Mon PC ne démarre qu'en mode sans échec !

[todm]

ooo seulement 1% du scan est deja 16 virus!

[Apollo]

ooo seulement 1% du scan est deja 16 virus!

 

Ben ouais C'est une bombe H cet outil.

 

J'espère que tu as bien coché toutes les cases, faudrait pas en louper.

[todm]

voila c'est fait! alor au total 323 virus!

tous éliminer sauf 2 qui sont aparu en jaune! il met not found!

 

voici le lien pour le rapport: http://senduit.com/a5d148

[Apollo]

Bonjour,

 

Désinstalle Spybot S&D de même que Ad-Aware.

 

Tu avais désinstallé Norton avec le Tool spécifique? (Remover).

 

Sinon il faudra le faire.

 

 

Si oui, il reste un dossier à virer: C:\Program Files\Norton Vide la corbeille avec CCleaner ou ATF Cleaner.

 

Désactive puis réactive la restauration du système sur tous les lecteurs.

 

 

Désactivation de la Restauration du système

Pour désactiver la Restauration du système, procédez comme suit : 1. Cliquez sur Démarrer, cliquez avec le bouton droit sur Poste de travail, puis cliquez sur Propriétés.

2. Cliquez sur l'onglet Restauration du système.

3. Activez la case à cocher Désactiver la Restauration du système (ou la case à cocher Désactiver la Restauration du système sur tous les lecteurs), puis cliquez sur OK.

4. Cliquez sur Oui lorsque vous êtes invité à désactiver la Restauration du système.

 

Activation de la Restauration du système

Pour activer la Restauration du système, procédez comme suit : 1. Cliquez sur Démarrer, cliquez avec le bouton droit sur Poste de travail, puis cliquez sur Propriétés.

2. Cliquez sur l'onglet Restauration du système.

3. Désactivez la case à cocher Désactiver la Restauration du système (ou la case à cocher Désactiver la Restauration du système sur tous les lecteurs), puis cliquez sur OK.

 

 

As-tu récupéré le mode normal?

 

Poste-moi un log Hijackthis que je regarde un peu.

 

@++

[todm]

impossible de suprimer spybot je le trouve pas! ensuite norton c bon et ad aware! ensuite voici le log en normal! point de restauration desactiver!

 

rapport:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:33:13, on 30/01/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\WINDOWS\System32\FTRTSVC.exe

c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\Program Files\Arcadyan Wireless\pctwpasv.exe

C:\WINDOWS\system32\svchost.exe

C:\windows\system\hpsysdrv.exe

C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\ALCWZRD.EXE

C:\WINDOWS\ALCMTR.EXE

C:\hp\drivers\hplsbwatcher\lsburnwatcher.exe

C:\Program Files\Arcadyan Wireless\Configuration\SoftAp.exe

C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe

C:\PROGRA~1\Wanadoo\TaskBarIcon.exe

C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\QuickTime\QTTask.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\WINDOWS\vVX3000.exe

C:\WINDOWS\system32\ps2.exe

C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\ctfmon.exe

C:\documents and settings\hp_propriétaire\local settings\application data\qyqkeca.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\OpenOffice.org 2.4\program\soffice.exe

C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\HP_Propriétaire\Bureau\mod.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...&pf=desktop

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...&pf=desktop

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb127\SearchSettings.dll (file missing)

R3 - URLSearchHook: (no name) - {0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\HP\Digital Imaging\bin\HPDTLK02.dll

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [iSUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [siSPower] Rundll32.exe SiSPower.dll,ModeAgent

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe

O4 - HKLM\..\Run: [softAP] C:\Program Files\Arcadyan Wireless\NetCfgWizard.exe /U

O4 - HKLM\..\Run: [Wireless SoftAP] "C:\Program Files\Arcadyan Wireless\Configuration\SoftAp.exe" /M

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [VX3000] C:\WINDOWS\vVX3000.exe

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [kava] C:\WINDOWS\system32\kavo.exe

O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\kamsoft.exe

O4 - HKCU\..\Run: [vamsoft] C:\WINDOWS\system32\vamsoft.exe

O4 - HKCU\..\Run: [qyqkeca] "c:\documents and settings\hp_propriétaire\local settings\application data\qyqkeca.exe" qyqkeca

O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')

O4 - .DEFAULT User Startup: AutoTBar.exe (User 'Default user')

O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe

O8 - Extra context menu item: Compare Prices with &Dealio - C:\Documents and Settings\HP_Propriétaire\Application Data\Dealio\kb127\res\DealioSearch.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)

O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5) - http://upload.facebook.com/controls/Facebo...toUploader5.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab

O16 - DPF: {5852F5ED-8BF4-11D4-A245-0080C6F74284} (isInstalled Class) - http://javadl-esd.sun.com/update/1.6.0/jin...indows-i586.cab

O16 - DPF: {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0} (Facebook Photo Uploader 4 Control) - http://upload.facebook.com/controls/Facebo...toUploader3.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1196713590406

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{31CEB536-D133-4B85-BC45-406235F9BE82}: NameServer = 85.255.115.78,85.255.112.212

O17 - HKLM\System\CCS\Services\Tcpip\..\{64D7B1E8-BF11-42C0-847B-1C7508B78001}: NameServer = 85.255.115.78,85.255.112.212

O17 - HKLM\System\CCS\Services\Tcpip\..\{65D051F6-9C74-4FDB-AC6A-E2782B1C13C3}: NameServer = 85.255.115.78,85.255.112.212

O17 - HKLM\System\CCS\Services\Tcpip\..\{92BC5091-DFC7-498A-B18A-1672E7EE6CFA}: NameServer = 85.255.115.78,85.255.112.212

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.78 85.255.112.212

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.78 85.255.112.212

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

O23 - Service: SoftAP WPA Authenticator Service (PCTWPASV) - PCTEL Inc. - C:\Program Files\Arcadyan Wireless\pctwpasv.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

 

--

End of file - 12134 bytes

Modifié le 30 janvier 2009 par todm

[Apollo]

Re,

 

Misère! Le pc est encore multi-infecté.

 

On ne vas pas employer 36 outils, on y passerait la nuit.

 

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure : dangereux.

 

Désactive ton antivirus, firewall et antispyware le temps de l'analyse.

 

Connecter les supports amovibles (clé usb et autres) avant de procéder.

 

Tutoriel officiel

 

Télécharge ComboFix sur ton bureau (et pas ailleurs).

• Si la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepter!
  
• Assure toi que tous les programmes sont fermés avant de commencer.
  
• Double-clique combofix.exe afin de l'exécuter.
  
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  
• Il est possible que ton pare-feu (firewall) te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte.
  
• Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide.
  
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  Le rapport se trouve dans : C:\Combofix.txt (si jamais).
  

 

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

 

 

@ + tard.

[todm]

je voulai savoir combofix me dit ceci combofix expirer cliker sur oui pour en mode fonctionaliter reduite et cliker sur non pour quitter!

je fait quoi?

[Apollo]

Bon ok on va y aller avec les outils visant chacune des infections.

 

1)

Fais un clic droit sur ce lien : Navilog1 par IL-MAFIOSO .

Enregistre la cible (du lien) sous... et enregistre-le sur ton bureau.

• Ensuite double clique sur navilog1.exe pour lancer l'installation.
  
• Certains antivirus réagissent à Navilog1, désactiver provisoirement l'antivirus en cas de problème.
  
• Une fois l'installation terminée, le fix s'exécutera automatiquement.
  (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
  
• Laisse-toi guider. Au menu principal, choisis 1 et valide.
  Patiente jusqu'au message : *** Analyse Termine le ..... ***
  
• Appuie sur une touche comme demandé, le bloc-notes va s'ouvrir.
  
• Copie-colle l'intégralité dans ta prochaine réponse. Referme le bloc-notes.
  

Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

 

Ne passe aucune autre option avant qu'on ne te le dise.

 

2) Télécharge Toolbar-S&D (Team IDN) sur ton Bureau.

 

• Lance l'installation du programme en exécutant le fichier téléchargé.
  
• Double-clique sur le raccourci de Toolbar-S&D.
  
• --> Sous VISTA: clic droit Exécuter en temps qu'administrateur.
  
• Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
  
• Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.
  Poste le rapport généré. (C:\TB.txt)
  

 

Voilà, fais déjà ces premières analyses.

 

@++

[Apollo]

Une question: as-tu gardé SmitfraudFix depuis hier?

[todm]

1) navilog:

 

Search Navipromo version 3.7.1 commencé le 31/01/2009 à 0:43:10,84

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Postez ce rapport sur le forum pour le faire analyser !!!

!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

 

Outil exécuté depuis C:\Program Files\navilog1

 

Mise à jour le 02.01.2009 à 19h00 par IL-MAFIOSO

 

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 2

X86-based PC ( Multiprocessor Free : Intel® Pentium® 4 CPU 3.00GHz )

BIOS : BIOS Date: 12/03/04 13:39:44 Ver: 08.00.10

USER : HP_Propriétaire ( Administrator )

BOOT : Normal boot

 

Antivirus : avast! antivirus 4.8.1229 [VPS 081013-0] 4.8.1229 (Activated)

 

 

C:\ (Local Disk) - NTFS - Total:181 Go (Free:121 Go)

D:\ (Local Disk) - FAT32 - Total:5 Go (Free:1 Go)

E:\ (CD or DVD)

F:\ (CD or DVD)

G:\ (Local Disk) - FAT32 - Total:0 Go (Free:0 Go)

H:\ (USB)

I:\ (USB)

J:\ (USB)

K:\ (USB)

 

 

Recherche executé en mode normal

 

*** Recherche Programmes installés ***

 

Favorit

 

*** Recherche dossiers dans "C:\WINDOWS" ***

 

 

*** Recherche dossiers dans "C:\Program Files" ***

 

 

*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***

 

 

*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***

 

 

*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***

 

 

*** Recherche dossiers dans "C:\Documents and Settings\HP_PropriÚtaire\applic~1" ***

 

 

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***

 

 

*** Recherche dossiers dans "C:\DOCUME~1\HP_PRO~3\applic~1" ***

 

 

*** Recherche dossiers dans "C:\Documents and Settings\HP_PropriÚtaire\locals~1\applic~1" ***

 

 

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***

 

 

*** Recherche dossiers dans "C:\Documents and Settings\HP_PropriÚtaire\menudm~1\progra~1" ***

 

 

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" ***

 

 

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***

pour + d'infos : http://www.gmer.net

 

 

 

*** Recherche avec GenericNaviSearch ***

!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!

!!! A vérifier impérativement avant toute suppression manuelle !!!

 

* Recherche dans "C:\WINDOWS\system32" *

 

* Recherche dans "C:\Documents and Settings\HP_PropriÚtaire\locals~1\applic~1" *

 

* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

 

 

 

*** Recherche fichiers ***

 

 

 

*** Recherche clés spécifiques dans le Registre ***

!! Les clés trouvées ne sont pas forcément infectées !!

 

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"qyqkeca"="\"c:\\documents and settings\\hp_propriétaire\\local settings\\application data\\qyqkeca.exe\" qyqkeca"

 

 

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche nouveaux fichiers Instant Access :

 

 

2)Recherche Heuristique :

 

* Dans "C:\WINDOWS\system32" :

 

 

* Dans "C:\Documents and Settings\HP_PropriÚtaire\locals~1\applic~1" :

 

qyqkeca.exe trouvé !

qyqkeca.dat trouvé !

qyqkeca_nav.dat trouvé !

qyqkeca_navps.dat trouvé !

 

* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" :

 

 

3)Recherche Certificats :

 

Certificat Egroup absent !

Certificat Electronic-Group absent !

Certificat Montorgueil absent !

Certificat OOO-Favorit absent !

Certificat Sunny-Day-Design-Ltd absent !

 

4)Recherche autres dossiers et fichiers connus :

 

 

 

*** Analyse terminée le 31/01/2009 à 0:51:02,67 ***

 

2)toolbar sd!

 

 

-----------\\ ToolBar S&D 1.2.8 XP/Vista

 

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 2

X86-based PC ( Multiprocessor Free : Intel® Pentium® 4 CPU 3.00GHz )

BIOS : BIOS Date: 12/03/04 13:39:44 Ver: 08.00.10

USER : HP_Propriétaire ( Administrator )

BOOT : Normal boot

Antivirus : avast! antivirus 4.8.1229 [VPS 081013-0] 4.8.1229 (Activated)

C:\ (Local Disk) - NTFS - Total:181 Go (Free:121 Go)

D:\ (Local Disk) - FAT32 - Total:5 Go (Free:1 Go)

E:\ (CD or DVD)

F:\ (CD or DVD)

G:\ (Local Disk) - FAT32 - Total:0 Go (Free:0 Go)

H:\ (USB)

I:\ (USB)

J:\ (USB)

K:\ (USB)

 

"C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )

Option : [1] ( 31/01/2009| 0:55 )

 

-----------\\ Recherche de Fichiers / Dossiers ...

 

C:\DOCUME~1\HP_PRO~1\APPLIC~1\Dealio

C:\DOCUME~1\HP_PRO~1\APPLIC~1\Dealio\dinstallhelper.E5B5BB5AB2D549EC8CA99E2ECD870210.dll

 

-----------\\ Extensions

 

(HP_Propriétaire) - {b9db16a4-6edc-47ec-a1f4-b86292ed211d} => dwhelper

 

 

-----------\\ [..\Internet Explorer\Main]

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"Local Page"="C:\\WINDOWS\\system32\\blank.htm"

"Start Page"="http://www.google.fr/"

"Search Page"="http://www.google.com"

"Default_Page_URL"="http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=Q105&bd=pavilion&pf=desktop"

"Default_Search_URL"="http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q105&bd=pavilion&pf=desktop"

"Search Bar"="http://www.google.com/ie"

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]

"Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"

"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"'>http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

"Local Page"="C:\\windows\\system32\\blank.htm"

"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home"

 

 

--------------------\\ Recherche d'autres infections

 

 

C:\DOCUME~1\HP_PRO~1\LOCALS~1\APPLIC~1\qyqkeca.dat

C:\DOCUME~1\HP_PRO~1\LOCALS~1\APPLIC~1\qyqkeca.exe

C:\DOCUME~1\HP_PRO~1\LOCALS~1\APPLIC~1\qyqkeca_nav.dat

C:\DOCUME~1\HP_PRO~1\LOCALS~1\APPLIC~1\qyqkeca_navps.dat

==> EGDACCESS <==

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters]

NameServer REG_SZ 85.255.115.78 85.255.112.212

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters]

NameServer REG_SZ 85.255.115.78 85.255.112.212

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]

NameServer REG_SZ 85.255.115.78 85.255.112.212

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\..\{31CEB536-D133-4B85-BC45-406235F9BE82}]

NameServer REG_SZ 85.255.115.78,85.255.112.212

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\..\{64D7B1E8-BF11-42C0-847B-1C7508B78001}]

NameServer REG_SZ 85.255.115.78,85.255.112.212

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\..\{64D7B1E8-BF11-42C0-847B-1C7508B78001}]

DhcpNameServer REG_SZ 85.255.115.78,85.255.112.212

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\..\{65D051F6-9C74-4FDB-AC6A-E2782B1C13C3}]

NameServer REG_SZ 85.255.115.78,85.255.112.212

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\..\{6C5C7986-DFAF-46E6-AC3B-B3390F38C7D9}]

DhcpNameServer REG_SZ 85.255.115.78,85.255.112.212

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\..\{92BC5091-DFC7-498A-B18A-1672E7EE6CFA}]

NameServer REG_SZ 85.255.115.78,85.255.112.212

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\..\{31CEB536-D133-4B85-BC45-406235F9BE82}]

NameServer REG_SZ 85.255.115.78,85.255.112.212

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\..\{64D7B1E8-BF11-42C0-847B-1C7508B78001}]

NameServer REG_SZ 85.255.115.78,85.255.112.212

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\..\{64D7B1E8-BF11-42C0-847B-1C7508B78001}]

DhcpNameServer REG_SZ 85.255.115.78,85.255.112.212

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\..\{65D051F6-9C74-4FDB-AC6A-E2782B1C13C3}]

NameServer REG_SZ 85.255.115.78,85.255.112.212

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\..\{6C5C7986-DFAF-46E6-AC3B-B3390F38C7D9}]

DhcpNameServer REG_SZ 85.255.115.78,85.255.112.212

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\..\{92BC5091-DFC7-498A-B18A-1672E7EE6CFA}]

NameServer REG_SZ 85.255.115.78,85.255.112.212

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\..\{31CEB536-D133-4B85-BC45-406235F9BE82}]

NameServer REG_SZ 85.255.115.78,85.255.112.212

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\..\{64D7B1E8-BF11-42C0-847B-1C7508B78001}]

NameServer REG_SZ 85.255.115.78,85.255.112.212

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\..\{64D7B1E8-BF11-42C0-847B-1C7508B78001}]

DhcpNameServer REG_SZ 85.255.115.78,85.255.112.212

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\..\{65D051F6-9C74-4FDB-AC6A-E2782B1C13C3}]

NameServer REG_SZ 85.255.115.78,85.255.112.212

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\..\{6C5C7986-DFAF-46E6-AC3B-B3390F38C7D9}]

DhcpNameServer REG_SZ 85.255.115.78,85.255.112.212

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\..\{92BC5091-DFC7-498A-B18A-1672E7EE6CFA}]

NameServer REG_SZ 85.255.115.78,85.255.112.212

==> WAREOUT <==

 

 

 

 

1 - "C:\ToolBar SD\TB_1.txt" - 29/01/2009|14:49 - Option : [1]

2 - "C:\ToolBar SD\TB_2.txt" - 29/01/2009|22:31 - Option : [2]

3 - "C:\ToolBar SD\TB_3.txt" - 30/01/2009| 0:36 - Option : [1]

4 - "C:\ToolBar SD\TB_4.txt" - 31/01/2009| 0:56 - Option : [1]

 

-----------\\ Fin du rapport a 0:56:33,18