Aide sur rapport Combofix

[Eneris]

Bonjour après plusieurs heures d'infection virale de mon PC, je viens de finir par un désinfection avec Combofix.

Pouvez-vous m'indiquer d'après la lecture de ce rapport si mon problème est résolu ou si quelque chose vous parait suspect ?

 

Merci par avance.

Eneris.

 

Le rapport :

 

 

ComboFix 10-05-07.07 - Sirene & Iris 08/05/2010 14:01:38.1.2 - x86

Microsoft Windows XP …dition familiale 5.1.2600.2.1252.33.1036.18.3326.2833 [GMT 2:00]

LancÈ depuis: c:\documents and settings\Sirene & Iris\Bureau\ComboFix.exe

AV: avast! antivirus 4.8.1356 [VPS 091207-0] *On-access scanning disabled* (Outdated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

 

AVERTISSEMENT - LA CONSOLE DE R…CUP…RATION N'EST PAS INSTALL…E SUR CETTE MACHINE !!

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\Sirene & Iris\Application Data\0FCF83978D2D146F82A44365F06549D3

c:\documents and settings\Sirene & Iris\Application Data\0FCF83978D2D146F82A44365F06549D3\enemies-names.txt

c:\documents and settings\Sirene & Iris\Application Data\0FCF83978D2D146F82A44365F06549D3\hookdll.dll

c:\documents and settings\Sirene & Iris\Application Data\ezLife

c:\documents and settings\Sirene & Iris\Application Data\ezLife\ezLife\log.xml

c:\documents and settings\Sirene & Iris\Application Data\inst.exe

c:\documents and settings\Sirene & Iris\Application Data\Smart-Ads-Solutions

c:\documents and settings\Sirene & Iris\Local Settings\Application Data\mdccwmhrb

c:\documents and settings\Sirene & Iris\Local Settings\Application Data\mdccwmhrb\gosvcowtssd.exe

c:\program files\ezLife

c:\program files\ezLife\ezLife\1.5.5.0\uninstall.exe

c:\program files\Smart-Ads-Solutions

c:\program files\Smart-Ads-Solutions\SmartAds\1.5.5.0\uninstall.exe

c:\windows\eSellerateEngine.dll

c:\windows\system32\aeofjrli.dll

c:\windows\system32\akvhemmm.dll

c:\windows\system32\driVERs\igetmli.sys

c:\windows\system32\net.net

c:\windows\system32\qoyruccxkl.dll

c:\windows\system32\sshnas21.dll

c:\windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job

c:\windows\Zdyloa.exe

 

Une copie infectÈe de c:\windows\system32\drivers\intelppm.sys a ÈtÈ trouvÈe et dÈsinfectÈe

Copie restaurÈe ‡ partir de - Kitty had a snack

.

original MBR restored successfully !

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_SSHNAS

-------\Service_SSHNAS

-------\Legacy_igetmli

-------\Service_igetmli

 

 

((((((((((((((((((((((((((((( Fichiers crÈÈs du 2010-04-08 au 2010-05-08 ))))))))))))))))))))))))))))))))))))

.

 

2010-05-08 11:15 . 2008-11-09 21:09 -------- d--h--w- c:\documents and settings\HelpAssistant\Voisinage rÈseau

2010-05-08 11:15 . 2008-11-09 21:09 -------- d--h--w- c:\documents and settings\HelpAssistant\Voisinage d'impression

2010-05-08 11:15 . 2008-11-09 20:26 -------- d--h--w- c:\documents and settings\HelpAssistant\ModËles

2010-05-08 10:37 . 2010-05-08 10:39 -------- d-----w- c:\program files\ZHPDiag

2010-05-08 09:58 . 2010-05-08 09:58 50990 ----a-w- c:\windows\system32\iplfqfeqfdl.exe

2010-04-16 05:04 . 2010-04-16 05:05 -------- d-----w- c:\documents and settings\Sirene & Iris\Application Data\U3

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-05-08 12:11 . 2008-11-23 20:49 -------- d-----w- c:\documents and settings\Sirene & Iris\Application Data\Skype

2010-05-08 11:47 . 2008-11-23 20:56 -------- d-----w- c:\documents and settings\Sirene & Iris\Application Data\skypePM

2010-05-08 09:46 . 2010-01-23 17:32 -------- d-----w- c:\program files\Mozilla Thunderbird

2010-05-08 09:14 . 2006-03-02 12:00 543734 ----a-w- c:\windows\system32\perfh00C.dat

2010-05-08 09:14 . 2006-03-02 12:00 100954 ----a-w- c:\windows\system32\perfc00C.dat

2010-05-07 18:33 . 2009-09-05 08:05 -------- d-----w- c:\documents and settings\Sirene & Iris\Application Data\vlc

2010-05-07 18:21 . 2008-11-11 10:59 -------- d-----w- c:\documents and settings\Sirene & Iris\Application Data\dvdcss

2010-03-15 16:18 . 2008-11-11 14:57 -------- d-----w- c:\documents and settings\All Users\Application Data\FLEXnet

2010-03-13 14:24 . 2009-02-23 12:03 107888 ----a-w- c:\windows\system32\CmdLineExt.dll

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les ÈlÈments vides & les ÈlÈments initiaux lÈgitimes ne sont pas listÈs

REGEDIT4

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

"{1C4AB6A5-595F-4e86-B15F-F93CCE2BBD48}"= "c:\program files\Family Toolbar\tbhelper.dll" [2009-05-07 355840]

 

[HKEY_CLASSES_ROOT\clsid\{1c4ab6a5-595f-4e86-b15f-f93cce2bbd48}]

[HKEY_CLASSES_ROOT\URLSearchHook.MHURLSearchHook.1]

[HKEY_CLASSES_ROOT\TypeLib\{1EA6B471-CAD2-419a-9539-0586EEFE2D09}]

[HKEY_CLASSES_ROOT\URLSearchHook.MHURLSearchHook]

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0C37B053-FD68-456a-82E1-D788EE342E6F}]

2009-05-07 21:46 2642432 ----a-w- c:\program files\Family Toolbar\tbcore3.dll

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D62EC836-BF1E-4CAC-81BE-FB9179835D8E}]

2010-02-18 07:37 221184 ----a-w- c:\program files\Family Toolbar\mhxpcomi.dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{FD2FD708-1F6F-4B68-B141-C5778F0C19BB}"= "c:\program files\Family Toolbar\tbcore3.dll" [2009-05-07 2642432]

 

[HKEY_CLASSES_ROOT\clsid\{fd2fd708-1f6f-4b68-b141-c5778f0c19bb}]

[HKEY_CLASSES_ROOT\MHToolbar.MHToolbar.3]

[HKEY_CLASSES_ROOT\TypeLib\{EC4085F2-8DB3-45a6-AD0B-CA289F3C5D7E}]

[HKEY_CLASSES_ROOT\MHToolbar.MHToolbar]

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]

"{FD2FD708-1F6F-4B68-B141-C5778F0C19BB}"= "c:\program files\Family Toolbar\tbcore3.dll" [2009-05-07 2642432]

 

[HKEY_CLASSES_ROOT\clsid\{fd2fd708-1f6f-4b68-b141-c5778f0c19bb}]

[HKEY_CLASSES_ROOT\MHToolbar.MHToolbar.3]

[HKEY_CLASSES_ROOT\TypeLib\{EC4085F2-8DB3-45a6-AD0B-CA289F3C5D7E}]

[HKEY_CLASSES_ROOT\MHToolbar.MHToolbar]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-09-02 25623336]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RTHDCPL"="RTHDCPL.EXE" [2006-06-12 16239616]

"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2008-11-09 36864]

"36X Raid Configurer"="c:\windows\system32\xRaidSetup.exe" [2008-11-09 1970176]

"PWRISOVM.EXE"="c:\program files\PowerISO\PWRISOVM.EXE" [2008-06-16 167936]

"Acrobat Assistant 8.0"="c:\program files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2007-05-10 624248]

"PinnacleDriverCheck"="c:\windows\system32\PSDrvCheck.exe" [2004-03-11 406016]

"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2009-04-04 198160]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-04 148888]

"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2009-03-23 1983816]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-09-27 13918208]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-09-27 86016]

"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-09-15 81000]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-11-10 417792]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-11-12 141600]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-03-02 15360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

2009-11-12 15:33 141600 ----a-w- c:\program files\iTunes\iTunesHelper.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel]

2008-08-22 12:13 2363392 ----a-w- c:\program files\Fichiers communs\LightScribe\LightScribeControlPanel.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

2009-11-10 22:08 417792 ----a-w- c:\program files\QuickTime\QTTask.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Fichiers communs\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=

"c:\\Program Files\\Pinnacle\\Studio 10\\programs\\RM.exe"=

"c:\\Program Files\\Pinnacle\\Studio 10\\programs\\Studio.exe"=

"c:\\Program Files\\Pinnacle\\Studio 10\\programs\\PMSRegisterFile.exe"=

"c:\\Program Files\\Pinnacle\\Studio 10\\programs\\umi.exe"=

"c:\\Program Files\\LucasArts\\Star Wars Jedi Knight Jedi Academy\\GameData\\jamp.exe"=

"c:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=

"c:\\Program Files\\THQ\\Dawn of War - Dark Crusade\\DarkCrusade.exe"=

"c:\\Program Files\\THQ\\Dawn of War - Soulstorm\\Soulstorm.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Program Files\\aMSN\\bin\\wish.exe"=

"c:\\Program Files\\Hercules\\Classic Link\\Station2.exe"=

"d:\\Docs Divers\\Jeux\\Age of Mythology\\aomx.exe"=

"c:\\Program Files\\Java\\jre6\\bin\\javaw.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server

"3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server

"50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server

"50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server

"65533:TCP"= 65533:TCP:Services

"52344:TCP"= 52344:TCP:Services

"8097:TCP"= 8097:TCP:Services

"8098:TCP"= 8098:TCP:Services

"3389:TCP"= 3389:TCP:Remote Desktop

 

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [13/12/2009 21:32 114768]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [13/12/2009 21:32 20560]

R3 BENDER;Pinnacle AV/DV2 Capture;c:\windows\system32\drivers\bender.sys [29/11/2008 22:14 200320]

R3 camfilt2;camfilt2;c:\windows\system32\drivers\camfilt2.sys [21/09/2009 16:28 98432]

S2 NOD32FiXTemDono;Eset Nod32 Boot;c:\windows\system32\regedt32.exe [02/03/2006 14:00 3584]

S3 Droppix Service;Droppix Service;c:\program files\Fichiers communs\Droppix\DxService.exe [16/06/2009 19:43 221184]

S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [21/04/2009 15:36 216232]

 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]

2008-08-22 12:11 451872 ----a-w- c:\program files\Fichiers communs\LightScribe\LSRunOnce.exe

.

Contenu du dossier 'T‚ches planifiÈes'

 

2010-05-05 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

.

.

------- Examen supplÈmentaire -------

.

uStart Page = hxxp://search.myheritage.com

mStart Page = hxxp://search.myheritage.com

uInternet Settings,ProxyOverride = <local>

uInternet Settings,ProxyServer = http=127.0.0.1:5555

IE: Append to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Convert link target to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Convert link target to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Convert selected links to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

IE: Convert selected links to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

IE: Convert selection to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Convert selection to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Convert to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

Handler: mhtb - {669A2A3A-F19C-452D-800D-1240299756C1} - c:\program files\Family Toolbar\mhxpcomi.dll

FF - ProfilePath - c:\documents and settings\Sirene & Iris\Application Data\Mozilla\Firefox\Profiles\ivalpnvy.default\

FF - prefs.js: browser.search.selectedEngine - Wikipédia (fr)

FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/firefox?client=firefox-a&rls=org.mozilla:fr:official

FF - prefs.js: keyword.URL - hxxp://search.myheritage.com/?orig=ds&q=

FF - component: c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}\components\adproFfx.dll

FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll

FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

 

---- PARAMETRES FIREFOX ----

c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pr

ef", true);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);

c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");

c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);

.

- - - - ORPHELINS SUPPRIMES - - - -

 

BHO-{140D535E-258A-4157-8EFE-BCDB02E969E4} - c:\windows\system32\akvhemmm.dll

BHO-{149E9343-10C2-025A-6ABC-0A9A7AC42B57} - c:\windows\system32\qoyruccxkl.dll

BHO-{85D6A532-8A92-4D6F-BF87-9292A861AE10} - c:\windows\system32\aeofjrli.dll

HKCU-Run-bonfqqpd - c:\documents and settings\Sirene & Iris\Local Settings\Application Data\mdccwmhrb\gosvcowtssd.exe

HKLM-Run-bonfqqpd - c:\documents and settings\Sirene & Iris\Local Settings\Application Data\mdccwmhrb\gosvcowtssd.exe

AddRemove-ezLife - c:\program files\ezLife\ezLife\1.5.5.0\uninstall.exe

AddRemove-Smart-Ads-Solutions - c:\program files\Smart-Ads-Solutions\SmartAds\1.5.5.0\uninstall.exe

 

 

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-05-08 14:10

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachÈs ...

 

Recherche d'ÈlÈments en dÈmarrage automatique cachÈs ...

 

Recherche de fichiers cachÈs ...

 

Scan terminÈ avec succËs

Fichiers cachÈs: 0

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version*Version]

"Version"=hex:01,a9,80,53,26,fc,7f,1c,b2,7a,b5,76,de,5f,fc,85,25,fd,83,92,b7,

3c,b1,27,d5,d5,3f,11,60,c3,03,71,a1,d8,00,f5,4b,88,6c,2d,70,15,02,e3,c9,6e,\

 

[HKEY_LOCAL_MACHINE\software\Minnetonka Audio Software\SurCode Dolby Digital Premiere\Version*Version]

"Version"=hex:01,a9,80,53,26,fc,7f,1c,b2,7a,b5,76,de,5f,fc,85,25,fd,83,92,b7,

3c,b1,27,d5,d5,3f,11,60,c3,03,71,a1,d8,00,f5,4b,88,6c,2d,70,15,02,e3,c9,6e,\

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\system32\nvsvc32.exe

c:\program files\Alwil Software\Avast4\aswUpdSv.exe

c:\program files\Alwil Software\Avast4\ashServ.exe

c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\program files\Bonjour\mDNSResponder.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\program files\Fichiers communs\LightScribe\LSSrvc.exe

c:\windows\RTHDCPL.EXE

c:\windows\system32\RUNDLL32.EXE

c:\program files\CDBurnerXP\NMSAccessU.exe

c:\windows\system32\wdfmgr.exe

c:\program files\Alwil Software\Avast4\ashMaiSv.exe

c:\program files\Alwil Software\Avast4\ashWebSv.exe

c:\windows\system32\wscntfy.exe

c:\program files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

c:\program files\iPod\bin\iPodService.exe

c:\windows\system32\wbem\wmiapsrv.exe

c:\program files\Skype\Plugin Manager\skypePM.exe

.

**************************************************************************

.

Heure de fin: 2010-05-08 14:14:49 - La machine a redÈmarrÈ

ComboFix-quarantined-files.txt 2010-05-08 12:14

 

Avant-CF: 230†451†576†832 octets libres

AprËs-CF: 230†408†052†736 octets libres

 

- - End Of File - - 921ED0AC12033BA2C2FD993907DE0FFC

[Apollo]

Bonjour,

 

Quand on dit de ne pas utiliser ComboFix avant qu'un conseiller ne le demande, c'est à croire qu'on parle aux murs.

 

Il a été mal utilisé car la console de récupération n'a pas été installée. Or il est primordial de l'installer, elle pourrait sauver la vie de ton pc un de ces quatre...

 

On verra ça plus tard, ne désinstalle pas ComboFix maintenant.

 

Télécharge Ad-Remover de C-XX et Enregistre-le sur le bureau.

 

Ferme toutes les applications ouvertes pour l'installer.

 

Sous Vista: Désactiver provisoirement l'UAC comme expliqué ICI

 

Double-clique (Clic droit/exécuter comme administrateur pour Vista) sur l'icône placée sur le bureau.

 

Si le firewall se manifeste, accorde les autorisations à l'outil pour qu'il puisse travailler.

 

Clique sur Scanner.

 

 

Le rapport se trouve aussi sous C:\Ad-Report.

Copie/colle-le dans ta réponse stp.

 

-----------------------------------------------------------------------------------------------

 

2) Double-clique (Clic droit/exécuter comme administrateur pour Vista) sur l'icône placée sur le bureau.

 

Si le firewall se manifeste, accorde les autorisations à l'outil pour qu'il puisse travailler.

 

Clique sur Nettoyer.

 

 

Le bureau va disparaitre, c'est normal!

 

Le rapport se trouve aussi sous C:\Ad-Report Clean.

Copie/colle-le dans ta réponse stp.

 

Réactiver l'UAC de Vista. (Si Vista bien sûr!).

 

La page d'accueil sera peut-être changée; il suffit de remettre sa page habituelle via les options internet.

 

-------------------------

Télécharge Hijackthis 2.0.4 et enregistre-le sur le bureau.

 

Sous XP, double clique sur l'icône

 

Sous Vista, fais un clic droit sur l'icône/exécuter en temps qu'administrateur.

 

Clique sur "Scan".

 

Clique ensuite sur "Save log", un fichier texte avec le rapport doit s'ouvrir.

 

Sauvegarde le fichier texte sur le bureau.

 

Fais un clic droit sur le texte ouvert, clique encore avec le bouton droit puis clique sur "copier".

 

Colle le résultat dans ta réponse stp.

 

@++

[Eneris]

Tout d'abord merci de ta réponse et désolé pour l'utilisation abusive de Combofix, je sais ce que vous devez ressentir de passer vos journées à aider gratuitement les gens lorsqu'en plus ceux ci n'ont même pas l'intelligence d'écouter vos conseils.... Je ne pouvais pas travailler sans mon PC et l'internaute avait exactement le même virus que moi... Bref je passe la dessus et j'assume mes bêtises.

 

Pour le premier rapport, celui du scanner le voici :

 

.

======= RAPPORT D'AD-REMOVER 2.0.0.0,D | UNIQUEMENT XP/VISTA/7 =======

.

Mis ‡ jour par C_XX le 07/05/10 ‡ 16:50

Contact: AdRemover.contact@gmail.com

Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

.

LancÈ ‡: 19:04:37 le 08/05/2010 | Mode normal | Option: SCAN

ExÈcutÈ de: C:\Ad-Remover\ADR.exe

SE: MicrosoftÆ Windows XPô Service Pack 2 - X86

Nom du PC: SIRENE

Utilisateur actuel: Sirene & Iris

.

============== …L…MENT(S) TROUV…(S) ==============

.

.

C:\Documents and Settings\HelpAssistant\Application Data\ezLife

C:\Documents and Settings\HelpAssistant\Application Data\ezLife\ezLife

C:\Documents and Settings\HelpAssistant\Application Data\Smart-Ads-Solutions

C:\WINDOWS\system32\iplfqfeqfdl.exe

.

HKCU\Software\AppDataLow\software\{FD96B4D3-42FB-DBAF-A401-485C3952D6D7}

HKLM\Software\Classes\AppID\{38061EDC-40BB-4618-A8DA-E56353347E6D}

HKLM\Software\Classes\AppID\{A9722A0D-365F-47D2-B70B-37D046316D99}

HKLM\Software\Classes\ComObject.DeskbarEnabler.1

HKLM\Software\Classes\Interface\{115CCBAE-27B0-47C3-BA42-BAB708424393}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iplfqfeqfdl

.

.

============== SCAN ADDITIONNEL ==============

.

* Mozilla FireFox Version 3.6.3 (fr) *

.

C:\Documents and Settings\Sirene & Iris\..\ivalpnvy.default\prefs.js - browser.download.lastDir: C:\\Documents and Settings\\Sirene & Iris\\Bureau

C:\Documents and Settings\Sirene & Iris\..\ivalpnvy.default\prefs.js - browser.startup.homepage: hxxp://www.google.fr/firefox?client=firefox-a&rls=org.mozilla:fr:official

C:\Documents and Settings\Sirene & Iris\..\ivalpnvy.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2.3

C:\Documents and Settings\Sirene & Iris\..\ivalpnvy.default\prefs.js - keyword.URL: hxxp://search.myheritage.com/?orig=ds&q=

C:\Documents and Settings\Sirene & Iris\..\ivalpnvy.default\prefs.js - privacy.popups.showBrowserMessage, false

C:\Documents and Settings\HelpAssistant\..\ivalpnvy.default\prefs.js - browser.download.lastDir: C:\\Documents and Settings\\Sirene & Iris\\Bureau

C:\Documents and Settings\HelpAssistant\..\ivalpnvy.default\prefs.js - browser.search.selectedEngine: Wikipédia fr

C:\Documents and Settings\HelpAssistant\..\ivalpnvy.default\prefs.js - browser.startup.homepage: hxxp://www.google.fr/firefox?client=firefox-a&rls=org.mozilla:fr:official

C:\Documents and Settings\HelpAssistant\..\ivalpnvy.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2.3

C:\Documents and Settings\HelpAssistant\..\ivalpnvy.default\prefs.js - keyword.URL: hxxp://search.myheritage.com/?orig=ds&q=

C:\Documents and Settings\HelpAssistant\..\ivalpnvy.default\prefs.js - privacy.popups.showBrowserMessage, false

C:\Documents and Settings\HelpAssistant\Application Data\Thunderbird\Profiles\o10y2icl.default\prefs.js - browser.download.lastDir: C:\\Documents and Settings\\Sirene & Iris\\Bureau\\Mes Projets

.

.

* Internet Explorer Version 6.0.2900.2180 *

.

[HKCU\Software\Microsoft\Internet Explorer\Main]

.

Do404Search: 0x01000000

Local Page: C:\WINDOWS\system32\blank.htm

Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Show_ToolBar: yes

Start Page: hxxp://search.myheritage.com

.

[HKLM\Software\Microsoft\Internet Explorer\Main]

.

Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157

Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896

Delete_Temp_Files_On_Exit: yes

Local Page: %SystemRoot%\system32\blank.htm

Search bar: hxxp://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm

Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896

Start Page: hxxp://search.myheritage.com

.

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]

.

Tabs: mhtb:newtab

Blank: res://mshtml.dll/blank.htm

.

========================================

.

C:\Ad-Remover\Quarantine: 0 Fichier(s)

C:\Ad-Remover\Backup: 0 Fichier(s)

.

C:\Ad-Report-SCAN[1].txt - 3914 Octet(s)

.

Fin ‡: 19:17:29, 08/05/2010

.

============== E.O.F - SCAN[1] ==============

 

 

Pour le rapport de nettoyage, le voici :

 

.

======= RAPPORT D'AD-REMOVER 2.0.0.0,D | UNIQUEMENT XP/VISTA/7 =======

.

Mis ‡ jour par C_XX le 07/05/10 ‡ 16:50

Contact: AdRemover.contact@gmail.com

Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

.

LancÈ ‡: 19:18:46 le 08/05/2010 | Mode normal | Option: CLEAN

ExÈcutÈ de: C:\Ad-Remover\ADR.exe

SE: MicrosoftÆ Windows XPô Service Pack 2 - X86

Nom du PC: SIRENE

Utilisateur actuel: Sirene & Iris

.

============== …L…MENT(S) NEUTRALIS…(S) ==============

.

.

C:\Documents and Settings\HelpAssistant\Application Data\ezLife

C:\Documents and Settings\HelpAssistant\Application Data\Smart-Ads-Solutions

C:\WINDOWS\system32\iplfqfeqfdl.exe

 

(!) -- Fichiers temporaires supprimÈs.

.

HKCU\Software\AppDataLow\software\{FD96B4D3-42FB-DBAF-A401-485C3952D6D7}

HKLM\Software\Classes\AppID\{38061EDC-40BB-4618-A8DA-E56353347E6D}

HKLM\Software\Classes\AppID\{A9722A0D-365F-47D2-B70B-37D046316D99}

HKLM\Software\Classes\ComObject.DeskbarEnabler.1

HKLM\Software\Classes\Interface\{115CCBAE-27B0-47C3-BA42-BAB708424393}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iplfqfeqfdl

.

(Orpheline) HKLM,Uninstall - Dexter Screen Saver - C:\WINDOWS\system32\Dexter Screen Saver.scr /u (Fichier manquant)

(Orpheline) HKLM,Uninstall - ZHPDiag_is1 - C:\Program Files\ZHPDiag\unins000.exe (Fichier manquant)

.

============== SCAN ADDITIONNEL ==============

.

* Mozilla FireFox Version 3.6.3 (fr) *

.

C:\Documents and Settings\Sirene & Iris\..\ivalpnvy.default\prefs.js - browser.download.lastDir: C:\\Documents and Settings\\Sirene & Iris\\Bureau

C:\Documents and Settings\Sirene & Iris\..\ivalpnvy.default\prefs.js - browser.startup.homepage: hxxp://www.google.fr/firefox?client=firefox-a&rls=org.mozilla:fr:official

C:\Documents and Settings\Sirene & Iris\..\ivalpnvy.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2.3

C:\Documents and Settings\Sirene & Iris\..\ivalpnvy.default\prefs.js - keyword.URL: hxxp://search.myheritage.com/?orig=ds&q=

C:\Documents and Settings\Sirene & Iris\..\ivalpnvy.default\prefs.js - privacy.popups.showBrowserMessage, false

C:\Documents and Settings\HelpAssistant\..\ivalpnvy.default\prefs.js - browser.download.lastDir: C:\\Documents and Settings\\Sirene & Iris\\Bureau

C:\Documents and Settings\HelpAssistant\..\ivalpnvy.default\prefs.js - browser.search.selectedEngine: Wikipédia fr

C:\Documents and Settings\HelpAssistant\..\ivalpnvy.default\prefs.js - browser.startup.homepage: hxxp://www.google.fr/firefox?client=firefox-a&rls=org.mozilla:fr:official

C:\Documents and Settings\HelpAssistant\..\ivalpnvy.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2.3

C:\Documents and Settings\HelpAssistant\..\ivalpnvy.default\prefs.js - keyword.URL: hxxp://search.myheritage.com/?orig=ds&q=

C:\Documents and Settings\HelpAssistant\..\ivalpnvy.default\prefs.js - privacy.popups.showBrowserMessage, false

C:\Documents and Settings\HelpAssistant\Application Data\Thunderbird\Profiles\o10y2icl.default\prefs.js - browser.download.lastDir: C:\\Documents and Settings\\Sirene & Iris\\Bureau\\Mes Projets

.

.

* Internet Explorer Version 6.0.2900.2180 *

.

[HKCU\Software\Microsoft\Internet Explorer\Main]

.

Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Do404Search: 0x01000000

Local Page: C:\WINDOWS\system32\blank.htm

Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896

Show_ToolBar: yes

Start Page: hxxp://fr.msn.com/

.

[HKLM\Software\Microsoft\Internet Explorer\Main]

.

Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Delete_Temp_Files_On_Exit: yes

Local Page: %SystemRoot%\system32\blank.htm

Search bar: hxxp://search.msn.com/spbasic.htm

Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Start Page: hxxp://fr.msn.com/

.

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]

.

Tabs: res://ieframe.dll/tabswelcome.htm

Blank: res://mshtml.dll/blank.htm

.

========================================

.

C:\Ad-Remover\Quarantine: 1 Fichier(s)

C:\Ad-Remover\Backup: 13 Fichier(s)

.

C:\Ad-Report-CLEAN[1].txt - 4285 Octet(s)

C:\Ad-Report-SCAN[1].txt - 4038 Octet(s)

.

Fin ‡: 19:24:13, 08/05/2010

.

============== E.O.F - CLEAN[1] ==============

 

 

 

Et enfin voila le rapport de HighJackThis :

 

 

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 19:28:03, on 08/05/2010

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe

C:\Program Files\CDBurnerXP\NMSAccessU.exe

c:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\PowerISO\PWRISOVM.EXE

C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Canon\MyPrinter\BJMyPrt.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Skype\Plugin Manager\skypePM.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\Sirene & Iris\Bureau\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.microsoft.com/fwlink/?linkid=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5555

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: MHURLSearchHook Class - {1C4AB6A5-595F-4e86-B15F-F93CCE2BBD48} - C:\Program Files\Family Toolbar\tbhelper.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Program Files\Adobe\/Adobe Contribute CS3/contributeieplugin.dll

O2 - BHO: MHTBPos00 - {0C37B053-FD68-456a-82E1-D788EE342E6F} - C:\Program Files\Family Toolbar\tbcore3.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: MyHeritage New Tab - {D62EC836-BF1E-4CAC-81BE-FB9179835D8E} - C:\Program Files\Family Toolbar\mhxpcomi.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Program Files\Adobe\/Adobe Contribute CS3/contributeieplugin.dll

O3 - Toolbar: Family Toolbar - {FD2FD708-1F6F-4B68-B141-C5778F0C19BB} - C:\Program Files\Family Toolbar\tbcore3.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe

O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot

O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE

O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"

O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\FICHIE~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Append to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownlo.../sysreqlab3.cab

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://fichiers.touslesdrivers.com/maconfi...fig_3_1_2_1.cab

O18 - Protocol: mhtb - {669A2A3A-F19C-452D-800D-1240299756C1} - C:\Program Files\Family Toolbar\mhxpcomi.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O22 - SharedTaskScheduler: PrÈ-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: DÈmon de cache des catÈgories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Adobe Version Cue CS3 - Adobe Systems Incorporated - C:\Program Files\Fichiers communs\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Droppix Service - Unknown owner - C:\Program Files\Fichiers communs\Droppix\DxService.exe

O23 - Service: Journal des ÈvÈnements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe

O23 - Service: Service de líiPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

O23 - Service: Ma-Config Service (maconfservice) - Unknown owner - C:\Program Files\ma-config.com\maconfservice.exe

O23 - Service: Partage de Bureau ‡ distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe

O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Gestionnaire de session d'aide sur le Bureau ‡ distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Carte ‡ puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: ClichÈ instantanÈ de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

 

--

End of file - 11885 bytes

 

 

J'espère que j'ai tout fait correctement ! Encore merci pour tes réponses.

 

Cordialement.

 

Eneris

[Apollo]

Re,

 

et l'internaute avait exactement le même virus que moi...

 

Le problème est justement là: chaque désinfection est personnalisée en fonction des rapports que nous analysons et si une infection ressemble à une autre, il n'est pas dit que tu n'as pas autre-chose, la preuve.

 

On est là pour vous aider donc il faut en profiter dès que le problème surgit.

 

Si ComboFix propose une nouvelle version, il faut évidement accepter de l'installer

 

Nous allons installer la Console de Récupération sur ton pc. Cela permettra de réparer ton système au cas ou le pc ne redémarrerait plus suite à la désinfection.

• Lorsque tu as cliqué sur le lien correspondant à la version de ton Windows, tu seras dirigé sur une page: clique sur le bouton Télécharger afin de récupérer le package d'installation sur ton Bureau: Ne modifie pas le nom du fichier surtout!
   
  >> Windows XP Service Pack 2 [sP2] >
  Microsoft Windows XP HOME SP2 (Familiale)
   
   
  
• Fais un glisser/déposer de ce fichier sur le fichier ComboFix.exe comme sur la capture >
  
  
• Suis les indications à l'écran pour lancer ComboFix et lorsqu'on te le demande, accepte le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.
  
• Lorsque ce sera terminé, un message te disant que la Console a bien été installée apparait, puis un rapport nommé CF_RC.txt va s'afficher: poste le contenu de ce rapport.
  

Note : à présent lorsque tu démarreras ton pc, tu auras un choix à faire: soit démarrer Windows normalement, ou utiliser la Console de Récupération.

 

@++

[Eneris]

Re, désolé mais je ne comprend pas bien ce que je dois faire... Je dois réinstaller la console de Combofix ça d'accord, mais pour ce qui est du redémarrage, mon pc à déjà redémarré plusieurs fois depuis la désinfection et tout va bien (je crois).

 

De plus est-ce que cela veut dire que l'état de mon pc nécessite une deuxième désinfection ?

 

Et quand tu écris "lorsque tu as cliqué sur le lien correspondant à la version de ton windows...." mais ou est-ce que je trouve tout ça ?

 

Merci de tes précisions !

 

Eneris.

[Apollo]

Tu as toujours l'icône de ComboFix sur ton bureau?

 

Si oui, il suffit d'enregistrer ce fichier sur ton bureau: http://www.microsoft.com/downloads/details...;displaylang=fr

 

Tu le fais alors glisser tout simplement sur l'icône ComboFix et l'outil se lancera pour installer la console.

 

Reste à l'affût car on va encore devoir s'en servir; donc ne le vire pas avant que je ne te le dise.

 

@++

[Eneris]

Aie ! Je pensais ne pas avoir touché à ComboFix mais en fait j'ai continuer la procédure du forum et j'ai fait un CleanTool ! j'ai toujours ComboFix.exe sur ma clé USB mais plus sur mon bureau....

 

Mon dieu est-ce que c'est une énorme connerie ??

 

Merci de ta réponse...

 

Eneris.

[Apollo]

Re,

 

Tu n'aurais pas dû virer l'outil...

 

Je viens d'être contacté par un expert (Mark) qui va te prendre en charge; je te suggère d'attendre ses conseils car il y a encore pas mal de choses à faire.

 

Ne prends plus d'initiative stp.

 

Je suis évidement le sujet qui m'intéresse beaucoup

 

Alors patience stp.

 

@++

[Eneris]

Bah merci beaucoup en tout cas !

 

Je précise évidemment que je n'ai pas supprimé l'outil après que tu m'es contacté mais avant !

(je ne suis pas aussi bête )

 

Merci de m'avoir répondu. J'attend des nouvelles de Mark : D

 

Cordialement

Eneris.

Modifié le 8 mai 2010 par Eneris

[Mark]

Bonsoir à vous deux, et Merci à Apollo

 

Eneris : la machine est infectée en profondeur. Il faut faire preuve de patience et suivre les instructions à la lettre, dorénavant. Si je dis ça, c'est bien pour éviter que tu ne te retrouves dans le pétrin. Tu ne dois ni "improviser", ni suivre les instructions proposées à d'autres membres, ni prendre de l'aide sur un autre forum en simultané (fais-moi signe si tu as posté ailleurs, s'il te plaît).

 

ComboFix a déjà fait un gros ménage, mais il reste pas mal de boulot, surtout sur une infection qui installe le contrôle à distance de ta machine (par le pirate). C'est sérieux, ce type d'infection. Je vais procéder par étapes, en essayant d'être le plus clair possible ; si tu as des questions en cours de route, il ne faut pas te gêner.

 

==========

 

Tout d'abord, supprime la version de ComboFix qui se trouve sur ta clé USB et prends la nouvelle version :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

- Dépose cette version sur le Bureau mais ne la lance pas.

- Installe maintenant la Console de Récupération tel que prescrit par Apollo dans un message précédent (fais un Glisser/Déposer du fichier sur ComboFix et laisse-le bosser). Il faut désactiver l'antivirus avant de faire cette manip.

- ComboFix va faire une analyse automatiquement ; tu pourras fermer le rapport en fin d'analyse. Tu retrouveras ce rapport, qui est sauvegardé là >> C:\ComboFix.txt (je te le demanderai plus tard..).

 

~~~~~~~~~~~~~~~~~~~~

 

Un autre outil à passer :

 

Télécharge l'outil suivant (de noahdfear) sur ton Bureau :

http://noahdfear.net/downloads/HAMeb_check.exe

 

> Lance-le. Un rapport apparaîtra à l'écran ; copie/colle son contenu ici, dans ta réponse.

 

Colle également le contenu du rapport de ComboFix (C:\ComboFix.txt)

 

Merci

 

Possible que je ne revienne pas ce soir. Je regarderai donc les rapports et te mettrai les prochaines instructions à suivre dès mon retour, dans quelques heures.

 

@+

 

Mark