besoin d'aide urgent

[elorac]

Ok, ben c'est F-Secure à la sauce neuf, à sans doute 5 euros par mois, soit 60 euros par an.

Il existe des alternatives gratuites, plus efficaces. La seule petite difficulté est qu'il y a une prise en main (mais rien d'abominable, et logiciels en français).

 

Si l'alternative gratuite t'intéresse, tu pourrais désinstaller le pack sécurité (et résilier l'option payante), à ce moment là.

Dis moi ce que tu préfères faire.

 

 

Pour le moment je vais rester avec Neuf mais comme je vais bientot modifier mon abonnement, a ce moment là je ferais sauter l'option pack securité pour prendre ta solution... apres tout, les 60 euros sont mieux dans ma poche que dans la leur...

[Falkra]

Ok, tu pourras ouvrir un autre sujet à ce moment là, on te détaillera les manips.

 

On v éliminer les résidus, mais l'infection n'est plus active.

 

Fais un scan en ligne Kaspersky avec Internet explorer impérativement.

• Clique sur Accept
  
• Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
  
• clique une nouvelle fois sur "Accept"
  
• Les bases de mises à jour vont s'installer, patiente un moment
  
• Clique sur Next.
  
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.
  

 

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport. Copie/colle l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier. Colle ce rapport dans ta réponse sur le forum.

[elorac]

Le scan n'a trouvé aucun objet infecté...

[Falkra]

Tant mieux alors.

 

Vérifie à la main la présence d'un fichier fxsteller.exe dans c:\windows\system32

Tu auras sans doute besoin d'afficher temporairement les fichiers cachés et ceux du système :

http://www.libellules.ch/afficher_fichiers.php

 

Si tu le trouves, mets-le à la corbeille.

[elorac]

Tant mieux alors.

 

Vérifie à la main la présence d'un fichier fxsteller.exe dans c:\windows\system32

Tu auras sans doute besoin d'afficher temporairement les fichiers cachés et ceux du système :

http://www.libellules.ch/afficher_fichiers.php

 

Si tu le trouves, mets-le à la corbeille.

 

Je n'ai pas de fichier de ce nom là... et plus aucune page travian ne s'affiche... Merci beaucoup!!!

En avons nous fini avec mon ordi?? Pouvons nous passer a l'autre?? Rassures toi il n'y en a pas de troisieme...

[Falkra]

On peut passer à l'autre, je posterai les conseils de prévention pour les deux, ça semble groupable.

 

Le deuxième n'a pas de virus apparent dans le rapport HijackThis.

 

Je te conseille de changer son antivirus. Avast est devenu une passoire et laisse passer tous les gros trucs, + les trucs récents (dommage).

Antivir est tout aussi gratuit (disponible en français maintenant) et surtout bien plus efficace.

Tu peux désinstaller avast par le panneau de configuration / ajout-suppression de programmes.

Si ça ne marche pas bien, il y a aussi (au cas où mais normalement pas besoin) cet utilitaire officiel :

http://www.avast.com/fre/avast-uninstall-utility.html

Au besoin en mode sans échec, si ça rouspète.

 

Pour Antivir voici un lien de téléchargement direct (version en français) :

http://dlce.antivir.com/package/wks_avira/...personal_fr.exe

Tuto Fr sur la version 8 française : http://www.libellules.ch/tuto_antivir.php

 

Il te proposera la mise à jour (dis oui) et un scan complet (dis oui et poste le rapport). Attention ça peut être un peu long.

[elorac]

Bonjour Falkra,

 

Voici le rapport avira anivir:

 

 

 

Avira AntiVir Personal

Date de création du fichier de rapport : jeudi 18 juin 2009 07:17

 

La recherche porte sur 1468438 souches de virus.

 

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus

Numéro de série : 0000149996-ADJIE-0000001

Plateforme : Windows XP

Version de Windows : (Service Pack 3) [5.1.2600]

Mode Boot : Démarré normalement

Identifiant : user

Nom de l'ordinateur : BUREAU

 

Informations de version :

BUILD.DAT : 9.0.0.65 17959 Bytes 22/04/2009 12:06:00

AVSCAN.EXE : 9.0.3.6 466689 Bytes 21/04/2009 12:20:54

AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02

LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11

LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31

ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36

ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11/02/2009 19:33:26

ANTIVIR2.VDF : 7.1.4.87 2982912 Bytes 12/06/2009 05:15:12

ANTIVIR3.VDF : 7.1.4.107 73728 Bytes 17/06/2009 05:15:12

Version du moteur : 8.2.0.191

AEVDF.DLL : 8.1.1.1 106868 Bytes 18/06/2009 05:15:22

AESCRIPT.DLL : 8.1.2.9 409978 Bytes 18/06/2009 05:15:22

AESCN.DLL : 8.1.2.3 127347 Bytes 18/06/2009 05:15:21

AERDL.DLL : 8.1.1.3 438645 Bytes 29/10/2008 17:24:41

AEPACK.DLL : 8.1.3.18 401783 Bytes 18/06/2009 05:15:21

AEOFFICE.DLL : 8.1.0.38 196987 Bytes 18/06/2009 05:15:19

AEHEUR.DLL : 8.1.0.133 1798520 Bytes 18/06/2009 05:15:19

AEHELP.DLL : 8.1.3.6 205174 Bytes 18/06/2009 05:15:14

AEGEN.DLL : 8.1.1.45 348532 Bytes 18/06/2009 05:15:14

AEEMU.DLL : 8.1.0.9 393588 Bytes 09/10/2008 13:32:40

AECORE.DLL : 8.1.6.12 180599 Bytes 18/06/2009 05:15:13

AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 13:32:40

AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30

AVPREF.DLL : 9.0.0.1 43777 Bytes 03/12/2008 10:39:26

AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 13:34:28

AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42

AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22

AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37

SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49

SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57

NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59

RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 17/02/2009 12:49:32

RCTEXT.DLL : 9.0.37.0 88321 Bytes 15/04/2009 09:07:05

 

Configuration pour la recherche actuelle :

Nom de la tâche...............................: Contrôle intégral du système

Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp

Documentation.................................: bas

Action principale.............................: interactif

Action secondaire.............................: ignorer

Recherche sur les secteurs d'amorçage maître..: marche

Recherche sur les secteurs d'amorçage.........: marche

Secteurs d'amorçage...........................: C:, D:,

Recherche dans les programmes actifs..........: marche

Recherche en cours sur l'enregistrement.......: marche

Recherche de Rootkits.........................: marche

Contrôle d'intégrité de fichiers système......: arrêt

Fichier mode de recherche.....................: Tous les fichiers

Recherche sur les archives....................: marche

Limiter la profondeur de récursivité..........: 20

Archive Smart Extensions......................: marche

Heuristique de macrovirus.....................: marche

Heuristique fichier...........................: moyen

 

Début de la recherche : jeudi 18 juin 2009 07:17

 

La recherche d'objets cachés commence.

'63098' objets ont été contrôlés, '0' objets cachés ont été trouvés.

 

La recherche sur les processus démarrés commence :

Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés

Processus de recherche 'msiexec.exe' - '1' module(s) sont contrôlés

Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'Dot1XCfg.exe' - '1' module(s) sont contrôlés

Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'HPZipm12.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wmiprvse.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ashWebSv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ashMaiSv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'RegSrvc.exe' - '1' module(s) sont contrôlés

Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés

Processus de recherche 'LockServ.exe' - '1' module(s) sont contrôlés

Processus de recherche 'LSSrvc.exe' - '1' module(s) sont contrôlés

Processus de recherche 'btwdins.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'awServ.exe' - '1' module(s) sont contrôlés

Processus de recherche 'MemCheck.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'BTTray.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ZDWlan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'emule.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'hphmon05.exe' - '1' module(s) sont contrôlés

Processus de recherche 'hpwuSchd2.exe' - '1' module(s) sont contrôlés

Processus de recherche 'hpcmpmgr.exe' - '1' module(s) sont contrôlés

Processus de recherche 'hpztsb09.exe' - '1' module(s) sont contrôlés

Processus de recherche 'LockMon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SysMonitor.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ACU.exe' - '1' module(s) sont contrôlés

Processus de recherche 'WLTRAY.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'eDSloader.exe' - '1' module(s) sont contrôlés

Processus de recherche 'LVCOMSX.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'RTHDCPL.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ashDisp.exe' - '1' module(s) sont contrôlés

Processus de recherche 'EOUWiz.exe' - '1' module(s) sont contrôlés

Processus de recherche 'iFrmewrk.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ZCfgSvc.exe' - '1' module(s) sont contrôlés

Processus de recherche 'LVPrcSrv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ashServ.exe' - '1' module(s) sont contrôlés

Processus de recherche 'aswUpdSv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'BCMWLTRY.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'WLTRYSVC.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'S24EvMon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'EvtEng.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés

Processus de recherche 'services.exe' - '1' module(s) sont contrôlés

Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés

Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés

'64' processus ont été contrôlés avec '64' modules

 

La recherche sur les secteurs d'amorçage maître commence :

Secteur d'amorçage maître HD0

[iNFO] Aucun virus trouvé !

 

La recherche sur les secteurs d'amorçage commence :

Secteur d'amorçage 'C:\'

[iNFO] Aucun virus trouvé !

Secteur d'amorçage 'D:\'

[iNFO] Aucun virus trouvé !

 

La recherche sur les renvois aux fichiers exécutables (registre) commence :

Le registre a été contrôlé ( '83' fichiers).

 

 

La recherche sur les fichiers sélectionnés commence :

 

Recherche débutant dans 'C:\' <ACER>

C:\pagefile.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

[REMARQUE] Ce fichier est un fichier système Windows.

[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.

C:\Documents and Settings\user\Local Settings\Temp\Installer.exe

[0] Type d'archive: NSIS

[RESULTAT] Contient le modèle de détection du dropper DR/Shopper.L.12

--> [PluginsDir]/InstallerHelperPlugin.dll

[RESULTAT] Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/MartSho.dll.2

--> ProgramFilesDir/ShoppingReport.dll

[RESULTAT] Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/MartSho.dll.3

--> ProgramFilesDir/[PluginsDir]/InstallerHelperPlugin.dll

[RESULTAT] Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/MartSho.dll.2

--> ProgramFilesDir/[TempDir]/ShoppingReport.dll

[RESULTAT] Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/MartSho.dll.3

C:\Documents and Settings\user\Local Settings\Temp\ShprInstaller.exe

[RESULTAT] Contient le modèle de détection du dropper DR/Shopper.L

--> [PluginsDir]/InstallerHelperPlugin.dll

[RESULTAT] Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/MartSho.dll.2

--> ProgramFilesDir/Installer.exe

[RESULTAT] Contient le modèle de détection du dropper DR/Shopper.L.12

--> [PluginsDir]/InstallerHelperPlugin.dll

[RESULTAT] Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/MartSho.dll.2

--> ProgramFilesDir/ShoppingReport.dll

[RESULTAT] Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/MartSho.dll.3

--> ProgramFilesDir/[PluginsDir]/InstallerHelperPlugin.dll

[RESULTAT] Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/MartSho.dll.2

--> ProgramFilesDir/[TempDir]/ShoppingReport.dll

[RESULTAT] Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/MartSho.dll.3

C:\oldTaxi2003\Shellapi.Exe

[RESULTAT] Contient le code suspect : HEUR/Crypted

C:\Program Files\ShoppingReport\Uninst.exe

[0] Type d'archive: NSIS

[RESULTAT] Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/ZangoShoppingreports.A.7

--> [PluginsDir]/InstallerHelperPlugin.dll

[RESULTAT] Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/MartSho.dll.2

Recherche débutant dans 'D:\' <ACERDATA>

D:\Copie (2) de Taxi2003\Shellapi.Exe

[RESULTAT] Contient le code suspect : HEUR/Crypted

D:\Copie de Taxi2003\Shellapi.Exe

[RESULTAT] Contient le code suspect : HEUR/Crypted

D:\Taxi2003\Shellapi.Exe

[RESULTAT] Contient le code suspect : HEUR/Crypted

D:\taxi98\Shellapi.Exe

[RESULTAT] Contient le code suspect : HEUR/Crypted

 

Début de la désinfection :

C:\Documents and Settings\user\Local Settings\Temp\Installer.exe

[RESULTAT] Contient le modèle de détection du dropper DR/Shopper.L.12

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4aacdca0.qua' !

C:\Documents and Settings\user\Local Settings\Temp\ShprInstaller.exe

[RESULTAT] Contient le modèle de détection du dropper DR/Shopper.L

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4aa9dc9a.qua' !

C:\oldTaxi2003\Shellapi.Exe

[RESULTAT] Contient le code suspect : HEUR/Crypted

[REMARQUE] Le résultat positif a été classé comme suspect.

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a9edc9a.qua' !

C:\Program Files\ShoppingReport\Uninst.exe

[RESULTAT] Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/ZangoShoppingreports.A.7

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4aa2dca0.qua' !

D:\Copie (2) de Taxi2003\Shellapi.Exe

[RESULTAT] Contient le code suspect : HEUR/Crypted

[REMARQUE] Le résultat positif a été classé comme suspect.

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4e07633b.qua' !

D:\Copie de Taxi2003\Shellapi.Exe

[RESULTAT] Contient le code suspect : HEUR/Crypted

[REMARQUE] Le résultat positif a été classé comme suspect.

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4e066b43.qua' !

D:\Taxi2003\Shellapi.Exe

[RESULTAT] Contient le code suspect : HEUR/Crypted

[REMARQUE] Le résultat positif a été classé comme suspect.

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4e0132cb.qua' !

D:\taxi98\Shellapi.Exe

[RESULTAT] Contient le code suspect : HEUR/Crypted

[REMARQUE] Le résultat positif a été classé comme suspect.

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4e03025b.qua' !

 

 

Fin de la recherche : jeudi 18 juin 2009 08:18

Temps nécessaire: 40:19 Minute(s)

 

La recherche a été effectuée intégralement

 

5947 Les répertoires ont été contrôlés

318048 Des fichiers ont été contrôlés

14 Des virus ou programmes indésirables ont été trouvés

5 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

8 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

1 Impossible de contrôler des fichiers

318028 Fichiers non infectés

8756 Les archives ont été contrôlées

1 Avertissements

9 Consignes

63098 Des objets ont été contrôlés lors du Rootkitscan

0 Des objets cachés ont été trouvés

[elorac]

Salut Falkra,

Je ne sais pas si tu as eu mon message, mais les pages travian continuent de s'ouvrir sur le 2eme ordi.

Le scan m'a trouvé qqch mais je ne sais pas quoi faire...

[Falkra]

On n'a pas fini.

 

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux.

 

Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).

• Assure toi que tous les programmes sont fermés avant de commencer.
  
• Désactive l'antivirus, sinon combofix va te mettre un message (sinon, dis ok au message).
  
• Double-clique combofix.exe afin de l'exécuter.
  
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  
• Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le.
  
• On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final.
  
• Le bureau disparaît, c'est normal, et il va revenir.
  
• Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide.
  
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  Le rapport se trouve dans : C:\Combofix.txt (si jamais).
  

[elorac]

Bonsoir Falkra!!!

 

Contente de te lire... Voici le rapport

 

ComboFix 09-06-18.02 - user 20/06/2009 0:35:46.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2046.1347 [GMT 2:00]

Lancé depuis: C:\Documents and Settings\user\Bureau\ComboFix.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

AV: avast! antivirus 4.8.1335 [VPS 090618-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

.

Les fichiers ci-dessous ont été désactivés pendant l'exécution:

C:\Program Files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2009-05-19 au 2009-06-19 ))))))))))))))))))))))))))))))))))))

.

 

2009-06-18 15:47:56 . 2009-06-18 15:47:56 3561743 ----a-w- C:\Documents and Settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe

2009-06-18 15:47:04 . 2009-06-18 15:47:04 0 d-----w- C:\Documents and Settings\user\Application Data\Malwarebytes

2009-06-18 15:46:58 . 2009-06-17 09:27:56 38160 ----a-w- C:\WINDOWS\system32\drivers\mbamswissarmy.sys

2009-06-18 15:46:56 . 2009-06-18 15:46:56 0 d-----w- C:\Documents and Settings\All Users\Application Data\Malwarebytes

2009-06-18 15:46:55 . 2009-06-18 15:48:03 0 d-----w- C:\Program Files\Malwarebytes' Anti-Malware

2009-06-18 15:46:55 . 2009-06-17 09:27:44 19096 ----a-w- C:\WINDOWS\system32\drivers\mbam.sys

2009-06-18 05:11:50 . 2009-03-30 08:32:47 96104 ----a-w- C:\WINDOWS\system32\drivers\avipbb.sys

2009-06-18 05:11:50 . 2009-03-24 14:07:58 55640 ----a-w- C:\WINDOWS\system32\drivers\avgntflt.sys

2009-06-18 05:11:50 . 2009-02-13 10:28:39 22360 ----a-w- C:\WINDOWS\system32\drivers\avgntmgr.sys

2009-06-18 05:11:50 . 2009-02-13 10:17:49 45416 ----a-w- C:\WINDOWS\system32\drivers\avgntdd.sys

2009-06-18 05:11:45 . 2009-06-18 05:11:45 0 d-----w- C:\Program Files\Avira

2009-06-18 05:11:45 . 2009-06-18 05:11:45 0 d-----w- C:\Documents and Settings\All Users\Application Data\Avira

2009-06-16 15:48:26 . 2009-06-16 15:48:26 0 d-----w- C:\WINDOWS\system32\wbem\Repository

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-06-18 19:25:38 . 2008-05-09 16:16:27 12 ----a-w- C:\WINDOWS\bthservsdp.dat

2009-06-17 17:45:18 . 2009-02-17 18:38:09 31 ----a-w- C:\WINDOWS\popcinfo.dat

2009-06-17 17:13:48 . 2009-02-18 12:06:47 0 d-----w- C:\Program Files\eMachines Games

2009-06-17 01:06:48 . 2008-01-24 09:09:26 0 d-----w- C:\Documents and Settings\All Users\Application Data\Microsoft Help

2009-06-17 01:05:03 . 2008-01-24 09:14:21 0 d-----w- C:\Program Files\Microsoft Works

2009-06-16 15:54:49 . 2008-01-27 19:53:50 0 d-----w- C:\Program Files\GpsPrevent

2009-06-11 18:50:03 . 2006-08-02 17:09:20 0 d--h--w- C:\Program Files\InstallShield Installation Information

2009-05-07 15:33:02 . 2004-08-05 05:00:00 348672 ----a-w- C:\WINDOWS\system32\localspl.dll

2009-04-29 04:45:44 . 2006-03-04 04:00:32 827392 ----a-w- C:\WINDOWS\system32\wininet.dll

2009-04-29 04:45:36 . 2004-08-05 05:00:00 78336 ----a-w- C:\WINDOWS\system32\ieencode.dll

2009-04-19 19:50:30 . 2005-10-06 03:08:50 1847296 ----a-w- C:\WINDOWS\system32\win32k.sys

2009-04-16 05:01:02 . 2006-08-02 17:06:04 87004 ----a-w- C:\WINDOWS\system32\perfc00C.dat

2009-04-16 05:01:02 . 2006-08-02 17:06:04 81728 ----a-w- C:\WINDOWS\system32\perfh00C.dat

2009-04-15 14:53:29 . 2004-08-05 05:00:00 585216 ----a-w- C:\WINDOWS\system32\rpcrt4.dll

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 02:33:59 15360]

"AdobeUpdater"="C:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe" [2008-09-26 10:02:04 2356088]

"eMuleAutoStart"="C:\Documents and Settings\user\Mes documents\eMule\eMule Applejuice\emule.exe" [2007-12-01 16:11:34 6250496]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"LaunchApp"="Alaunch" [X]

"Broadcom Wireless Manager UI"="C:\WINDOWS\system32\WLTRAY" [X]

"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 05:00:00 208952]

"IMEKRMIG6.1"="C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE" [2004-08-05 05:00:00 44032]

"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 05:00:00 455168]

"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 05:00:00 455168]

"IntelZeroConfig"="C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe" [2005-11-28 10:41:14 667718]

"IntelWireless"="C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" [2005-11-28 10:41:50 602182]

"EOUApp"="C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe" [2005-11-28 10:47:12 569413]

"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 21:08:45 81000]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-07-12 20:56:57 7581696]

"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2006-06-23 08:39:54 225280]

"eRecoveryService"="C:\Acer\Empowering Technology\eRecovery\eRAgent.exe" [2006-06-01 12:40:54 413696]

"eLockMonitor"="C:\Acer\Empowering Technology\eLock\Monitor\LaunchMonitor.exe" [2006-03-31 08:14:42 16384]

"eDataSecurity Loader"="C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2006-03-17 13:00:50 345088]

"AdminWorks Tray"="c:\Acer\LANScope Agent\awtray.exe" [2006-04-17 15:38:54 1301504]

"ACU"="C:\Program Files\Atheros\ACU.exe" [2005-01-31 07:05:50 253952]

"Acer Empowering Technology Monitor"="C:\WINDOWS\system32\SysMonitor.exe" [2006-04-18 17:54:50 49152]

"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe" [2004-05-04 14:21:22 176128]

"HPHUPD05"="C:\Program Files\Hewlett-Packard\{5372B9A6-6E51-4f90-9B40-E0A3B8475C4E}\hphupd05.exe" [2004-04-01 10:33:04 49152]

"HP Component Manager"="C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 07:38:42 241664]

"HP Software Update"="C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2003-12-05 14:41:44 49152]

"HPHmon05"="C:\WINDOWS\system32\hphmon05.exe" [2004-05-05 05:18:36 491520]

"avgnt"="C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 11:08:11 209153]

"RTHDCPL"="RTHDCPL.EXE" - C:\WINDOWS\RTHDCPL.exe [2008-01-16 16:31:03 15961088]

"nwiz"="nwiz.exe" - C:\WINDOWS\system32\nwiz.exe [2007-07-12 20:56:59 1519616]

"BluetoothAuthenticationAgent"="bthprops.cpl" - C:\WINDOWS\system32\bthprops.cpl [2008-04-14 02:34:30 110592]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 02:33:59 15360]

 

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Acer WLAN 11g USB Dongle.lnk - C:\Program Files\Acer WLAN 11g USB Dongle\ZDWlan.exe [2005-11-16 745472]

BTTray.lnk - C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe [2006-1-17 618557]

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"D:\\Taxi2003\\TZIP.EXE"=

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"C:\\Program Files\\Microsoft Office\\OFFICE11\\MSACCESS.EXE"=

"C:\\Documents and Settings\\user\\Mes documents\\eMule\\eMule Applejuice\\emule.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"9999:UDP"= 9999:UDP:AdminWorks UDP Port

"2804:TCP"= 2804:TCP:AdminWorks TCP Port

 

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [05/04/2008 18:26:54 114768]

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;C:\Program Files\Avira\AntiVir Desktop\sched.exe [18/06/2009 07:11:50 108289]

R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\drivers\aswFsBlk.sys [05/04/2008 18:26:54 20560]

R2 eLock2BurnerLockDriver;eLock2BurnerLockDriver;C:\WINDOWS\system32\eLock2BurnerLockDriver.sys [12/07/2007 22:09:05 17536]

R2 eLock2FSCTLDriver;eLock2FSCTLDriver;C:\WINDOWS\system32\eLock2FSCTLDriver.sys [12/07/2007 22:09:05 90112]

R2 LockServ;LockServ;C:\Acer\Empowering Technology\eLock\LockServ.exe -p --> C:\Acer\Empowering Technology\eLock\LockServ.exe -p [?]

S3 Acer ODDSpeedControl;Acer ODDSpeedControl;C:\Acer\Empowering Technology\eAcoustics\ODDSpeedCtl\speedcontrol.exe [12/07/2007 22:09:57 81920]

S3 btusbflt;Bluetooth USB Filter;C:\WINDOWS\system32\drivers\btusbflt.sys [09/05/2008 17:47:23 37296]

 

--- Autres Services/Pilotes en mémoire ---

 

*NewlyCreated* - UBHELPER

.

Contenu du dossier 'Tâches planifiées'

 

2009-06-19 C:\WINDOWS\Tasks\HP Usg Daily.job

- C:\Program Files\Hewlett-Packard\{5372B9A6-6E51-4f90-9B40-E0A3B8475C4E}\pexpress\hphped05.exe [2004-04-01 10:33:26 . 2004-04-01 10:33:26]

 

2009-06-19 C:\WINDOWS\Tasks\HPpromotions hp photosmart 7700 series.job

- C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqwrg.exe [2004-06-10 13:52:32 . 2004-06-10 13:52:32]

 

2009-06-18 C:\WINDOWS\Tasks\WGASetup.job

- C:\WINDOWS\system32\KB905474\wgasetup.exe [2009-04-14 01:00:45 . 2009-03-10 20:18:10]

.

- - - - ORPHELINS SUPPRIMES - - - -

 

HKLM-Run-MSPY2002 - remC:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe

HKLM-Run-BroadcomWireless - C:\Program Files\Broadcom\Wireless\Utility\WlanUtil.exe

HKLM-Run-LogitechCameraAssistant - remC:\Program Files\Acer\OrbiCam\CameraAssistant.exe

HKLM-Run-LogitechVideo[inspector] - remC:\Program Files\Acer\OrbiCam\InstallHelper.exe

HKLM-Run-WHITNEY_S2P - rem:\Program Files\Samsung\Samsung SCX-4x21 Series\PSU\Scan2pc.exe

HKLM-Run-SunJavaUpdateSched - remC:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

HKLM-Run-RemoteControl - rem:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

HKLM-Run-ntiMUI - remc:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe

HKLM-Run-LogitechCameraService(E) - remC:\WINDOWS\system32\ElkCtrl.exe

HKLM-Run-AzMixerSel - rem:\Program Files\Realtek\InstallShield\AzMixerSel.exe

HKLM-Run-Adobe Reader Speed Launcher - remC:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

HKLM-Run-SkyTel - remSkyTel.EXE

HKLM-Run-NvMediaCenter - remRUNDLL32.EXE

 

 

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://portail.free.fr/

uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7

uSearchURL,(Default) = hxxp://fr.rd.yahoo.com/customize/ycomp/defaults/su/*http://fr.yahoo.com

IE: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

IE: Envoyer au périphérique &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

Trusted Zone: creditmutuel.fr\www

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-06-20 00:38:33

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]

"C040C10900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.