Antivirus XP 2008 et complications

[Ucky]

Bonjour à tous,

 

Mon ordi (portable HP pavilion) a été touché par antivirusXP2008. Je pense l'avoir retiré tout bien comme il faut (suppression des fichiers en mode sans echec, passage de Malwarebytes' Anti-Malware et un coup de regcleaner pour finir) mais j'ai comme l'impression qu'entre temps un bon petit paquet d'autre virus se sont installés. Je ne peux démarrer Windows (XP edition familiale)qu'en mode sans echec, le mode normal amenant à un écran bleu STOP erreur 0000007F du genre "réinstallez vos pilotes changés recemment" Je ne sais pas si cet écran est un fake d'écran bleu ou un vrai qui fait peur, mais je ne sais vraiment plus quoi faire, d'autant plus que je n'ai aucun point de réstauration windows que je pourrais récuperer. J'ai fait un rapport hijackthis, si quelqu'un pouvait me dire ce qu'il se passe, ça serait super gentil !!

 

Merci d'avance !

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:03:15, on 22/08/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Boot mode: Safe mode with network support

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\savedump.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\toutouyoutou\turlututut.exe

 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Pack Sécurité\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\Pack Sécurité\FSGUI\FSSW.EXE" /reboot

O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Pack Sécurité\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: Pack Sécurité.lnk = ?

O8 - Extra context menu item: &Bloquer cette fenêtre pub. - C:\Program Files\Pack Sécurité\Anti-Spyware\blockpopups.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\npjpi160_02.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\npjpi160_02.dll

O9 - Extra button: Parental... - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\Pack Sécurité\FSPC\fspcmsie.dll

O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Program Files\Pack Sécurité\FSPC\fspcmsie.dll

O9 - Extra 'Tools' menuitem: Parental... - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Program Files\Pack Sécurité\FSPC\fspcmsie.dll

O9 - Extra button: Protection IE - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\Pack Sécurité\Anti-Spyware\ieshield.dll

O9 - Extra 'Tools' menuitem: Protection IE... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\Pack Sécurité\Anti-Spyware\ieshield.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {983AB2CC-3D50-11D9-ADFE-00062919A34C} (ActiveXUpload.UserCtrl) - http://www.photoservice.com/activeX/newUpload.CAB

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Pack Sécurité (BackWeb Plug-in - 361343) - Pack Securite - C:\PROGRA~1\PACKSC~1\backweb\361343\Program\SERVIC~1.EXE

O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\Pack Sécurité\Anti-Virus\fsgk32st.exe

O23 - Service: FSBWSYS - F-Secure Corp. - C:\Program Files\Pack Sécurité\backweb\361343\program\fsbwsys.exe

O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Pack Sécurité\FWES\Program\fsdfwd.exe

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Pack Sécurité\Common\FSMA32.EXE

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\shared\hpqwmi.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

 

--

End of file - 5303 bytes

[Gof]

Bonjour Ucky

 

Messages: 1

Bienvenue sur les forums de Zebulon.

 

Quelques liens pour t'aider à commencer :

• Comment participer à un forum
  
• retrouver ses messages et activer la notification par email
  

 

On va voir ensemble ce qui se passe sur ton PC ; comme tous les intervenants ici, nous aidons bénévolement en fonction de nos activités personnelles. On va essayer d'aller au plus vite, mais il faudra peut-être parfois être patient pour attendre une réponse, pas d'affolement

 

 

---------

 

Au travail. Il est possible que les outils de sécurité réagissent aux outils, en ce cas il faudra ignorer les alertes, ou temporairement les désactiver.

 

Désactive le teatimer de Spybot en passant par les options de Spybot :

• Une fois dans le logiciel, il faut aller dans le menu "Mode"
  
• Coche "Mode avancé" puis "Outils"(en bas de page) et enfin "Résident"
  
• Décoche cette case: "Résident Teatimer" .
  
• Tu ne doit plus voir l'icône du Teatimer dans la barre de tâches!
  

 

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
  
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  
• Choisis ton compte.
  

Déroule la liste des instructions ci-dessous :

• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
  
• Appuie sur Y pour commencer le processus de nettoyage.
  
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  
• Appuie sur une touche pour redémarrer le PC.
  
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis effectué en mode normal!
  

 

Télécharge MsLook.exe, double-clique dessus. Presse une touche à la demande. Cela va travailler très rapidement et le bloc-notes va s'ouvrir, poste le contenu du bloc-notes dans ta prochaine réponse.

[Ucky]

Merci de t'occuper de mon cas !

Juste une petite question avant de faire la manipe : quand je télécharge Mslook depuis un autre ordi en bonne santé, Avast me dit que le fichier contient le troyen Win32:Spyware-gen [Trj], et j'avais cru lire quelquepart que c'était celui la qui générait antivirusXP 2008...

 

C'est normal tout ça ?

[Gof]

Oui, pas de soucis avec Mslook

[Ucky]

1ere étape, pas de problème

2ème étape, l'ordi ne démarre pas autrement qu'en mode sans echec, y compris après le redémarrage de SDfix, je n'ai donc pas de "Finished" qui apparait. Voici quand meme le fichier report.txt :

 

 

SDFix: Version 1.218

Run by Administrateur on 22/08/2008 at 21:00

 

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

 

Checking Services :

 

 

Restoring Default Security Values

Restoring Default Hosts File

 

 

Et le hijack réalisé après :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:10:06, on 22/08/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Boot mode: Safe mode with network support

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\savedump.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\toutouyoutou\turlututut.exe

 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Pack Sécurité\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\Pack Sécurité\FSGUI\FSSW.EXE" /reboot

O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Pack Sécurité\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [sDFix] C:\SDFix\RunThis.bat /second

O4 - HKLM\..\RunOnce: [sDFix] C:\SDFix\RunThis.bat /second

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Pack Sécurité.lnk = ?

O8 - Extra context menu item: &Bloquer cette fenêtre pub. - C:\Program Files\Pack Sécurité\Anti-Spyware\blockpopups.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\npjpi160_02.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\npjpi160_02.dll

O9 - Extra button: Parental... - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\Pack Sécurité\FSPC\fspcmsie.dll

O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Program Files\Pack Sécurité\FSPC\fspcmsie.dll

O9 - Extra 'Tools' menuitem: Parental... - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Program Files\Pack Sécurité\FSPC\fspcmsie.dll

O9 - Extra button: Protection IE - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\Pack Sécurité\Anti-Spyware\ieshield.dll

O9 - Extra 'Tools' menuitem: Protection IE... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\Pack Sécurité\Anti-Spyware\ieshield.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {983AB2CC-3D50-11D9-ADFE-00062919A34C} (ActiveXUpload.UserCtrl) - http://www.photoservice.com/activeX/newUpload.CAB

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Pack Sécurité (BackWeb Plug-in - 361343) - Pack Securite - C:\PROGRA~1\PACKSC~1\backweb\361343\Program\SERVIC~1.EXE

O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\Pack Sécurité\Anti-Virus\fsgk32st.exe

O23 - Service: FSBWSYS - F-Secure Corp. - C:\Program Files\Pack Sécurité\backweb\361343\program\fsbwsys.exe

O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Pack Sécurité\FWES\Program\fsdfwd.exe

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Pack Sécurité\Common\FSMA32.EXE

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\shared\hpqwmi.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

 

--

End of file - 5319 bytes

 

 

 

Voila voila !

 

Ca vaut le coup de continuer quand meme sur la 3ème étape ?

[Gof]

Oui, poursuis la troisième étape, elle est importante.

 

L'alerte que tu as en mode normal est vraisemblablement liée à l'infection, il ne s'agit sans doute pas d'un véritable écran bleu.

[Ucky]

Alors,

 

le rapport de MSlook :

MsLook.exe execute le : 22/08/2008 22:27:21,90

 

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ATIPTA]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="atiptaxx"

"hkey"="HKLM"

"command"="C:\\Program Files\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"

"inimapping"="0"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Cpqset]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="cpqset"

"hkey"="HKLM"

"command"="C:\\Program Files\\HPQ\\Default Settings\\cpqset.exe"

"inimapping"="0"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ctfmon.exe]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="ctfmon"

"hkey"="HKCU"

"command"="C:\\WINDOWS\\system32\\ctfmon.exe"

"inimapping"="0"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\eabconfg.cpl]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="EabServr"

"hkey"="HKLM"

"command"="C:\\Program Files\\HPQ\\Quick Launch Buttons\\EabServr.exe /Start"

"inimapping"="0"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\hpWirelessAssistant]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="HP Wireless Assistant"

"hkey"="HKLM"

"command"="C:\\Program Files\\hpq\\HP Wireless Assistant\\HP Wireless Assistant.exe"

"inimapping"="0"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IMJPMIG8.1]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="IMJPMIG"

"hkey"="HKLM"

"command"="\"C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE\" /Spoil /RemAdvDef /Migration32"

"inimapping"="0"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\iTunesHelper]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="iTunesHelper"

"hkey"="HKLM"

"command"="C:\\Program Files\\iTunes\\iTunesHelper.exe"

"inimapping"="0"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\lphc17gj0ep2g]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="lphc17gj0ep2g"

"hkey"="HKLM"

"command"="C:\\WINDOWS\\system32\\lphc17gj0ep2g.exe"

"inimapping"="0"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PHIME2002A]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="TINTSETP"

"hkey"="HKLM"

"command"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName"

"inimapping"="0"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PHIME2002ASync]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="TINTSETP"

"hkey"="HKLM"

"command"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC"

"inimapping"="0"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QuickTime Task]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="qttask"

"hkey"="HKLM"

"command"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"

"inimapping"="0"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SMrhc57gj0ep2g]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="rhc57gj0ep2g"

"hkey"="HKLM"

"command"="C:\\Program Files\\rhc57gj0ep2g\\rhc57gj0ep2g.exe"

"inimapping"="0"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="jusched"

"hkey"="HKLM"

"command"="\"C:\\Program Files\\Java\\jre1.6.0_02\\bin\\jusched.exe\""

"inimapping"="0"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SynTPEnh]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="SynTPEnh"

"hkey"="HKLM"

"command"="C:\\Program Files\\Synaptics\\SynTP\\SynTPEnh.exe"

"inimapping"="0"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SynTPLpr]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="SynTPLpr"

"hkey"="HKLM"

"command"="C:\\Program Files\\Synaptics\\SynTP\\SynTPLpr.exe"

"inimapping"="0"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\state]

"system.ini"=dword:00000000

"win.ini"=dword:00000000

"bootini"=dword:00000000

"services"=dword:00000000

"startup"=dword:00000002

 

 

 

celui de hijack :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:28:36, on 22/08/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Boot mode: Safe mode with network support

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\toutouyoutou\turlututut.exe

 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Pack Sécurité\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\Pack Sécurité\FSGUI\FSSW.EXE" /reboot

O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Pack Sécurité\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [sDFix] C:\SDFix\RunThis.bat /second

O4 - HKLM\..\RunOnce: [sDFix] C:\SDFix\RunThis.bat /second

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Pack Sécurité.lnk = ?

O8 - Extra context menu item: &Bloquer cette fenêtre pub. - C:\Program Files\Pack Sécurité\Anti-Spyware\blockpopups.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\npjpi160_02.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\npjpi160_02.dll

O9 - Extra button: Parental... - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\Pack Sécurité\FSPC\fspcmsie.dll

O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Program Files\Pack Sécurité\FSPC\fspcmsie.dll

O9 - Extra 'Tools' menuitem: Parental... - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Program Files\Pack Sécurité\FSPC\fspcmsie.dll

O9 - Extra button: Protection IE - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\Pack Sécurité\Anti-Spyware\ieshield.dll

O9 - Extra 'Tools' menuitem: Protection IE... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\Pack Sécurité\Anti-Spyware\ieshield.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {983AB2CC-3D50-11D9-ADFE-00062919A34C} (ActiveXUpload.UserCtrl) - http://www.photoservice.com/activeX/newUpload.CAB

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Pack Sécurité (BackWeb Plug-in - 361343) - Pack Securite - C:\PROGRA~1\PACKSC~1\backweb\361343\Program\SERVIC~1.EXE

O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\Pack Sécurité\Anti-Virus\fsgk32st.exe

O23 - Service: FSBWSYS - F-Secure Corp. - C:\Program Files\Pack Sécurité\backweb\361343\program\fsbwsys.exe

O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Pack Sécurité\FWES\Program\fsdfwd.exe

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Pack Sécurité\Common\FSMA32.EXE

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\shared\hpqwmi.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

 

--

End of file - 5236 bytes

 

voila !

[Gof]

Bon, SDFIX n'a pas fonctionné correctement parce que tu n'as pas pu redémarré en mode normal.

 

Télécharge OTMoveIt2 par OldTimer.

• Enregistre ce fichier sur le Bureau.
  
• Fais un double clic sur OTMoveIt2.exe pour lancer l'exécution de l'outil.
  
• Copie-colle la ligne de la zone "Code" ci-dessous dans dans la zone "Paste List of Files/Folders to Move"
  

  C:\WINDOWS\system32\lphc17gj0ep2g.exe
  C:\Program Files\rhc57gj0ep2g\rhc57gj0ep2g.exe
  C:\Program Files\rhc57gj0ep2g\

  
  

• Cliquer sur le bouton rouge Moveit!.
  
• Copie-colle tout ce qui se trouve dans la zone Results en réponse sur le forum.
  
• Fermer OTMoveIt2
  Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire afin de terminer le processus de déplacement. Si le redémarrage de la machine est demandé, choisir Oui/Yes. Dans ce cas, après le redémarrage, ouvrir le Bloc-notes (Démarrer->Tous les programmes->Accessoires->Bloc-notes), cliquer sur Fichier->Ouvrir, dans la zone "Nom du fichier" taper *.log et appuyer sur la touche Entrée, naviguer jusqu'au dossier C:\_OTMoveIt\MovedFiles, puis ouvrir le fichier .log le plus récent; ensuite faire un copier/coller du contenu de ce document en réponse sur le forum.
  

 

Relance un scan HijackThis

• Clique sur Do a system scan only et coche les lignes ci-dessous :
  

• O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
  O4 - Global Startup: Pack Sécurité.lnk = ?
  

• Ferme toutes les fenêtres sauf HijackThis et Fix Checked.
  

 

Télécharge remove.reg sur ton bureau.

• Double-clique dessus pour l'exécuter.
  
• Accepte la fusion au registre.
  
• Supprime le fichier.
  

 

Redémarre en mode normal, et poste le rapport SDFIX s'il est allé à terme de son analyse.

 

Que tu ais pu ou non redémarrer en mode normal, et que SDFIX ait été à terme ou non, télécharge DiagHelp.zip de Malekal_morte sur ton bureau.

• Décompresse le, sur ton bureau par exemple.
  
• Un nouveau dossier chercher va être créé DiagHelp.
  
• Ouvre le et double-clique sur go.cmd (le .cmd peut ne pas apparaître)
  
• Une fenêtre va s'ouvrir, choisis l'option 1
  
• L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur les touches quand on te le demande
  
• Une fenêtre internet va s'ouvrir, suis les consignes. Que cela fonctionne ou non, ferme la fenêtre, un rapport va s'ouvrir
  
• Copie/colle le contenu du bloc-note qui s'ouvre et joins le à ta prochaine réponse.
  (il et possible que l'antivirus s'affole lors de l'analyse avec diaghelp, c'est un faux positif, il faut ignorer les alertes. )
  

[Ucky]

rapport de OTMoveit2 :

 

------------------------

File/Folder C:\WINDOWS\system32\lphc17gj0ep2g.exe not found.

File/Folder C:\Program Files\rhc57gj0ep2g\rhc57gj0ep2g.exe not found.

Folder C:\Program Files\rhc57gj0ep2g\ not found.

 

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 08232008_111828

 

----------------------

 

Impossible de redémarrer en mode normal après avoir executé remove.reg

 

-------------------------

 

rapport deDiagHelp :

 

DiagHelp version v1.4 - http://www.malekal.com

excute le 23/08/2008 à 11:28:54,75

 

 

Liste des derniers fichies modifies/crees dans windir\system32 et prefetch

C:\WINDOWS\prefetch\IEXPLORE.EXE-27122324.pf -->19/08/2008 14:24:58

C:\WINDOWS\prefetch\WINMINE.EXE-0A3838A4.pf -->19/08/2008 14:18:42

C:\WINDOWS\prefetch\.TT96.TMP-0F4E6C94.pf -->19/08/2008 14:04:25

C:\WINDOWS\prefetch\WMIPRVSE.EXE-28F301A9.pf -->19/08/2008 14:04:04

C:\WINDOWS\prefetch\WSCRIPT.EXE-32960AB9.pf -->19/08/2008 14:03:53

C:\WINDOWS\prefetch\RLD90.TMP-248CB4D6.pf -->19/08/2008 14:03:47

C:\WINDOWS\prefetch\SPIDER.EXE-2D998CA6.pf -->19/08/2008 13:46:40

C:\WINDOWS\prefetch\WUAUCLT.EXE-399A8E72.pf -->19/08/2008 13:37:05

C:\WINDOWS\prefetch\JDC.EXE-3825D452.pf -->19/08/2008 13:07:43

C:\WINDOWS\prefetch\RUNDLL32.EXE-2CFA0BF8.pf -->19/08/2008 13:05:08

 

C:\WINDOWS\System32\drivers\ccc2fcbd.sys -->19/08/2008 14:24:56

C:\WINDOWS\System32\drivers\mbamswissarmy.sys -->17/08/2008 15:01:18

C:\WINDOWS\System32\drivers\mbam.sys -->17/08/2008 15:01:14

C:\WINDOWS\System32\drivers\tcpip.sys -->20/06/2008 12:45:13

C:\WINDOWS\System32\drivers\afd.sys -->20/06/2008 12:44:38

C:\WINDOWS\System32\drivers\tcpip6.sys -->20/06/2008 11:52:06

C:\WINDOWS\System32\drivers\bthport.sys -->14/06/2008 19:59:52

 

C:\WINDOWS\System32\wpa.dbl -->21/08/2008 19:32:41

C:\WINDOWS\System32\tmp.txt -->21/08/2008 12:10:23

C:\WINDOWS\System32\tmp.reg -->21/08/2008 12:10:23

C:\WINDOWS\System32\TZLog.log -->14/08/2008 23:58:41

C:\WINDOWS\System32\MRT.exe -->05/08/2008 20:11:01

C:\WINDOWS\System32\tzchange.exe -->14/07/2008 13:09:18

C:\WINDOWS\System32\es.dll -->07/07/2008 22:31:48

C:\WINDOWS\System32\FNTCACHE.DAT -->07/07/2008 07:22:53

C:\WINDOWS\System32\PerfStringBackup.INI -->06/07/2008 07:41:17

C:\WINDOWS\System32\perfh00C.dat -->06/07/2008 07:41:17

C:\WINDOWS\System32\perfh009.dat -->06/07/2008 07:41:17

C:\WINDOWS\System32\perfc00C.dat -->06/07/2008 07:41:17

C:\WINDOWS\System32\perfc009.dat -->06/07/2008 07:41:17

C:\WINDOWS\System32\mscms.dll -->24/06/2008 18:23:56

C:\WINDOWS\System32\mshtml.dll -->24/06/2008 10:28:24

C:\WINDOWS\System32\wininet.dll -->23/06/2008 18:28:23

C:\WINDOWS\System32\webcheck.dll -->23/06/2008 18:28:23

C:\WINDOWS\System32\urlmon.dll -->23/06/2008 18:28:23

C:\WINDOWS\System32\url.dll -->23/06/2008 18:28:22

C:\WINDOWS\System32\pngfilt.dll -->23/06/2008 18:28:22

C:\WINDOWS\System32\occache.dll -->23/06/2008 18:28:22

C:\WINDOWS\System32\mstime.dll -->23/06/2008 18:28:22

C:\WINDOWS\System32\msrating.dll -->23/06/2008 18:28:22

C:\WINDOWS\System32\mshtmled.dll -->23/06/2008 18:28:22

C:\WINDOWS\System32\msfeedsbs.dll -->23/06/2008 18:28:20

 

C:\WINDOWS\ntbtlog.txt -->23/08/2008 11:28:32

C:\WINDOWS\0.log -->23/08/2008 11:26:50

C:\WINDOWS\bootstat.dat -->23/08/2008 11:26:38

C:\WINDOWS\WindowsUpdate.log -->23/08/2008 11:25:06

C:\WINDOWS\setupapi.log -->21/08/2008 19:45:46

C:\WINDOWS\setupact.log -->21/08/2008 19:36:13

C:\WINDOWS\win.ini -->21/08/2008 15:42:00

C:\WINDOWS\system.ini -->21/08/2008 15:42:00

C:\WINDOWS\wiaservc.log -->19/08/2008 12:21:19

C:\WINDOWS\Scores6.MJ2 -->19/08/2008 12:08:44

C:\WINDOWS\NAME.MahJong2 -->19/08/2008 12:08:44

C:\WINDOWS\HERVE.MahJong2 -->19/08/2008 12:08:44

C:\WINDOWS\Scores3.MJ2 -->19/08/2008 12:07:01

C:\WINDOWS\wiadebug.log -->19/08/2008 11:40:17

C:\WINDOWS\SchedLgU.Txt -->18/08/2008 22:44:48

 

winlogon.exe

Verified: Signed

svchost.exe

Verified: Signed

ws2_32.dll

Verified: Signed

user32.dll

Verified: Signed

tcpip.sys

Verified: Signed

ndis.sys

Verified: Signed

null.sys

Verified: Signed

 

 

ListDLLs v2.25 - DLL lister for Win9x/NT

Copyright © 1997-2004 Mark Russinovich

Sysinternals - www.sysinternals.com

 

------------------------------------------------------------------------------

explorer.exe pid: 1688

Command line: C:\WINDOWS\Explorer.EXE

 

Base Size Version Path

0x44080000 0xd0000 7.00.6000.16705 C:\WINDOWS\system32\WININET.dll

0x00400000 0x9000 6.00.5441.0000 C:\WINDOWS\system32\Normaliz.dll

0x43e00000 0x45000 7.00.6000.16705 C:\WINDOWS\system32\iertutil.dll

0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll

0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL

0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll

0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL

0x44360000 0x5cd000 7.00.6000.16705 C:\WINDOWS\system32\ieframe.dll

0x7d200000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll

0x44160000 0x127000 7.00.6000.16705 C:\WINDOWS\system32\urlmon.dll

0x10000000 0x9000 6.50.12040.0000 C:\Program Files\Pack Sécurité\Common\fpshx.dll

0x17000000 0x21000 6.40.8825.0000 C:\Program Files\Pack Sécurité\Common\FSMA32.dll

0x18000000 0x11000 6.40.8825.0000 C:\Program Files\Pack Sécurité\Common\FSPMAPI.dll

0x017d0000 0x29000 7.00.1110.0000 C:\Program Files\Pack Sécurité\Common\fslapi.dll

0x73d20000 0xfe000 6.02.4131.0000 C:\WINDOWS\system32\MFC42.DLL

0x61d70000 0xe000 6.00.8665.0000 C:\WINDOWS\system32\MFC42LOC.DLL

0x01600000 0x12000 1.01.0000.0000 C:\Program Files\Malwarebytes' Anti-Malware\mbamext.dll

0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll

0x01cf0000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll

0x092d0000 0x7a000 5.02.3790.3646 C:\WINDOWS\system32\Audiodev.dll

0x086c0000 0x244000 10.00.0000.3702 C:\WINDOWS\system32\WMVCore.DLL

0x070d0000 0x3b000 10.00.0000.4060 C:\WINDOWS\system32\WMASF.DLL

 

ListDLLs v2.25 - DLL lister for Win9x/NT

Copyright © 1997-2004 Mark Russinovich

Sysinternals - www.sysinternals.com

 

------------------------------------------------------------------------------

winlogon.exe pid: 608

Command line: winlogon.exe

 

Base Size Version Path

0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe

0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\COMCTL32.dll

0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll

0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll

0x10000000 0x10000 6.14.0010.4114 C:\WINDOWS\system32\Ati2evxx.dll

0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll

0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL

 

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est E01C-6061

 

Répertoire de C:\WINDOWS\system32

 

05/08/2004 14:00 6 144 csrss.exe

1 fichier(s) 6 144 octets

0 Rép(s) 68 890 673 152 octets libres

 

Contenu de Downloaded Program Files

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est E01C-6061

 

Répertoire de C:\WINDOWS\Downloaded Program Files

 

21/02/2007 16:39 <REP> .

21/02/2007 16:39 <REP> ..

10/11/2006 13:39 65 desktop.ini

25/07/2002 19:13 24 576 dwusplay.dll

25/07/2002 19:13 196 608 dwusplay.exe

27/07/2004 17:48 323 584 isusweb.dll

09/09/2005 10:39 5 124 newUpload.INF

09/09/2005 10:37 688 128 newUpload.ocx

09/11/2006 15:36 5 019 swflash.inf

7 fichier(s) 1 243 104 octets

 

Total des fichiers listés :

7 fichier(s) 1 243 104 octets

2 Rép(s) 68 890 673 152 octets libres

 

Recherche de rootkit! (Merci S!Ri)

 

Recherche d'infections connues

 

Export des clefs sensibles..

 

 

Liste des fichiers en exception sur le pare-feu XP SP2

 

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\Pack Sécurité\\backweb\\361343\\Program\\fspex.exe"="C:\\Program Files\\Pack Sécurité\\backweb\\361343\\Program\\fspex.exe:*:Enabled:Pack Sécurité"

"C:\\Program Files\\Internet Explorer\\iexplore.exe"="C:\\Program Files\\Internet Explorer\\iexplore.exe:*:Enabled:Internet Explorer"

 

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\Pack Sécurité\\backweb\\361343\\Program\\fspex.exe"="C:\\Program Files\\Pack Sécurité\\backweb\\361343\\Program\\fspex.exe:*:Enabled:Pack Sécurité"

 

Export de la clef SharedTaskScheduler

 

[sharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 

 

 

exports des policies

REGEDIT4

 

[system]

"dontdisplaylastusername"=dword:00000000

"legalnoticecaption"=""

"legalnoticetext"=""

"shutdownwithoutlogon"=dword:00000001

"undockwithoutlogon"=dword:00000001

 

 

 

Export des clefs sensibles..

Rechercher adresses sensibles dans le fichier HOSTS...

catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-08-23 11:29:24

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden services & system hive ...

 

scanning hidden registry entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden services: 0

hidden files: 0

 

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Error loading kernel support driver!

Make sure you are running this as Administrator.

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Error loading kernel support driver!

Make sure you are running this as Administrator.

 

Liste des programmes installes

 

Adobe Acrobat - Reader 6.0.2 Update

Adobe Acrobat and Reader 6.0.3 Update

Adobe Flash Player 9 ActiveX

Adobe Reader 6.0.1 - Français

Arbre Généalogique

Athlon 64 Processor Driver

ATI - Utilitaire de désinstallation du logiciel

ATI Control Panel

ATI Display Driver

Broadcom 802.11 Wireless LAN Adapter

Canon i550

Canon Utilities Easy-PhotoPrint

Conexant AC-Link Audio

Correctif pour Windows Internet Explorer 7 (KB947864)

Correctif pour Windows XP (KB914440)

Correctif pour Windows XP (KB952287)

Correctif Windows XP - KB873333

Correctif Windows XP - KB873339

Correctif Windows XP - KB883667

Correctif Windows XP - KB884575

Correctif Windows XP - KB885250

Correctif Windows XP - KB885835

Correctif Windows XP - KB885836

Correctif Windows XP - KB885855

Correctif Windows XP - KB885884

Correctif Windows XP - KB886185

Correctif Windows XP - KB887472

Correctif Windows XP - KB888113

Correctif Windows XP - KB888239

Correctif Windows XP - KB888302

Correctif Windows XP - KB890047

Correctif Windows XP - KB890175

Correctif Windows XP - KB890859

Correctif Windows XP - KB891781

Correctif Windows XP - KB892559

Data Fax SoftModem with SmartCP

Digital Camera

Google Earth

Google Toolbar for Internet Explorer

Google Toolbar for Internet Explorer

HD Tune 2.52

HijackThis 2.0.2

Hotfix for Windows XP (KB915865)

HP Help and Support

HP Software Update

HP User Guides 0002

HP Wireless Assistant 1.01 A2

Icatch(IV) Camera Driver

InterVideo WinDVD

iTunes

iTunes

J2SE Runtime Environment 5.0 Update 11

J2SE Runtime Environment 5.0 Update 2

Jack Keane

Java 6 Update 2

Lecteur Windows Media 10

Malwarebytes' Anti-Malware

Marées version 4.65

Microsoft .NET Framework 1.1

Microsoft .NET Framework 1.1

Microsoft .NET Framework 1.1 French Language Pack

Microsoft .NET Framework 1.1 Hotfix (KB928366)

Microsoft Internationalized Domain Names Mitigation APIs

Microsoft National Language Support Downlevel APIs

Microsoft Office PowerPoint Viewer 2003

Microsoft Office Standard Edition 2003

Mise à jour de sécurité pour Lecteur Windows Media (KB911564)

Mise à jour de sécurité pour Lecteur Windows Media 10 (KB917734)

Mise à jour de sécurité pour Lecteur Windows Media 10 (KB936782)

Mise à jour de sécurité pour Lecteur Windows Media 6.4 (KB925398)

Mise à jour de sécurité pour Windows Internet Explorer 7 (KB928090)

Mise à jour de sécurité pour Windows Internet Explorer 7 (KB929969)

Mise à jour de sécurité pour Windows Internet Explorer 7 (KB931768)

Mise à jour de sécurité pour Windows Internet Explorer 7 (KB933566)

Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127)

Mise à jour de sécurité pour Windows Internet Explorer 7 (KB939653)

Mise à jour de sécurité pour Windows Internet Explorer 7 (KB942615)

Mise à jour de sécurité pour Windows Internet Explorer 7 (KB944533)

Mise à jour de sécurité pour Windows Internet Explorer 7 (KB950759)

Mise à jour de sécurité pour Windows Internet Explorer 7 (KB953838)

Mise à jour de sécurité pour Windows XP (KB893756)

Mise à jour de sécurité pour Windows XP (KB896358)

Mise à jour de sécurité pour Windows XP (KB896423)

Mise à jour de sécurité pour Windows XP (KB896424)

Mise à jour de sécurité pour Windows XP (KB896428)

Mise à jour de sécurité pour Windows XP (KB899587)

Mise à jour de sécurité pour Windows XP (KB899591)

Mise à jour de sécurité pour Windows XP (KB900725)

Mise à jour de sécurité pour Windows XP (KB901017)

Mise à jour de sécurité pour Windows XP (KB901190)

Mise à jour de sécurité pour Windows XP (KB901214)

Mise à jour de sécurité pour Windows XP (KB902400)

Mise à jour de sécurité pour Windows XP (KB904706)

Mise à jour de sécurité pour Windows XP (KB905414)

Mise à jour de sécurité pour Windows XP (KB905749)

Mise à jour de sécurité pour Windows XP (KB908519)

Mise à jour de sécurité pour Windows XP (KB911562)

Mise à jour de sécurité pour Windows XP (KB911567)

Mise à jour de sécurité pour Windows XP (KB911927)

Mise à jour de sécurité pour Windows XP (KB912919)

Mise à jour de sécurité pour Windows XP (KB913580)

Mise à jour de sécurité pour Windows XP (KB914388)

Mise à jour de sécurité pour Windows XP (KB914389)

Mise à jour de sécurité pour Windows XP (KB917344)

Mise à jour de sécurité pour Windows XP (KB917422)

Mise à jour de sécurité pour Windows XP (KB917953)

Mise à jour de sécurité pour Windows XP (KB918118)

Mise à jour de sécurité pour Windows XP (KB918439)

Mise à jour de sécurité pour Windows XP (KB919007)

Mise à jour de sécurité pour Windows XP (KB920213)

Mise à jour de sécurité pour Windows XP (KB920214)

Mise à jour de sécurité pour Windows XP (KB920670)

Mise à jour de sécurité pour Windows XP (KB920683)

Mise à jour de sécurité pour Windows XP (KB920685)

Mise à jour de sécurité pour Windows XP (KB921398)

Mise à jour de sécurité pour Windows XP (KB921503)

Mise à jour de sécurité pour Windows XP (KB922616)

Mise à jour de sécurité pour Windows XP (KB922760)

Mise à jour de sécurité pour Windows XP (KB922819)

Mise à jour de sécurité pour Windows XP (KB923191)

Mise à jour de sécurité pour Windows XP (KB923414)

Mise à jour de sécurité pour Windows XP (KB923689)

Mise à jour de sécurité pour Windows XP (KB923694)

Mise à jour de sécurité pour Windows XP (KB923980)

Mise à jour de sécurité pour Windows XP (KB924191)

Mise à jour de sécurité pour Windows XP (KB924270)

Mise à jour de sécurité pour Windows XP (KB924496)

Mise à jour de sécurité pour Windows XP (KB924667)

Mise à jour de sécurité pour Windows XP (KB925454)

Mise à jour de sécurité pour Windows XP (KB925486)

Mise à jour de sécurité pour Windows XP (KB925902)

Mise à jour de sécurité pour Windows XP (KB926255)

Mise à jour de sécurité pour Windows XP (KB926436)

Mise à jour de sécurité pour Windows XP (KB927779)

Mise à jour de sécurité pour Windows XP (KB927802)

Mise à jour de sécurité pour Windows XP (KB928255)

Mise à jour de sécurité pour Windows XP (KB928843)

Mise à jour de sécurité pour Windows XP (KB929123)

Mise à jour de sécurité pour Windows XP (KB930178)

Mise à jour de sécurité pour Windows XP (KB931261)

Mise à jour de sécurité pour Windows XP (KB931784)

Mise à jour de sécurité pour Windows XP (KB932168)

Mise à jour de sécurité pour Windows XP (KB933729)

Mise à jour de sécurité pour Windows XP (KB935839)

Mise à jour de sécurité pour Windows XP (KB935840)

Mise à jour de sécurité pour Windows XP (KB936021)

Mise à jour de sécurité pour Windows XP (KB938829)

Mise à jour de sécurité pour Windows XP (KB941202)

Mise à jour de sécurité pour Windows XP (KB941568)

Mise à jour de sécurité pour Windows XP (KB941569)

Mise à jour de sécurité pour Windows XP (KB941644)

Mise à jour de sécurité pour Windows XP (KB941693)

Mise à jour de sécurité pour Windows XP (KB943055)

Mise à jour de sécurité pour Windows XP (KB943460)

Mise à jour de sécurité pour Windows XP (KB943485)

Mise à jour de sécurité pour Windows XP (KB944653)

Mise à jour de sécurité pour Windows XP (KB945553)

Mise à jour de sécurité pour Windows XP (KB946026)

Mise à jour de sécurité pour Windows XP (KB946648)

Mise à jour de sécurité pour Windows XP (KB948590)

Mise à jour de sécurité pour Windows XP (KB948881)

Mise à jour de sécurité pour Windows XP (KB950749)

Mise à jour de sécurité pour Windows XP (KB950760)

Mise à jour de sécurité pour Windows XP (KB950762)

Mise à jour de sécurité pour Windows XP (KB950974)

Mise à jour de sécurité pour Windows XP (KB951066)

Mise à jour de sécurité pour Windows XP (KB951376-v2)

Mise à jour de sécurité pour Windows XP (KB951376)

Mise à jour de sécurité pour Windows XP (KB951698)

Mise à jour de sécurité pour Windows XP (KB951748)

Mise à jour de sécurité pour Windows XP (KB952954)

Mise à jour de sécurité pour Windows XP (KB953839)

Mise à jour pour Windows XP (KB894391)

Mise à jour pour Windows XP (KB898461)

Mise à jour pour Windows XP (KB900485)

Mise à jour pour Windows XP (KB904942)

Mise à jour pour Windows XP (KB908531)

Mise à jour pour Windows XP (KB910437)

Mise à jour pour Windows XP (KB911280)

Mise à jour pour Windows XP (KB916595)

Mise à jour pour Windows XP (KB920872)

Mise à jour pour Windows XP (KB922582)

Mise à jour pour Windows XP (KB927891)

Mise à jour pour Windows XP (KB929338)

Mise à jour pour Windows XP (KB930916)

Mise à jour pour Windows XP (KB931836)

Mise à jour pour Windows XP (KB932823-v3)

Mise à jour pour Windows XP (KB933360)

Mise à jour pour Windows XP (KB938828)

Mise à jour pour Windows XP (KB942763)

Mise à jour pour Windows XP (KB951072-v2)

Neuf - Kit de connexion

Pack Sécurité

Quick Launch Buttons 5.10 B2

QuickTime

REALTEK Gigabit and Fast Ethernet NIC Driver

Scrabble® 2003 Edition

Sonic Audio Module

Sonic Copy Module

Sonic Data Module

Sonic Express Labeler

Sonic MyDVD Plus

Sonic Update Manager

Spybot - Search & Destroy

Super jeux de cartes

Super Mah Jong Deluxe

Synaptics Pointing Device Driver

Texas Instruments PCIxx21/x515 drivers.

TIxx21

WebFldrs XP

Windows Installer 3.1 (KB893803)

Windows Internet Explorer 7

Windows Media Format Runtime

 

 

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est E01C-6061

 

Répertoire de C:\Program Files

 

21/08/2008 14:37 <REP> .

21/08/2008 14:37 <REP> ..

16/07/2008 23:12 <REP> Adobe

10/11/2006 13:52 <REP> AMD

10/11/2006 13:57 <REP> ATI Technologies

23/11/2006 20:17 <REP> Borland

22/11/2006 22:42 <REP> Canon

10/11/2006 13:36 <REP> ComPlus Applications

10/11/2006 13:53 <REP> CONEXANT

21/12/2006 16:46 <REP> directx

07/01/2007 18:26 <REP> Fichiers communs

21/08/2008 12:33 <REP> Google

16/11/2006 12:56 <REP> HD Tune

10/11/2006 14:26 <REP> Hewlett-Packard

10/11/2006 14:26 <REP> Hp

10/11/2006 14:24 <REP> HPQ

14/08/2008 23:56 <REP> Internet Explorer

10/11/2006 14:25 <REP> InterVideo

10/11/2006 14:04 <REP> iPod

10/11/2006 14:04 <REP> iTunes

02/03/2008 13:36 <REP> Jack Keane

15/10/2007 17:06 <REP> Java

19/02/2007 18:32 <REP> LucasArts

21/08/2008 14:06 <REP> Malwarebytes' Anti-Malware

23/11/2006 20:16 <REP> Marees

15/08/2008 00:05 <REP> Messenger

26/12/2006 09:00 <REP> Micro Application

10/11/2006 13:40 <REP> microsoft frontpage

07/01/2007 18:25 <REP> Microsoft Office

07/01/2007 18:25 <REP> Microsoft.NET

21/12/2006 16:44 <REP> Mindscape

10/11/2006 13:37 <REP> Movie Maker

10/11/2006 13:35 <REP> MSN

10/11/2006 13:36 <REP> MSN Gaming Zone

10/11/2006 13:37 <REP> NetMeeting

24/03/2007 16:50 <REP> Neuf

17/02/2007 18:55 <REP> Nobilis

10/11/2006 13:36 <REP> Online Services

13/06/2007 16:22 <REP> Outlook Express

22/11/2006 22:29 <REP> OZEXP

24/03/2007 17:17 <REP> Pack Sécurité

10/11/2006 14:04 <REP> QuickTime

20/08/2008 19:36 <REP> RegCleaner

10/11/2006 13:38 <REP> Services en ligne

10/11/2006 14:20 <REP> Sonic

20/08/2008 19:09 <REP> Spybot - Search & Destroy

10/11/2006 13:55 <REP> Synaptics

22/11/2006 22:22 <REP> TLC-EDUSOFT

22/12/2006 15:18 <REP> Trend Micro

21/12/2006 16:47 <REP> Ubi Soft

21/11/2006 19:58 <REP> Windows Media Player

10/11/2006 13:35 <REP> Windows NT

10/11/2006 13:40 <REP> xerox

0 fichier(s) 0 octets

53 Rép(s) 68 878 356 480 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est E01C-6061

 

Répertoire de C:\Program Files\fichiers communs

 

07/01/2007 18:26 <REP> .

07/01/2007 18:26 <REP> ..

23/11/2006 13:03 <REP> Adobe

07/01/2007 18:26 <REP> DESIGNER

10/11/2006 14:22 <REP> InstallShield

10/11/2006 14:22 <REP> Java

07/01/2007 18:26 <REP> Microsoft Shared

10/11/2006 13:37 <REP> MSSoap

10/11/2006 13:32 <REP> ODBC

10/11/2006 13:37 <REP> Services

10/11/2006 14:19 <REP> Sonic Shared

10/11/2006 13:32 <REP> SpeechEngines

10/11/2006 14:19 <REP> SureThing Shared

13/06/2007 16:22 <REP> System

10/11/2006 14:20 <REP> TiVo Shared

0 fichier(s) 0 octets

15 Rép(s) 68 878 356 480 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est E01C-6061

 

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

 

07/01/2007 18:26 <REP> .

07/01/2007 18:26 <REP> ..

07/01/2007 18:26 <REP> 1033

07/01/2007 18:26 <REP> 1036

11/07/2003 11:15 1 292 872 MSONSEXT.DLL

15/07/2003 07:52 35 896 MSOSV.DLL

03/06/1999 13:09 122 937 MSOWS409.DLL

07/03/2001 08:00 127 033 MSOWS40c.DLL

11/07/2003 03:25 80 448 PKMWS.DLL

5 fichier(s) 1 659 186 octets

4 Rép(s) 68 878 356 480 octets libres

 

 

 

 

c:\Documents and Settings\Administrateur\Bureau\mbam-setup.exe

c:\Documents and Settings\Administrateur\Bureau\MsLook.exe

c:\Documents and Settings\Administrateur\Bureau\OTMoveIt2.exe

c:\Documents and Settings\Administrateur\Bureau\SDFix.exe

c:\Documents and Settings\Administrateur\Bureau\SmitfraudFix.exe

c:\Documents and Settings\Administrateur\Bureau\turlututut.exe

c:\Documents and Settings\Administrateur\Bureau\DiagHelp\DiagHelp\catchme.exe

c:\Documents and Settings\Administrateur\Bureau\DiagHelp\DiagHelp\diff.exe

c:\Documents and Settings\Administrateur\Bureau\DiagHelp\DiagHelp\dumphive.exe

c:\Documents and Settings\Administrateur\Bureau\DiagHelp\DiagHelp\FilesInfoCmd.exe

c:\Documents and Settings\Administrateur\Bureau\DiagHelp\DiagHelp\find2.exe

c:\Documents and Settings\Administrateur\Bureau\DiagHelp\DiagHelp\Fport.exe

c:\Documents and Settings\Administrateur\Bureau\DiagHelp\DiagHelp\grep.exe

c:\Documents and Settings\Administrateur\Bureau\DiagHelp\DiagHelp\gzip.exe

c:\Documents and Settings\Administrateur\Bureau\DiagHelp\DiagHelp\KProcCheck.exe

c:\Documents and Settings\Administrateur\Bureau\DiagHelp\DiagHelp\LFiles.exe

c:\Documents and Settings\Administrateur\Bureau\DiagHelp\DiagHelp\LISTDLLS.exe

c:\Documents and Settings\Administrateur\Bureau\DiagHelp\DiagHelp\md5sums.exe

c:\Documents and Settings\Administrateur\Bureau\DiagHelp\DiagHelp\pslist.exe

c:\Documents and Settings\Administrateur\Bureau\DiagHelp\DiagHelp\sigcheck.exe

c:\Documents and Settings\Administrateur\Bureau\DiagHelp\DiagHelp\streams.exe

c:\Documents and Settings\Administrateur\Bureau\DiagHelp\DiagHelp\swreg.exe

c:\Documents and Settings\Administrateur\Bureau\DiagHelp\DiagHelp\tar.exe

c:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\404Fix.exe

c:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\dumphive.exe

c:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\exit.exe

c:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\GenericRenosFix.exe

c:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\HostsChk.exe

c:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\IEDFix.C.exe

c:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\IEDFix.exe

c:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\Policies.exe

c:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\Process.exe

c:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\Reboot.exe

c:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\restart.exe

c:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\SmiUpdate.exe

c:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\SrchSTS.exe

c:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\swreg.exe

c:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\swsc.exe

c:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\swxcacls.exe

c:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\UIFix.exe

c:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\unzip.exe

c:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\VACFix.exe

c:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\VCCLSID.exe

c:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\WS2Fix.exe

c:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\A5SXGZIX\SDFix[1].exe

c:\Documents and Settings\user\Local Settings\Temp\patch.exe

c:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\2DTGVO2E\load[1].exe

c:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\CZ412MKD\Google_Earth_CZXV[1].exe

c:\Documents and Settings\user\Mes documents\Divers\pack_securite.exe

c:\Documents and Settings\user\Mes documents\Mes images\M'C Gregor-Venise 14-07-2005\4 - Venise\pano.exe

c:\Documents and Settings\user\Mes documents\Mes images\M'C Gregor-Venise 14-07-2005\4 - Venise\pano2.exe

c:\Documents and Settings\user\Mes documents\Mes images\M'C Gregor-Venise 14-07-2005\4 - Venise\pano3.exe

 

****** Fin du rapport DiagHelp

Veuillez svp envoyer le fichier C:\upload_moi_HP-8B30D2153BCD.tar.gz a l'adresse http://upload.malekal.com

 

-----------------------

[Gof]

Bonjour Ucky,

 

 

Bon.

 

Télécharge SmitfraudFix sur ton bureau.

• Décompresse totalité de l'archive smitfraudfix.zip dans un dossier dédié sur ton bureau.
  
• Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.
  
• Poste le rapport sur le forum dans ta prochaine réponse.
  Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
  

 

Enchaîne ensuite sur un rapport en option 2. Double-clique sur SmitfraudFix.exe

• Sélectionne 2 pour supprimer les fichiers responsables de l'infection.
  
• A la question Voulez-vous nettoyer le registre ? réponds O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.
  Le fix déterminera si le fichier wininet.dll est infecté.
  
• A la question Corriger le fichier infecté ? réponds O (oui) pour remplacer le fichier corrompu.
  
• Redémarre en mode normal et poste le rapport sur le forum.
  N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1
  Attention : l'option 2 de l'outil supprime le fond d'écran !
  

 

Puis, Télécharge Malwarebytes' Anti-Malware (MBAM)

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen rapide"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

 

Redémarre en mode normal, et pose un rapport HijackThis en mode normal.