Help ! Besoin d'aide : PC lent, détournement moteur de recherc

[Gof]

Bonjour daeve

 

Merci de ta patience.

 

Et une petite question aussi : qu'est ce que ça veut dire quand SDFix écrit "Protective host files such as MVPS / HP hosts or spybots immunizer feature should be reapplies after using SDFix" ?

Cela signifie que si tu avais entretenu un fichier hosts ou télécharger un hosts particulier, il te faudra le recréer, car il a été reconfiguré à l'état d'origine par le Fix. Si tu ne sais pas de quoi il s'agit je t'invite à lire cet article de Tesgaz sur Speedweb et cette conversation sur Zebulon au sujet du fichier hosts afin de comprendre son fonctionnement.

 

 

Deux observations :

• FlashGet. Je te conseille de t'en débarasser, c'est un pourvoyeur de malwares. Je te conseille

Free Download Manager (gratuit) qui lui est sain sans ambigüités.
Je t'invite à consulter cette page de Spybot et cette page d'Assiste où tu le trouveras dans la liste pour t'en convaincre.

• Dans ton log, il y a la présence de Logitech Desktop Messenger, qui s'installe en même temps que les drivers des matériels Logitech (clavier, souris, webcam, etc). Il est là pour t'informer des mises à jour de produits, de la sortie de nouveaux produits, etc. Il n'est pas malicieux, mais cela reste de la publicité essentiellement, et c'est autant de ressources consommées dès le démarrage. Si tu veux t'en débarrasser, tu le trouveras dans ton panneau de configuration>Ajout/suppression de programmes.

Logitech® Desktop Messenger (LDM) est un service gratuit conçu pour vous apporter une assistance logicielle, vous faire part des nouveautés et vous fournir des informations pouvant s´avérer utiles. LDM vous permet d´accéder facilement, rapidement et sans effort aux mises à niveau, aux conseils techniques, aux nouveautés technologiques et aux offres pertinentes. LDM affiche ces informations directement sur votre bureau pour vous permettre de tirer le meilleur parti des fonctions sophistiquées de vos produits Logitech, tout en suivant l´évolution des services et des produits informatiques (Logitech et autres) qui s´appliquent à votre cas.

Logitech.com

 

Bien, quelques entrées à corriger :

 

Relance un scan HijackThis

• Clique sur Do a system scan only et coche les lignes ci-dessous si présentes:
  

• R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

http://srch-qfr9.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-qfr9.hpwis.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://qfr9.hpwis.com/
O4 - HKLM\..\Run: [WindowsUpdate] C:\WINDOWS\System\svchost.exe /s
O4 - HKLM\..\Run: [Microsoft Office] C:\WINDOWS\System32\msvcp.exe

• Ferme toutes les fenêtres sauf HijackThis et Fix Checked.
  

 

Télécharge CFScript.txt et enregistre le sur ton bureau.

• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
   
  
  
• Une fenêtre bleue va apparaître, valide.
  
• Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
  

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen rapide"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

 

Profites en pour me donner des nouvelles du PC.

 

A bientôt.

[daeve]

Salut Gof. Merci d'avoir repris mon "affaire"

 

Bon j'ai fixé les 5 entrées que tu m'a donné dans Hijack.

J'ai bien téléchargé le fichier CFScript.txt, j'ai fait le "glisser/déposer" mais au moment où la fenêtre bleue est apparue, Combofix m'a proposé une mise à jour que j'ai accepté et apparemment après ça je n'obtient pas de scan

 

Donc je n'ai pas continué la procédure, je n'ai pas encore téléchargé Malwarebytes

 

qu'est ce que je peux faire maintenant ?

 

Merci

[Gof]

Re

 

Et suite à "cette mise à jour", si tu recommences la manipulation de "glisser-déposer", que se passe-t-il ?

[daeve]

Et bien pas grand chose, on dirait que Combofix va ouvrir : petite ligne de progression verte qui va jusqu'au bout, j'ai mon gentil petit sablier puis plus rien, mon bureau habituel est toujours là ...

[Gof]

Enchaîne sur MBAM, nous aviserons après alors

[daeve]

voici le rapport , mais avant :

 

2 choses aussi dont j'ai oublié de te parler tout à l'heure:

*Flashget : on l' a supprimé il y a quelques temps déjà, mais il est toujours dans mon menu "demarrer/tous les programmes" et je constate que toi aussi tu le vois dans mes rapport. Comment faire pour ne plus voir d'entrées le concernant

*Dans Hijack je vois une ligne : O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Internet Security 12\pccguide.exe Or, c'est un logiciel que je n'ai plus et j'en entend encore parler.

Une petite solution à me proposer ?

 

 

Malwarebytes' Anti-Malware 1.28

Version de la base de données: 1145

Windows 5.1.2600 Service Pack 3

 

13/09/2008 18:55:48

mbam-log-2008-09-13 (18-55-48).txt

 

Type de recherche: Examen rapide

Eléments examinés: 49293

Temps écoulé: 6 minute(s), 40 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 1

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate (Backdoor.Bot) -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

[Gof]

Bonjour daeve

 

Dans Hijack je vois une ligne : O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Internet Security 12\pccguide.exe Or, c'est un logiciel que je n'ai plus et j'en entend encore parler.

Cette entrée a disparu à présent, ComboFix a détecté qu'il ne s'agissait que d'un reste dans la Base de Registre, sans fichier associé, et l'a donc corrigé.

 

 

*Flashget : on l' a supprimé il y a quelques temps déjà, mais il est toujours dans mon menu "demarrer/tous les programmes" et je constate que toi aussi tu le vois dans mes rapport. Comment faire pour ne plus voir d'entrées le concernant

Assure toi qu'il ne soit plus présent dans ton Panneau de configuration<Ajout/Suppression de programmes. Si présent, désinstalle le.

 

Puis, relance un scan HijackThis

• Clique sur Do a system scan only et coche les lignes ci-dessous :
  

• O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)
  O2 - BHO: (no name) - {F156768E-81EF-470C-9057-481BA8380DBA} - (no file)
  O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\WINDOWS\System32\shdocvw.dll
  O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\WINDOWS\System32\shdocvw.dll
  

• Ferme toutes les fenêtres sauf HijackThis et Fix Checked.
  

 

----------

 

Il me semble qu'entre tes posts, tu as décoché des entrées sous MSCONFIG. Je souhaiterais que tu ne le fasses pas tant que nous n'avons pas fini, car cela change l'endroit où se trouve certaines entrées registre, et du coup je dois courir après car l'emplacement indiqué n'est plus le bon.

 

 

Rends toi dans ton Menu Démarrer>Exécuter et copie-colle :

• Combofix /u
  

 

Puis, télécharge à nouveau ComboFix.

 

Et renouvelle l'opération de glisser-déposer précédemment demandée.

 

A bientôt.

[daeve]

Salut, en ce qui concerne les modifications sous MS Config, je me garderai bien d'en faire une je ne sais même pas ce que c'est ... Est ce que ce ne pourrai pas être Avast ou Ad aware qui ferait ce genre de choses en mettant en quarantaine ou en supprimant un fichier ? On continue de les faire tourner : de temps en temps pour Ad Aware et tout le temps pour Avast. Est ce qu'on arrête pour le moment ?

 

Quand tu m'a demander de copier/coller "Combofix /u" dans Démarrer/Exécuter je l'ai fait mais ça n'a rien produit, j'espérai que ça supprime Combofix de mon bureau, mais comme rien ne s'était passé, je l'ai supprimé moi même et je l'ai téléchargé à nouveau comme tu me le demandais.

 

A la fin du rapport de Combofix je te joins quelques infos de mise en quarantaine de Ad Aware SE qui a trouvé "Win 32", est ce que je dois le supprimer (Avast l'avait trouvé aussi mais là je n'arrive pas à avoir de rapport à te montrer)

 

Voici le rapport de Combofix

 

ComboFix 08-09-13.05 - Propriétaire 2008-09-14 12:10:22.2 - NTFSx86

Lancé depuis: C:\Documents and Settings\Propriétaire\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\Propriétaire\Bureau\CFScript.txt

* Un nouveau point de restauration a été créé

.

 

((((((((((((((((((((((((((((( Fichiers cr‚‚s du 2008-08-14 au 2008-09-14 ))))))))))))))))))))))))))))))))))))

.

 

2008-09-13 18:38 . 2008-09-13 18:38 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware

2008-09-13 18:38 . 2008-09-13 18:38 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes

2008-09-13 18:38 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys

2008-09-13 18:38 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys

2008-09-13 18:37 . 2008-09-13 18:37 2,189,864 --a------ C:\Program Files\mbam-setup.exe

2008-09-07 19:49 . 2008-09-07 19:49 <REP> d-------- C:\Documents and Settings\Propriétaire

2008-09-07 16:09 . 2008-09-07 16:09 579,584 --a--c--- C:\WINDOWS\system32\dllcache\user32.dll

2008-09-07 16:06 . 2008-09-07 16:07 <REP> d-------- C:\WINDOWS\ERUNT

2008-09-07 00:43 . 2008-09-07 00:43 <REP> d-------- C:\Program Files\Trend Micro

2008-09-07 00:38 . 2008-09-07 16:21 <REP> d-------- C:\SDFix

2008-09-06 19:13 . 2008-09-06 19:13 812,344 --a------ C:\Program Files\hijackthis_hijackthis_2.02_anglais_17891.exe

2008-09-06 19:03 . 2008-09-07 00:41 10,758 --a------ C:\Program Files\HiJackThis.zip

2008-09-06 00:05 . 2008-09-06 00:27 <REP> d-------- C:\Documents and Settings\All Users\Application Data\ma-config.com

2008-08-24 03:49 . 2008-08-24 03:49 552 --a------ C:\WINDOWS\system32\d3d8caps.dat

2008-08-20 23:49 . 2008-04-11 21:05 691,712 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll

2008-08-20 23:49 . 2008-05-01 16:36 331,776 -----c--- C:\WINDOWS\system32\dllcache\msadce.dll

2008-08-20 23:19 . 2008-08-20 23:19 <REP> d-------- C:\WINDOWS\system32\fr-fr

2008-08-20 23:19 . 2008-08-20 23:19 <REP> d-------- C:\WINDOWS\system32\fr

2008-08-20 23:19 . 2008-08-20 23:19 <REP> d-------- C:\WINDOWS\l2schemas

2008-08-20 17:03 . 2008-04-14 04:33 712,704 --------- C:\WINDOWS\system32\windowscodecs.dll

2008-08-20 17:03 . 2008-04-14 04:33 346,112 --------- C:\WINDOWS\system32\windowscodecsext.dll

2008-08-20 17:03 . 2008-04-14 04:33 276,992 --------- C:\WINDOWS\system32\wmphoto.dll

2008-08-20 17:03 . 2008-04-14 04:33 69,120 --------- C:\WINDOWS\system32\wlanapi.dll

2008-08-20 17:03 . 2008-04-14 04:33 53,248 --------- C:\WINDOWS\system32\tsgqec.dll

2008-08-20 17:03 . 2008-04-14 04:33 50,688 --------- C:\WINDOWS\system32\tspkg.dll

2008-08-20 17:01 . 2008-04-14 04:33 397,312 --------- C:\WINDOWS\system32\mmcex.dll

2008-08-20 17:01 . 2008-04-14 04:33 184,320 --------- C:\WINDOWS\system32\microsoft.managementconsole.dll

2008-08-20 17:01 . 2008-04-14 04:33 155,136 --------- C:\WINDOWS\system32\mssha.dll

2008-08-20 17:01 . 2008-04-14 04:33 106,496 --------- C:\WINDOWS\system32\mmcfxcommon.dll

2008-08-20 17:01 . 2008-04-14 04:03 81,920 --------- C:\WINDOWS\system32\msshavmsg.dll

2008-08-20 17:01 . 2008-04-14 04:34 33,792 --------- C:\WINDOWS\system32\mmcperf.exe

2008-08-20 16:59 . 2008-04-14 04:33 233,472 --------- C:\WINDOWS\system32\azroles.dll

2008-08-20 16:59 . 2008-04-14 04:33 136,192 --------- C:\WINDOWS\system32\aaclient.dll

2008-08-20 16:59 . 2008-04-14 04:33 7,168 --------- C:\WINDOWS\system32\bitsprx4.dll

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-09-13 15:25 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-09-13 15:24 --------- d-----w C:\Program Files\Logitech

2008-09-06 16:40 --------- d-----w C:\Program Files\Spybot - Search & Destroy

2008-09-06 16:40 --------- d-----w C:\Program Files\Logiciels Anti virus

2008-09-06 09:55 --------- d-----w C:\Program Files\Alwil Software

2008-09-04 19:49 --------- d-----w C:\Documents and Settings\All Users\Application Data\Skyline

2008-09-04 19:48 --------- d-----w C:\Program Files\Google

2008-08-20 21:39 --------- d-----w C:\Program Files\MSN Messenger

2008-08-20 14:17 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP

2008-08-15 14:24 --------- d-----w C:\Program Files\Yahoo!

2008-08-14 12:18 --------- d-----w C:\Program Files\DivX

2008-08-14 12:18 --------- d-----w C:\Program Files\CodeStuff

2008-08-14 12:17 --------- d-----w C:\Program Files\Téléchargement PHOTOWAYS

2008-08-14 12:17 --------- d-----w C:\Program Files\supressplus

2008-08-14 12:17 --------- d-----w C:\Program Files\Photo Viewer

2008-08-14 12:17 --------- d-----w C:\Program Files\nero 6.6.1.4

2008-08-14 12:17 --------- d-----w C:\Program Files\GenoPro

2008-08-14 12:17 --------- d-----w C:\Program Files\DVD Shrink

2008-08-14 12:17 --------- d-----w C:\Program Files\Alice

2008-08-14 12:17 --------- d-----w C:\Program Files\Ahead

2008-08-14 12:16 --------- d-----w C:\Program Files\AC3Filter

2008-08-14 12:06 --------- d-----w C:\Program Files\Maison et Intérieur 3D

2008-08-14 12:06 --------- d-----w C:\Program Files\GSpot

2008-08-14 12:06 --------- d-----w C:\Program Files\FTP commander

2008-08-14 12:06 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

2008-08-05 12:35 --------- d-----w C:\Program Files\EZFace

2008-08-05 12:35 --------- d-----w C:\Program Files\AVSMedia

2008-08-05 12:22 --------- d-----w C:\Program Files\SAV.V.T.5.1

2008-08-05 12:19 --------- d-----w C:\Program Files\TLC-Edusoft

2008-08-03 07:14 --------- d-----w C:\Documents and Settings\All Users\Application Data\PC Tools

2008-07-22 14:34 74,752 ----a-w C:\WINDOWS\ST6UNST.EXE

2008-07-22 14:34 290,816 ------w C:\WINDOWS\Setup1.exe

2008-05-12 12:24 2,048,604 ----a-w C:\Program Files\PhotoWays.exe

2007-08-07 05:38 184,320 -c--a-w C:\Program Files\cutkiller.exe

2007-04-03 13:05 1,606,064 -c--a-w C:\Program Files\googletalk-setup.exe

2007-03-04 13:54 689,152 ----a-w C:\Program Files\Xtremsplit.exe

2007-02-01 16:02 313,344 ----a-w C:\Program Files\hjsplit.exe

2005-12-28 15:59 553,687 -c--a-w C:\Program Files\RegCleaner.exe

.

 

((((((((((((((((((((((((((((( snapshot@2008-09-07_19.48.04.76 )))))))))))))))))))))))))))))))))))))))))

.

+ 2008-09-14 10:19:16 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_694.dat

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"AWMON"="C:\Program Files\Logiciels Anti virus\Lavasoft AD Aware\Ad-Aware SE Professional\Ad-Watch.exe" [2005-05-25 517632]

"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]

"LDM"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe" [bU]

"NVIEW"="nview.dll" [2003-05-03 C:\WINDOWS\system32\nview.dll]

"Nouvelle valeur #1"="" [bU]

"AnyDVD"="" [bU]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"AtiPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-02-28 315392]

"HydraVisionDesktopManager"="C:\Program Files\ATI Technologies\HydraVision\HydraDM.exe" [2002-08-14 262144]

"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-08 52736]

"HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2003-04-07 114688]

"StorageGuard"="C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" [2003-02-13 155648]

"Recguard"="C:\WINDOWS\SMINST\RECGUARD.EXE" [2002-09-14 212992]

"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-05-03 4640768]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]

"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-02-04 185632]

"KBD"="C:\HP\KBD\KBD.EXE" [bU]

"pccguide.exe"="C:\Program Files\Trend Micro\Internet Security 12\pccguide.exe" [bU]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [bU]

"Reminder"="C:\Windows\Creator\Remind_XP.exe" [2003-06-18 118784]

"nwiz"="nwiz.exe" [2003-05-03 C:\WINDOWS\system32\nwiz.exe]

"VTTimer"="VTTimer.exe" [2003-05-08 C:\WINDOWS\system32\VTTimer.exe]

"AlcxMonitor"="ALCXMNTR.EXE" [bU]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"DWQueuedReporting"="C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-03-22 39264]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.l3acm"= l3codecp.acm

"msacm.divxa32"= DivXa32.acm

"msacm.enc"= ITIG726.acm

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Notification Packages REG_MULTI_SZ scecli scecli scecli scecli scecli

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KBD

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AWMON]

--a------ 2005-05-25 13:12 517632 C:\Program Files\Logiciels Anti virus\Lavasoft AD Aware\Ad-Aware SE Professional\Ad-Watch.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]

--a------ 2003-04-07 15:07 114688 C:\WINDOWS\system32\hkcmd.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hpsysdrv]

--a------ 1998-05-08 00:04 52736 c:\WINDOWS\system\hpsysdrv.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]

--a------ 2007-01-19 12:55 5674352 C:\Program Files\MSN Messenger\msnmsgr.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]

--a------ 2003-05-03 07:19 4640768 C:\WINDOWS\system32\nvcpl.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Recguard]

--a------ 2002-09-14 05:42 212992 C:\WINDOWS\SMINST\Recguard.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Reminder]

--a------ 2003-06-18 02:13 118784 C:\WINDOWS\CREATOR\Remind_XP.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StorageGuard]

--a------ 2003-02-13 16:01 155648 C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]

--a------ 2008-02-04 11:52 185632 C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVIEW]

--a------ 2003-05-03 07:19 835654 C:\WINDOWS\system32\nview.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]

--a------ 2003-05-03 07:19 323584 C:\WINDOWS\system32\nwiz.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTimer]

--a------ 2003-05-08 08:32 36864 C:\WINDOWS\system32\VTTimer.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendFirewall]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"C:\\Program Files\\MSN Messenger\\livecall.exe"=

"%windir%\\system32\\sessmgr.exe"=

 

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]

R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]

R2 NwSapAgent;Agent SAP;C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]

S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]

S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]

\Shell\AutoRun\command - D:\Info.exe folder.htt 480 480

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dd5e1702-b54d-11dc-846f-000c6ec26aee}]

\Shell\AutoRun\command - G:\Imageviewer.exe

.

- - - - ORPHELINS SUPPRIMES - - - -

 

WebBrowser-{B195B3B3-8A05-11D3-97A4-0004ACA6948E} - (no file)

 

 

 

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-09-14 12:21:33

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cach‚s ...

 

Recherche d'‚l‚ments en d‚marrage automatique cach‚s ...

 

Recherche de fichiers cach‚s ...

 

Scan termin‚ avec succŠs

Fichiers cach‚s: 0

 

**************************************************************************

.

------------------------ Autres processus actifs ------------------------

.

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\MDM.EXE

C:\WINDOWS\system32\HPZipm12.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

.

**************************************************************************

.

Heure de fin: 2008-09-14 12:33:13 - La machine a red‚marr‚ [Propri‚taire]

ComboFix-quarantined-files.txt 2008-09-14 10:32:59

ComboFix2.txt 2008-09-07 17:49:14

 

Avant-CF: 55,034,875,904 octets libres

AprŠs-CF: 55,153,123,328 octets libres

 

201 --- E O F --- 2008-08-20 22:04:13

 

 

 

Et voilà un rapport de mise en quarantaine de Ad Aware SE

 

ArchiveData(14 09 2008.bckp)

Referencefile : SE1R287 11.09.2008

======================================================

 

WIN32.TROJANDOWNLOADER.SMALL

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

obj[0]=Fichier : C:\System Volume Information\_restore{B772CEEF-217A-434D-A8B4-BC9BA573C7EE}\RP1031\A0214887.dll

obj[2]=Regkey : lk.auto

obj[3]=RegValue : lk.auto "VA000S4100mTQN00"

obj[4]=RegValue : lk.auto "VA00046100GrHu00"

obj[5]=RegValue : lk.auto "VA000S4100Gr9R00"

obj[6]=Regkey : software\microsoft\tracing\fwcfg

obj[7]=RegValue : software\microsoft\tracing\fwcfg "EnableConsoleTracing"

obj[8]=RegValue : software\microsoft\tracing\fwcfg "FileTracingMask"

obj[9]=RegValue : software\microsoft\tracing\fwcfg "ConsoleTracingMask"

obj[10]=RegValue : software\microsoft\tracing\fwcfg "MaxFileSize"

obj[11]=RegValue : software\microsoft\internet explorer\security "aaab"

obj[12]=RegValue : .default\software\microsoft\windows\shellnoroam\muicache "@shell32.dll,-12693"

 

WIN32.TROJANDOWNLOADER.FRAUDLOAD

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

obj[1]=Fichier : C:\System Volume Information\_restore{B772CEEF-217A-434D-A8B4-BC9BA573C7EE}\RP1031\A0214890.dll

[daeve]

Voici ce que j'ai trouvé sur Avast pour te montrer

 

A plus !

 

14/09/2008 10:47:42 SYSTEM 1628 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\AAWTMP\C190357656\39DB46\backups\a.exe" file.

14/09/2008 11:02:10 SYSTEM 1628 Sign of "Win32:Bravix [Drp]" has been found in "C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\AAWTMP\C190357656\39DB46\backups\tdssl.dll" file.

14/09/2008 11:02:21 SYSTEM 1628 Sign of "Win32:Bravix [Drp]" has been found in "C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\AAWTMP\C190357656\39DB46\backups\tdsslog.dll" file.

14/09/2008 11:02:24 SYSTEM 1628 Sign of "Win32:Bravix [Drp]" has been found in "C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\AAWTMP\C190357656\39DB46\backups\tdssmain.dll" file.

14/09/2008 11:02:29 SYSTEM 1628 Sign of "Win32:Bravix [Drp]" has been found in "C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\AAWTMP\C190357656\39DB46\backups\tdssserf.dll" file.

14/09/2008 11:13:23 SYSTEM 1628 Sign of "Win32:Bravix [Drp]" has been found in "C:\System Volume Information\_restore{B772CEEF-217A-434D-A8B4-BC9BA573C7EE}\RP1031\A0214887.dll" file.

14/09/2008 11:15:12 SYSTEM 1628 Sign of "Win32:Bravix [Drp]" has been found in "C:\System Volume Information\_restore{B772CEEF-217A-434D-A8B4-BC9BA573C7EE}\RP1031\A0214890.dll" file.

[Gof]

Re

 

D'accord je vois. Pour les valeurs révélées par Ad Aware SE et les deux dernières lignes du rapport Avast, il s'agit de fichiers contenus dans l'un de tes points de restauration. Pas de soucis tant que tu ne restaures pas. Quand tu m'indiqueras que tout va bien, je te ferais supprimer ces points de restauration, et t'en referais créer un autre, propre. Pour l'instant on les garde en "roue de secours"

 

Pour les autres valeurs révélées par Avast, suis ce qui suit, et rapporte moi comment cela s'est passé.

 

Assure toi d'avoir l'accès aux fichiers et dossiers cachés.

Pour afficher les fichiers et dossiers cachés du systéme :

• Démarrer, Poste de travail ou autre dossier, Menu Outils -> Option des dossiers -> onglet Affichage :
  
• Cocher la case : Afficher les fichiers et dossiers cachés
  
• Décocher la case : Masquer les extensions des fichiers dont le type est connu
  
• Décocher la case : Masquer les fichiers protégés du système d'exploitation
  ---> Répondre OUI à la demande de confirmation
  
• Cliquer Appliquer puis OK
  

 

Supprime le répertoire suivant, et vide ta corbeille ensuite :

• C:\Documents and Settings\Propriétaire\Local Settings\Temp\AAWTMP
  

 

Si tu n'arrives pas à le supprimer normalement, exécute la manipulation suivante, sinon ignore cette étape.

 

Télécharge CFScript.txt et enregistre le sur ton bureau.

• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
   
  
  
• Une fenêtre bleue va apparaître, valide.
  
• Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
  

 

Une question : je pense que tu as des supports amovibles de type clés USB, appareils photos numériques, ou disques dur externes, etc. L'un d'entre eux est ou a été infecté par une infection se propageant par supports amovibles avec le fichier INFO.exe à sa racine. Peux tu m'en dire un peu plus sur tes supports, quels sont ils ?