 17:09 . 2009-03-07 23:40 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-12-20 17:08 . 2009-03-07 23:41 20952 -c--a-w- c:\windows\system32\drivers\mbam.sys . . ------- Sigcheck ------- . [-] 2004-08-18 . 27A5959C94EE173A063CA06BD14F021A . 359040 . . [5.1.2600.2180] . . c:\windows\system32\drivers\tcpip.sys . [-] 2004-08-23 . 998F3F568F6074A35AB08CD3395A9DC2 . 1036288 . . [6.00.2900.2180] . . c:\windows\explorer.exe . [-] 2008-04-23 . 2FA055D9A0AB73CC91912646FDF9C5EB . 1548288 . . [5.1.2600.2180] . . c:\windows\system32\sfcfiles.dll . ((((((((((((((((((((((((((((( SnapShot@2011-02-20_17.07.49 ))))))))))))))))))))))))))))))))))))))))) . - 2001-08-24 16:00 . 2010-11-11 11:38 82156 c:\windows\system32\perfc00C.dat + 2001-08-24 16:00 . 2011-03-03 16:28 82156 c:\windows\system32\perfc00C.dat - 2001-08-24 16:00 . 2010-11-11 11:38 68856 c:\windows\system32\perfc009.dat + 2001-08-24 16:00 . 2011-03-03 16:28 68856 c:\windows\system32\perfc009.dat + 2011-03-05 19:24 . 2011-03-05 19:24 99840 c:\windows\system32\config\systemprofile\Menu Démarrer\Programmes\Démarrage\rdphiapq.exe + 2001-08-24 16:00 . 2011-03-03 16:28 503822 c:\windows\system32\perfh00C.dat - 2001-08-24 16:00 . 2010-11-11 11:38 503822 c:\windows\system32\perfh00C.dat - 2001-08-24 16:00 . 2010-11-11 11:38 435374 c:\windows\system32\perfh009.dat + 2001-08-24 16:00 . 2011-03-03 16:28 435374 c:\windows\system32\perfh009.dat . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 . [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360] . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "StartupFaster"="d:\progs\Startup Faster\startuploader.exe" [2009-10-25 1455376] . [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360] . [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "nltide_3"="advpack.dll" [2007-08-13 123904] . c:\windows\system32\config\systemprofile\Menu D‚marrer\Programmes\D‚marrage\ rdphiapq.exe [2011-3-5 99840] . c:\windows\system32\config\systemprofile\Menu D‚marrer\Programmes\D‚marrage\ rdphiapq.exe [2011-3-5 99840] . c:\docs and sets\AnneGel\Menu D‚marrer\Programmes\D‚marrage\StartupFaster setup_9.0.0.722_19.02.2011_20-12.lnk - d:\virus removal tool\setup_9.0.0.722_19.02.2011_20-12\startup.exe [2011-2-19 72208] StartupFaster.ini [2011-3-4 353] . c:\docs and sets\All Users\Menu D‚marrer\Programmes\D‚marrage\StartupFaster Bluetooth Manager.lnk - c:\programmes\Toshiba\Bluetooth Toshiba Stack\TosBtMng1.exe [N/A] StartupFaster.ini [2011-3-4 296] . c:\windows\system32\config\systemprofile\Menu D‚marrer\Programmes\D‚marrage\ rdphiapq.exe [2011-3-5 99840] . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "SynchronousMachineGroupPolicy"= 0 (0x0) "SynchronousUserGroupPolicy"= 0 (0x0) . [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoSMConfigurePrograms"= 1 (0x1) "NoSMMyDocs"= 1 (0x1) "NoSMMyPictures"= 1 (0x1) . [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"= 1 (0x1) "NoSMHelp"= 1 (0x1) "NoSMConfigurePrograms"= 1 (0x1) "StartMenuLogoff"= 1 (0x1) "NoSMMyDocs"= 1 (0x1) "NoSMMyPictures"= 1 (0x1) . [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "Userinit"="c:\windows\system32\userinit.exe,c:\programmes\jwxuxaga\rdphiapq.exe," "Taskman"="" . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AcronisTimounterMonitor] 2006-07-20 23:15 1848218 ------w- d:\progs\Acronis True Image\TimounterMonitor.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\agentantidote.exe] 2010-06-29 18:22 806080 ------w- d:\progs\Antidote\Programmes32\agentantidote.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IAStorIcon] 2010-11-05 22:54 283160 -c----w- c:\programmes\Intel\Intel® Rapid Storage Technology\IAStorIcon.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickFinder Scheduler] 2009-06-22 23:29 83232 -c----w- d:\progs\Word Perfect\WordPerfect Office X4\Programs\QFSCHD140.EXE . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] 2011-02-19 21:54 201051 -c----w- d:\progs\Le Visuel\qttask.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] 2010-02-18 09:43 248040 -c----w- c:\programmes\Fichiers communs\Java\Java Update\jusched.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrueImageMonitor.exe] 2006-07-20 23:12 1106531 ------w- d:\progs\Acronis True Image\TrueImageMonitor.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ultralingua 7 Hotkey] 2009-11-04 12:07 1483264 ----a-w- d:\progs\Ultralingua\ULHotkey.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "AcrSch2Svc"=2 (0x2) "AVKWCtl"=2 (0x2) "AVKService"=2 (0x2) "AVKProxy"=2 (0x2) . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:2\\Vmware\\vmware-authd.exe"= "d:\\Progs\\Vlc\\vlc.exe"= "d:\\Progs\\Emule\\emule.exe"= "d:\\Progs\\Opera\\opera.exe"= "d:\\Progs\\µTorrent\\µTorrent.exe"= "c:\\Programmes\\NetMeeting\\conf.exe"= . R0 71140782;71140782 Boot Guard Driver;c:\windows\system32\drivers\71140782.sys [19/02/2011 20:47 37392] R0 88026492;88026492 Boot Guard Driver;c:\windows\system32\drivers\88026492.sys [18/02/2011 15:15 37392] R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [08/03/2009 12:37 717296] R1 71140781;71140781;c:\windows\system32\drivers\71140781.sys [19/02/2011 20:47 128016] R1 88026491;88026491;c:\windows\system32\drivers\88026491.sys [18/02/2011 15:15 128016] R1 SandBox;SandBox;c:\windows\system32\drivers\SandBox.sys [11/11/2010 12:50 704384] R1 setup_9.0.0.722_17.02.2011_18-13drv;setup_9.0.0.722_17.02.2011_18-13drv;c:\windows\system32\drivers\8802649.sys [18/02/2011 15:15 315408] R1 setup_9.0.0.722_19.02.2011_20-12drv;setup_9.0.0.722_19.02.2011_20-12drv;c:\windows\system32\drivers\7114078.sys [19/02/2011 20:47 315408] R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\programmes\Avira\AntiVir Desktop\sched.exe [13/02/2011 02:47 135336] R2 MBAMService;MBAMService;c:\programmes\Malwarebytes\mbamservice.exe [08/03/2009 00:41 363344] R2 vmci;VMware vmci;c:\windows\system32\drivers\vmci.sys [26/03/2009 22:05 54960] R3 afw;Agnitum firewall driver;c:\windows\system32\drivers\afw.sys [11/11/2010 12:49 31128] R3 afwcore;afwcore;c:\windows\system32\drivers\afwcore.sys [11/11/2010 12:50 257432] R3 FUJ02E1;%FUJ02E1.DeviceDesc%;c:\windows\system32\drivers\FUJ02E1.sys [07/03/2009 23:31 5632] R3 FUJ02E3;Fujitsu FUJ02E3 Device Driver;c:\windows\system32\drivers\fuj02e3.sys [07/03/2009 23:31 4864] R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [08/03/2009 00:41 20952] R3 VCSVADHWSer;Avnex Virtual Audio Device (WDM);c:\windows\system32\drivers\vcsvad.sys [26/01/2010 23:31 17792] S0 GDBehave;GDBehave;c:\windows\system32\drivers\GDBehave.sys --> c:\windows\system32\drivers\GDBehave.sys [?] S1 GDMnIcpt;GDMnIcpt;\??\c:\windows\system32\drivers\MiniIcpt.sys --> c:\windows\system32\drivers\MiniIcpt.sys [?] S2 IAStorDataMgrSvc;Intel® Rapid Storage Technology;c:\programmes\Intel\Intel® Rapid Storage Technology\IAStorDataMgrSvc.exe [04/11/2010 18:19 13336] S2 OS Selector;Acronis OS Selector activator;d:\progs\Acronis Disk Director\OSS\reinstall_svc.exe [25/05/2010 18:53 2139400] S2 vnccom;vnccom;c:\windows\system32\drivers\vnccom.SYS [13/03/2009 14:03 6016] S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [07/03/2009 23:20 1684736] S3 HookCentre;HookCentre;c:\windows\system32\drivers\HookCentre.sys [15/02/2011 18:23 38600] S3 I97DRIVER;I97DRIVER;\??\d:\progs\Fix-It\dgs.sys --> d:\progs\Fix-It\dgs.sys [?] S3 PORTMON;PORTMON;\??\d:\progs\Sysinternals Suite\PORTMSYS.SYS --> d:\progs\Sysinternals Suite\PORTMSYS.SYS [?] S3 SCREAMINGBDRIVER;Screaming Bee Audio;c:\windows\system32\drivers\ScreamingBAudio.sys [26/11/2009 00:06 34384] S3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;d:\progs\Tune Up Utilities\TuneUpUtilitiesDriver32.sys [24/02/2010 14:41 10064] S4 AVKService;G Data Scheduler;c:\programmes\GData\AVK\AVKService.exe --> c:\programmes\GData\AVK\AVKService.exe [?] S4 AVKWCtl;G Data Gardien;c:\programmes\GData\AVK\AVKWCtl.exe --> c:\programmes\GData\AVK\AVKWCtl.exe [?] S4 TuneUp.UtilitiesSvc;TuneUp Utilities Service;d:\progs\Tune Up Utilities\TuneUpUtilitiesService32.exe [30/09/2010 16:15 1051968] . HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Contenu du dossier 'Tâches planifiées' . 2011-02-15 c:\windows\Tasks\SyncBack Synchro Bureau 2.job - d:\progs\Syncback\SyncBack.exe [2009-05-26 10:00] . 2011-02-09 c:\windows\Tasks\SyncBack Synchro Bureau.job - d:\progs\Syncback\SyncBack.exe [2009-05-26 10:00] . 2011-01-31 c:\windows\Tasks\SyncBack Synchro config.job - d:\progs\Syncback\SyncBack.exe [2009-05-26 10:00] . 2011-01-31 c:\windows\Tasks\SyncBack Synchro docs.job - d:\progs\Syncback\SyncBack.exe [2009-05-26 10:00] . . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.google.fr/ IE: Add to &Evernote - d:\progs\Evernote\enbar.dll/2000 IE: Ouvrir dans WordPerfect - d:\progs\Word Perfect\WordPerfect Office X4\Programs\WPLauncher.hta FF - ProfilePath - c:\docs and sets\AnneGel\Application Data\Mozilla\Firefox\Profiles\5jf06vqf.default\ FF - prefs.js: browser.startup.homepage - www.google.fr FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - d:\progs\Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} FF - Ext: Java Quick Starter: jqs@sun.com - c:\programmes\Java\lib\deploy\jqs\ff . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover Rootkit scan 2011-03-05 20:25 Windows 5.1.2600 Service Pack 2 NTFS . Recherche de processus cachés ... . Recherche d'éléments en démarrage automatique cachés ... . Recherche de fichiers cachés ... . Scan terminé avec succès Fichiers cachés: 0 . ************************************************************************** . --------------------- CLES DE REGISTRE BLOQUEES --------------------- . [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101" . [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation] "Enabled"=dword:00000001 . [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32] @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe" . [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" . [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}] @Denied: (A 2) (Everyone) @="IFlashBroker4" . [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" . [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . --------------------- DLLs chargées dans les processus actifs --------------------- . - - - - - - - > 'explorer.exe'(2144) c:\windows\system32\msi.dll . ------------------------ Autres processus actifs ------------------------ . c:\programmes\Avira\AntiVir Desktop\avgnt.exe c:\windows\system32\igfxsrvc.exe c:\windows\system32\igfxpers.exe c:\programmes\Avira\AntiVir Desktop\avguard.exe c:\programmes\Internet Explorer\iexplore.exe c:\programmes\Fichiers communs\Protexis\License Service\PsiService_2.exe c:\windows\system32\hkcmd.exe c:\programmes\Synaptics\SynTP\SynTPEnh.exe c:\progra~1\Outpost\op_mon.exe d:\progs\Alcohol\StarWind\StarWindServiceAE.exe c:\programmes\Avira\AntiVir Desktop\avshadow.exe c:\windows\system32\wscntfy.exe . ************************************************************************** . Heure de fin: 2011-03-05 20:27:02 - La machine a redémarré ComboFix-quarantined-files.txt 2011-03-05 19:26 ComboFix2.txt 2011-03-03 15:31 ComboFix3.txt 2011-02-20 18:16 ComboFix4.txt 2011-02-20 17:10 . Avant-CF: 638 951 424 octets libres Après-CF: 579 571 712 octets libres . - - End Of File - - 67B049F26F6E121C23202BE0C2C07E37 PS : Mbam n'a rien trouve. PS2 : J'ai cette fois-ci arrete le processus d'Outpost, mais il l'indique quand meme actif... (a cause de son service ?) ?

Pour VRT, y'a pas de soucis, il est desactive car ne me sert strictement a rien qu'il se lance a mon demarrage, en plus, ca n'aurait fait que prolonger mon acces. Par contre, il y a ses deux pilotes d'installer. J'assume si il y a eventuellemnt des interferences. Mais j'en doute, le virus ne s'est pas attaque a mes fichiers systemes, et aux pilotes non plus car je n'ai pas eu de dysfonctionnement de ce cote-la. Il n'a eu d'impact que sur mes logiciels et mes fichiers .htm/.html Je ne fais jamais de maj microsoft, j'ai desactive le service, j'utilise des logiciels de bidouilles pour ma securite. Concernant VMWare, il est sur un disque externe, et je m'en sers seulement a l'occasion. Et tu ne parles pas tout seul pusique je reponds le plus exactement possible a tes questions, ce qui est normal. Ok, pour la nouvelle manip', je t'attends. Merci. @ plus tard.

c:\docs and sets\AnneGel\Menu Démarrer\Programmes\Démarrage\StartupFaster setup_9.0.0.722_19.02.2011_20-12.lnk - d:\virus removal tool\setup_9.0.0.722_19.02.2011_20-12\startup.exe [2011-2-19 72208] StartupFaster.ini Ca date du 19.02... je l'avais vire entre temps... il ne se lance plus au demarrage depuis... Pour les MAJ, je ne les fait jamais, et cela me regarde. Je gere ma securite autrement. Et je n'avais pas deux antivirus, j'ai essaye d'installer GData a partir de l'infection. Concernant SynBack, je n'ai fait aucune sauvegarde depuis mon infection, je ne suis pas stupide . Quant a mon image, j'en ai une, mais que de mon systeme, et certainement pas de ma partition contenant 200go de donnees ! Puis elle date de trop longtemps. Soit tu me laisses tomber avec VRT soit on laisse tomber tout court et je me debrouille. PS : L'infection ne "revient" pas... elle se propage puisqu'il s'agit d'un ver. Donc a chaque utilisation d'un logiciel non infecte, boom, contamination. PS2 : Il faut trouver la source de propagation du virus qui genere ce satane fichier rdphiapq.exe, j'vois pas en quoi la seule presence du dossier VRT va gener dans cette demarche ! Donc soit tu connais un logiciel capable de remonter le fil du virus soit tu connais la marche a suivre en passant par plusieurs logiciels ou en le faisant manuellement soit t'es depasse et c'est pas grave, on laisse tomber. Telle est la reelle logique.

Mark, pour VRT, aucun processus ne tourne et aucun service n'est actif (normal puisqu'il est desinstalle, seul son dossier est encore present). Alors, je me demande bien ou peuvent se trouver ses modules... ? Donc pas d'interferences, ce qui est effectivement pertinent d'eviter pour une desinfection. Et je ne vais pas le garder indefiniment, je sais tres bien que sa vocation n'est pas de me proteger . Quant a Outpost, rassures-toi, il est desactive puisque le vers l'a tue. L'icone est simplement encore presente dans mon systray, et il demeure aussi un processus, qu'en effet, j'ai oublie d'arreter sur le coup, mais il est totalement inactif, donc desactive malgre ce que pretend ComboFix qui me dit aussi que GData est actif alors que ce n'est pas le cas non plus, et que pour ce dernier, je n'ai aucunes traces nulle part, d'autant plus que j'ai meme exclusivement utilise un nettoyeur. Je compte, evidemment, mettre tout ca au propre apres la desinfection, mais chaque chose en son temps.

J'en conviens, mais je souhaiterais faire abstraction de sa desinstallation pour le moment. En quoi les pilotes nous nuisent-ils ?!

OK, merci. Virus Removal Tool, je le laisse volontairement et g data j'ai nettoye manuellement ce qu'il restait car il s'etait mal desinstalle.

ComboFix 11-03-02.05 - AnneGel 03/03/2011 16:24:20.4.2 - x86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.2038.1449 [GMT 1:00] Lancé depuis: c:\docs and sets\AnneGel\Bureau\ComboFix.exe Commutateurs utilisés :: c:\docs and sets\AnneGel\Bureau\CFScript.txt AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7} AV: G Data AntiVirus 2011 *Enabled/Outdated* {71310606-6F3B-49F2-9A81-8315AA75FBB3} FW: Outpost Firewall *Enabled* {8A20CA2A-9E02-4A64-923B-0A38208EB7FD} FILE :: "c:\docs and sets\AnneGel\Menu Démarrer\Programmes\Démarrage\rdphiapq.exe" . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\programmes\Internet Explorer\dmlconf.dat c:\programmes\Internet Explorer\IEXPLOREmgr.exe c:\programmes\jwxuxaga c:\programmes\jwxuxaga\rdphiapq.exe . ((((((((((((((((((((((((((((( Fichiers créés du 2011-02-03 au 2011-03-03 )))))))))))))))))))))))))))))))))))) . 2011-02-20 18:09 . 2011-02-26 12:20 99840 ------w- c:\programmes\Internet Explorer\iexploremgrmgr.exe 2011-02-19 19:47 . 2009-10-22 11:54 37392 ----a-w- c:\windows\system32\drivers\71140782.sys 2011-02-19 19:47 . 2009-10-09 21:31 315408 ----a-w- c:\windows\system32\drivers\7114078.sys 2011-02-19 19:47 . 2009-09-25 15:59 128016 ----a-w- c:\windows\system32\drivers\71140781.sys 2011-02-18 14:15 . 2009-10-22 11:54 37392 ----a-w- c:\windows\system32\drivers\88026492.sys 2011-02-18 14:15 . 2009-10-09 21:31 315408 ----a-w- c:\windows\system32\drivers\8802649.sys 2011-02-18 14:15 . 2009-09-25 15:59 128016 ----a-w- c:\windows\system32\drivers\88026491.sys 2011-02-16 14:37 . 2011-02-16 14:53 -------- d-----w- c:\docs and sets\All Users\Application Data\Alwil Software 2011-02-15 17:23 . 2011-02-15 17:23 38600 ----a-w- c:\windows\system32\drivers\HookCentre.sys 2011-02-15 17:22 . 2011-02-20 18:00 -------- d-----w- c:\docs and sets\All Users\Application Data\G DATA 2011-02-15 17:22 . 2011-02-20 18:00 -------- d-----w- c:\programmes\Fichiers communs\G Data 2011-02-15 16:40 . 2011-02-15 16:40 -------- d-----w- c:\docs and sets\AnneGel\Local Settings\Application Data\Downloaded Installations 2011-02-14 14:21 . 2011-02-14 14:21 -------- d-----w- c:\docs and sets\AnneGel\DoctorWeb 2011-02-13 01:52 . 2011-02-13 01:52 -------- d-----w- c:\docs and sets\AnneGel\Application Data\Avira 2011-02-13 01:47 . 2011-02-17 13:43 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys 2011-02-13 01:47 . 2011-02-15 23:23 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2011-02-13 01:47 . 2010-06-17 14:28 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys 2011-02-13 01:47 . 2010-06-17 14:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys 2011-02-13 01:47 . 2011-02-13 01:47 -------- d-----w- c:\programmes\Avira 2011-02-12 20:13 . 2011-02-12 20:18 -------- d-----w- c:\docs and sets\All Users\Application Data\moosoft 2011-02-12 16:20 . 2011-02-12 16:20 -------- d-----w- c:\docs and sets\AnneGel\Application Data\thecleaner 2011-02-11 22:01 . 2011-02-14 19:47 -------- d-----w- c:\docs and sets\AnneGel\Application Data\QuickScan 2011-02-11 17:35 . 2011-02-11 17:35 -------- d--h--w- c:\windows\PIF . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2011-03-03 13:58 . 2009-04-16 11:57 2672 -csha-w- c:\docs and sets\All Users\Application Data\KGyGaAvL.sys 2011-01-29 03:43 . 2011-01-29 03:43 1409 ----a-w- c:\windows\QTFont.for 2010-12-20 17:09 . 2009-03-07 23:40 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-12-20 17:08 . 2009-03-07 23:41 20952 -c--a-w- c:\windows\system32\drivers\mbam.sys . ------- Sigcheck ------- [-] 2004-08-18 . 27A5959C94EE173A063CA06BD14F021A . 359040 . . [5.1.2600.2180] . . c:\windows\system32\drivers\tcpip.sys [-] 2004-08-23 . 998F3F568F6074A35AB08CD3395A9DC2 . 1036288 . . [6.00.2900.2180] . . c:\windows\explorer.exe [-] 2008-04-23 . 2FA055D9A0AB73CC91912646FDF9C5EB . 1548288 . . [5.1.2600.2180] . . c:\windows\system32\sfcfiles.dll . ((((((((((((((((((((((((((((( SnapShot@2011-02-20_17.07.49 ))))))))))))))))))))))))))))))))))))))))) . + 2011-02-21 12:37 . 2011-02-26 12:20 99840 c:\windows\system32\svchostmgrmgr.exe + 2011-02-20 20:14 . 2011-02-26 12:20 99840 c:\windows\system32\svchostmgr.exe + 2011-02-20 20:14 . 2011-02-25 12:15 99840 c:\windows\system32\servicesmgrmgrmgrmgrmgrmgr.exe + 2011-02-20 20:14 . 2011-02-26 12:20 99840 c:\windows\system32\servicesmgrmgrmgrmgrmgr.exe + 2011-02-20 20:14 . 2011-02-26 12:20 99840 c:\windows\system32\servicesmgrmgrmgrmgr.exe + 2011-02-20 20:14 . 2011-02-26 12:20 99840 c:\windows\system32\servicesmgrmgrmgr.exe + 2011-02-20 20:14 . 2011-02-26 12:20 99840 c:\windows\system32\servicesmgrmgr.exe + 2011-02-20 20:14 . 2011-02-26 12:20 99840 c:\windows\system32\servicesmgr.exe - 2001-08-24 16:00 . 2010-11-11 11:38 82156 c:\windows\system32\perfc00C.dat + 2001-08-24 16:00 . 2011-02-20 17:12 82156 c:\windows\system32\perfc00C.dat - 2001-08-24 16:00 . 2010-11-11 11:38 68856 c:\windows\system32\perfc009.dat + 2001-08-24 16:00 . 2011-02-20 17:12 68856 c:\windows\system32\perfc009.dat + 2011-02-26 12:20 . 2011-02-26 12:20 99840 c:\windows\system32\lsassmgrmgrmgrmgrmgrmgr.exe + 2011-02-20 20:14 . 2011-02-26 12:20 99840 c:\windows\system32\lsassmgrmgrmgrmgrmgr.exe + 2011-02-20 20:14 . 2011-02-26 12:20 99840 c:\windows\system32\lsassmgrmgrmgrmgr.exe + 2011-02-20 20:14 . 2011-02-26 12:20 99840 c:\windows\system32\lsassmgrmgrmgr.exe + 2011-02-20 20:14 . 2011-02-26 12:20 99840 c:\windows\system32\lsassmgrmgr.exe + 2011-02-20 20:14 . 2011-02-26 12:20 99840 c:\windows\system32\lsassmgr.exe + 2011-02-20 20:14 . 2011-02-26 12:20 99840 c:\windows\system32\config\systemprofile\Menu Démarrer\Programmes\Démarrage\rdphiapq.exe + 2001-08-24 16:00 . 2011-02-20 17:12 503822 c:\windows\system32\perfh00C.dat - 2001-08-24 16:00 . 2010-11-11 11:38 503822 c:\windows\system32\perfh00C.dat - 2001-08-24 16:00 . 2010-11-11 11:38 435374 c:\windows\system32\perfh009.dat + 2001-08-24 16:00 . 2011-02-20 17:12 435374 c:\windows\system32\perfh009.dat . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "StartupFaster"="d:\progs\Startup Faster\startuploader.exe" [2009-10-25 1455376] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "nltide_3"="advpack.dll" [2007-08-13 123904] c:\windows\system32\config\systemprofile\Menu D‚marrer\Programmes\D‚marrage\ rdphiapq.exe [2011-2-26 99840] c:\windows\system32\config\systemprofile\Menu D‚marrer\Programmes\D‚marrage\ rdphiapq.exe [2011-2-26 99840] c:\docs and sets\AnneGel\Menu D‚marrer\Programmes\D‚marrage\ rdphiapq.exe [2011-2-26 99840] c:\docs and sets\AnneGel\Menu D‚marrer\Programmes\D‚marrage\StartupFaster setup_9.0.0.722_19.02.2011_20-12.lnk - d:\virus removal tool\setup_9.0.0.722_19.02.2011_20-12\startup.exe [2011-2-19 72208] StartupFaster.ini [2011-2-20 353] c:\docs and sets\All Users\Menu D‚marrer\Programmes\D‚marrage\StartupFaster Bluetooth Manager.lnk - c:\programmes\Toshiba\Bluetooth Toshiba Stack\TosBtMng1.exe [N/A] StartupFaster.ini [2011-2-20 296] c:\windows\system32\config\systemprofile\Menu D‚marrer\Programmes\D‚marrage\ rdphiapq.exe [2011-2-26 99840] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "SynchronousMachineGroupPolicy"= 0 (0x0) "SynchronousUserGroupPolicy"= 0 (0x0) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoSMConfigurePrograms"= 1 (0x1) "NoSMMyDocs"= 1 (0x1) "NoSMMyPictures"= 1 (0x1) [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"= 1 (0x1) "NoSMHelp"= 1 (0x1) "NoSMConfigurePrograms"= 1 (0x1) "StartMenuLogoff"= 1 (0x1) "NoSMMyDocs"= 1 (0x1) "NoSMMyPictures"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AcronisTimounterMonitor] 2006-07-20 23:15 1848218 ------w- d:\progs\Acronis True Image\TimounterMonitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\agentantidote.exe] 2010-06-29 18:22 806080 ------w- d:\progs\Antidote\Programmes32\agentantidote.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IAStorIcon] 2010-11-05 22:54 283160 -c----w- c:\programmes\Intel\Intel® Rapid Storage Technology\IAStorIcon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickFinder Scheduler] 2009-06-22 23:29 83232 -c----w- d:\progs\Word Perfect\WordPerfect Office X4\Programs\QFSCHD140.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] 2011-02-19 21:54 201051 -c----w- d:\progs\Le Visuel\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] 2010-02-18 09:43 248040 -c----w- c:\programmes\Fichiers communs\Java\Java Update\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrueImageMonitor.exe] 2006-07-20 23:12 1106531 ------w- d:\progs\Acronis True Image\TrueImageMonitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ultralingua 7 Hotkey] 2009-11-04 12:07 1483264 ----a-w- d:\progs\Ultralingua\ULHotkey.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "AcrSch2Svc"=2 (0x2) "AVKWCtl"=2 (0x2) "AVKService"=2 (0x2) "AVKProxy"=2 (0x2) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:2\\Vmware\\vmware-authd.exe"= "d:\\Progs\\Vlc\\vlc.exe"= "d:\\Progs\\Emule\\emule.exe"= "d:\\Progs\\Opera\\opera.exe"= "d:\\Progs\\µTorrent\\µTorrent.exe"= "c:\\Programmes\\NetMeeting\\conf.exe"= R0 71140782;71140782 Boot Guard Driver;c:\windows\system32\drivers\71140782.sys [19/02/2011 20:47 37392] R0 88026492;88026492 Boot Guard Driver;c:\windows\system32\drivers\88026492.sys [18/02/2011 15:15 37392] R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [08/03/2009 12:37 717296] R1 71140781;71140781;c:\windows\system32\drivers\71140781.sys [19/02/2011 20:47 128016] R1 88026491;88026491;c:\windows\system32\drivers\88026491.sys [18/02/2011 15:15 128016] R1 SandBox;SandBox;c:\windows\system32\drivers\SandBox.sys [11/11/2010 12:50 704384] R1 setup_9.0.0.722_17.02.2011_18-13drv;setup_9.0.0.722_17.02.2011_18-13drv;c:\windows\system32\drivers\8802649.sys [18/02/2011 15:15 315408] R1 setup_9.0.0.722_19.02.2011_20-12drv;setup_9.0.0.722_19.02.2011_20-12drv;c:\windows\system32\drivers\7114078.sys [19/02/2011 20:47 315408] R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\programmes\Avira\AntiVir Desktop\sched.exe [13/02/2011 02:47 135336] R2 MBAMService;MBAMService;c:\programmes\Malwarebytes\mbamservice.exe [08/03/2009 00:41 363344] R2 vmci;VMware vmci;c:\windows\system32\drivers\vmci.sys [26/03/2009 22:05 54960] R3 afw;Agnitum firewall driver;c:\windows\system32\drivers\afw.sys [11/11/2010 12:49 31128] R3 afwcore;afwcore;c:\windows\system32\drivers\afwcore.sys [11/11/2010 12:50 257432] R3 FUJ02E1;%FUJ02E1.DeviceDesc%;c:\windows\system32\drivers\FUJ02E1.sys [07/03/2009 23:31 5632] R3 FUJ02E3;Fujitsu FUJ02E3 Device Driver;c:\windows\system32\drivers\fuj02e3.sys [07/03/2009 23:31 4864] R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [08/03/2009 00:41 20952] R3 VCSVADHWSer;Avnex Virtual Audio Device (WDM);c:\windows\system32\drivers\vcsvad.sys [26/01/2010 23:31 17792] S0 GDBehave;GDBehave;c:\windows\system32\drivers\GDBehave.sys --> c:\windows\system32\drivers\GDBehave.sys [?] S1 GDMnIcpt;GDMnIcpt;\??\c:\windows\system32\drivers\MiniIcpt.sys --> c:\windows\system32\drivers\MiniIcpt.sys [?] S2 IAStorDataMgrSvc;Intel® Rapid Storage Technology;c:\programmes\Intel\Intel® Rapid Storage Technology\IAStorDataMgrSvc.exe [04/11/2010 18:19 13336] S2 OS Selector;Acronis OS Selector activator;d:\progs\Acronis Disk Director\OSS\reinstall_svc.exe [25/05/2010 18:53 2139400] S2 vnccom;vnccom;c:\windows\system32\drivers\vnccom.SYS [13/03/2009 14:03 6016] S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [07/03/2009 23:20 1684736] S3 HookCentre;HookCentre;c:\windows\system32\drivers\HookCentre.sys [15/02/2011 18:23 38600] S3 I97DRIVER;I97DRIVER;\??\d:\progs\Fix-It\dgs.sys --> d:\progs\Fix-It\dgs.sys [?] S3 PORTMON;PORTMON;\??\d:\progs\Sysinternals Suite\PORTMSYS.SYS --> d:\progs\Sysinternals Suite\PORTMSYS.SYS [?] S3 SCREAMINGBDRIVER;Screaming Bee Audio;c:\windows\system32\drivers\ScreamingBAudio.sys [26/11/2009 00:06 34384] S3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;d:\progs\Tune Up Utilities\TuneUpUtilitiesDriver32.sys [24/02/2010 14:41 10064] S4 AVKService;G Data Scheduler;c:\programmes\GData\AVK\AVKService.exe --> c:\programmes\GData\AVK\AVKService.exe [?] S4 AVKWCtl;G Data Gardien;c:\programmes\GData\AVK\AVKWCtl.exe --> c:\programmes\GData\AVK\AVKWCtl.exe [?] S4 TuneUp.UtilitiesSvc;TuneUp Utilities Service;d:\progs\Tune Up Utilities\TuneUpUtilitiesService32.exe [30/09/2010 16:15 1051968] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Contenu du dossier 'Tâches planifiées' 2011-02-15 c:\windows\Tasks\SyncBack Synchro Bureau 2.job - d:\progs\Syncback\SyncBack.exe [2009-05-26 10:00] 2011-02-09 c:\windows\Tasks\SyncBack Synchro Bureau.job - d:\progs\Syncback\SyncBack.exe [2009-05-26 10:00] 2011-01-31 c:\windows\Tasks\SyncBack Synchro config.job - d:\progs\Syncback\SyncBack.exe [2009-05-26 10:00] 2011-01-31 c:\windows\Tasks\SyncBack Synchro docs.job - d:\progs\Syncback\SyncBack.exe [2009-05-26 10:00] . . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.google.fr/ IE: Add to &Evernote - d:\progs\Evernote\enbar.dll/2000 IE: Ouvrir dans WordPerfect - d:\progs\Word Perfect\WordPerfect Office X4\Programs\WPLauncher.hta FF - ProfilePath - c:\docs and sets\AnneGel\Application Data\Mozilla\Firefox\Profiles\5jf06vqf.default\ FF - prefs.js: browser.startup.homepage - www.google.fr FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - d:\progs\Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} FF - Ext: Java Quick Starter: jqs@sun.com - c:\programmes\Java\lib\deploy\jqs\ff . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover Rootkit scan 2011-03-03 16:29 Windows 5.1.2600 Service Pack 2 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . --------------------- CLES DE REGISTRE BLOQUEES --------------------- [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation] "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32] @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}] @Denied: (A 2) (Everyone) @="IFlashBroker4" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . --------------------- DLLs chargées dans les processus actifs --------------------- - - - - - - - > 'winlogon.exe'(328) c:\windows\system32\l3codeca.acm . Heure de fin: 2011-03-03 16:31:58 ComboFix-quarantined-files.txt 2011-03-03 15:31 ComboFix2.txt 2011-02-20 18:16 ComboFix3.txt 2011-02-20 17:10 Avant-CF: 389 939 200 octets libres Après-CF: 530 530 304 octets libres - - End Of File - - 37BDB6F58B4BC25321626DA5EAF23BCC PS : Le mauvais dossier apparait toujours, et j'ai toujours le processus iexplorer.exe qui se lance a chaque demarrage qui est une liaison du virus car avant il me le faisait avec Opera que j'ai reinstalle et ou depuis il s'est supplante a IE. PS 2 : En quoi a consister exactement ton script pour combofix ? A Supprimer le mauvais dossier et a remplacer le fichier userinit ?

ComboFix 02-03-17.02 - AnneGel 02/03/2011 17:02:30.1.2 - x86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.2038.1392 [GMT 1:00] Lancé depuis: c:\docs and sets\AnneGel\Bureau\ComboFix.exe AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7} AV: G Data AntiVirus 2011 *Enabled/Outdated* {71310606-6F3B-49F2-9A81-8315AA75FBB3} FW: Outpost Firewall *Enabled* {8A20CA2A-9E02-4A64-923B-0A38208EB7FD} AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !! . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\docs and sets\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat c:\docs and sets\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat c:\programmes\Internet Explorer\dmlconf.dat c:\programmes\K-Lite Codec Pack\Tools\StatsReader.exe ----- BITS: Il y a peut-être des sites infectés ----- hxxp://82.98.231.95 . ((((((((((((((((((((((((((((((((((((((( Pilotes/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_RKHIT ((((((((((((((((((((((((((((( Fichiers créés du 2011-01-20 au 2011-03-02 )))))))))))))))))))))))))))))))))))) . 2011-02-19 19:47 . 2009-10-22 11:54 37392 ----a-w- c:\windows\system32\drivers\71140782.sys 2011-02-19 19:47 . 2009-10-09 21:31 315408 ----a-w- c:\windows\system32\drivers\7114078.sys 2011-02-19 19:47 . 2009-09-25 15:59 128016 ----a-w- c:\windows\system32\drivers\71140781.sys 2011-02-19 19:34 . 2011-02-19 23:12 -------- d-----w- c:\programmes\jwxuxaga 2011-02-18 14:15 . 2009-10-22 11:54 37392 ----a-w- c:\windows\system32\drivers\88026492.sys 2011-02-18 14:15 . 2009-10-09 21:31 315408 ----a-w- c:\windows\system32\drivers\8802649.sys 2011-02-18 14:15 . 2009-09-25 15:59 128016 ----a-w- c:\windows\system32\drivers\88026491.sys 2011-02-16 14:37 . 2011-02-16 14:53 -------- d-----w- c:\docs and sets\All Users\Application Data\Alwil Software 2011-02-15 17:23 . 2011-02-15 17:23 51784 ----a-w- c:\windows\system32\drivers\GDTdiIcpt.sys 2011-02-15 17:23 . 2011-02-15 17:23 38600 ----a-w- c:\windows\system32\drivers\HookCentre.sys 2011-02-15 17:23 . 2011-02-15 17:23 61512 ----a-w- c:\windows\system32\drivers\MiniIcpt.sys 2011-02-15 17:23 . 2011-02-15 17:23 33480 ----a-w- c:\windows\system32\drivers\GDBehave.sys 2011-02-15 17:22 . 2011-02-15 17:23 -------- d-----w- c:\docs and sets\All Users\Application Data\G DATA 2011-02-15 17:22 . 2011-02-15 17:22 -------- d-----w- c:\programmes\Fichiers communs\G Data 2011-02-15 16:40 . 2011-02-15 16:40 -------- d-----w- c:\docs and sets\AnneGel\Local Settings\Application Data\Downloaded Installations 2011-02-14 14:21 . 2011-02-14 14:21 -------- d-----w- c:\docs and sets\AnneGel\DoctorWeb 2011-02-13 01:52 . 2011-02-13 01:52 -------- d-----w- c:\docs and sets\AnneGel\Application Data\Avira 2011-02-13 01:47 . 2011-02-17 13:43 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys 2011-02-13 01:47 . 2011-02-15 23:23 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2011-02-13 01:47 . 2010-06-17 14:28 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys 2011-02-13 01:47 . 2010-06-17 14:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys 2011-02-13 01:47 . 2011-02-13 01:47 -------- d-----w- c:\programmes\Avira 2011-02-12 20:13 . 2011-02-12 20:18 -------- d-----w- c:\docs and sets\All Users\Application Data\moosoft 2011-02-12 16:20 . 2011-02-12 16:20 -------- d-----w- c:\docs and sets\AnneGel\Application Data\thecleaner 2011-02-11 22:01 . 2011-02-14 19:47 -------- d-----w- c:\docs and sets\AnneGel\Application Data\QuickScan 2011-02-11 17:35 . 2011-02-11 17:35 -------- d--h--w- c:\windows\PIF 2011-01-31 15:43 . 2011-01-31 15:43 -------- d-----w- c:\docs and sets\AnneGel\Application Data\gtk-2.0 2011-01-31 15:43 . 2011-01-31 15:43 -------- d-----w- c:\docs and sets\AnneGel\.thumbnails 2011-01-31 13:18 . 2011-01-31 15:51 -------- d-----w- c:\docs and sets\AnneGel\.gimp-2.6 2011-01-29 03:43 . 2011-01-29 03:43 1409 ----a-w- c:\windows\QTFont.for . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2011-02-14 18:21 . 2009-04-16 11:57 2672 -csha-w- c:\docs and sets\All Users\Application Data\KGyGaAvL.sys 2010-12-20 17:09 . 2009-03-07 23:40 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-12-20 17:08 . 2009-03-07 23:41 20952 -c--a-w- c:\windows\system32\drivers\mbam.sys . ------- Sigcheck ------- [-] 2004-08-18 . 27A5959C94EE173A063CA06BD14F021A . 359040 . . [5.1.2600.2180] . . c:\windows\system32\drivers\tcpip.sys [-] 2004-08-23 . 998F3F568F6074A35AB08CD3395A9DC2 . 1036288 . . [6.00.2900.2180] . . c:\windows\explorer.exe [-] 2008-04-23 . 2FA055D9A0AB73CC91912646FDF9C5EB . 1548288 . . [5.1.2600.2180] . . c:\windows\system32\sfcfiles.dll [7] 2007-08-13 . DE49B348A18369B4626FBA1D49B07FB4 . 622080 . . [7.00.5730.13] . . c:\windows\system32\dllcache\iexplore.exe [7] 2004-08-04 . 833E2B3F0E2484C0F2B804AE871B4381 . 93184 . . [6.00.2900.2180] . . c:\windows\ie7\iexplore.exe . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "StartupFaster"="d:\progs\Startup Faster\startuploader.exe" [2009-10-25 1455376] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "nltide_3"="advpack.dll" [2007-08-13 123904] c:\docs and sets\AnneGel\Menu D‚marrer\Programmes\D‚marrage\ rdphiapq.exe [2011-2-20 99840] c:\docs and sets\AnneGel\Menu D‚marrer\Programmes\D‚marrage\StartupFaster setup_9.0.0.722_19.02.2011_20-12.lnk - d:\virus removal tool\setup_9.0.0.722_19.02.2011_20-12\startup.exe [2011-2-19 72208] StartupFaster.ini [2011-2-20 353] c:\docs and sets\All Users\Menu D‚marrer\Programmes\D‚marrage\StartupFaster Bluetooth Manager.lnk - c:\programmes\Toshiba\Bluetooth Toshiba Stack\TosBtMng1.exe [N/A] StartupFaster.ini [2011-2-20 296] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "SynchronousMachineGroupPolicy"= 0 (0x0) "SynchronousUserGroupPolicy"= 0 (0x0) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoSMConfigurePrograms"= 1 (0x1) "NoSMMyDocs"= 1 (0x1) "NoSMMyPictures"= 1 (0x1) [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"= 1 (0x1) "NoSMHelp"= 1 (0x1) "NoSMConfigurePrograms"= 1 (0x1) "StartMenuLogoff"= 1 (0x1) "NoSMMyDocs"= 1 (0x1) "NoSMMyPictures"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "Userinit"="c:\windows\system32\userinit.exe,c:\programmes\jwxuxaga\rdphiapq.exe," "Taskman"="" [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=c:\progra~1\Outpost\wl_hook.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AcronisTimounterMonitor] 2006-07-20 23:15 1848218 ----a-w- d:\progs\Acronis True Image\TimounterMonitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\agentantidote.exe] 2010-06-29 18:22 806080 ------w- d:\progs\Antidote\Programmes32\agentantidote.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IAStorIcon] 2010-11-05 22:54 283160 -c--a-w- c:\programmes\Intel\Intel® Rapid Storage Technology\IAStorIcon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickFinder Scheduler] 2009-06-22 23:29 83232 -c--a-w- d:\progs\Word Perfect\WordPerfect Office X4\Programs\QFSCHD140.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] 2011-02-19 21:54 201051 -c----w- d:\progs\Le Visuel\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] 2010-02-18 09:43 248040 -c--a-w- c:\programmes\Fichiers communs\Java\Java Update\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrueImageMonitor.exe] 2006-07-20 23:12 1106531 ----a-w- d:\progs\Acronis True Image\TrueImageMonitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ultralingua 7 Hotkey] 2009-11-04 12:07 1483264 ----a-w- d:\progs\Ultralingua\ULHotkey.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "AcrSch2Svc"=2 (0x2) "AVKWCtl"=2 (0x2) "AVKService"=2 (0x2) "AVKProxy"=2 (0x2) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:2\\Vmware\\vmware-authd.exe"= "d:\\Progs\\Vlc\\vlc.exe"= "d:\\Progs\\Emule\\emule.exe"= "d:\\Progs\\Opera\\opera.exe"= "d:\\Progs\\µTorrent\\µTorrent.exe"= "c:\\Programmes\\NetMeeting\\conf.exe"= R0 71140782;71140782 Boot Guard Driver;c:\windows\system32\drivers\71140782.sys [19/02/2011 20:47 37392] R0 88026492;88026492 Boot Guard Driver;c:\windows\system32\drivers\88026492.sys [18/02/2011 15:15 37392] R0 GDBehave;GDBehave;c:\windows\system32\drivers\GDBehave.sys [15/02/2011 18:23 33480] R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [08/03/2009 12:37 717296] R1 71140781;71140781;c:\windows\system32\drivers\71140781.sys [19/02/2011 20:47 128016] R1 88026491;88026491;c:\windows\system32\drivers\88026491.sys [18/02/2011 15:15 128016] R1 SandBox;SandBox;c:\windows\system32\drivers\SandBox.sys [11/11/2010 12:50 704384] R1 setup_9.0.0.722_17.02.2011_18-13drv;setup_9.0.0.722_17.02.2011_18-13drv;c:\windows\system32\drivers\8802649.sys [18/02/2011 15:15 315408] R1 setup_9.0.0.722_19.02.2011_20-12drv;setup_9.0.0.722_19.02.2011_20-12drv;c:\windows\system32\drivers\7114078.sys [19/02/2011 20:47 315408] R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\programmes\Avira\AntiVir Desktop\sched.exe [13/02/2011 02:47 135336] R2 GDTdiInterceptor;GDTdiInterceptor;c:\windows\system32\drivers\GDTdiIcpt.sys [15/02/2011 18:23 51784] R2 MBAMService;MBAMService;c:\programmes\Malwarebytes\mbamservice.exe [08/03/2009 00:41 363344] R2 vmci;VMware vmci;c:\windows\system32\drivers\vmci.sys [26/03/2009 22:05 54960] R3 afw;Agnitum firewall driver;c:\windows\system32\drivers\afw.sys [11/11/2010 12:49 31128] R3 afwcore;afwcore;c:\windows\system32\drivers\afwcore.sys [11/11/2010 12:50 257432] R3 FUJ02E1;%FUJ02E1.DeviceDesc%;c:\windows\system32\drivers\FUJ02E1.sys [07/03/2009 23:31 5632] R3 FUJ02E3;Fujitsu FUJ02E3 Device Driver;c:\windows\system32\drivers\fuj02e3.sys [07/03/2009 23:31 4864] R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [08/03/2009 00:41 20952] R3 VCSVADHWSer;Avnex Virtual Audio Device (WDM);c:\windows\system32\drivers\vcsvad.sys [26/01/2010 23:31 17792] S1 GDMnIcpt;GDMnIcpt;c:\windows\system32\drivers\MiniIcpt.sys [15/02/2011 18:23 61512] S2 IAStorDataMgrSvc;Intel® Rapid Storage Technology;c:\programmes\Intel\Intel® Rapid Storage Technology\IAStorDataMgrSvc.exe [04/11/2010 18:19 13336] S2 OS Selector;Acronis OS Selector activator;d:\progs\Acronis Disk Director\OSS\reinstall_svc.exe [25/05/2010 18:53 2139400] S2 vnccom;vnccom;c:\windows\system32\drivers\vnccom.SYS [13/03/2009 14:03 6016] S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [07/03/2009 23:20 1684736] S3 HookCentre;HookCentre;c:\windows\system32\drivers\HookCentre.sys [15/02/2011 18:23 38600] S3 I97DRIVER;I97DRIVER;\??\d:\progs\Fix-It\dgs.sys --> d:\progs\Fix-It\dgs.sys [?] S3 PORTMON;PORTMON;\??\d:\progs\Sysinternals Suite\PORTMSYS.SYS --> d:\progs\Sysinternals Suite\PORTMSYS.SYS [?] S3 SCREAMINGBDRIVER;Screaming Bee Audio;c:\windows\system32\drivers\ScreamingBAudio.sys [26/11/2009 00:06 34384] S3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;d:\progs\Tune Up Utilities\TuneUpUtilitiesDriver32.sys [24/02/2010 14:41 10064] S4 AVKProxy;AVKProxy;c:\programmes\Fichiers communs\G Data\AVKProxy\AVKProxy.exe [12/04/2010 16:31 1069640] S4 AVKService;G Data Scheduler;c:\programmes\GData\AVK\AVKService.exe --> c:\programmes\GData\AVK\AVKService.exe [?] S4 AVKWCtl;G Data Gardien;c:\programmes\GData\AVK\AVKWCtl.exe --> c:\programmes\GData\AVK\AVKWCtl.exe [?] S4 GDScan;G Data Scanner;c:\programmes\Fichiers communs\G Data\GDScan\GDScan.exe [22/04/2010 13:59 339016] S4 TuneUp.UtilitiesSvc;TuneUp Utilities Service;d:\progs\Tune Up Utilities\TuneUpUtilitiesService32.exe [30/09/2010 16:15 1051968] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Contenu du dossier 'Tâches planifiées' 2011-02-15 c:\windows\Tasks\SyncBack Synchro Bureau 2.job - d:\progs\Syncback\SyncBack.exe [2009-05-26 10:00] 2011-02-09 c:\windows\Tasks\SyncBack Synchro Bureau.job - d:\progs\Syncback\SyncBack.exe [2009-05-26 10:00] 2011-01-31 c:\windows\Tasks\SyncBack Synchro config.job - d:\progs\Syncback\SyncBack.exe [2009-05-26 10:00] 2011-01-31 c:\windows\Tasks\SyncBack Synchro docs.job - d:\progs\Syncback\SyncBack.exe [2009-05-26 10:00] . . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.google.fr/ IE: Add to &Evernote - d:\progs\Evernote\enbar.dll/2000 IE: Ouvrir dans WordPerfect - d:\progs\Word Perfect\WordPerfect Office X4\Programs\WPLauncher.hta FF - ProfilePath - c:\docs and sets\AnneGel\Application Data\Mozilla\Firefox\Profiles\5jf06vqf.default\ FF - prefs.js: browser.startup.homepage - www.google.fr FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - d:\progs\Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} FF - Ext: Java Quick Starter: jqs@sun.com - c:\programmes\Java\lib\deploy\jqs\ff . - - - - ORPHELINS SUPPRIMES - - - - MSConfigStartUp-Acronis Scheduler2 Service - c:\programmes\Fichiers communs\Acronis\Schedule2\schedhlp.exe MSConfigStartUp-OutpostFeedBack - c:\programmes\Outpost\feedback.exe AddRemove-uTorrent - d:\progs\µTorrent\uTorrent.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover Rootkit scan 2011-03-02 17:08 Windows 5.1.2600 Service Pack 2 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . --------------------- CLES DE REGISTRE BLOQUEES --------------------- [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation] "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32] @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}] @Denied: (A 2) (Everyone) @="IFlashBroker4" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . --------------------- DLLs chargées dans les processus actifs --------------------- - - - - - - - > 'winlogon.exe'(332) c:\windows\system32\l3codeca.acm - - - - - - - > 'explorer.exe'(3328) c:\windows\system32\msi.dll . ------------------------ Autres processus actifs ------------------------ . c:\programmes\Internet Explorer\iexplore.exe c:\programmes\Avira\AntiVir Desktop\avgnt.exe c:\windows\system32\igfxsrvc.exe c:\windows\system32\igfxpers.exe c:\programmes\Avira\AntiVir Desktop\avguard.exe c:\windows\system32\hkcmd.exe c:\programmes\Synaptics\SynTP\SynTPEnh.exe c:\progra~1\Outpost\op_mon.exe c:\programmes\Fichiers communs\Protexis\License Service\PsiService_2.exe c:\programmes\Avira\AntiVir Desktop\avshadow.exe d:\progs\Alcohol\StarWind\StarWindServiceAE.exe c:\windows\system32\wscntfy.exe . ************************************************************************** . Heure de fin: 2011-03-02 17:10:21 - La machine a redémarré ComboFix-quarantined-files.txt 2011-03-02 17:10 Avant-CF: 766 992 384 octets libres Après-CF: 789 655 552 octets libres - - End Of File - - E4D67811D89ED56B6F25C4A136137FFA

Deja, on a mis une semaine pour me repondre ici, je n'allais pas rester les bras croises, et non je n'ai pas poste "encore ailleurs". "ComboFix ne dit absolument pas qu'userinit.exe est infecté (il ne le louperait certainement pas, pas plus que Kaspersky qui est un peu plus sérieux qu'Antivir ou autre.)" Ou trouve-t-on cette idee dans mon propos ?! J'ai dit qu'il y avait un rajout a ce fichier dans le registre... Merci de tes efforts, je vais faire autrement, de plus, ce que tu m'as dit etre l'installation d'une console de recuperation m'impose le centre de securite que je ne desirais pas et dont j'ai desactive les services et qui se reactive a chaque fois, maintenant... @+

Le remplacement de ce fichier ne me semble pas logiquement pertinent.

"Le service pack correspondant à ton système va être alors téléchargé." Ca va m'installer un sp... ? Je ne pense pas que le remplacement du userinit va changer quelque chose puisqu'il y a un rajout avec la seconde ligne qui normalement n'existe pas... Si ca avait ete une modification, le virus aurait fait un rajout de code dans le userinit meme et il n'y aurait pas la presence de la ligne qui le suit...

Il date d'y il y a peu de jours, 2 je crois. Je ne tiens pas trop a installer le SP3, je suis restee volontairement avec le SP2 et je ne fais jamais de maj microsoft. Et le SP3 ne contient que des maj justement, et je ne me sers pas des logiciels de base de windows. Ni meme du centre de securite. L'installer ne va strictement rien changer au probleme. Il faut essayer de comprendre comment cette ligne se greffe au userinit pour une generation de ce satane fichier rdphiapq PS : Tu ne connaitrais pas un logiciel qui remonte le fil depuis un fichier pour trouver sa generation ? Une sorte de logiciel biographique des fichiers, lol. Ou un logiciel qui epie ce qu'il se passe en details pour qu'un fichier se genere sans arret au demarrage. Ca doit bien exister...

Et ZHPDiag ainsi que ZHPFix n'y peuvent rien ?