[Résolu] Redirection sur des sites porno à partir de google

[Thanos]

re!

 

C'est très bien Aioros

Kaspersky a détecté les fichiers infectés: ils sont bien dans la quarantaine de ComboFix

Je vais juste te demander de relancer GMER une dernière fois pour s'assurer qu'il n'en reste pas car je ne les voit pas tous.

Je repasserais ce soir pour terminer par un petit nettoyage

[Aioros]

Voila le rapport :

 

GMER 1.0.14.14536 - http://www.gmer.net

Rootkit scan 2009-01-15 20:35:37

Windows 5.1.2600 Service Pack 3

 

 

---- System - GMER 1.0.14 ----

 

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xF3902576]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xF3902432]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xF3902910]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xF390200A]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xF390250C]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xF3901F4A]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xF3901FAE]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xF390262C]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xF39025EC]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xF390276C]

 

---- User IAT/EAT - GMER 1.0.14 ----

 

IAT C:\WINDOWS\system32\services.exe[620] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00380002

IAT C:\WINDOWS\system32\services.exe[620] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 00380000

 

---- Devices - GMER 1.0.14 ----

 

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

 

---- Registry - GMER 1.0.14 ----

 

Reg HKLM\SYSTEM\ControlSet001\Services\TDSSserv.sys@start 1

Reg HKLM\SYSTEM\ControlSet001\Services\TDSSserv.sys@type 1

Reg HKLM\SYSTEM\ControlSet001\Services\TDSSserv.sys@imagepath \systemroot\system32\drivers\TDSSpqlt.sys

Reg HKLM\SYSTEM\ControlSet001\Services\TDSSserv.sys@group file system

Reg HKLM\SYSTEM\ControlSet001\Services\TDSSserv.sys\modules

Reg HKLM\SYSTEM\ControlSet001\Services\TDSSserv.sys\modules@TDSSserv \systemroot\system32\drivers\TDSSpqlt.sys

Reg HKLM\SYSTEM\ControlSet001\Services\TDSSserv.sys\modules@TDSSl \systemroot\system32\TDSSoiqt.dll

Reg HKLM\SYSTEM\ControlSet001\Services\TDSSserv.sys\modules@tdssservers \systemroot\system32\TDSSlrvd.dat

Reg HKLM\SYSTEM\ControlSet001\Services\TDSSserv.sys\modules@tdssmain \systemroot\system32\TDSShrxr.dll

Reg HKLM\SYSTEM\ControlSet001\Services\TDSSserv.sys\modules@tdsslog \systemroot\system32\TDSSrtql.dll

Reg HKLM\SYSTEM\ControlSet001\Services\TDSSserv.sys\modules@tdssadw \systemroot\system32\TDSSxfum.dll

Reg HKLM\SYSTEM\ControlSet001\Services\TDSSserv.sys\modules@tdssinit \systemroot\system32\TDSSlxwp.dll

Reg HKLM\SYSTEM\ControlSet001\Services\TDSSserv.sys\modules@tdssurls \systemroot\system32\TDSSnmxh.log

Reg HKLM\SYSTEM\ControlSet001\Services\TDSSserv.sys\modules@tdsspanels \systemroot\system32\TDSSsahc.dll

Reg HKLM\SYSTEM\ControlSet001\Services\TDSSserv.sys\modules@tdsserrors \systemroot\system32\TDSSrhyp.log

Reg HKLM\SYSTEM\ControlSet001\Services\TDSSserv.sys\modules@TDSSproc \systemroot\system32\TDSSkkbi.log

Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys@start 1

Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys@type 1

Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys@imagepath \systemroot\system32\drivers\TDSSpqlt.sys

Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys@group file system

Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules

Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@TDSSserv \systemroot\system32\drivers\TDSSpqlt.sys

Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@TDSSl \systemroot\system32\TDSSoiqt.dll

Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdssservers \systemroot\system32\TDSSlrvd.dat

Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdssmain \systemroot\system32\TDSShrxr.dll

Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdsslog \systemroot\system32\TDSSrtql.dll

Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdssadw \systemroot\system32\TDSSxfum.dll

Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdssinit \systemroot\system32\TDSSlxwp.dll

Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdssurls \systemroot\system32\TDSSnmxh.log

Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdsspanels \systemroot\system32\TDSSsahc.dll

Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdsserrors \systemroot\system32\TDSSrhyp.log

Reg HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@TDSSproc \systemroot\system32\TDSSkkbi.log

Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv.sys@start 1

Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv.sys@type 1

Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv.sys@imagepath \systemroot\system32\drivers\TDSSpqlt.sys

Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv.sys@group file system

Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv.sys\modules

Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv.sys\modules@TDSSserv \systemroot\system32\drivers\TDSSpqlt.sys

Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv.sys\modules@TDSSl \systemroot\system32\TDSSoiqt.dll

Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv.sys\modules@tdssservers \systemroot\system32\TDSSlrvd.dat

Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv.sys\modules@tdssmain \systemroot\system32\TDSShrxr.dll

Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv.sys\modules@tdsslog \systemroot\system32\TDSSrtql.dll

Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv.sys\modules@tdssadw \systemroot\system32\TDSSxfum.dll

Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv.sys\modules@tdssinit \systemroot\system32\TDSSlxwp.dll

Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv.sys\modules@tdssurls \systemroot\system32\TDSSnmxh.log

Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv.sys\modules@tdsspanels \systemroot\system32\TDSSsahc.dll

Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv.sys\modules@tdsserrors \systemroot\system32\TDSSrhyp.log

Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv.sys\modules@TDSSproc \systemroot\system32\TDSSkkbi.log

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000

 

---- EOF - GMER 1.0.14 ----

 

Je pense que vous avez réussi à me débarrasser de cette infection, je ne sais comment vous remercier !!!

[Thanos]

re!

 

Le rootkit n'est plus actif, mais il reste des clés à effacer: je te poste une dernière manipulation sous peu pour faire le ménage

 

 

Edit: voici la suite >>

 

Rend toi sur cette page afin de télécharger le fichier CFScript > http://senduit.com/8af66b

Patiente une seconde: le téléchargement va se lancer automatiquement.

• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  
  
• Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt
  

Note: Le script proposé est adapté au cas de Aioros : Vous ne devez en aucun cas l'utiliser sur votre pc!

Modifié le 16 janvier 2009 par Thanos

[Aioros]

Bonjour ! Voila le rapport demandé, combofix a effectué une mise à jour juste avant...:

 

ComboFix 09-01-15.01 - HP_Propriétaire 2009-01-16 13:12:59.2 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1023.536 [GMT 1:00]

Lancé depuis: c:\documents and settings\HP_Propriétaire\Bureau\Aioros.exe

Commutateurs utilisés :: c:\documents and settings\HP_Propriétaire\Bureau\CFScript.txt

AV: avast! antivirus 4.8.1296 [VPS 090115-0] *On-access scanning disabled* (Updated)

* Un nouveau point de restauration a été créé

 

FILE ::

c:\windows\system32\drivers\TDSSpqlt.sys

c:\windows\system32\TDSShrxr.dll

c:\windows\system32\TDSSkkbi.log

c:\windows\system32\TDSSlrvd.dat

c:\windows\system32\TDSSlxwp.dll

c:\windows\system32\TDSSnmxh.log

c:\windows\system32\TDSSoiqt.dll

c:\windows\system32\TDSSrhyp.log

c:\windows\system32\TDSSrtql.dll

c:\windows\system32\TDSSsahc.dll

c:\windows\system32\TDSSxfum.dll

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

---- Exécution préalable -------

.

c:\windows\system32\drivers\TDSSpqlt.sys

c:\windows\system32\TDSShrxr.dll

c:\windows\system32\TDSSkkbi.log

c:\windows\system32\TDSSlrvd.dat

c:\windows\system32\TDSSlxwp.dll

c:\windows\system32\TDSSnmxh.log

c:\windows\system32\TDSSoiqt.dll

c:\windows\system32\TDSSrhyp.log

c:\windows\system32\TDSSrtql.dll

c:\windows\system32\TDSSsahc.dll

c:\windows\system32\TDSSxfum.dll

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_TDSSSERV.SYS

-------\Service_TDSSserv.sys

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2008-12-16 au 2009-01-16 ))))))))))))))))))))))))))))))))))))

.

 

2009-01-15 00:38 . 2009-01-15 00:38 0 --a------ C:\LHT23.tmp

2009-01-15 00:38 . 2009-01-15 00:38 0 --a------ C:\LHT22.tmp

2009-01-15 00:37 . 2009-01-15 00:37 0 --a------ C:\LHT1F.tmp

2009-01-13 22:38 . 2009-01-13 22:38 <REP> d-------- C:\_OTScanIt

2009-01-13 12:12 . 2009-01-13 12:12 <REP> d-------- C:\rsit

2009-01-13 12:12 . 2009-01-13 12:12 <REP> d-------- c:\program files\trend micro

2009-01-13 11:23 . 2009-01-13 11:23 0 --a------ C:\LHTB6.tmp

2009-01-13 10:40 . 2009-01-13 12:51 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware

2009-01-13 10:40 . 2009-01-13 10:40 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-01-13 10:40 . 2009-01-04 18:39 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2009-01-13 10:40 . 2009-01-04 18:39 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2009-01-11 18:01 . 2005-10-11 19:31 <REP> d-------- c:\documents and settings\Administrateur\WINDOWS

2009-01-11 18:01 . 2004-11-24 02:37 <REP> d-------- c:\documents and settings\Administrateur\Voisinage réseau

2009-01-11 18:01 . 2004-11-24 02:37 <REP> d-------- c:\documents and settings\Administrateur\Voisinage d'impression

2009-01-11 18:01 . 2008-10-21 21:39 <REP> d-------- c:\documents and settings\Administrateur\Modèles

2009-01-11 18:01 . 2004-11-25 04:26 <REP> d-------- c:\documents and settings\Administrateur\Mes documents

2009-01-11 18:01 . 2004-11-25 04:26 <REP> d-------- c:\documents and settings\Administrateur\Menu Démarrer

2009-01-11 18:01 . 2004-11-25 04:26 <REP> d-------- c:\documents and settings\Administrateur\Favoris

2009-01-11 18:01 . 2005-10-11 19:36 <REP> d-------- c:\documents and settings\Administrateur\Bureau

2009-01-11 18:01 . 2005-10-11 19:45 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Symantec

2009-01-11 18:01 . 2005-10-11 19:34 <REP> d-------- c:\documents and settings\Administrateur\Application Data\SampleView

2009-01-11 18:01 . 2005-10-11 19:29 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Intervideo

2009-01-11 18:01 . 2005-10-11 19:30 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Apple Computer

2009-01-11 18:01 . 2009-01-11 18:01 <REP> d-------- c:\documents and settings\Administrateur

2009-01-11 13:17 . 2009-01-11 13:17 151 --a------ c:\windows\PhotoSnapViewer.INI

2009-01-10 16:54 . 2009-01-10 16:54 0 --a------ C:\LHT90.tmp

2009-01-07 16:46 . 2009-01-07 16:46 <REP> d-------- c:\documents and settings\All Users\Application Data\FLEXnet

2009-01-07 15:57 . 2009-01-07 15:57 <REP> d-------- c:\program files\Fichiers communs\Macrovision Shared

2009-01-07 15:33 . 2009-01-07 15:48 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\Download Manager

2009-01-06 08:00 . 2009-01-06 08:00 268 --ah----- C:\sqmdata05.sqm

2009-01-06 08:00 . 2009-01-06 08:00 244 --ah----- C:\sqmnoopt05.sqm

2008-12-22 01:28 . 2008-12-22 01:28 268 --ah----- C:\sqmdata04.sqm

2008-12-22 01:28 . 2008-12-22 01:28 244 --ah----- C:\sqmnoopt04.sqm

2008-12-21 00:57 . 2008-12-21 00:57 268 --ah----- C:\sqmdata03.sqm

2008-12-21 00:57 . 2008-12-21 00:57 244 --ah----- C:\sqmnoopt03.sqm

2008-12-19 17:33 . 2008-12-19 17:33 410,984 --a------ c:\windows\system32\deploytk.dll

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-01-14 11:50 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help

2009-01-13 10:25 --------- d-----w c:\program files\World of Warcraft

2009-01-07 15:05 --------- d-----w c:\program files\Fichiers communs\Adobe

2009-01-03 23:04 --------- d-----w c:\documents and settings\HP_Propriétaire\Application Data\teamspeak2

2008-12-23 16:42 --------- d-----w c:\documents and settings\All Users\Application Data\InterVideo

2008-12-19 20:44 --------- d-----w c:\program files\eMule

2008-12-19 16:33 --------- d-----w c:\program files\Java

2008-12-13 22:32 --------- d-----w c:\program files\Kodak

2008-12-13 22:32 --------- d-----w c:\documents and settings\All Users\Application Data\OrbNetworks

2008-12-13 22:32 --------- d-----w c:\documents and settings\All Users\Application Data\Kodak

2008-12-13 22:32 --------- d-----w c:\documents and settings\All Users\Application Data\KEDDS

2008-12-13 22:31 --------- d-----w c:\program files\Fichiers communs\Kodak

2008-12-13 06:37 3,593,216 ------w c:\windows\system32\dllcache\mshtml.dll

2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys

2008-12-11 10:57 333,952 ------w c:\windows\system32\dllcache\srv.sys

2008-12-10 23:48 --------- d-----w c:\documents and settings\HP_Propriétaire\Application Data\Ahead

2008-12-10 17:01 --------- d-----w c:\program files\Nero

2008-12-10 17:01 --------- d-----w c:\program files\Fichiers communs\Ahead

2008-12-06 16:47 73,728 ----a-w c:\windows\ALCFDRTM.EXE

2008-11-24 10:03 --------- d-----w c:\documents and settings\All Users\Application Data\Lavasoft

2008-11-24 10:02 --------- d-----w c:\program files\Lavasoft

2008-11-24 10:02 --------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard

2008-11-22 15:52 --------- d-----w c:\program files\iTunes

2008-11-22 15:52 --------- d-----w c:\program files\iPod

2008-11-22 15:52 --------- d-----w c:\program files\Fichiers communs\Apple

2008-11-22 15:52 --------- d-----w c:\documents and settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}

2008-11-22 15:49 --------- d-----w c:\program files\QuickTime

2008-11-20 09:49 --------- d-----w c:\documents and settings\HP_Propriétaire\Application Data\HP

2008-10-24 11:21 455,296 ------w c:\windows\system32\dllcache\mrxsmb.sys

2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll

2008-10-23 12:36 286,720 ------w c:\windows\system32\dllcache\gdi32.dll

2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll

2008-10-16 13:13 202,776 ----a-w c:\windows\system32\dllcache\wuweb.dll

2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll

2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\dllcache\wuaueng.dll

2008-10-16 13:12 70,656 ------w c:\windows\system32\dllcache\ie4uinit.exe

2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll

2008-10-16 13:12 561,688 ----a-w c:\windows\system32\dllcache\wuapi.dll

2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll

2008-10-16 13:12 323,608 ----a-w c:\windows\system32\dllcache\wucltui.dll

2008-10-16 13:11 13,824 ------w c:\windows\system32\dllcache\ieudinit.exe

2008-10-16 13:09 92,696 ----a-w c:\windows\system32\dllcache\cdm.dll

2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll

2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe

2008-10-16 13:09 51,224 ----a-w c:\windows\system32\dllcache\wuauclt.exe

2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll

2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll

2008-10-16 13:08 34,328 ----a-w c:\windows\system32\dllcache\wups.dll

2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll

2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-19 136600]

"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 52736]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-10-07 13574144]

"RemoteControl"="c:\program files\ASUS\ASUS Remote\RemoteControlAppl.exe" [2005-06-10 61440]

"HPHUPD08"="c:\program files\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe" [2005-06-02 49152]

"KBD"="c:\hp\KBD\KBD.EXE" [2005-02-03 61440]

"Home Theater SchSvr"="c:\program files\Fichiers communs\InterVideo\SchSvr\SchSvr.exe" [2005-07-18 106496]

"WINREMOTE"="c:\program files\InterVideo\Common\Bin\WinRemote.exe" [2005-07-18 262144]

"Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2004-04-14 233472]

"PS2"="c:\windows\system32\ps2.exe" [2004-10-25 90112]

"LSBWatcher"="c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe" [2005-05-11 253952]

"HP Software Update"="c:\program files\HP\HP Software Update\HPwuSchd2.exe" [2005-05-12 49152]

"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-10-07 86016]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-11-04 413696]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-11-20 290088]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"AdobeCS4ServiceManager"="c:\program files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]

"Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe" [2005-01-07 c:\windows\system32\HdAShCut.exe]

"nwiz"="nwiz.exe" [2008-10-07 c:\windows\system32\nwiz.exe]

"SoundMan"="SOUNDMAN.EXE" [2005-05-04 c:\windows\SOUNDMAN.EXE]

"AlcWzrd"="ALCWZRD.EXE" [2005-05-04 c:\windows\ALCWZRD.EXE]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-12 282624]

Logiciel Kodak EasyShare.lnk - c:\program files\Kodak\Kodak EasyShare software\bin\EasyShare.exe [2008-02-08 282624]

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\eMule\\emule.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"c:\\Program Files\\World of Warcraft\\BackgroundDownloader.exe"=

"c:\\Program Files\\World of Warcraft\\WoW-2.4.3-to-3.0.2-frFR-Win-Final-downloader.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\\Program Files\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"=

"c:\\Program Files\\Fichiers communs\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3724:UDP"= 3724:UDP:Blizzard downloader:3724

"6112:TCP"= 6112:TCP:Blibli downloader

"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

"5353:TCP"= 5353:TCP:Adobe CSI CS4

 

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-10-21 111184]

R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [2005-10-11 2786176]

R4 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-10-21 20560]

R4 KodakDigitalDisplayService;Kodak Digital Display Service;c:\program files\Kodak\Digital Display\OrbKodakLauncher\DllStartupService.exe [2008-03-06 81920]

S3 getPlus® Helper;getPlus® Helper;c:\program files\NOS\bin\getPlus_HelperSvc.exe [2008-10-30 33752]

.

Contenu du dossier 'Tâches planifiées'

 

2009-01-10 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

.

- - - - ORPHELINS SUPPRIMES - - - -

 

HKLM-Run-a-squared - c:\program files\a-squared Anti-Malware\a2guard.exe

HKLM-Run-NWEReboot - (no file)

 

 

.

------- Examen supplémentaire -------

.

uInternet Settings,ProxyOverride = *.local

IE: &Google Search - c:\program files\Google\GoogleToolbar1.dll/cmsearch.html

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

IE: Pages liées - c:\program files\Google\GoogleToolbar1.dll/cmbacklinks.html

IE: Pages similaires - c:\program files\Google\GoogleToolbar1.dll/cmsimilar.html

IE: Version de la page actuelle disponible dans le cache Google - c:\program files\Google\GoogleToolbar1.dll/cmcache.html

FF - ProfilePath - c:\documents and settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\wlot0w3y.default\

FF - prefs.js: browser.startup.homepage - www.jeuxvideo.com

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-01-16 13:15:05

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

Heure de fin: 2009-01-16 13:16:28

ComboFix-quarantined-files.txt 2009-01-16 12:16:26

 

Avant-CF: 115,411,746,816 octets libres

Après-CF: 115,454,267,392 octets libres

 

Current=4 Default=4 Failed=3 LastKnownGood=5 Sets=,1,2,3,4,5

239 --- E O F --- 2009-01-14 11:50:24

[Thanos]

salut

 

C'est tout bon

 

1°) On va se débarrasser des programmes téléchargés à présent >>

 

* Passe par le Menu Démarrer > Exécuter > et tape ceci > ComboFix /u (il ya un espace entre x et / )

Une fenêtre va s'ouvrir et ComboFix sera désinstallé de ton pc.

 

* Sur le Bureau >>

 

Supprime le fichier OTScanIt2.exe ainsi que le dossier OTScanIt2.

Supprime aussi le fichier RSIT.exe et gmer.zip ainsi que le dossier GMER.

 

* Dans le répertoire C:\ >>

 

Supprime les dossiers suivants: __OTScanIt et rsit

 

* Tu peux conserver MBAM: Il ne protègera pas ton pc : pour bénéficier de sa fonction de protection résidente et ses mises à jour automatiques, il faudra acheter la licence. Ceci dit, il est toujours efficace pour nettoyer ton pc! il suffit juste de le mettre à jour manuellement avant tout scan (en mode sans échec de préférence).

 

* On va utiliser un petit programme que tu vas pouvoir conserver et qui sert à faire le nettoyage des fichiers inutiles (fichiers temporaires/cookies/cache internet etc...). Conserve le car tu pourras l'utiliser par la suite.

 

* Télécharge ATF Cleaner by Atribune sur ton bureau.

 

Double-clique sur ATF Cleaner afin de lancer le programme.

• Sous l'onglet Main, choisis : Select All
  Clique sur le bouton Empty Selected
   
  Si tu utilises le navigateur Firefox :
   
   
  
• Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
   
  Si tu utilises le navigateur Opera :
   
   
  
• Clique Opera au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
   
  Clique Exit, du menu prinicipal, afin de fermer le programme.
  

Note: ce qui suit n'est pas obligatoire! ce sont juste des conseils

 

2°) Le pc est protégé par Avast...Je te conseille de lire ce comparatif très intéressant de Malekal Morte afin de te faire une idée quant à l'efficacité de cet antivirus > http://forum.malekal.com/ftopic3528.php

C'est une étude indépendante et sérieuse! Je ne saurais que te conseiller de désinstaller avast et d'installer Antivir afin de protéger ton pc au mieux.

 

Si tu décides d'installer Antivir procède ainsi >

 

-Télécharge Antivir sur le bureau, mais ne le lance pas encore!

 

-Désinstalle Avast et redémarre le pc.

 

-Installe Antivir.

 

-Met Antivir à jour et configure le en suivant les indications du Tutoriel de tesgaz

 

Si tu as besoin de faire un scan du pc avec Antivir, voilà ce qu'il faudra faire >>

 

Double-clique sur son icône près de l'horloge, cela ouvre l'interface principale, puis clique sur "Contrôler syst." à droite de "Dernier contrôle syst. intégral".

/!\ Cela peut être long.

Tu peux sauvegarder le rapport en fin de parcours (bouton "Rapport").

 

Si Antivir détecte des fichiers infectés, mets les en quarantaine (choisis "Déplacer en quarantaine" dans la liste des actions.

Tu peux automatiser ce type d'action en cochant une case), comme ci dessous :

Cela permet de ne pas rester à la surveiller.

 

3°) Le pare-feu intégré à Windows n'est pas efficace! il est important d'en installer un vrai pour protéger ton pc >>

 

Voila quelques liens pour des pare-feux gratuits

 

Zone Alarm (2 versions )

Lien de téléchargement de la version FREE : http://dl2.zonelabs.com/bin/free/3301_fr/z..._737_000_fr.exe

Lien de téléchargement de la version PRO : http://www.zonelabs.com/store/content/cata...lid=dbtopnav_za

La version pro est payante après une période d'essai.

Tuto de Tesgaz pour la version pro : http://speedweb1.free.fr/frames2.php?page=tuto1

Tuto de Odsen pour la version free : http://benoit.aun.free.fr/securite-facile-php/zonealarm.php

 

Kerio

Lien de téléchargement : http://www.sunbelt-software.com/evaluation/440/kerio.exe

Tuto de Malekal_morte : http://www.malekal.com/kerio_firewall.html

 

Jetico

Lien de téléchargement éditeur : http://www.jetico.com/

Lien de téléchargement sur Zebulon (en fr) : http://telechargement.zebulon.fr/license-1-225.html

Tuto de Odsen : http://benoit.aun.free.fr/securite-facile-php/jetico.php

 

Outpost firewall free

Lien de téléchargement éditeur : http://www.agnitum.com/products/outpostfree/download.php

Tuto de Odsen (lien site) : http://securite-facile.ovh.org/outpost.php

 

La liste n'est pas exhaustive, il en existe d'autres gratuits, et d'autres avec plus de fonctions payants. Télécharge l'exécutable d'installation du pare-feu que tu auras choisi. Lance l'installation de ton pare-feu et suis les instructions supplémentaires s'il y en a. Aide toi des tutos.

 

Je te conseille Zone Alarme ou Kério en version gratuite pour commencer, tu pourras en changer par la suite pour un pare-feu plus élaboré quand tu auras le temps de t'y plonger. Un pare-feu bien configuré, est garant de la sécurité du pc et de ta tranquilité .

 

*****

 

Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités.

Tu peux utiliser ce programme qui aide à faire le point sur les logiciels qui ont besoin d'une mise à jour >>PSI de Secunia<<

 

JavaRa peut t'y aider pour Java : http://raproducts.org/

 

Je te conseille vivement de faire des sauvegardes régulières des données qui ont de l'importance pour toi. Lorsqu'on y pense, il est souvent trop tard! Une grosse infection ou un plantage de la machine peuvent rendre les données irrécupérables... Aussi, afin d'éviter ce gros désagrément, il faut prendre l'habitude de faire des sauvegardes régulières. Pour celà je te conseille le logiciel gratuit >>Cobian Backup 8<<

Ce tutoriel montre comment l'utiliser >> http://www.astucesinternet.com/modules/new...php?storyid=207

 

Des conseils pour sécuriser ton pc au mieux et comprendre les dangers liés à l'utilisation de l'internet dans les deux lien ci-dessous. Je t'invite à prendre le temps de bien lire tout cela, de t'informer, d'essayer... Pour trouver quels sont les softs qui te conviennent le mieux.

 

Malekal_Morte : http://www.malekal.com/

Ipl_001 : http://IPL001.free.fr/IT/IT-AM0.html

 

Windows Update parfaitement à jour (catégorie critique, Services Pack et Services Release )

- pare-feu bien paramétré- antivirus bien paramétré et mis à jour régulièrement(quotidiennement s'il le faut) avec un scan complet régulier.

- IMPORTANT :une attitude prudente vis à vis de la navigation (pas de sites douteux:cracks, warez, etc) et vis à vis de la messagerie (fichiers joints aux messages doivent être scanné avant d'être ouvert ainsi que les fichiers téléchargés dont la provenance n'est pas sûre!!)

- une attitude vigilante (être l'affût de fonctionnements inhabituels de ton système)

- nettoyage hebdomadaire du système (suppression des fichiers inutiles avec ATF cleaner, nettoyage de la base de registre avec jv16, scandisk, defragmentation du disque dur régulière)

- scan hebdomadaire antispyware

***

 

Pense à changer le titre et y rajouter " Résolu" stp.

Sous ton premier message, clique sur le bouton "Editer" puis "Edition complête".

Là, tu aura la possibilité d'éditer ton titre et d'y ajouter [résolu]

 

bon surf @ toi

A bientot sur les forums de sans malwares!

[Aioros]

UN grand merci Thanos !!!! Grâce à toi tout refonctionne correctement c'est vraiment super. C'est vraiment du très bon boulot encore merci !!!