[RESOLU]Pc crash + Hithisjack

[Bprime]

Bonsoir tout le monde.

Je vous explique mon problème en peu de temps de peur que mon pc plante de nouveau.

 

Un soir un spam s'ouvre pour une mise a jour adobe reader. Comme un débile j'ai pas fait gaffe et j'ai clic sur " oui "

Norton à repéré un virus Mebroot puis à décidé de plus fonctionné aussi après plusieurs utilisation pour l'enlever.

 

Donc au bout de 5 / 10 / 20 minutes , ça change avec le temps , mon pc plante. Impossible d'utilisé le clavier ou la souris.L'écran se fige puis la tour lache un énorme " biiiiiiiiiiiiiiiiiiiiiiiiiiiip " non stop.

 

J'ai déjà fait pas mal de truc sur le net quand j'ai surf pour essayé de le réparé.

Aucune marche , donc si quelqu'un a une idée je prend.

En mode sans echec mon pc plante pas.

 

Voici mon rapport hijackthis

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:24:43, on 14/06/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

C:\Program Files\Alwil Software\Avast5\AvastSvc.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe

C:\Program Files\Fichiers communs\Logitech\G-series Software\LGDCore.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe

C:\Program Files\Google\Update\GoogleUpdate.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Documents and Settings\Lastchance\Bureau\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN : Hotmail, Messenger, Actualité, Sport et Vidéo

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN : Hotmail, Messenger, Actualité, Sport et Vidéo

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN : Hotmail, Messenger, Actualité, Sport et Vidéo

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://recherche.neuf.fr/ie/default.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: UserInit=userinit.exe,

O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll

O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe" /hide

O4 - HKLM\..\Run: [Launch LGDCore] "C:\Program Files\Fichiers communs\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {4E218431-2F07-40BD-A9D3-035324C1F13F} (DyynoX Class) - http://webserver.dyyno.com/DyynoClient/DyynoCAB.CAB

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/...can8/oscan8.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1221653301366

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Service Google Update (gupdate1cb0b022f04ccf8) (gupdate1cb0b022f04ccf8) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe

 

--

End of file - 9576 bytes

Merci d'avance.

Modifié le 27 juin 2010 par Bprime

[pear]

Bonsoir,

 

Téléchargez MBAM

 

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Avant de lancer Mbam

Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire

 

* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.

* Une fois la mise à jour terminée, allez dans l'onglet Recherche.

* Sélectionnez "Exécuter un examen complet"

* Cliquez sur "Rechercher"

* .L' analyse prendra un certain temps, soyez patient !

* A la fin , un message affichera :

L'examen s'est terminé normalement.

 

*Si MBAM n'a rien trouvé, il le dira aussi.

Cliquez sur "Ok" pour poursuivre.

*Fermez les navigateurs.

Cliquez sur Afficher les résultats .

 

*Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

* Copiez-collez ce rapport dans la prochaine réponse.

 

 

 

 

 

Télécharger antiboot de Kaspersky

Décompresser le fichier zip sur votre bureau et pas ailleurs(Clic droit->Extraire vers..)

Démarrer->Exécuter

Copier/coller:

"%userprofile%\bureau\antiboot.exe" -l c:\logfile.txt

 

Vous aurez l'un de c es messages selon que vous êtes ou pas infecté.

Si le pc n'est pas infecté vous aurez cette image

 

Si vous avez ce messageRootkit has been detected!Would you like to cure? y/n

Toutes les applications doivent être fermées

Cliquez y pour désinfecter.

L'outil va désinfecter puis demander un redémarrage

Cliquez y puis validez pour Redémarrer

[Bprime]

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Database version: 4200

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

15/06/2010 19:39:37

mbam-log-2010-06-15 (19-39-37).txt

 

Scan type: Full scan (A:\|C:\|)

Objects scanned: 282745

Time elapsed: 18 minute(s), 8 second(s)

 

Memory Processes Infected: 0

Memory Modules Infected: 1

Registry Keys Infected: 0

Registry Values Infected: 1

Registry Data Items Infected: 1

Folders Infected: 0

Files Infected: 8

 

Memory Processes Infected:

(No malicious items detected)

 

Memory Modules Infected:

C:\WINDOWS\system32\AntiWPA.dll (Trojan.I.Stole.Windows) -> Delete on reboot.

 

Registry Keys Infected:

(No malicious items detected)

 

Registry Values Infected:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully.

 

Registry Data Items Infected:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

 

Folders Infected:

(No malicious items detected)

 

Files Infected:

C:\Documents and Settings\HelpAssistant\Local Settings\Application Data\wkwiygc_navps.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.

C:\Documents and Settings\HelpAssistant\Local Settings\Application Data\wkwiygc_nav.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.

C:\Documents and Settings\HelpAssistant\Local Settings\Application Data\wkwiygc.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.

C:\Documents and Settings\HelpAssistant.LUCKPLZ-398FA0B\Local Settings\Application Data\wkwiygc_navps.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.

C:\Documents and Settings\HelpAssistant.LUCKPLZ-398FA0B\Local Settings\Application Data\wkwiygc_nav.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.

C:\Documents and Settings\HelpAssistant.LUCKPLZ-398FA0B\Local Settings\Application Data\wkwiygc.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.

C:\Documents and Settings\HelpAssistant.LUCKPLZ-398FA0B\Local Settings\Temporary Internet Files\Content.IE5\Z7NTKS4A\eH987317d2V03007f35002R37fabc03102Td30bea0fQ000002fc901801F0016000aJ0d00060

1l000cK5216480a3180[1] (Trojan.Dropper) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\AntiWPA.dll (Trojan.I.Stole.Windows) -> Delete on reboot.

 

J'ai un autre problème aussi maintenant. J'ai plus de son et quand je veux voir ma liste de matériel il y a rien qui s'affiche.Mon pc plante toujours aussi

 

Je dois formater ?

Ma carte mère est morte ?

 

Merci de l'aide

Modifié le 15 juin 2010 par Bprime

[pear]

Relancez Mbam pour voir si cela a été fait:

C:\WINDOWS\system32\AntiWPA.dll (Trojan.I.Stole.Windows) -> Delete on reboot.

 

J'attends le rapport Antiboot, svp.

 

Verifions qu'il ne reste rien de navipromo:

 

Vous devez désactiver la protection en temps réel de votre Antivirus qui peut considérer certains composants de ce logiciel comme néfastes.

Vous devez désactiver vos protections et ne savez pas comment faire->Sur PCA,En Français

Téléchargez Navilog1 par Il-Mafioso

Enregistrer la cible (du lien) sous... et enregistrez-le sur le bureau.

Ensuite double cliquez sur navilog1.exe pour lancer l'installation.

Une fois l'installation terminée, Faire un Clic-droit sur le raccourci Navilog1 présent sur le bureau et choisir "Exécuter en tant qu'administrateur".

 

Si cela ne s'exécutait pas:

Démarrer ->Exécuter->Services.msc->Connexion secondaire->Démarrage Manuel

Réessayer

Dans la fenêtre qui s'ouvre, choisissez votre langue et validez

Au menu principal, Faire le choix 1et valider

< Ne faites pas le choix 2 sauf avis contraire>

Suivre les instructions et patienter jusqu'au message :

*** Analyse Terminée le ..... ***

Appuyer sur une touche comme demandé ; le bloc-notes va s'ouvrir.

Copier-coller l'intégralité dans la réponse.

Refermer le bloc-notes.

PS :le rapport est, aussi, sauvegardé à la racine du disque dur C:\cleannavi.txt

PS:Si le bureau ne réapparaît pas, CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.

Puis à l'onglet "processus". Cliquer en haut à gauche sur fichiers et choisir "exécuter"

Taper explorer et valider.

Il faut lancer la procédure dans tous les comptes utilisateurs où le problème apparaît car Navilog1 ne nettoie que

le compte sur lequel on l'exécute,après les avoir passés en mode "administrateur" (sinon navilog1 ne s'exécute pas)

Si c'est fait ou que vous êtes seul utilisateur:

Pour Désinstaller Navilog1 faites le choix 4

Ensuite supprimer ce dossier : C:\navilog1

Modifié le 16 juin 2010 par pear

[Bprime]

Relancez Mbam pour voir si cela a été fait:

C:\WINDOWS\system32\AntiWPA.dll (Trojan.I.Stole.Windows) -> Delete on reboot.

Pas de trace.

 

 

Uploaded with ImageShack.us

 

Fix Navipromo version 4.0.8 commencé le 16/06/2010 14:38:02,04

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Postez ce rapport sur le forum pour le faire analyser !!!

 

Outil exécuté depuis C:\navilog1

 

Mise à jour le 09.03.2010 à 18h00 par IL-MAFIOSO

 

 

( : )

 

USER : Lastchance ( Administrator )

 

 

 

 

 

 

 

Recherche executée en mode sans échec

 

Nettoyage executé en mode sans échec

 

 

C:\Program Files\Live-Player supprimé !

c:\docume~1\alluse~1\menudm~1\progra~1\Live-Player supprimé !

C:\DOCUME~1\HELPAS~1\applic~1\Live-Player supprimé !

C:\DOCUME~1\HELPAS~1.LUC\applic~1\Live-Player supprimé !

 

 

Nettoyage contenu C:\WINDOWS\Temp effectué !

Nettoyage contenu C:\Documents and Settings\Lastchance\locals~1\Temp effectué !

 

 

*** Sauvegarde du Registre vers dossier Safebackup ***

 

sauvegarde du Registre réalisée avec succès !

 

*** Nettoyage Registre ***

 

Nettoyage Registre Ok

 

 

 

 

*** Scan terminé 16/06/2010 14:38:40,18 ***

 

Mon pc commence à planté en mode sans echec aussi.

[pear]

Bonjour,

Téléchargez sur le bureau

MBR Rootkit Detector 0.2.4 by gmer

Désactiver provisoirement les programmes de protection (antivirus, firewall,anti-spyware...)

Vous les réactiverez après la désinfection terminée.

Clic sur l'onglet "rootkit"

Clic sur Scan

- Un rapport sera généré -> mbr.log.

En Copier/coller le résultat dans la réponse .

En cas d'infection,vous devriez voir un rapport de ce genre:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\ACPI -> 0x858e41c0

\Driver\atapi -> 0x89bf0410

NDIS: GlobeTrotter HSxPA - Network Interface #2 -> SendCompleteHandler -> 0x8591de70

Warning: possible MBR rootkit infection !

copy of MBR has been found in sector 0x01749DDC1

malicious code @ sector 0x01749DDC4 !

PE file found in sector at 0x01749DDDA !

MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

Dans Démarrer-> Exécuter

Copiez/Collez :

"%userprofile%\Bureau\mbr" -f

Guillemets indispensables

Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"

 

si votre machine est saine,

Mbr.log vous dit:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

Certains émulateurs de CD/DVD peuvent hooker le pilote atapi de façon légitime comme Alcohol xx%,CDSpace,Circle Virtual CD,CloneCD,Daemon Tools,Virtual CloneDrive,Virtual CD,VirtualDrive,

WinCDEmu,et empêchent cet affichage.

[Bprime]

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

 

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

copy of MBR has been found in sector 0x01D1C06C0

malicious code @ sector 0x01D1C06C3 !

PE file found in sector at 0x01D1C06D9 !

[pear]

Vous allez télécharger Combofix.

 

Ce logiciel est très puissant et ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version téléchargée sera obsolète dans quelques jours.

 

Télécharger combofix.exe de sUBs

et sauvegardez le sur le bureau

 

La console de Récupération

Tout d'abord, Combofix vérifie si la Console de récupération est installée et vous propose de le faire dans le cas contraire.

Certaines infections comme braviax empêcheront son installation.

La Console de récupération Windows vous permettra de démarrer dans un mode spécial de récupération (réparation).

Elle peut être nécessaire si votre ordinateur rencontre un problème après une tentative de nettoyage

C'est une procédure simple, qui ne vous prendra que peu de temps et pourra peut-être un jour vous sauver la mise.

Certaines infections (Rootkit en Mbr)ne peuvent être traitées qu'en utilisant la Console de Récupération,

D'importantes procédures que Combofix est susceptible de lancer ne fonctionneront qu'à la condition que la console de récupération(Sous Xp) soit installée

C'est pourquoi il vous est vivement conseillé d' installer d'abord la Console de Récupération sur le pc .

 

Les utilisateurs de Windows Vista peuvent utiliser leur CD Windows pour démarrer en mode Vista Recovery Environment (Environnement de réparation Vista)

Cela permettra de réparer le système au cas ou le pc ne redémarrerait plus suite à la désinfection.

Après avoir cliqué sur le lien correspondant à votre version de Windows, vous serez dirigé sur une page:

cliquez sur le bouton Télécharger afin de récupérer le package d'installation sur leBureau:

Ne modifiez pas le nom du fichier

Windows XP Service Pack 2 (SP2) > Microsoft Windows XP Professionnel SP2

Faites un glisser/déposer de ce fichier sur le fichier ComboFix.exe

 

Suivre les indications à l'écran pour lancer ComboFix et lorsqu'on le demande, accepter le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.

Après installation,vous devriez voir ce message:

The Recovery Console was successfully installed. puis un rapport nommé CF_RC.txt va s'afficher:

 

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil

Pour cela:

Démarrer->Exécuter->Msconfig->Démarrage : décochez les protections

 

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

 

Vous avez téléchargé Combofix.

Double cliquer sur combofix.exe pour le lancer.

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

Pour lancer le scan

Connecter tous les disques amovibles (disque dur externe, clé USB…).

Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, combofix ne se lançait pas,

Sous Vista, désactivez l'UAC

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Si vous avez un message de Combofix disant que votre antivirus est actif alors que vous l'avez désactivé, recommencez la procédure en mode sans échec

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

 

Le scan pourrait prendre un certain temps, il y a 50 procédures successives:

Patientez au moins 30 minutes pendant l'analyse.

Si le programme gèle (+ de 30 minutes), fermez le en cliquant le "X" au haut à droite de la fenêtre.

A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.

Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt

[Bprime]

ComboFix 10-06-15.04 - Lastchance 16/06/2010 18:39:25.1.2 - x86 NETWORK

Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2047.1639 [GMT 2:00]

Lancé depuis: c:\documents and settings\Lastchance\Bureau\ComboFix.exe

.

 

((((((((((((((((((((((((((((( Fichiers créés du 2010-05-16 au 2010-06-16 ))))))))))))))))))))))))))))))))))))

.

 

2010-06-16 16:14 . 2010-06-16 16:14 -------- d-----w- c:\program files\ASUS

2010-06-16 16:09 . 2006-08-01 15:02 49152 ------r- c:\windows\system32\ChCfg.exe

2010-06-16 16:07 . 2010-06-16 16:07 -------- d-----w- c:\program files\Realtek

2010-06-16 16:07 . 2010-06-16 16:07 315392 ----a-w- c:\windows\HideWin.exe

2010-06-16 16:07 . 2007-01-12 16:54 520192 ------r- c:\windows\RtlExUpd.dll

2010-06-16 16:05 . 2006-10-11 11:33 10288 ----a-w- c:\windows\system32\drivers\ASUSHWIO.SYS

2010-06-16 12:35 . 2010-06-16 12:55 -------- d---a-w- C:\Navilog1

2010-06-16 12:35 . 2010-06-16 12:55 -------- d-----w- c:\program files\navilog1

2010-06-15 17:55 . 2010-06-15 17:55 -------- d-----w- c:\documents and settings\All Users\Application Data\nView_Profiles

2010-06-15 17:43 . 2010-06-16 12:27 12552 ----a-w- c:\windows\system32\drivers\hddirect.sys

2010-06-15 17:00 . 2010-06-15 17:00 -------- d-----w- c:\documents and settings\Lastchance\Application Data\Malwarebytes

2010-06-15 17:00 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-06-15 17:00 . 2010-06-15 17:00 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2010-06-15 17:00 . 2010-06-15 17:00 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2010-06-15 17:00 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-06-14 20:06 . 2010-06-14 20:06 -------- d-----w- C:\NVIDIA

2010-06-14 19:58 . 2010-06-14 20:14 -------- d-----w- c:\program files\ma-config.com

2010-06-14 19:58 . 2010-06-14 20:14 -------- d-----w- c:\documents and settings\All Users\Application Data\ma-config.com

2010-06-14 19:49 . 2010-06-14 19:49 29192 ----a-w- c:\documents and settings\Lastchance\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2010-06-14 14:32 . 2010-06-14 14:32 -------- d-----w- c:\program files\NortonInstaller

2010-06-13 16:06 . 2010-06-13 16:06 -------- d-----w- c:\documents and settings\All Users\Application Data\ESET

2010-06-13 15:56 . 2010-06-13 15:56 -------- d-----w- c:\documents and settings\Lastchance\Application Data\Yahoo!

2010-06-13 15:56 . 2010-06-13 15:56 -------- d-----w- c:\documents and settings\Lastchance\Local Settings\Application Data\Winamp Toolbar

2010-06-13 15:21 . 2010-05-06 20:39 164048 ----a-w- c:\windows\system32\drivers\aswSP.sys

2010-06-13 15:21 . 2010-05-06 20:33 19024 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys

2010-06-13 15:21 . 2010-05-06 20:34 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys

2010-06-13 15:21 . 2010-05-06 20:39 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys

2010-06-13 15:21 . 2010-05-06 20:33 100432 ----a-w- c:\windows\system32\drivers\aswmon2.sys

2010-06-13 15:21 . 2010-05-06 20:33 94800 ----a-w- c:\windows\system32\drivers\aswmon.sys

2010-06-13 15:21 . 2010-05-06 20:33 28880 ----a-w- c:\windows\system32\drivers\aavmker4.sys

2010-06-13 15:21 . 2010-05-06 20:59 38848 ----a-w- c:\windows\system32\avastSS.scr

2010-06-13 15:21 . 2010-05-06 20:59 165032 ----a-w- c:\windows\system32\aswBoot.exe

2010-06-13 15:21 . 2010-06-13 15:21 -------- d-----w- c:\program files\Alwil Software

2010-06-13 15:21 . 2010-06-13 15:21 -------- d-----w- c:\documents and settings\All Users\Application Data\Alwil Software

2010-06-13 14:40 . 2010-06-13 14:40 -------- d-sh--w- c:\documents and settings\Lastchance\PrivacIE

2010-06-13 14:23 . 2010-06-13 14:23 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Google

2010-06-13 14:15 . 2010-06-16 16:31 -------- d-----w- c:\documents and settings\Lastchance\Tracing

2010-06-13 14:10 . 2010-06-14 14:59 -------- d-----w- c:\documents and settings\Lastchance\Application Data\skypePM

2010-06-13 14:10 . 2010-06-13 14:10 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\Google

2010-06-13 14:10 . 2010-06-13 14:12 -------- d-----w- c:\documents and settings\Lastchance\Local Settings\Application Data\Google

2010-06-13 14:10 . 2010-06-13 14:12 -------- d-----w- c:\program files\Google

2010-06-13 14:10 . 2010-06-14 20:35 -------- d-----w- c:\documents and settings\Lastchance\Application Data\Skype

2010-06-02 17:48 . 2010-06-02 17:48 -------- d-----w- c:\documents and settings\Lastchance\Local Settings\Application Data\Mozilla

2010-06-02 17:47 . 2010-06-14 15:00 -------- d-----w- c:\documents and settings\Lastchance\Application Data\mIRC

2010-06-02 17:29 . 2010-06-02 17:29 503808 ----a-w- c:\documents and settings\Lastchance\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-3658e3ec-n\msvcp71.dll

2010-06-02 17:29 . 2010-06-02 17:29 499712 ----a-w- c:\documents and settings\Lastchance\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-3658e3ec-n\jmc.dll

2010-06-02 17:20 . 2010-06-02 17:22 -------- d-----r- c:\documents and settings\Lastchance\Favoris

2010-06-02 17:20 . 2010-06-16 13:28 -------- d-----w- c:\documents and settings\Lastchance

2010-06-02 17:20 . 2010-06-13 14:12 -------- d-----r- c:\documents and settings\Lastchance\Mes documents

2010-06-02 17:20 . 2008-09-17 13:42 -------- d--h--w- c:\documents and settings\Lastchance\Voisinage réseau

2010-06-02 17:20 . 2008-09-17 13:42 -------- d--h--w- c:\documents and settings\Lastchance\Voisinage d'impression

2010-06-02 17:20 . 2008-09-17 13:42 -------- d-----r- c:\documents and settings\Lastchance\Menu Démarrer

2010-06-02 17:20 . 2008-09-17 11:48 -------- d--h--w- c:\documents and settings\Lastchance\Modèles

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-06-16 16:14 . 2008-09-18 21:25 -------- d--h--w- c:\program files\InstallShield Installation Information

2010-06-14 20:38 . 2010-01-05 14:22 0 ----a-w- c:\windows\system32\drivers\lvuvc.hs

2010-06-14 20:38 . 2010-01-05 14:16 0 ----a-w- c:\windows\system32\drivers\logiflt.iad

2010-06-14 14:59 . 2008-09-17 12:12 -------- d-----w- c:\program files\mIRC

2010-06-14 14:31 . 2009-08-28 12:05 -------- d-----w- c:\program files\Procaster

2010-06-13 15:52 . 2009-09-06 16:06 -------- d-----w- c:\program files\Fichiers communs\Symantec Shared

2010-06-13 15:14 . 2009-08-21 16:03 -------- d-----w- c:\documents and settings\All Users\Application Data\Norton

2010-06-13 14:10 . 2009-11-05 02:11 -------- d-----r- c:\program files\Skype

2010-06-02 17:29 . 2010-06-02 17:29 348160 ----a-w- c:\documents and settings\Lastchance\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-3658e3ec-n\msvcr71.dll

2010-05-13 14:30 . 2010-04-09 17:41 -------- d-----w- c:\documents and settings\hack\Application Data\mIRC

2010-05-13 14:26 . 2010-05-13 14:26 -------- d-----w- c:\documents and settings\hack\Application Data\Yahoo!

2010-04-08 17:31 . 2008-04-14 14:00 77278 ----a-w- c:\windows\system32\perfc00C.dat

2010-04-08 17:31 . 2008-04-14 14:00 474734 ----a-w- c:\windows\system32\perfh00C.dat

2010-04-02 14:54 . 2008-09-17 13:45 600680 ----a-w- c:\windows\system32\nvuninst.exe

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]

"RTHDCPL"="RTHDCPL.EXE" [2007-03-21 16126464]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-09-04 417792]

"nwiz"="nwiz.exe" [2007-12-05 1626112]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-05 81920]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-05 8523776]

"LogitechQuickCamRibbon"="c:\program files\Logitech\Logitech WebCam Software\LWS.exe" [2009-10-14 2793304]

"Launch LGDCore"="c:\program files\Fichiers communs\Logitech\G-series Software\LGDCore.exe" [2006-07-23 1126400]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-09-21 305440]

"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2009-08-13 177440]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nltide_3"="advpack.dll" [2009-03-08 128512]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Adobe Reader Synchronizer.lnk - c:\program files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 734872]

Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 40048]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoResolveTrack"= 1 (0x1)

"NoSMMyPictures"= 0 (0x0)

"NoSMConfigurePrograms"= 1 (0x1)

"NoStartMenuMyMusic"= 1 (0x1)

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"= 1 (0x1)

"NoResolveTrack"= 1 (0x1)

"NoSMMyPictures"= 0 (0x0)

"NoSMHelp"= 1 (0x1)

"NoSMConfigurePrograms"= 1 (0x1)

"NoStartMenuMyMusic"= 1 (0x1)

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]

@="Service"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HDDirect.sys]

@="Driver"

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\ABC\\abc.exe"=

"c:\\Program Files\\mIRC\\mirc.exe"=

"c:\\Program Files\\Garena\\Garena.exe"=

"c:\\Program Files\\Valve\\Steam\\SteamApps\\hacknbt\\counter-strike\\hl.exe"=

"c:\\Program Files\\Valve\\Steam\\SteamApps\\hacknbt\\day of defeat\\hl.exe"=

"c:\\Program Files\\Valve\\Steam\\SteamApps\\spaylz\\counter-strike\\hl.exe"=

"c:\\Program Files\\Java\\jre6\\bin\\javaw.exe"=

"c:\\WINDOWS\\system32\\dpvsetup.exe"=

"c:\\Program Files\\Java\\jre6\\bin\\java.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\\Program Files\\Valve\\Steam\\SteamApps\\hacknbt\\ricochet\\hl.exe"=

"c:\\Program Files\\Valve\\Steam\\SteamApps\\hacknbt\\condition zero\\hl.exe"=

"c:\\WINDOWS\\system32\\PnkBstrA.exe"=

"c:\\WINDOWS\\system32\\PnkBstrB.exe"=

"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=

"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=

"c:\\Program Files\\Opera\\opera.exe"=

"c:\\Program Files\\PPLive\\PPLive.exe"=

"c:\\Program Files\\Heroes of Newerth\\hon.exe"=

"c:\\Program Files\\Valve\\Steam\\Steam.exe"=

"c:\\Program Files\\Valve\\Steam\\SteamApps\\[email protected]\\counter-strike source\\hl2.exe"=

"c:\\Program Files\\Valve\\Steam\\SteamApps\\common\\aliens vs predator demo\\AvP.exe"=

"c:\\Program Files\\mIRC\\backups\\mirc.exe"=

"c:\\Program Files\\Logitech\\Logitech Vid\\Vid.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"6113:TCP"= 6113:TCP:Warcraft

"1935:TCP"= 1935:TCP:tudu

"65533:TCP"= 65533:TCP:Services

"52344:TCP"= 52344:TCP:Services

"7352:TCP"= 7352:TCP:Services

"7353:TCP"= 7353:TCP:Services

"3389:TCP"= 3389:TCP:Remote Desktop

"3246:TCP"= 3246:TCP:Services

"2479:TCP"= 2479:TCP:Services

"8721:TCP"= 8721:TCP:Services

 

R3 AtcL001;NDIS Miniport Driver for Atheros L1 Gigabit Ethernet Controller;c:\windows\system32\drivers\l151x86.sys [17/09/2008 15:38 36864]

R3 PALLADIA;Palladia 300/400 Usb Adsl Modem;c:\windows\system32\drivers\usbiad.sys [17/09/2008 14:04 31579]

S1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [13/06/2010 17:21 164048]

S1 PStrip;PStrip;c:\windows\system32\drivers\pstrip.sys [15/07/2007 04:37 27992]

S2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [13/06/2010 17:21 19024]

S2 gupdate1cb0b022f04ccf8;Service Google Update (gupdate1cb0b022f04ccf8);c:\program files\Google\Update\GoogleUpdate.exe [13/06/2010 16:10 133104]

S2 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [20/10/2009 20:19 50704]

S3 GarenaPEngine;GarenaPEngine;\??\c:\docume~1\Steven\LOCALS~1\Temp\ZNH2888.tmp --> c:\docume~1\Steven\LOCALS~1\Temp\ZNH2888.tmp [?]

S3 HDDirect;Hard Disk Direct Control;c:\windows\system32\drivers\hddirect.sys [15/06/2010 19:43 12552]

S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [10/06/2010 17:15 253808]

.

Contenu du dossier 'Tâches planifiées'

 

2010-02-06 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 08:04]

 

2010-06-14 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-06-13 14:10]

 

2010-06-13 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-06-13 14:10]

.

.

------- Examen supplémentaire -------

.

uStart Page = about:blank

FF - ProfilePath - c:\documents and settings\Lastchance\Application Data\Mozilla\Firefox\Profiles\rdx9rf3v.default\

FF - plugin: c:\documents and settings\All Users\Application Data\id Software\QuakeLive\npquakezero.dll

FF - plugin: c:\program files\Dyyno\Dyyno Player\npvlc.dll

FF - plugin: c:\program files\Google\Update\1.2.183.27\npGoogleOneClick8.dll

FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll

FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll

 

---- PARAMETRES FIREFOX ----

c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);

.

- - - - ORPHELINS SUPPRIMES - - - -

 

SafeBoot-HDDirect

 

 

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-06-16 18:41

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\GarenaPEngine]

"ImagePath"="\??\c:\docume~1\Steven\LOCALS~1\Temp\ZNH2888.tmp"

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'explorer.exe'(1764)

c:\windows\system32\ieframe.dll

.

Heure de fin: 2010-06-16 18:41:53

ComboFix-quarantined-files.txt 2010-06-16 16:41

 

Avant-CF: 218 502 045 696 octets libres

Après-CF: 218 506 125 312 octets libres

 

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

 

- - End Of File - - F999F47189CF2F3981DAA1D80068BE16

[Bprime]

Mon pc crash plus. Déja trois heures que je suis dessus à faire des jeux etc.

 

Merci beaucoup de l'aide.