probléme exoclick RESOLU

[Le sioux]

Bonjour alou

 

bon apparemment ça n' a pas marché je te laisse juger par toi-même :

En effet, tu as bien deviné, mais cela n'est pas fini, on s'accroche et on poursuit

Merci à Mark et Loup blanc pour le coup de main .

 

/!\ Note: Le code ci-dessous a été intentionnellement rédigé pour CET utilisateur.

si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système./!\

 

Sélectionne le texte suivant (en citation) dans son intégralité :

 

FCopy::

C:\FR-files\lsass.exe | C:\WINDOWS\system32\dllcache\lsass.exe

C:\FR-files\services.exe | C:\WINDOWS\system32\dllcache\services.exe

C:\FR-files\winlogon.exe | C:\WINDOWS\system32\dllcache\winlogon.exe

C:\FR-files\svchost.exe | C:\WINDOWS\system32\dllcache\svchost.exe

C:\FR-files\spoolsv.exe | C:\WINDOWS\system32\dllcache\spoolsv.exe

C:\FR-files\Explorer.EXE | C:\WINDOWS\system32\dllcache\Explorer.EXE

C:\FR-files\tcpip.sys | C:\WINDOWS\system32\dllcache\tcpip.sys

C:\FR-files\sfcfiles.dll | C:\WINDOWS\system32\dllcache\sfcfiles.dll

• Copie le texte sélectionné (CTRL+C).
  
• Ouvre le Bloc-notes(Démarrer / Tous les Programmes>Accessoires >bloc-notes).
  
• Colle le texte copié dans ce Bloc-notes (CTRL+V).
  
• Sauvegarde sur ton Bureau ce fichier sous le nom de CFScript.txt
  

/!\Déconnecte toi du net et désactive ton antivirus pour que ComboFix puisse s'exécuter normalement /!\

(Aide si besoin : http://forum.pcastuces.com/desactiver_les_...entes-f31s4.htm Merci Morgane )

• Fais un Glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix (sur ton Bureau) comme ici :
  

 

• Une fenêtre bleue va apparaître: au message qui apparaît Type 1 to continue, or 2 to abort , tape 1 puis valide.
  
• Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal !
  

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\

• En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
  
• Une fois le scan achevé, un rapport va s'afficher : Poste son contenu (si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt ) , ainsi qu’un nouveau rapport HijackThis.
  

/!\Ré-active la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet. /!\.

 

@ suivre

 

/ !\Avis aux lecteurs : Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil. Ne pas utiliser en dehors de ce cas de figure : dangereux! / !\

[alou]

bonjour,

 

j' ai effectué les tâches demandées et je crois que Combofix a fait un peu de ménage , il y a du changement : en effet, NoD 32 a apparemment supprimé quelques fichiers infectés, sauf Winlogon .exe qui revient en alerte. @+

 

Voici les rapports:

 

 

ComboFix 09-09-30.05 - ALI 03/10/2009 7:46.7.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.510.169 [GMT 2:00]

Lancé depuis: c:\documents and settings\ALI\Bureau\combofix.exe

Commutateurs utilisés :: c:\documents and settings\ALI\Bureau\CFScript.txt

* Un nouveau point de restauration a été créé

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

Une copie infectée de c:\windows\system32\lsass.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\system32\dllcache\lsass.exe

 

Une copie infectée de c:\windows\system32\services.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\system32\dllcache\services.exe

 

Une copie infectée de c:\windows\system32\svchost.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\system32\dllcache\svchost.exe

 

Une copie infectée de c:\windows\system32\spoolsv.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\system32\dllcache\spoolsv.exe

 

Une copie infectée de c:\windows\explorer.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\system32\dllcache\Explorer.EXE

 

.

--------------- FCopy ---------------

 

c:\fr-files\lsass.exe --> c:\windows\system32\dllcache\lsass.exe

c:\fr-files\services.exe --> c:\windows\system32\dllcache\services.exe

c:\fr-files\winlogon.exe --> c:\windows\system32\dllcache\winlogon.exe

c:\fr-files\svchost.exe --> c:\windows\system32\dllcache\svchost.exe

c:\fr-files\spoolsv.exe --> c:\windows\system32\dllcache\spoolsv.exe

c:\fr-files\Explorer.EXE --> c:\windows\system32\dllcache\Explorer.EXE

c:\fr-files\tcpip.sys --> c:\windows\system32\dllcache\tcpip.sys

c:\fr-files\sfcfiles.dll --> c:\windows\system32\dllcache\sfcfiles.dll

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-09-03 au 2009-10-03 ))))))))))))))))))))))))))))))))))))

.

 

2009-10-03 05:46 . 2004-08-19 14:09 1548288 -c--a-w- c:\windows\system32\dllcache\sfcfiles.dll

2009-10-03 05:46 . 2004-08-03 21:14 359040 -c--a-w- c:\windows\system32\dllcache\tcpip.sys

2009-10-03 05:46 . 2004-08-19 14:10 57856 -c----w- c:\windows\system32\dllcache\spoolsv.exe

2009-10-03 05:46 . 2004-08-19 14:10 14336 -c----w- c:\windows\system32\dllcache\svchost.exe

2009-10-03 05:46 . 2004-08-19 14:09 1036288 -c----w- c:\windows\system32\dllcache\Explorer.EXE

2009-10-03 05:46 . 2004-08-19 14:10 506368 -c--a-w- c:\windows\system32\dllcache\winlogon.exe

2009-10-03 05:46 . 2004-08-19 14:10 108544 -c----w- c:\windows\system32\dllcache\services.exe

2009-10-03 05:46 . 2004-08-19 14:09 13312 -c----w- c:\windows\system32\dllcache\lsass.exe

2009-10-02 14:48 . 2009-10-02 15:07 -------- d-----w- C:\FR-files

2009-10-02 14:41 . 2009-10-02 15:03 -------- d-----w- C:\WinFileReplace

2009-09-30 14:15 . 2009-09-30 14:28 -------- d-----w- C:\bibitte

2009-09-30 14:05 . 2009-09-30 14:02 13824 ----a-w- c:\windows\system32\wscntfy.exe

2009-09-25 07:38 . 2009-09-25 07:38 -------- d-----w- C:\rsit

2009-09-25 07:34 . 2009-09-25 07:34 -------- d-----w- C:\_OTM

2009-09-24 15:35 . 2008-06-19 15:24 28544 ----a-w- c:\windows\system32\drivers\pavboot.sys

2009-09-24 15:35 . 2009-09-24 15:35 -------- d-----w- c:\program files\Panda Security

2009-09-22 16:35 . 2009-09-22 16:35 -------- d-----w- c:\documents and settings\ALI\Tracing

2009-09-22 16:33 . 2006-11-29 11:06 3426072 ----a-w- c:\windows\system32\d3dx9_32.dll

2009-09-21 12:18 . 2009-09-21 12:18 -------- d-----w- c:\documents and settings\NetworkService.AUTORITE NT\Local Settings\Application Data\Apple

2009-09-16 17:11 . 2009-09-16 17:11 -------- d-----w- c:\program files\Fichiers communs\Windows Live

2009-09-15 04:45 . 2009-09-15 04:44 502208 ----a-w- c:\windows\system32\drivers\amon.sys

2009-09-15 04:45 . 2009-09-15 04:44 270336 ----a-w- c:\windows\system32\imon.dll

2009-09-11 06:07 . 2009-09-21 14:14 -------- d-----w- c:\program files\IKEA HomePlanner

2009-09-11 06:06 . 2009-09-11 06:06 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard

2009-09-09 05:51 . 2009-09-09 05:51 -------- d-----w- c:\documents and settings\ALI\Local Settings\Application Data\WMTools Downloaded Files

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-09-28 16:11 . 2008-02-22 17:28 -------- d-----w- c:\program files\Eset

2009-09-27 07:17 . 2008-02-17 07:20 -------- d-----w- c:\program files\CCleaner

2009-09-27 06:56 . 2009-08-25 11:33 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2009-09-22 16:34 . 2008-05-11 15:33 60240 ----a-w- c:\documents and settings\ALI\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2009-09-10 12:54 . 2009-08-25 13:27 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-09-10 12:53 . 2009-08-25 13:27 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

2009-09-04 12:39 . 2008-12-21 18:00 -------- d-----w- c:\documents and settings\ALI\Application Data\Apple Computer

2009-09-01 16:24 . 2008-05-28 09:52 -------- d-----w- c:\documents and settings\ALI\Application Data\Canon

2009-08-25 14:31 . 2009-08-25 14:31 -------- d-----w- c:\program files\iTunes

2009-08-25 14:31 . 2009-08-25 14:31 -------- d-----w- c:\program files\iPod

2009-08-25 14:30 . 2009-08-25 14:30 -------- d-----w- c:\program files\Apple Software Update

2009-08-25 14:30 . 2009-08-25 14:30 -------- d-----w- c:\program files\Fichiers communs\Apple

2009-08-25 11:25 . 2008-12-02 19:16 -------- d---a-w- c:\documents and settings\All Users.WINDOWS\Application Data\TEMP

2009-08-25 08:37 . 2009-08-25 08:37 0 ----a-w- c:\windows\nsreg.dat

2009-08-24 16:56 . 2009-08-24 16:56 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\STOPzilla!

2009-08-19 05:21 . 2009-08-19 05:21 -------- d-----w- c:\program files\MSSOAP

2009-08-19 05:20 . 2009-08-19 05:20 -------- d-----w- c:\program files\Webroot

2009-07-09 10:16 . 2009-08-25 14:30 39424 ----a-w- c:\windows\system32\drivers\usbaapl.sys

2009-07-09 10:16 . 2009-08-25 14:30 2060288 ----a-w- c:\windows\system32\usbaaplrc.dll

2006-03-27 17:49 . 2008-04-30 07:32 3809280 ----a-w- c:\program files\Guitools.exe

2004-08-19 17:09 . 2008-05-03 14:40 1028096 --sha-w- c:\windows\system32\mfc42.dll

2002-09-06 20:59 . 2008-05-03 14:40 57344 --sha-w- c:\windows\system32\mfc42loc.dll

1995-09-20 14:16 . 2008-07-05 14:43 35088 --sha-w- c:\windows\system32\msjint32.dll

1995-09-20 14:13 . 2008-07-05 14:43 977680 --sha-w- c:\windows\system32\msjt3032.dll

1995-09-20 14:16 . 2008-07-05 14:43 23824 --sha-w- c:\windows\system32\msjter32.dll

2004-08-19 17:09 . 2008-05-03 14:40 413696 --sha-w- c:\windows\system32\msvcp60.dll

2002-09-06 20:59 . 2008-05-03 14:40 253952 --sha-w- c:\windows\system32\msvcrt20.dll

2004-08-19 17:09 . 2008-05-03 14:41 553472 --sha-w- c:\windows\system32\oleaut32.dll

2004-08-19 17:09 . 2008-05-03 14:41 83456 --sha-w- c:\windows\system32\olepro32.dll

2004-08-19 17:09 . 2008-05-03 14:43 30749 --sha-w- c:\windows\system32\vbajet32.dll

1995-09-24 09:02 . 2008-07-05 14:43 243472 --sha-w- c:\windows\system32\vbar2232.dll

1998-05-18 01:06 . 2008-07-05 14:43 368912 --sha-w- c:\windows\system32\vbar332.dll

.

 

------- Sigcheck -------

 

[-] 2007-10-30 . 90CAFF4B094573449A0872A0F919B178 . 360064 . . [5.1.2600.3244] . . c:\windows\SoftwareDistribution\Download\2505e060ecbf87977746a5abaaa7bc96\sp2gdr\tcpip.sys

[-] 2007-10-30 . 64798ECFA43D78C7178375FCDD16D8C8 . 360832 . . [5.1.2600.3244] . . c:\windows\$hf_mig$\KB941644\SP2QFE\tcpip.sys

[-] 2007-10-30 . 64798ECFA43D78C7178375FCDD16D8C8 . 360832 . . [5.1.2600.3244] . . c:\windows\SoftwareDistribution\Download\2505e060ecbf87977746a5abaaa7bc96\sp2qfe\tcpip.sys

[-] 2006-11-11 . 8D8949936913B041C6A0E184FBF1030B . 359808 . . [5.1.2600.2892] . . c:\windows\system32\drivers\tcpip.sys

[7] 2004-08-03 . 9F4B36614A0FC234525BA224957DE55C . 359040 . . [5.1.2600.2180] . . c:\windows\system32\dllcache\tcpip.sys

 

[-] 2004-08-19 17:10 . !HASH: COULD NOT OPEN FILE !!!!! . 510464 . . [------] . . c:\windows\system32\winlogon.exe

[7] 2004-08-19 . 123EEA158F74D0F67A51DCDF065D1091 . 506368 . . [5.1.2600.2180] . . c:\windows\system32\dllcache\winlogon.exe

 

[-] 2009-09-30 . 54CDDAD404557ED98433D6ECBFC92691 . 13824 . . [5.1.2600.2180] . . c:\windows\system32\wscntfy.exe

 

[-] 2006-12-13 . 0CEF991C04073F5EC8BFD65B961705F1 . 1548288 . . [5.1.2600.2180] . . c:\windows\system32\sfcfiles.dll

[7] 2004-08-19 . 6D8F3AC555E3F8A569AA9B2A817698C1 . 1548288 . . [5.1.2600.2180] . . c:\windows\system32\dllcache\sfcfiles.dll

.

((((((((((((((((((((((((((((( SnapShot@2009-09-29_16.58.14 )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-10-03 06:01 . 2009-10-03 06:01 16384 c:\windows\Temp\Perflib_Perfdata_5f8.dat

+ 2009-10-03 05:26 . 2009-10-03 05:26 16384 c:\windows\Temp\Perflib_Perfdata_5b4.dat

+ 2009-10-03 06:00 . 2009-10-03 06:00 16384 c:\windows\Temp\Perflib_Perfdata_3a4.dat

+ 2008-05-03 14:42 . 2004-08-19 14:10 14336 c:\windows\system32\svchost.exe

+ 2008-05-03 14:42 . 2004-08-19 14:10 57856 c:\windows\system32\spoolsv.exe

+ 2008-05-03 14:40 . 2004-08-19 14:09 13312 c:\windows\system32\lsass.exe

+ 2008-05-03 14:41 . 2004-08-19 14:10 108544 c:\windows\system32\services.exe

+ 2009-04-13 15:54 . 2009-10-03 06:01 214880 c:\windows\system32\inetsrv\MetaBase.bin

+ 2008-05-03 14:39 . 2004-08-19 14:09 1036288 c:\windows\explorer.exe

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sony Ericsson PC Suite"="c:\program files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" [2008-07-10 397312]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-19 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-22 86016]

"DAEMON Tools"="c:\program files\DAEMON Tools\daemon.exe" [2006-11-12 157592]

"Cloneur Expert Monitor"="c:\program files\Micro Application\Cloneur Expert\TrueImageMonitor.exe" [2009-02-04 437675]

"Acronis Scheduler2 Service"="c:\program files\Fichiers communs\Acronis\Schedule2\schedhlp.exe" [2009-02-04 61440]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]

"UVS11 Preload"="c:\program files\Ulead Systems\Ulead VideoStudio 11\uvPL.exe" [2007-03-03 341488]

"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]

"SoundMAXPnP"="c:\program files\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-07-27 1388544]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-05-26 413696]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-07-13 292128]

"nod32kui"="c:\program files\Eset\nod32kui.exe" [2009-09-15 917504]

"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]

"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2006-06-23 1519616]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-19 44544]

 

c:\documents and settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\

IcoSauve.lnk - c:\windows\system32\IcoSauve.exe [2008-4-30 112128]

 

c:\documents and settings\ALI\Menu D‚marrer\Programmes\D‚marrage\

IcoSauve.lnk - c:\windows\system32\IcoSauve.exe [2008-4-30 112128]

 

c:\documents and settings\All Users.WINDOWS\Menu D‚marrer\Programmes\D‚marrage\

HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2005-5-12 282624]

Pinnacle Scheduler.lnk - c:\program files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe [2008-4-30 237568]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"SynchronousMachineGroupPolicy"= 0 (0x0)

"SynchronousUserGroupPolicy"= 0 (0x0)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"NoSimpleStartMenu"= 0 (0x0)

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoStrCmpLogical"= 0 (0x0)

"NoResolveTrack"= 0 (0x0)

"NoSMMyPictures"= 0 (0x0)

"MaxRecentDocs"= 15 (0xf)

"MemCheckBoxInRunDlg"= 1 (0x1)

"NoSMBalloonTip"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\GT2002\\gpstrack.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"19793:TCP"= 19793:TCP:BitComet 19793 TCP

"19793:UDP"= 19793:UDP:BitComet 19793 UDP

 

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [24/09/2009 17:35 28544]

R3 pctvvbi;PCTVVBI;c:\windows\system32\drivers\pctvvbi.sys [30/04/2008 10:12 6400]

S3 s0016bus;Sony Ericsson Device 0016 driver (WDM);c:\windows\system32\drivers\s0016bus.sys [02/03/2009 12:14 89256]

S3 s0016mdfl;Sony Ericsson Device 0016 USB WMC Modem Filter;c:\windows\system32\drivers\s0016mdfl.sys [02/03/2009 12:14 15016]

S3 s0016mdm;Sony Ericsson Device 0016 USB WMC Modem Driver;c:\windows\system32\drivers\s0016mdm.sys [02/03/2009 12:14 120744]

S3 s0016mgmt;Sony Ericsson Device 0016 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s0016mgmt.sys [02/03/2009 12:14 114216]

S3 s0016nd5;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (NDIS);c:\windows\system32\drivers\s0016nd5.sys [02/03/2009 12:14 25512]

S3 s0016obex;Sony Ericsson Device 0016 USB WMC OBEX Interface;c:\windows\system32\drivers\s0016obex.sys [02/03/2009 12:14 110632]

S3 s0016unic;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (WDM);c:\windows\system32\drivers\s0016unic.sys [02/03/2009 12:14 115752]

.

Contenu du dossier 'Tâches planifiées'

 

2009-09-21 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

 

2009-09-30 c:\windows\Tasks\HPpromotions journeysoftware.job

- c:\program files\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe [2005-04-22 15:36]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr/

uSearchURL,(Default) = hxxp://www.google.fr/search?q=%s

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

LSP: imon.dll

DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.zebulon.fr/scan8/oscan8.cab

DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - hxxp://download.eset.com/special/eos/OnlineScanner.cab

DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} - hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-2.0.cab

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-10-03 08:00

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_USERS\S-1-5-21-57989841-1767777339-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:c0,d7,08,f9,31,8e,b0,1c,9a,2e,00,5c,4c,75,7e,de,43,a2,85,b5,f3,b9,51,

f0,6f,a7,97,36,c9,e4,1f,81,fe,af,18,db,6d,92,73,80,eb,f6,70,64,14,33,75,52,\

"??"=hex:9c,d9,e4,f4,dd,c3,5d,1d,ea,4c,fa,e2,06,f7,3d,8c

 

[HKEY_USERS\S-1-5-21-57989841-1767777339-839522115-1003\Software\SecuROM\License information*]

"datasecu"=hex:87,9b,67,be,f7,4d,c0,6b,40,27,b8,b2,cf,b5,5e,04,c4,ad,d2,a8,bf,

e5,5c,47,a8,1c,d9,62,87,f1,23,08,66,e6,50,e5,3e,13,01,80,22,12,4a,0c,b0,43,\

"rkeysecu"=hex:c8,9d,f3,27,d6,13,ee,5b,0c,3f,42,18,e6,bb,ee,f4

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]

"Enabled"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe"

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]

@Denied: (A 2) (Everyone)

@="IFlashBroker3"

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'lsass.exe'(912)

c:\windows\system32\imon.dll

c:\program files\Eset\pr_imon.dll

 

- - - - - - - > 'explorer.exe'(3716)

c:\windows\system32\msi.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\Fichiers communs\Acronis\Schedule2\schedul2.exe

c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\windows\system32\rundll32.exe

c:\program files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe

c:\windows\system32\inetsrv\inetinfo.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\program files\Eset\nod32krn.exe

c:\windows\system32\nvsvc32.exe

c:\windows\system32\snmp.exe

c:\program files\Analog Devices\SoundMAX\SMAgent.exe

c:\program files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

c:\program files\HP\Digital Imaging\bin\hpqste08.exe

c:\program files\iPod\bin\iPodService.exe

c:\windows\system32\wbem\wmiapsrv.exe

.

**************************************************************************

.

Heure de fin: 2009-10-03 8:09 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-10-03 06:09

ComboFix2.txt 2009-09-30 05:26

ComboFix3.txt 2009-09-30 04:55

ComboFix4.txt 2009-09-29 17:06

 

Avant-CF: 53 118 214 144 octets libres

Après-CF: 53 114 363 904 octets libres

 

Current=3 Default=3 Failed=1 LastKnownGood=4 Sets=,1,2,3,4

274 --- E O F --- 2008-05-04 06:01

 

Rapport Hijackthis

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 09:13:55, on 03/10/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\DAEMON Tools\daemon.exe

C:\Program Files\Micro Application\Cloneur Expert\TrueImageMonitor.exe

C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Eset\nod32kui.exe

C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe

C:\WINDOWS\system32\IcoSauve.exe

C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe

C:\WINDOWS\system32\inetsrv\inetinfo.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\WINDOWS\System32\snmp.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\ALI\Bureau\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/search?q=%s

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install

O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [Cloneur Expert Monitor] "C:\Program Files\Micro Application\Cloneur Expert\TrueImageMonitor.exe"

O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [uVS11 Preload] "C:\Program Files\Ulead Systems\Ulead VideoStudio 11\uvPL.exe"

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [soundMAXPnP] "C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

O4 - HKCU\..\Run: [sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')

O4 - Startup: IcoSauve.lnk = C:\WINDOWS\system32\IcoSauve.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Pinnacle Scheduler.lnk = ?

O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.com/s/v/51.28/uploader2.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://www.zebulon.fr/scan8/oscan8.cab

O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - http://download.eset.com/special/eos/OnlineScanner.cab

O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/a...gnerADP-2.0.cab

O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Capture Device Service - InterVideo Inc. - C:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

 

--

End of file - 7655 bytes

[Le sioux]

Bonjour alou

 

Il reste encore Winlogon.exe de patché en effet.

 

/!\ Note: Le code ci-dessous a été intentionnellement rédigé pour CET utilisateur.

si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système./!\

 

Sélectionne le texte suivant (en citation) dans son intégralité :

 

FCopy::

C:\WINDOWS\system32\dllcache\winlogon.exe | c:\windows\system32\winlogon.exe

 

file::

c:\windows\Temp\Perflib_Perfdata_5f8.dat

c:\windows\Temp\Perflib_Perfdata_5b4.dat

c:\windows\Temp\Perflib_Perfdata_3a4.dat

• Copie le texte sélectionné (CTRL+C).
  
• Ouvre le Bloc-notes(Démarrer / Tous les Programmes>Accessoires >bloc-notes).
  
• Colle le texte copié dans ce Bloc-notes (CTRL+V).
  
• Sauvegarde sur ton Bureau ce fichier sous le nom de CFScript.txt
  

/!\Déconnecte toi du net et désactive ton antivirus pour que ComboFix puisse s'exécuter normalement /!\

(Aide si besoin : http://forum.pcastuces.com/desactiver_les_...entes-f31s4.htm Merci Morgane )

• Fais un Glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix (sur ton Bureau) comme ici :
  

 

• Une fenêtre bleue va apparaître: au message qui apparaît Type 1 to continue, or 2 to abort , tape 1 puis valide.
  
• Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal !
  

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\

• En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
  
• Une fois le scan achevé, un rapport va s'afficher : Poste son contenu (si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt ).
  

/!\Ré-active la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet. /!\.

 

@ suivre

 

/ !\Avis aux lecteurs : Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil. Ne pas utiliser en dehors de ce cas de figure : dangereux! / !\

Modifié le 3 octobre 2009 par Le sioux

[alou]

je crois ce coup-ci tout va bien, je n' ai plus d 'alerte virus. Un grand MERCI !! à toi

je te joints les rapports, et enfin, peux-tu me dire quels outils je dois à l' avenir utiliser pour me protéger, changer ma version IE 7 en 8 ?, et nettoyer mon PC. à bientôt.

 

 

Rapport Combofix: :

 

ComboFix 09-09-30.05 - ALI 03/10/2009 12:03.8.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.510.176 [GMT 2:00]

Lancé depuis: c:\documents and settings\ALI\Bureau\combofix.exe

Commutateurs utilisés :: c:\documents and settings\ALI\Bureau\CFScript.txt

 

FILE ::

"c:\windows\Temp\Perflib_Perfdata_3a4.dat"

"c:\windows\Temp\Perflib_Perfdata_5b4.dat"

"c:\windows\Temp\Perflib_Perfdata_5f8.dat"

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\Temp\Perflib_Perfdata_3a4.dat

c:\windows\Temp\Perflib_Perfdata_5f8.dat

 

.

--------------- FCopy ---------------

 

c:\windows\system32\dllcache\winlogon.exe --> c:\windows\system32\winlogon.exe

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-09-03 au 2009-10-03 ))))))))))))))))))))))))))))))))))))

.

 

2009-10-03 05:46 . 2004-08-19 14:09 1548288 -c--a-w- c:\windows\system32\dllcache\sfcfiles.dll

2009-10-03 05:46 . 2004-08-03 21:14 359040 -c--a-w- c:\windows\system32\dllcache\tcpip.sys

2009-10-03 05:46 . 2004-08-19 14:10 57856 -c----w- c:\windows\system32\dllcache\spoolsv.exe

2009-10-03 05:46 . 2004-08-19 14:10 14336 -c----w- c:\windows\system32\dllcache\svchost.exe

2009-10-03 05:46 . 2004-08-19 14:09 1036288 -c----w- c:\windows\system32\dllcache\Explorer.EXE

2009-10-03 05:46 . 2004-08-19 14:10 108544 -c----w- c:\windows\system32\dllcache\services.exe

2009-10-03 05:46 . 2004-08-19 14:09 13312 -c----w- c:\windows\system32\dllcache\lsass.exe

2009-10-02 14:48 . 2009-10-02 15:07 -------- d-----w- C:\FR-files

2009-10-02 14:41 . 2009-10-02 15:03 -------- d-----w- C:\WinFileReplace

2009-09-30 14:15 . 2009-09-30 14:28 -------- d-----w- C:\bibitte

2009-09-30 14:05 . 2009-09-30 14:02 13824 ----a-w- c:\windows\system32\wscntfy.exe

2009-09-25 07:38 . 2009-09-25 07:38 -------- d-----w- C:\rsit

2009-09-25 07:34 . 2009-09-25 07:34 -------- d-----w- C:\_OTM

2009-09-24 15:35 . 2008-06-19 15:24 28544 ----a-w- c:\windows\system32\drivers\pavboot.sys

2009-09-24 15:35 . 2009-09-24 15:35 -------- d-----w- c:\program files\Panda Security

2009-09-22 16:35 . 2009-09-22 16:35 -------- d-----w- c:\documents and settings\ALI\Tracing

2009-09-22 16:33 . 2006-11-29 11:06 3426072 ----a-w- c:\windows\system32\d3dx9_32.dll

2009-09-21 12:18 . 2009-09-21 12:18 -------- d-----w- c:\documents and settings\NetworkService.AUTORITE NT\Local Settings\Application Data\Apple

2009-09-16 17:11 . 2009-09-16 17:11 -------- d-----w- c:\program files\Fichiers communs\Windows Live

2009-09-15 04:45 . 2009-09-15 04:44 502208 ----a-w- c:\windows\system32\drivers\amon.sys

2009-09-15 04:45 . 2009-09-15 04:44 270336 ----a-w- c:\windows\system32\imon.dll

2009-09-11 06:07 . 2009-10-03 07:49 -------- d-----w- c:\program files\IKEA HomePlanner

2009-09-11 06:06 . 2009-09-11 06:06 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard

2009-09-09 05:51 . 2009-09-09 05:51 -------- d-----w- c:\documents and settings\ALI\Local Settings\Application Data\WMTools Downloaded Files

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-09-28 16:11 . 2008-02-22 17:28 -------- d-----w- c:\program files\Eset

2009-09-27 07:17 . 2008-02-17 07:20 -------- d-----w- c:\program files\CCleaner

2009-09-27 06:56 . 2009-08-25 11:33 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2009-09-22 16:34 . 2008-05-11 15:33 60240 ----a-w- c:\documents and settings\ALI\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2009-09-10 12:54 . 2009-08-25 13:27 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-09-10 12:53 . 2009-08-25 13:27 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

2009-09-04 12:39 . 2008-12-21 18:00 -------- d-----w- c:\documents and settings\ALI\Application Data\Apple Computer

2009-09-01 16:24 . 2008-05-28 09:52 -------- d-----w- c:\documents and settings\ALI\Application Data\Canon

2009-08-25 14:31 . 2009-08-25 14:31 -------- d-----w- c:\program files\iTunes

2009-08-25 14:31 . 2009-08-25 14:31 -------- d-----w- c:\program files\iPod

2009-08-25 14:30 . 2009-08-25 14:30 -------- d-----w- c:\program files\Apple Software Update

2009-08-25 14:30 . 2009-08-25 14:30 -------- d-----w- c:\program files\Fichiers communs\Apple

2009-08-25 11:25 . 2008-12-02 19:16 -------- d---a-w- c:\documents and settings\All Users.WINDOWS\Application Data\TEMP

2009-08-25 08:37 . 2009-08-25 08:37 0 ----a-w- c:\windows\nsreg.dat

2009-08-24 16:56 . 2009-08-24 16:56 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\STOPzilla!

2009-08-19 05:21 . 2009-08-19 05:21 -------- d-----w- c:\program files\MSSOAP

2009-08-19 05:20 . 2009-08-19 05:20 -------- d-----w- c:\program files\Webroot

2009-07-09 10:16 . 2009-08-25 14:30 39424 ----a-w- c:\windows\system32\drivers\usbaapl.sys

2009-07-09 10:16 . 2009-08-25 14:30 2060288 ----a-w- c:\windows\system32\usbaaplrc.dll

2006-03-27 17:49 . 2008-04-30 07:32 3809280 ----a-w- c:\program files\Guitools.exe

2004-08-19 17:09 . 2008-05-03 14:40 1028096 --sha-w- c:\windows\system32\mfc42.dll

2002-09-06 20:59 . 2008-05-03 14:40 57344 --sha-w- c:\windows\system32\mfc42loc.dll

1995-09-20 14:16 . 2008-07-05 14:43 35088 --sha-w- c:\windows\system32\msjint32.dll

1995-09-20 14:13 . 2008-07-05 14:43 977680 --sha-w- c:\windows\system32\msjt3032.dll

1995-09-20 14:16 . 2008-07-05 14:43 23824 --sha-w- c:\windows\system32\msjter32.dll

2004-08-19 17:09 . 2008-05-03 14:40 413696 --sha-w- c:\windows\system32\msvcp60.dll

2002-09-06 20:59 . 2008-05-03 14:40 253952 --sha-w- c:\windows\system32\msvcrt20.dll

2004-08-19 17:09 . 2008-05-03 14:41 553472 --sha-w- c:\windows\system32\oleaut32.dll

2004-08-19 17:09 . 2008-05-03 14:41 83456 --sha-w- c:\windows\system32\olepro32.dll

2004-08-19 17:09 . 2008-05-03 14:43 30749 --sha-w- c:\windows\system32\vbajet32.dll

1995-09-24 09:02 . 2008-07-05 14:43 243472 --sha-w- c:\windows\system32\vbar2232.dll

1998-05-18 01:06 . 2008-07-05 14:43 368912 --sha-w- c:\windows\system32\vbar332.dll

.

 

------- Sigcheck -------

 

[-] 2007-10-30 . 90CAFF4B094573449A0872A0F919B178 . 360064 . . [5.1.2600.3244] . . c:\windows\SoftwareDistribution\Download\2505e060ecbf87977746a5abaaa7bc96\sp2gdr\tcpip.sys

[-] 2007-10-30 . 64798ECFA43D78C7178375FCDD16D8C8 . 360832 . . [5.1.2600.3244] . . c:\windows\$hf_mig$\KB941644\SP2QFE\tcpip.sys

[-] 2007-10-30 . 64798ECFA43D78C7178375FCDD16D8C8 . 360832 . . [5.1.2600.3244] . . c:\windows\SoftwareDistribution\Download\2505e060ecbf87977746a5abaaa7bc96\sp2qfe\tcpip.sys

[-] 2006-11-11 . 8D8949936913B041C6A0E184FBF1030B . 359808 . . [5.1.2600.2892] . . c:\windows\system32\drivers\tcpip.sys

[7] 2004-08-03 . 9F4B36614A0FC234525BA224957DE55C . 359040 . . [5.1.2600.2180] . . c:\windows\system32\dllcache\tcpip.sys

 

[-] 2009-09-30 . 54CDDAD404557ED98433D6ECBFC92691 . 13824 . . [5.1.2600.2180] . . c:\windows\system32\wscntfy.exe

 

[-] 2006-12-13 . 0CEF991C04073F5EC8BFD65B961705F1 . 1548288 . . [5.1.2600.2180] . . c:\windows\system32\sfcfiles.dll

[7] 2004-08-19 . 6D8F3AC555E3F8A569AA9B2A817698C1 . 1548288 . . [5.1.2600.2180] . . c:\windows\system32\dllcache\sfcfiles.dll

.

((((((((((((((((((((((((((((( SnapShot@2009-09-29_16.58.14 )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-10-03 09:57 . 2009-10-03 09:57 16384 c:\windows\Temp\Perflib_Perfdata_11c.dat

+ 2008-05-03 14:42 . 2004-08-19 14:10 14336 c:\windows\system32\svchost.exe

+ 2008-05-03 14:42 . 2004-08-19 14:10 57856 c:\windows\system32\spoolsv.exe

+ 2008-05-03 14:40 . 2004-08-19 14:09 13312 c:\windows\system32\lsass.exe

+ 2008-05-03 14:41 . 2004-08-19 14:10 108544 c:\windows\system32\services.exe

+ 2009-04-13 15:54 . 2009-10-03 09:57 214881 c:\windows\system32\inetsrv\MetaBase.bin

+ 2008-05-03 14:43 . 2004-08-19 14:10 506368 c:\windows\system32\dllcache\winlogon.exe

+ 2008-05-03 14:39 . 2004-08-19 14:09 1036288 c:\windows\explorer.exe

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sony Ericsson PC Suite"="c:\program files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" [2008-07-10 397312]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-22 86016]

"DAEMON Tools"="c:\program files\DAEMON Tools\daemon.exe" [2006-11-12 157592]

"Cloneur Expert Monitor"="c:\program files\Micro Application\Cloneur Expert\TrueImageMonitor.exe" [2009-02-04 437675]

"Acronis Scheduler2 Service"="c:\program files\Fichiers communs\Acronis\Schedule2\schedhlp.exe" [2009-02-04 61440]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]

"UVS11 Preload"="c:\program files\Ulead Systems\Ulead VideoStudio 11\uvPL.exe" [2007-03-03 341488]

"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]

"SoundMAXPnP"="c:\program files\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-07-27 1388544]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-05-26 413696]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-07-13 292128]

"nod32kui"="c:\program files\Eset\nod32kui.exe" [2009-09-15 917504]

"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]

"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2006-06-23 1519616]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-19 44544]

 

c:\documents and settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\

IcoSauve.lnk - c:\windows\system32\IcoSauve.exe [2008-4-30 112128]

 

c:\documents and settings\ALI\Menu D‚marrer\Programmes\D‚marrage\

IcoSauve.lnk - c:\windows\system32\IcoSauve.exe [2008-4-30 112128]

 

c:\documents and settings\All Users.WINDOWS\Menu D‚marrer\Programmes\D‚marrage\

HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2005-5-12 282624]

Pinnacle Scheduler.lnk - c:\program files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe [2008-4-30 237568]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"SynchronousMachineGroupPolicy"= 0 (0x0)

"SynchronousUserGroupPolicy"= 0 (0x0)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"NoSimpleStartMenu"= 0 (0x0)

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoStrCmpLogical"= 0 (0x0)

"NoResolveTrack"= 0 (0x0)

"NoSMMyPictures"= 0 (0x0)

"MaxRecentDocs"= 15 (0xf)

"MemCheckBoxInRunDlg"= 1 (0x1)

"NoSMBalloonTip"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\GT2002\\gpstrack.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"19793:TCP"= 19793:TCP:BitComet 19793 TCP

"19793:UDP"= 19793:UDP:BitComet 19793 UDP

 

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [24/09/2009 17:35 28544]

R3 pctvvbi;PCTVVBI;c:\windows\system32\drivers\pctvvbi.sys [30/04/2008 10:12 6400]

S3 s0016bus;Sony Ericsson Device 0016 driver (WDM);c:\windows\system32\drivers\s0016bus.sys [02/03/2009 12:14 89256]

S3 s0016mdfl;Sony Ericsson Device 0016 USB WMC Modem Filter;c:\windows\system32\drivers\s0016mdfl.sys [02/03/2009 12:14 15016]

S3 s0016mdm;Sony Ericsson Device 0016 USB WMC Modem Driver;c:\windows\system32\drivers\s0016mdm.sys [02/03/2009 12:14 120744]

S3 s0016mgmt;Sony Ericsson Device 0016 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s0016mgmt.sys [02/03/2009 12:14 114216]

S3 s0016nd5;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (NDIS);c:\windows\system32\drivers\s0016nd5.sys [02/03/2009 12:14 25512]

S3 s0016obex;Sony Ericsson Device 0016 USB WMC OBEX Interface;c:\windows\system32\drivers\s0016obex.sys [02/03/2009 12:14 110632]

S3 s0016unic;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (WDM);c:\windows\system32\drivers\s0016unic.sys [02/03/2009 12:14 115752]

.

Contenu du dossier 'Tâches planifiées'

 

2009-09-21 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

 

2009-10-03 c:\windows\Tasks\HPpromotions journeysoftware.job

- c:\program files\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe [2005-04-22 15:36]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr/

uSearchURL,(Default) = hxxp://www.google.fr/search?q=%s

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

LSP: imon.dll

DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.zebulon.fr/scan8/oscan8.cab

DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - hxxp://download.eset.com/special/eos/OnlineScanner.cab

DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} - hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-2.0.cab

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-10-03 12:15

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_USERS\S-1-5-21-57989841-1767777339-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:c0,d7,08,f9,31,8e,b0,1c,9a,2e,00,5c,4c,75,7e,de,43,a2,85,b5,f3,b9,51,

f0,6f,a7,97,36,c9,e4,1f,81,fe,af,18,db,6d,92,73,80,eb,f6,70,64,14,33,75,52,\

"??"=hex:9c,d9,e4,f4,dd,c3,5d,1d,ea,4c,fa,e2,06,f7,3d,8c

 

[HKEY_USERS\S-1-5-21-57989841-1767777339-839522115-1003\Software\SecuROM\License information*]

"datasecu"=hex:87,9b,67,be,f7,4d,c0,6b,40,27,b8,b2,cf,b5,5e,04,c4,ad,d2,a8,bf,

e5,5c,47,a8,1c,d9,62,87,f1,23,08,66,e6,50,e5,3e,13,01,80,22,12,4a,0c,b0,43,\

"rkeysecu"=hex:c8,9d,f3,27,d6,13,ee,5b,0c,3f,42,18,e6,bb,ee,f4

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]

"Enabled"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe"

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]

@Denied: (A 2) (Everyone)

@="IFlashBroker3"

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'lsass.exe'(892)

c:\windows\system32\imon.dll

c:\program files\Eset\pr_imon.dll

.

Heure de fin: 2009-10-03 12:18

ComboFix-quarantined-files.txt 2009-10-03 10:18

ComboFix2.txt 2009-10-03 06:09

ComboFix3.txt 2009-09-30 05:26

ComboFix4.txt 2009-09-30 04:55

ComboFix5.txt 2009-10-03 10:02

 

Avant-CF: 53 082 910 720 octets libres

Après-CF: 53 086 789 632 octets libres

 

Current=3 Default=3 Failed=1 LastKnownGood=4 Sets=,1,2,3,4

234 --- E O F --- 2008-05-04 06:01

 

 

rapport Hijackthis :

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:19:40, on 03/10/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\DAEMON Tools\daemon.exe

C:\Program Files\Micro Application\Cloneur Expert\TrueImageMonitor.exe

C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Eset\nod32kui.exe

C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

C:\WINDOWS\system32\IcoSauve.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe

C:\WINDOWS\system32\inetsrv\inetinfo.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\snmp.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\explorer.exe

C:\Documents and Settings\ALI\Bureau\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/search?q=%s

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install

O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [Cloneur Expert Monitor] "C:\Program Files\Micro Application\Cloneur Expert\TrueImageMonitor.exe"

O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [uVS11 Preload] "C:\Program Files\Ulead Systems\Ulead VideoStudio 11\uvPL.exe"

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [soundMAXPnP] "C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

O4 - HKCU\..\Run: [sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon

O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')

O4 - Startup: IcoSauve.lnk = C:\WINDOWS\system32\IcoSauve.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Pinnacle Scheduler.lnk = ?

O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.com/s/v/51.28/uploader2.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://www.zebulon.fr/scan8/oscan8.cab

O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - http://download.eset.com/special/eos/OnlineScanner.cab

O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/a...gnerADP-2.0.cab

O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Capture Device Service - InterVideo Inc. - C:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

 

--

End of file - 7309 bytes

[Le sioux]

Bonsoir alou

 

je crois ce coup-ci tout va bien, je n' ai plus d 'alerte virus. Un grand MERCI !! à toi

je te joints les rapports, et enfin, peux-tu me dire quels outils je dois à l' avenir utiliser pour me protéger, changer ma version IE 7 en 8 ?, et nettoyer mon PC

Bien joué.

On avance mais c'est encore prématuré pour faire les mises à jour et protéger mieux ton PC, il nous reste à finir le nettoyage pour le moment, on verra cela par la suite

 

1) fix.bat

 

Crée un nouveau document texte :

 

Clic droit de souris sur le Bureau, "Nouveau"> "Document Texte". Ouvre-le et copie-colle dedans de ce qui est en citation ci-dessous, (copie tout d'un trait) :

 

@echo off

cd c:\WinFileReplace

7z.com e sp2.000 -aoa -oc:\FR-files\ wscntfy.ex_ -r -y >nul 2>nul

7z.com e c:\FR-files\wscntfy.ex_ -aoa -oc:\windows\system32\dllcache\ wscntfy.exe -y >nul 2>nul

 

Puis "Fichier"/"Enregistrer sous" :

dans : sur le Bureau

Nom du fichier : fix.bat

Type de fichier : "Tous les fichiers"

Clique sur "Enregistrer"

 

Note: Lors de l'enregistrement, il faut choisir pour le champ "Type": "Tous les fichiers"

 

Double clique sur fix.bat , valide par OK .

 

Si tes protections se manifestent, "rassure les" et autorise les changements.

 

2) ComboFix avec CFScript

 

/!\ Note: Le code ci-dessous a été intentionnellement rédigé pour CET utilisateur.

si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système./!\

 

Sélectionne le texte suivant (en citation) dans son intégralité :

 

Fcopy::

c:\windows\system32\dllcache\wscntfy.exe | c:\windows\system32\wscntfy.exe

c:\windows\system32\dllcache\tcpip.sys | c:\windows\system32\drivers\tcpip.sys

c:\windows\system32\dllcache\sfcfiles.dll | C:\WINDOWS\system32\sfcfiles.dll

• Copie le texte sélectionné (CTRL+C).
  
• Ouvre le Bloc-notes(Démarrer / Tous les Programmes>Accessoires >bloc-notes).
  
• Colle le texte copié dans ce Bloc-notes (CTRL+V).
  
• Sauvegarde sur ton Bureau ce fichier sous le nom de CFScript.txt
  

/!\Déconnecte toi du net et désactive ton antivirus pour que ComboFix puisse s'exécuter normalement /!\

(Aide si besoin : http://forum.pcastuces.com/desactiver_les_...entes-f31s4.htm Merci Morgane )

• Fais un Glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix (sur ton Bureau) comme ici :
  

 

• Une fenêtre bleue va apparaître: au message qui apparaît Type 1 to continue, or 2 to abort , tape 1 puis valide.
  
• Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal !
  

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\

• En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
  
• Une fois le scan achevé, un rapport va s'afficher : Poste son contenu (si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt ).
  

/!\Ré-active la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet. /!\.

 

@ suivre.

Edition orthographe

Modifié le 3 octobre 2009 par Le sioux

[alou]

ello !

 

voilà c fait, je n' ai pas eu la demande de validation par OK lors du Double clique sur fix.bat. Une fenêtre s 'est bien ouverte mais rien de plus.. Ensuite j' ai fais la manip avec Combofix et ça donne ça :

 

 

ComboFix 09-09-30.05 - ALI 04/10/2009 10:14.9.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.510.171 [GMT 2:00]

Lancé depuis: c:\documents and settings\ALI\Bureau\combofix.exe

Commutateurs utilisés :: c:\documents and settings\ALI\Bureau\CFScript.txt

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

.

--------------- FCopy ---------------

 

c:\windows\system32\dllcache\wscntfy.exe --> c:\windows\system32\wscntfy.exe

c:\windows\system32\dllcache\tcpip.sys --> c:\windows\system32\drivers\tcpip.sys

c:\windows\system32\dllcache\sfcfiles.dll --> c:\windows\system32\sfcfiles.dll

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-09-04 au 2009-10-04 ))))))))))))))))))))))))))))))))))))

.

 

2009-10-04 08:05 . 2004-08-19 14:10 13824 -c----w- c:\windows\system32\dllcache\wscntfy.exe

2009-10-03 05:46 . 2004-08-19 14:09 1548288 -c----w- c:\windows\system32\dllcache\sfcfiles.dll

2009-10-03 05:46 . 2004-08-19 14:10 57856 -c----w- c:\windows\system32\dllcache\spoolsv.exe

2009-10-03 05:46 . 2004-08-19 14:10 14336 -c----w- c:\windows\system32\dllcache\svchost.exe

2009-10-03 05:46 . 2004-08-19 14:09 1036288 -c----w- c:\windows\system32\dllcache\Explorer.EXE

2009-10-03 05:46 . 2004-08-19 14:10 108544 -c----w- c:\windows\system32\dllcache\services.exe

2009-10-03 05:46 . 2004-08-19 14:09 13312 -c----w- c:\windows\system32\dllcache\lsass.exe

2009-10-02 14:48 . 2009-10-04 08:10 -------- d-----w- C:\FR-files

2009-10-02 14:41 . 2009-10-02 15:03 -------- d-----w- C:\WinFileReplace

2009-09-30 14:15 . 2009-09-30 14:28 -------- d-----w- C:\bibitte

2009-09-30 14:05 . 2004-08-19 14:10 13824 ----a-w- c:\windows\system32\wscntfy.exe

2009-09-25 07:38 . 2009-09-25 07:38 -------- d-----w- C:\rsit

2009-09-25 07:34 . 2009-09-25 07:34 -------- d-----w- C:\_OTM

2009-09-24 15:35 . 2008-06-19 15:24 28544 ----a-w- c:\windows\system32\drivers\pavboot.sys

2009-09-24 15:35 . 2009-09-24 15:35 -------- d-----w- c:\program files\Panda Security

2009-09-22 16:35 . 2009-09-22 16:35 -------- d-----w- c:\documents and settings\ALI\Tracing

2009-09-22 16:33 . 2006-11-29 11:06 3426072 ----a-w- c:\windows\system32\d3dx9_32.dll

2009-09-21 12:18 . 2009-09-21 12:18 -------- d-----w- c:\documents and settings\NetworkService.AUTORITE NT\Local Settings\Application Data\Apple

2009-09-16 17:11 . 2009-09-16 17:11 -------- d-----w- c:\program files\Fichiers communs\Windows Live

2009-09-15 04:45 . 2009-09-15 04:44 502208 ----a-w- c:\windows\system32\drivers\amon.sys

2009-09-15 04:45 . 2009-09-15 04:44 270336 ----a-w- c:\windows\system32\imon.dll

2009-09-11 06:07 . 2009-10-03 07:49 -------- d-----w- c:\program files\IKEA HomePlanner

2009-09-11 06:06 . 2009-09-11 06:06 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard

2009-09-09 05:51 . 2009-09-09 05:51 -------- d-----w- c:\documents and settings\ALI\Local Settings\Application Data\WMTools Downloaded Files

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-09-28 16:11 . 2008-02-22 17:28 -------- d-----w- c:\program files\Eset

2009-09-27 07:17 . 2008-02-17 07:20 -------- d-----w- c:\program files\CCleaner

2009-09-27 06:56 . 2009-08-25 11:33 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2009-09-22 16:34 . 2008-05-11 15:33 60240 ----a-w- c:\documents and settings\ALI\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2009-09-10 12:54 . 2009-08-25 13:27 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-09-10 12:53 . 2009-08-25 13:27 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

2009-09-04 12:39 . 2008-12-21 18:00 -------- d-----w- c:\documents and settings\ALI\Application Data\Apple Computer

2009-09-01 16:24 . 2008-05-28 09:52 -------- d-----w- c:\documents and settings\ALI\Application Data\Canon

2009-08-25 14:31 . 2009-08-25 14:31 -------- d-----w- c:\program files\iTunes

2009-08-25 14:31 . 2009-08-25 14:31 -------- d-----w- c:\program files\iPod

2009-08-25 14:30 . 2009-08-25 14:30 -------- d-----w- c:\program files\Apple Software Update

2009-08-25 14:30 . 2009-08-25 14:30 -------- d-----w- c:\program files\Fichiers communs\Apple

2009-08-25 11:25 . 2008-12-02 19:16 -------- d---a-w- c:\documents and settings\All Users.WINDOWS\Application Data\TEMP

2009-08-25 08:37 . 2009-08-25 08:37 0 ----a-w- c:\windows\nsreg.dat

2009-08-24 16:56 . 2009-08-24 16:56 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\STOPzilla!

2009-08-19 05:21 . 2009-08-19 05:21 -------- d-----w- c:\program files\MSSOAP

2009-08-19 05:20 . 2009-08-19 05:20 -------- d-----w- c:\program files\Webroot

2009-07-09 10:16 . 2009-08-25 14:30 39424 ----a-w- c:\windows\system32\drivers\usbaapl.sys

2009-07-09 10:16 . 2009-08-25 14:30 2060288 ----a-w- c:\windows\system32\usbaaplrc.dll

2006-03-27 17:49 . 2008-04-30 07:32 3809280 ----a-w- c:\program files\Guitools.exe

2004-08-19 17:09 . 2008-05-03 14:40 1028096 --sha-w- c:\windows\system32\mfc42.dll

2002-09-06 20:59 . 2008-05-03 14:40 57344 --sha-w- c:\windows\system32\mfc42loc.dll

1995-09-20 14:16 . 2008-07-05 14:43 35088 --sha-w- c:\windows\system32\msjint32.dll

1995-09-20 14:13 . 2008-07-05 14:43 977680 --sha-w- c:\windows\system32\msjt3032.dll

1995-09-20 14:16 . 2008-07-05 14:43 23824 --sha-w- c:\windows\system32\msjter32.dll

2004-08-19 17:09 . 2008-05-03 14:40 413696 --sha-w- c:\windows\system32\msvcp60.dll

2002-09-06 20:59 . 2008-05-03 14:40 253952 --sha-w- c:\windows\system32\msvcrt20.dll

2004-08-19 17:09 . 2008-05-03 14:41 553472 --sha-w- c:\windows\system32\oleaut32.dll

2004-08-19 17:09 . 2008-05-03 14:41 83456 --sha-w- c:\windows\system32\olepro32.dll

2004-08-19 17:09 . 2008-05-03 14:43 30749 --sha-w- c:\windows\system32\vbajet32.dll

1995-09-24 09:02 . 2008-07-05 14:43 243472 --sha-w- c:\windows\system32\vbar2232.dll

1998-05-18 01:06 . 2008-07-05 14:43 368912 --sha-w- c:\windows\system32\vbar332.dll

.

 

((((((((((((((((((((((((((((( SnapShot@2009-09-29_16.58.14 )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-10-04 07:48 . 2009-10-04 07:48 16384 c:\windows\Temp\Perflib_Perfdata_300.dat

+ 2008-05-03 14:42 . 2004-08-19 14:10 14336 c:\windows\system32\svchost.exe

+ 2008-05-03 14:42 . 2004-08-19 14:10 57856 c:\windows\system32\spoolsv.exe

+ 2008-05-03 14:40 . 2004-08-19 14:09 13312 c:\windows\system32\lsass.exe

+ 2008-05-03 14:43 . 2004-08-19 14:10 506368 c:\windows\system32\winlogon.exe

+ 2008-05-03 14:41 . 2004-08-19 14:10 108544 c:\windows\system32\services.exe

+ 2009-04-13 15:54 . 2009-10-04 07:48 214880 c:\windows\system32\inetsrv\MetaBase.bin

+ 2008-05-03 14:43 . 2004-08-19 14:10 506368 c:\windows\system32\dllcache\winlogon.exe

+ 2008-05-03 14:43 . 2004-08-03 21:14 359040 c:\windows\system32\dllcache\tcpip.sys

+ 2008-05-03 14:39 . 2004-08-19 14:09 1036288 c:\windows\explorer.exe

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sony Ericsson PC Suite"="c:\program files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" [2008-07-10 397312]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-22 86016]

"DAEMON Tools"="c:\program files\DAEMON Tools\daemon.exe" [2006-11-12 157592]

"Cloneur Expert Monitor"="c:\program files\Micro Application\Cloneur Expert\TrueImageMonitor.exe" [2009-02-04 437675]

"Acronis Scheduler2 Service"="c:\program files\Fichiers communs\Acronis\Schedule2\schedhlp.exe" [2009-02-04 61440]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]

"UVS11 Preload"="c:\program files\Ulead Systems\Ulead VideoStudio 11\uvPL.exe" [2007-03-03 341488]

"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]

"SoundMAXPnP"="c:\program files\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-07-27 1388544]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-05-26 413696]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-07-13 292128]

"nod32kui"="c:\program files\Eset\nod32kui.exe" [2009-09-15 917504]

"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]

"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2006-06-23 1519616]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-19 44544]

 

c:\documents and settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\

IcoSauve.lnk - c:\windows\system32\IcoSauve.exe [2008-4-30 112128]

 

c:\documents and settings\ALI\Menu D‚marrer\Programmes\D‚marrage\

IcoSauve.lnk - c:\windows\system32\IcoSauve.exe [2008-4-30 112128]

 

c:\documents and settings\All Users.WINDOWS\Menu D‚marrer\Programmes\D‚marrage\

HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2005-5-12 282624]

Pinnacle Scheduler.lnk - c:\program files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe [2008-4-30 237568]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"SynchronousMachineGroupPolicy"= 0 (0x0)

"SynchronousUserGroupPolicy"= 0 (0x0)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"NoSimpleStartMenu"= 0 (0x0)

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoStrCmpLogical"= 0 (0x0)

"NoResolveTrack"= 0 (0x0)

"NoSMMyPictures"= 0 (0x0)

"MaxRecentDocs"= 15 (0xf)

"MemCheckBoxInRunDlg"= 1 (0x1)

"NoSMBalloonTip"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\GT2002\\gpstrack.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"19793:TCP"= 19793:TCP:BitComet 19793 TCP

"19793:UDP"= 19793:UDP:BitComet 19793 UDP

 

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [24/09/2009 17:35 28544]

R3 pctvvbi;PCTVVBI;c:\windows\system32\drivers\pctvvbi.sys [30/04/2008 10:12 6400]

S3 s0016bus;Sony Ericsson Device 0016 driver (WDM);c:\windows\system32\drivers\s0016bus.sys [02/03/2009 12:14 89256]

S3 s0016mdfl;Sony Ericsson Device 0016 USB WMC Modem Filter;c:\windows\system32\drivers\s0016mdfl.sys [02/03/2009 12:14 15016]

S3 s0016mdm;Sony Ericsson Device 0016 USB WMC Modem Driver;c:\windows\system32\drivers\s0016mdm.sys [02/03/2009 12:14 120744]

S3 s0016mgmt;Sony Ericsson Device 0016 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s0016mgmt.sys [02/03/2009 12:14 114216]

S3 s0016nd5;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (NDIS);c:\windows\system32\drivers\s0016nd5.sys [02/03/2009 12:14 25512]

S3 s0016obex;Sony Ericsson Device 0016 USB WMC OBEX Interface;c:\windows\system32\drivers\s0016obex.sys [02/03/2009 12:14 110632]

S3 s0016unic;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (WDM);c:\windows\system32\drivers\s0016unic.sys [02/03/2009 12:14 115752]

.

Contenu du dossier 'Tâches planifiées'

 

2009-09-21 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

 

2009-10-03 c:\windows\Tasks\HPpromotions journeysoftware.job

- c:\program files\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe [2005-04-22 15:36]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr/

uSearchURL,(Default) = hxxp://www.google.fr/search?q=%s

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

LSP: imon.dll

DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.zebulon.fr/scan8/oscan8.cab

DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - hxxp://download.eset.com/special/eos/OnlineScanner.cab

DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} - hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-2.0.cab

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-10-04 10:26

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_USERS\S-1-5-21-57989841-1767777339-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:c0,d7,08,f9,31,8e,b0,1c,9a,2e,00,5c,4c,75,7e,de,43,a2,85,b5,f3,b9,51,

f0,6f,a7,97,36,c9,e4,1f,81,fe,af,18,db,6d,92,73,80,eb,f6,70,64,14,33,75,52,\

"??"=hex:9c,d9,e4,f4,dd,c3,5d,1d,ea,4c,fa,e2,06,f7,3d,8c

 

[HKEY_USERS\S-1-5-21-57989841-1767777339-839522115-1003\Software\SecuROM\License information*]

"datasecu"=hex:87,9b,67,be,f7,4d,c0,6b,40,27,b8,b2,cf,b5,5e,04,c4,ad,d2,a8,bf,

e5,5c,47,a8,1c,d9,62,87,f1,23,08,66,e6,50,e5,3e,13,01,80,22,12,4a,0c,b0,43,\

"rkeysecu"=hex:c8,9d,f3,27,d6,13,ee,5b,0c,3f,42,18,e6,bb,ee,f4

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]

"Enabled"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe"

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]

@Denied: (A 2) (Everyone)

@="IFlashBroker3"

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'lsass.exe'(892)

c:\windows\system32\imon.dll

c:\program files\Eset\pr_imon.dll

 

- - - - - - - > 'explorer.exe'(748)

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

c:\windows\system32\msi.dll

.

Heure de fin: 2009-10-04 10:29

ComboFix-quarantined-files.txt 2009-10-04 08:29

ComboFix2.txt 2009-10-03 10:18

ComboFix3.txt 2009-10-03 06:09

ComboFix4.txt 2009-09-30 05:26

ComboFix5.txt 2009-10-04 08:11

 

Avant-CF: 53 094 268 928 octets libres

Après-CF: 53 094 744 064 octets libres

 

Current=3 Default=3 Failed=1 LastKnownGood=4 Sets=,1,2,3,4

227 --- E O F --- 2008-05-04 06:01

[Le sioux]

Bonsoir alou

 

Il reste des fichiers patchés dans certains dossiers des mises à jours Windows, si tu venais à en désinstaller une, cela pourrait relancer l'infection, on va donc virer les dossiers qui contiennent des fichiers infectés:

• Double clique sur OTM.exe sur ton Bureau.
  
• Copie la liste qui se trouve en citation ci-dessous :
  

:files

C:\windows\SoftwareDistribution\Download\2505e060ecbf87977746a5abaaa7bc96

C:\windows\$hf_mig$\KB941644

C:\windows\SoftwareDistribution\Download\aa7b28efbf5e224a2f6b995008501967

C:\windows\$hf_mig$\KB938828

 

:commands

[emptytemp]

[reboot]

• et colle-la dans le cadre de gauche de OTM : "Paste instructions for item to be moved".
  
• Clique sur le bouton MoveIt!
  
• Attends la fin du travail de l'outil puis ferme OTM.
  

Note: Un redémarrage du PC pourra être nécessaire, clique sur Oui/Yes quand cela te sera demandé.

 

--> Poste en réponse :

 

* Le rapport de OTM (contenu du fichier Lecteur\_OTM\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure) [Lecteur représente la partition depuis laquelle OTM a été lancé, généralement C:]

 

@ suivre.

Merci à LoupBlanc

[alou]

bonjour;

 

voilà le rapport :

 

 

All processes killed

========== FILES ==========

C:\windows\SoftwareDistribution\Download\2505e060ecbf87977746a5abaaa7bc96\update moved successfully.

C:\windows\SoftwareDistribution\Download\2505e060ecbf87977746a5abaaa7bc96\sp2qfe moved successfully.

C:\windows\SoftwareDistribution\Download\2505e060ecbf87977746a5abaaa7bc96\sp2gdr moved successfully.

C:\windows\SoftwareDistribution\Download\2505e060ecbf87977746a5abaaa7bc96 moved successfully.

C:\windows\$hf_mig$\KB941644\update moved successfully.

C:\windows\$hf_mig$\KB941644\SP2QFE moved successfully.

C:\windows\$hf_mig$\KB941644 moved successfully.

C:\windows\SoftwareDistribution\Download\aa7b28efbf5e224a2f6b995008501967\update moved successfully.

C:\windows\SoftwareDistribution\Download\aa7b28efbf5e224a2f6b995008501967\sp2qfe moved successfully.

C:\windows\SoftwareDistribution\Download\aa7b28efbf5e224a2f6b995008501967\sp2gdr moved successfully.

C:\windows\SoftwareDistribution\Download\aa7b28efbf5e224a2f6b995008501967 moved successfully.

C:\windows\$hf_mig$\KB938828\update moved successfully.

C:\windows\$hf_mig$\KB938828\SP2QFE moved successfully.

C:\windows\$hf_mig$\KB938828 moved successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: Administrateur

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Java cache emptied: 0 bytes

 

User: ALI

File delete failed. C:\Documents and Settings\ALI\Local Settings\Temp\MAR1.tmp scheduled to be deleted on reboot.

->Temp folder emptied: 203390 bytes

->Temporary Internet Files folder emptied: 55715648 bytes

->Java cache emptied: 0 bytes

 

User: All Users

 

User: All Users.WINDOWS

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Default User.WINDOWS

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: LocalService.AUTORITE NT

->Temp folder emptied: 0 bytes

File delete failed. C:\Documents and Settings\LocalService.AUTORITE NT\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.

->Temporary Internet Files folder emptied: 32902 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: NetworkService.AUTORITE NT

->Temp folder emptied: 0 bytes

File delete failed. C:\Documents and Settings\NetworkService.AUTORITE NT\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.

->Temporary Internet Files folder emptied: 32902 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

Windows Temp folder emptied: 49152 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 53,44 mb

 

 

OTM by OldTimer - Version 3.0.0.6 log created on 10052009_075919

 

Files moved on Reboot...

C:\Documents and Settings\ALI\Local Settings\Temp\MAR1.tmp moved successfully.

 

Registry entries deleted on Reboot...

[Le sioux]

Bonjour alou

 

OK, impec

 

On fait un scan en ligne afin de vérifier le tout, on tient le bon bout (ça rime en plus )

 

Scan en ligne Kaspersky

 

Tuto de nico_dodo : http://forum.pcastuces.com/kaspersky_onlin...riel-f31s26.htm

 

Rends toi sur http://www.kaspersky.com/virusscanner avec Internet explorer et

• Clique sur Accept
  
• Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
  
• Clique une nouvelle fois sur "Accept"
  
• Les bases de mises à jour vont s'installer, patiente un moment.
  
• Clique sur Next.
  
• Clique sur My Computer, le scan se met en route.
  

Attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

• A la fin du scan, si des objets infectés sont découverts, clique sur Save report as...
  
• Choisis Bureau et nomme le rapport "Rapport Kaspersky"
  
• Dans le champ d'enregistrement, choisis "Fichiers texte" enregistre alors le rapport.
  

--> Copie/colle le fichier texte ouvert en intégralité, en faisant un clic droit dessus, sélectionner tout/copier puis colle ce rapport dans ta prochaine réponse.

 

@ suivre

[alou]

Salut,

 

le scann Kapersky ne fonctionne pas, mise à jour impossible...(??)

.Dois-je faire le scann avec un autre anti virus.. Bien à toi.