[Résolu] Virus qui me demande de télécharger une nouvelle protection

[BountyKiller]

Dsl pour le delay mon wifi est capricieux.

 

Pour la page d'accueil c'est bon, google est revenu.

 

Voici le new log HIJT.

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:51:37, on 23/05/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Tall Emu\Online Armor\OAcat.exe

C:\Program Files\Tall Emu\Online Armor\oasrv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe

C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe

C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\Tall Emu\Online Armor\oaui.exe

C:\Program Files\NETGEAR\WPN111\wpn111.exe

C:\Program Files\Spamihilator\spamihilator.exe

C:\Program Files\Tall Emu\Online Armor\OAhlp.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.dailymotion.com/fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ycomp/def...://fr.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60076

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60076

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/def...://fr.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\Updreg.exe

O4 - HKLM\..\Run: [AudCtrl] RunDll32 AudCtrl.dll,RCMonitor

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [@OnlineArmor GUI] "C:\Program Files\Tall Emu\Online Armor\oaui.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - S-1-5-18 Startup: Spamihilator.lnk = C:\Program Files\Spamihilator\spamihilator.exe (User 'SYSTEM')

O4 - .DEFAULT Startup: Spamihilator.lnk = C:\Program Files\Spamihilator\spamihilator.exe (User 'Default user')

O4 - Startup: Spamihilator.lnk = C:\Program Files\Spamihilator\spamihilator.exe

O4 - Global Startup: NETGEAR WPN111 Smart Wizard.lnk = ?

O4 - Global Startup: PalTalk.lnk = C:\Program Files\Paltalk Messenger\paltalk.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000

O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\Program Files\Paltalk Messenger\Paltalk.exe

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: Garmin Communicator Plug-In - https://my.garmin.com/mygarmin/m/GarminAxControl.CAB

O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownlo.../sysreqlab3.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/...can8/oscan8.cab

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://fichiers.touslesdrivers.com/fichier...ion_3_0_3_4.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx1.hotmail.com/mail/w4/pr01/photo...ol/MSNPUpld.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Online Armor Helper Service (OAcat) - Tall Emu - C:\Program Files\Tall Emu\Online Armor\OAcat.exe

O23 - Service: Online Armor (SvcOnlineArmor) - Tall Emu - C:\Program Files\Tall Emu\Online Armor\oasrv.exe

 

--

End of file - 8991 bytes

[Apollo]

Tout est ok pour moi.

 

Fais ces quelques vérifications de sécurité stp.

 

Tu peux jeter le fichier reg et tdsskiller.

 

++

[BountyKiller]

Mille merci Apollo pour ta disponibilité, tes compétences et ta rapidité.

 

@+

 

 

BountyKiller

[Apollo]

De rien,

 

Il faudra faire ceci:

 

Désactiver la Restauration Système.

 

Démarrer/Tous les programmes/Accessoires/Outils Système/

 

Cliquer sur Restauration Système.

 

Cliquer sur "Paramètres de la restauration du système; cocher la case: "Désactiver la Restauration du système sur tous les lecteurs"

Appliquer/OK.

 

Pour réactiver la Restauration système, suivre le même chemin et décocher la case. Appliquer/OK.

 

Un nouveau point de restauration sera automatiquement créé.

 

Télécharge OTC d'Old Timer :

http://oldtimer.geekstogo.com/OTC.exe

Double clique dessus, puis clique sur le gros bouton CleanUp ! pour supprimer les outils spéciaux.

 

• Pense à éditer ton premier post pour rajouter "Résolu" dans le titre. Pour cela clique sur "Editer dans ton premier post. Tu pourras alors changer le titre.
  

 

[BountyKiller]

Bonsoir,

 

 

A l'instant je surfais normalement, et une fenêtre viens d'apparaitre:

 

 

Security Threat Analysis

 

Warning! Your computer is at risk of malware attacks.

 

We recommend you to check your system immediately. Press OK to start the process now

 

 

 

Que dois-je faire ? HELP !!!!!!

[Apollo]

Re,

 

Il faudrait voir si tu n'as pas un surf à risque aussi...

 

ComboFix ne doit pas être utilisé comme un outil de diagnostic, il ne doit être employé que sur demande expresse d'un conseiller formé à cet outil et sous son contrôle. Cet outil peut être dangereux!

 

Désactiver les protections (antivirus, firewall, antispyware).

 

Connecter les supports amovibles (clé usb et autres) avant de procéder.

 

TUTO Officiel

 

Fais un clic droit ICI

• Dans le menu qui se déroule, choisis "Enregistrer la cible du lien sous" (si tu utilises Firefox) et "Enregistrer la cible sous" (si tu utilises Internet Explorer)
  
• Une fenêtre va s'ouvrir: dans le champs Nom du fichier (en bas ), tape ceci panpan.
  
• On va enregistrer ce fichier sur le Bureau: pour cela, sur le panneau de gauche, clique sur le Bureau.
   
  
• Clique enfin sur le bouton Enregistrer en bas de page à droite.
  
• Assure toi que tous les programmes sont fermés avant de lancer le fix!
  
• Fait un double clique sur panpan.
  
• Si la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepte!
  
• Clique sur Oui au message de Limitation de Garantie qui s'affiche.
  
• Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sure: accepte!
  
• Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  
• Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
  

 

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

 

NB: Si malgré tout, tu ne parviens pas à réparer la connexion, lis ce sujet stp.

 

Si le message: "Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression".

apparaissait, redémarrer le pc.

 

 

@+

[BountyKiller]

Concernant mon surf, depuis tout a l'heure je me suis rendu sur la redoute, spartoo, un forum de reggae dancehall américain, et sur U stream .

J'ai aussi joué un peu a mon jeu vidéo.

 

le virus peut venir d'un de ces sites ?

 

Combofix a détecté une infection rootkit et m'a fait reboot le pc, puis je l'ai relancé, j'espère que je ne me suis pas trompé.

 

 

ComboFix 10-05-23.01 - carpentier 23/05/2010 21:35:20.1.2 - x86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1023.606 [GMT 2:00]

Lancé depuis: c:\documents and settings\carpentier\Bureau\panpan.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

FW: Pare-feu Online Armor *enabled* {B797DAA0-7E2E-4711-8BB3-D12744F1922A}

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\carpentier\Application Data\Microsoft\HTML Help\hh.dat

c:\windows\system32\Data

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2010-04-23 au 2010-05-23 ))))))))))))))))))))))))))))))))))))

.

 

2010-05-22 18:25 . 2010-05-22 18:25 -------- d-----r- c:\documents and settings\LocalService\Favoris

2010-05-22 17:09 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-05-22 17:09 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-05-22 17:09 . 2010-05-22 17:09 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2010-05-22 16:38 . 2010-05-22 16:38 -------- d-----w- c:\documents and settings\All Users\Application Data\Spamihilator

2010-05-22 16:35 . 2010-05-23 19:27 -------- d-----w- c:\documents and settings\carpentier\Application Data\Spamihilator

2010-05-22 16:34 . 2010-05-22 16:34 -------- d-----w- c:\program files\Spamihilator

2010-05-22 16:23 . 2010-05-22 17:04 -------- d-----w- c:\documents and settings\All Users\Application Data\OnlineArmor

2010-05-22 16:23 . 2010-05-22 16:23 -------- d-----w- c:\documents and settings\carpentier\Application Data\OnlineArmor

2010-05-22 16:22 . 2010-04-20 02:13 24440 ----a-w- c:\windows\system32\drivers\OAmon.sys

2010-05-22 16:22 . 2010-04-20 02:13 29560 ----a-w- c:\windows\system32\drivers\OAnet.sys

2010-05-22 16:22 . 2010-04-20 02:13 228216 ----a-w- c:\windows\system32\drivers\OADriver.sys

2010-05-22 16:22 . 2010-05-22 16:22 -------- d-----w- c:\program files\Tall Emu

2010-05-22 16:11 . 2009-11-25 09:19 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2010-05-22 16:11 . 2009-03-30 07:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys

2010-05-22 16:11 . 2009-02-13 09:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys

2010-05-22 16:11 . 2009-02-13 09:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys

2010-05-22 16:11 . 2010-05-22 16:11 -------- d-----w- c:\program files\Avira

2010-05-22 16:11 . 2010-05-22 16:11 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira

2010-05-21 20:38 . 2010-05-21 20:39 -------- d-----w- c:\program files\Fichiers communs\Adobe

2010-05-21 19:37 . 2010-05-23 16:04 -------- d-----w- c:\program files\Trend Micro

2010-05-21 14:40 . 2010-05-21 14:40 -------- d-----w- c:\documents and settings\carpentier\Local Settings\Application Data\TouchStoneSoftware

2010-05-12 16:01 . 2010-05-06 22:39 701608 ----a-w- c:\documents and settings\carpentier\Application Data\Mozilla\Firefox\Profiles\hjj6gojc.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\qscanff.dll

2010-05-12 16:01 . 2010-05-06 22:39 865896 ----a-w- c:\documents and settings\carpentier\Application Data\Mozilla\Firefox\Profiles\hjj6gojc.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll

2010-05-12 15:57 . 2010-05-21 20:23 411368 ----a-w- c:\windows\system32\deployJava1.dll

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-05-23 19:31 . 2007-12-19 12:10 73552 ----a-w- c:\documents and settings\carpentier\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2010-05-23 16:40 . 2009-05-23 21:22 -------- d-----w- c:\program files\Steam

2010-05-23 16:06 . 2009-12-30 14:40 -------- d-----w- c:\documents and settings\carpentier\Application Data\QuickScan

2010-05-23 15:26 . 2008-03-15 15:59 -------- d-----w- c:\program files\Windows Live

2010-05-23 15:19 . 2008-10-31 14:35 -------- d-----w- c:\program files\ma-config.com

2010-05-22 16:31 . 2007-12-20 14:24 -------- d-----w- c:\documents and settings\carpentier\Application Data\SPAMfighter

2010-05-22 16:22 . 2004-08-05 12:00 46984 ----a-w- c:\windows\system32\perfc00C.dat

2010-05-22 16:22 . 2004-08-05 12:00 364314 ----a-w- c:\windows\system32\perfh00C.dat

2010-05-22 16:05 . 2008-07-25 09:02 -------- d-----w- c:\program files\AVG

2010-05-22 15:55 . 2008-10-30 19:52 -------- d-----w- c:\program files\Fichiers communs\Real

2010-05-22 15:51 . 2008-10-07 13:10 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard

2010-05-22 15:51 . 2009-12-30 16:22 -------- d-----w- c:\program files\SUPERAntiSpyware

2010-05-22 15:38 . 2008-07-13 14:33 -------- d-----w- c:\program files\AVS4YOU

2010-05-22 15:38 . 2007-12-19 22:23 -------- d-----w- c:\program files\Fichiers communs\AVSMedia

2010-05-22 15:38 . 2007-12-19 22:23 -------- d-----w- c:\program files\AVSMedia

2010-05-22 13:45 . 2010-01-31 00:11 0 ----a-w- c:\documents and settings\carpentier\Local Settings\Application Data\prvlcl.dat

2010-05-21 20:26 . 2007-12-19 20:10 -------- d-----w- c:\program files\Java

2010-05-21 19:30 . 2007-12-19 12:56 -------- d--h--w- c:\program files\InstallShield Installation Information

2010-05-15 13:29 . 2008-12-27 22:45 -------- d-----w- c:\documents and settings\carpentier\Application Data\dvdcss

2010-05-12 16:08 . 2007-12-19 14:02 -------- d-----w- c:\program files\Yahoo!

2010-05-12 16:07 . 2007-12-19 21:08 -------- d-----w- c:\program files\Common Files

2010-05-12 15:42 . 2009-02-02 13:48 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help

2010-04-12 14:49 . 2010-04-12 14:49 -------- d-----w- c:\documents and settings\All Users\Application Data\Trymedia

2010-04-09 14:36 . 2007-12-19 20:10 -------- d-----w- c:\program files\Fichiers communs\Java

2010-04-09 14:35 . 2010-04-09 14:35 503808 ----a-w- c:\documents and settings\carpentier\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-37d3ea2b-n\msvcp71.dll

2010-04-09 14:35 . 2010-04-09 14:35 499712 ----a-w- c:\documents and settings\carpentier\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-37d3ea2b-n\jmc.dll

2010-04-09 14:35 . 2010-04-09 14:35 348160 ----a-w- c:\documents and settings\carpentier\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-37d3ea2b-n\msvcr71.dll

2010-04-09 14:35 . 2010-04-09 14:35 61440 ----a-w- c:\documents and settings\carpentier\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-43944592-n\decora-sse.dll

2010-04-09 14:35 . 2010-04-09 14:35 12800 ----a-w- c:\documents and settings\carpentier\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-43944592-n\decora-d3d.dll

2010-03-10 06:16 . 2004-08-05 12:00 420352 ----a-w- c:\windows\system32\vbscript.dll

2010-02-25 06:17 . 2004-08-05 12:00 916480 ----a-w- c:\windows\system32\wininet.dll

2010-02-24 13:11 . 2004-08-05 12:00 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"UpdReg"="c:\windows\Updreg.exe" [2000-05-11 90112]

"AudCtrl"="AudCtrl.dll" [2002-01-18 44544]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-12-25 13680640]

"nwiz"="nwiz.exe" [2008-12-25 1657376]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-12-25 86016]

"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]

"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-12-21 35760]

"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2009-12-11 948672]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"@OnlineArmor GUI"="c:\program files\Tall Emu\Online Armor\oaui.exe" [2010-04-20 6788600]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

c:\documents and settings\carpentier\Menu D‚marrer\Programmes\D‚marrage\

Spamihilator.lnk - c:\program files\Spamihilator\spamihilator.exe [2010-5-22 1512448]

 

c:\documents and settings\carpentier\Menu D‚marrer\Programmes\D‚marrage\

Spamihilator.lnk - c:\program files\Spamihilator\spamihilator.exe [2010-5-22 1512448]

 

c:\documents and settings\carpentier\Menu D‚marrer\Programmes\D‚marrage\

Spamihilator.lnk - c:\program files\Spamihilator\spamihilator.exe [2010-5-22 1512448]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

NETGEAR WPN111 Smart Wizard.lnk - c:\program files\NETGEAR\WPN111\wpn111.exe [2008-2-14 884838]

PalTalk.lnk - c:\program files\Paltalk Messenger\paltalk.exe [2009-10-20 11550720]

 

c:\documents and settings\carpentier\Menu D‚marrer\Programmes\D‚marrage\

Spamihilator.lnk - c:\program files\Spamihilator\spamihilator.exe [2010-5-22 1512448]

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{4F07DA45-8170-4859-9B5F-037EF2970034}"= "c:\progra~1\TALLEM~1\ONLINE~1\oaevent.dll" [2010-04-20 925688]

 

[HKLM\~\startupfolder\C:^Documents and Settings^carpentier^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.3.lnk]

path=c:\documents and settings\carpentier\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.3.lnk

backup=c:\windows\pss\OpenOffice.org 2.3.lnkStartup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]

2005-05-03 10:43 69632 ------r- c:\windows\Alcmtr.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]

2008-04-14 02:33 15360 ----a-w- c:\windows\system32\ctfmon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

2006-01-12 15:40 155648 ----a-w- c:\windows\system32\NeroCheck.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]

2008-12-25 23:08 13680640 ----a-w- c:\windows\system32\nvcpl.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]

2008-12-25 23:08 86016 ----a-w- c:\windows\system32\nvmctray.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]

2008-12-25 23:08 1657376 ----a-w- c:\windows\system32\nwiz.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]

2006-09-12 08:58 16264192 ------r- c:\windows\RTHDCPL.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]

2006-05-16 10:04 2879488 ------r- c:\windows\SkyTel.exe

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Program Files\\Valve\\Steam\\SteamApps\\supadread\\counter-strike source\\hl2.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=

"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=

"c:\\Program Files\\Steam\\steamapps\\supadread\\counter-strike source\\hl2.exe"=

"c:\\Program Files\\Paltalk Messenger\\paltalk.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Java\\jre6\\bin\\javaw.exe"=

"c:\\Program Files\\Spamihilator\\spamihilator.exe"=

"c:\\Program Files\\Spamihilator\\cdcc.exe"=

"c:\\Program Files\\Spamihilator\\dccproc.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"12594:TCP"= 12594:TCP:NortonAV

"18068:TCP"= 18068:TCP:NortonAV

"17080:TCP"= 17080:TCP:NortonAV

"13146:TCP"= 13146:TCP:NortonAV

"17243:TCP"= 17243:TCP:NortonAV

"12875:TCP"= 12875:TCP:NortonAV

"17416:TCP"= 17416:TCP:NortonAV

"13678:TCP"= 13678:TCP:NortonAV

"18207:TCP"= 18207:TCP:NortonAV

 

R1 OADevice;OADriver;c:\windows\system32\drivers\OADriver.sys [22/05/2010 18:22 228216]

R1 OAmon;OAmon;c:\windows\system32\drivers\OAmon.sys [22/05/2010 18:22 24440]

R1 OAnet;OAnet;c:\windows\system32\drivers\OAnet.sys [22/05/2010 18:22 29560]

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [22/05/2010 18:11 108289]

R2 OAcat;Online Armor Helper Service;c:\program files\Tall Emu\Online Armor\oacat.exe [22/05/2010 18:22 1284600]

R3 CLEDX;Team H2O CLEDX service;c:\windows\system32\drivers\cledx.sys [03/05/2008 19:00 33792]

R3 DNINDIS5;DNINDIS5 NDIS Protocol Driver;c:\windows\system32\DNINDIS5.sys [14/02/2008 15:29 17149]

R3 WPN111;Wireless USB 2.0 Adapter with RangeMax Service;c:\windows\system32\drivers\WPN111.sys [14/02/2008 15:29 362944]

S0 kodritt;kodritt; [x]

S0 nvbzeh;nvbzeh; [x]

S0 rodautra;rodautra; [x]

S2 SvcOnlineArmor;Online Armor;c:\program files\Tall Emu\Online Armor\oasrv.exe [22/05/2010 18:22 3506680]

S3 sbext;Sound Blaster Extigy Audio Driver;c:\windows\system32\drivers\sbext.sys [25/12/2007 22:48 1131830]

S3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;c:\windows\system32\drivers\WlanBZXP.sys [11/02/2008 17:43 402432]

S3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;c:\windows\system32\DRIVERS\sis163u.sys --> c:\windows\system32\DRIVERS\sis163u.sys [?]

.

Contenu du dossier 'Tâches planifiées'

 

2010-05-23 c:\windows\Tasks\User_Feed_Synchronization-{C6A09BB2-03F8-458E-B73B-EFFD111486D1}.job

- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]

.

.

------- Examen supplémentaire -------

.

uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7

uStart Page = hxxp://www.google.fr/

mStart Page = hxxp://www.google.com

uSearchAssistant = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://fr.rd.yahoo.com/customize/ycomp/defaults/su/*http://fr.yahoo.com

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000

DPF: Garmin Communicator Plug-In - hxxps://my.garmin.com/mygarmin/m/GarminAxControl.CAB

FF - ProfilePath - c:\documents and settings\carpentier\Application Data\Mozilla\Firefox\Profiles\hjj6gojc.default\

FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll

 

---- PARAMETRES FIREFOX ----

c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pr

ef", true);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);

.

- - - - ORPHELINS SUPPRIMES - - - -

 

Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)

WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)

MSConfigStartUp-QuickTime Task - c:\program files\QuickTime\qttask.exe

MSConfigStartUp-SunJavaUpdateSched - c:\program files\Java\jre1.6.0_03\bin\jusched.exe

 

 

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-05-23 21:40

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

Heure de fin: 2010-05-23 21:43:13

ComboFix-quarantined-files.txt 2010-05-23 19:43

 

Avant-CF: 14 373 150 720 octets libres

Après-CF: 14 342 578 176 octets libres

 

- - End Of File - - 367BA5DDF6B005078F8ADE1410BD074F

[Apollo]

Si vous êtes sous Vista:Désactiver provisoirement l'UAC

 

:arrow: Télécharge USBFix de El Desaparecido et C_XX et enregistre le sur ton bureau.

 

• Si tu es sous XP, Double-clique sur USBFix.exe pour le lancer.
  Si tu es sous Vista, Clique droit sur USBFix.exe et choisis Exécuter en tant qu'administrateur.
   
  
• Une fenêtre de commandes va s'ouvrir. Appuie sur F puis sur la touche [Entrée] pour choisir la langue du script.
  
• Dans le menu suivant, tape 1 puis [Entrée] pour lancer la recherche.
   
  
• Une fenêtre de te demandant de bancher tous les périphériques externes que tu as pu utiliser ces derniers jours (clés USB, lecteurs MP3, disques durs externes, etc ...) va apparaitre.
  Branche le matériel puis clique sur OK pour poursuivre.
   
  
• Patiente le temps d'exécution du scan.
   
  
• A la fin, un rapport va être généré (C:/USBFix.txt). Copie-colle l'intégralité de son contenu dans ta prochaine réponse.
  

 

++

[BountyKiller]

Re,

 

 

J'ai une question, il y a quelques temps sur mon pc j'avais un disque dur externe mais j'ai, sans faire exprès marcher dessus , depuis le pc ne le reconnait plus, mais il est toujours présent dans le gestionnaire des périphériques. Le virus peut-il venir de la ? (dsl si c'est une question con )

 

 

############################## | UsbFix V6.114 |

 

User : carpentier (Administrateurs) # CAPENTIE-39EFA5

Update on 17/05/2010 by El Desaparecido , C_XX & Chimay8

Start at: 22:24:09 | 23/05/2010

Website : http://pagesperso-orange.fr/NosTools/index.html

Contact : FindyKill.Contact@gmail.com

 

Intel® Pentium® Dual CPU E2140 @ 1.60GHz

Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3

Internet Explorer 8.0.6001.18702

Windows Firewall Status : Disabled

AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

FW : Pare-feu Online Armor[ Enabled ]4.0.0.44

 

A:\ -> Lecteur de disquettes 3 ½ pouces

C:\ -> Disque fixe local # 77,62 Go (13,36 Go free) # NTFS

D:\ -> Disque fixe local # 155,25 Go (45,75 Go free) # NTFS

E:\ -> Disque CD-ROM

F:\ -> Disque CD-ROM

G:\ -> Disque fixe local # 37,27 Go (37,25 Go free) [DSK2_VOL1] # NTFS

 

################## | Elements infectieux |

 

 

################## | Registre |

 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"

 

################## | Mountpoints2 |

 

 

################## | Vaccin |

 

(!) Cet ordinateur n'est pas vacciné !

 

################## | ! Fin du rapport # UsbFix V6.114 ! |

[Apollo]

Bon, il n'y a pas d'infection usb mais on va quand-même vacciner par prévoyance.

 

• Si tu es sous XP, Double-clique sur USBFix.exe pour le lancer.
  Si tu es sous Vista, Clique droit sur USBFix.exe et choisis Exécuter en tant qu'administrateur.
   
  
• Une fenêtre de commandes va s'ouvrir. Appuie sur F puis sur la touche [Entrée] pour choisir la langue du script.
  
• Dans le menu suivant, tape 2 puis [Entrée] pour lancer le nettoyage.
   
  
• Une fenêtre de te demandant de bancher tous les périphériques externes que tu as pu utiliser ces derniers jours (clés USB, lecteurs MP3, disques durs externes, etc ...) va apparaitre.
  Branche le matériel puis clique sur OK pour poursuivre.
   
  
• USBFix va continuer son exécution. Le bureau va disparaitre et ne sera plus accessible tout le temps du scan. Ne t'inquiète pas, c'est normal. Patiente le temps du nettoyage sans l'interrompre.
   
  
• A la fin, un rapport va être généré (C:/USBFix.txt). Copie-colle l'intégralité de son contenu dans ta prochaine réponse.
  

 

--------------------------------------------------------------

 

Envoi de fichiers: http://chiquitine.changelog.fr/Sample/Upload.php

 

Double-clique sur USBFix

Choisis la langue : F puis saisis 6 pour désinstaller l'outil.

 

--------------------------------------

Après ça, mets MBAM à jour puis lance cette fois une analyse [rapide].

Tu connais son fonctionnement maintenant.

 

@++