Security Tool deuxième

[Roje]

Bah !! mi-figue, mi-raisin.

 

si je relance l'ordi en mode normal (ce qu'il a fait après le dernier scan avec OTL), les alertes et messages de security tool n'apparaissent plus mais sont remplacées par celles de mon antivirus qui alerte toutes les 10 secondes qu'un virus trouvé tel que worm/mabezat. Il ne s'arrête plus du tout, ne comprend plus rien d'autre. Je dois l'arrêter à "l'arrach" pour ne pas devenir fou à cause des alertes répétées.

 

@+

[nardino]

Bonsoir,

Télécharge Combofix

 

IMPORTANT. Enregistre ComboFix.exe sur le Bureau.

Désactive les applications antivirus et anti-malware résidentes, en général via un clic droit sur l'icône de la Zone de notification, sinon elles risquent d'interférer avec l'outil.

Fais un double clic sur l'icône et suis les invites.

 

Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée.

Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur le PC avant toute suppression de nuisibles.

Elle permettra de démarrer dans un mode spécial, de récupération (réparation), qui permet d'aider plus facilement si jamais l'ordinateur rencontre un problème après une tentative de nettoyage.

Suis les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela est demandé, accepte le Contrat de Licence Utilisateur Final pour l'installer.

 

IMPORTANT : Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.

 

 

Une fois que la Console de récupération Microsoft Windows est installée via ComboFix, le message suivant apparaitra :

 

 

Clique sur Oui/Yes, pour poursuivre avec la recherche de nuisibles.

 

Lorsque l'outil aura terminé, il affichera un rapport.

Surtout ne lance aucune application pendant le scan et après le redémarrage parfois nécessaire et provoqué.

Attends l'affichage du rapport

Copie le contenu dans ta prochaine réponse.

Il sera enregistré sous C:\Combofix.txt

 

@+

[Roje]

C'est ici que tout bloque d'où mon long délai pour ma réponse.

 

Mon antivirus a été un peu chamboulé... je ne peux pas l'arrêter, Combofix (que j'avais déjà sur mon ordi) une fois lancé est donc arrêté par le fait que mon antivirus est encore actif.

 

Malheureusement je n'arrive pas à l'éteindre.

l'enlever en mode sans échec est-il possible de le faire ? parce que en mode normal, impossible les messages récurrents d'alerte de mon antivirus m'empêche toute manœuvre.

 

Un cul de sac : pas possible de lancer combofix en mode sans échec.

que me conseilles-tu ?

 

@+

[nardino]

Bonjour

Désinstalle Antivir avec ceci :

Antivir Pack uninstall

Tu le décompresses et tu lances le fichier exe.

Ensuite tu tentes Combofix.

@+

[Roje]

bonsoir,

 

Il y a du mieux, bien mieux. Combofix a fait des merveilles !! merci pour tes renseignements. Voici donc le rapport à l'issue du scan de combofix.

 

 

ComboFix 10-08-29.04 - le Grincheux 31/08/2010 0:19.2.2 - x86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1014.586 [GMT 2:00]

Lancé depuis: c:\documents and settings\le Grincheux\Bureau\ComboFix.exe

AV: AntiVir Desktop *On-access scanning enabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}

AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}

.

Les fichiers ci-dessous ont été désactivés pendant l'exécution:

c:\documents and settings\tazebama.dll

 

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\autorun.inf

c:\documents and settings.\hook.dl_

c:\documents and settings.\tazebama.dl_

c:\documents and settings.\tazebama.dll

c:\documents and settings.\tazebama.dll.vir

c:\documents and settings\le Grincheux\Application Data\Izfeb\wuqy.exe

c:\documents and settings\le Grincheux\Application Data\tazebama

c:\documents and settings\le Grincheux\Application Data\tazebama\zPharaoh.dat

c:\windows\system32\scrrnfr.dll

C:\zPharaoh.exe

c:\documents and settings.\hook.dl_ . . . . impossible à supprimer

c:\documents and settings.\tazebama.dl_ . . . . impossible à supprimer

c:\documents and settings.\tazebama.dll . . . . impossible à supprimer

c:\documents and settings.\tazebama.dll.vir . . . . impossible à supprimer

 

c:\windows\explorer.exe . . . est infecté!!

 

Une copie infectée de c:\windows\system32\calc.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\system32\dllcache\calc.exe

 

Une copie infectée de c:\windows\system32\charmap.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\system32\dllcache\charmap.exe

 

Une copie infectée de c:\windows\system32\cmd.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\system32\dllcache\cmd.exe

 

Une copie infectée de c:\windows\system32\freecell.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\system32\dllcache\freecell.exe

 

Une copie infectée de c:\windows\system32\fxsclnt.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\system32\dllcache\fxsclnt.exe

 

Une copie infectée de c:\windows\system32\fxscover.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\system32\dllcache\fxscover.exe

 

Une copie infectée de c:\windows\system32\magnify.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\system32\dllcache\magnify.exe

 

Une copie infectée de c:\windows\system32\mobsync.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\system32\dllcache\mobsync.exe

 

Une copie infectée de c:\windows\system32\mshearts.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\system32\dllcache\mshearts.exe

 

Une copie infectée de c:\windows\system32\mspaint.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\system32\dllcache\mspaint.exe

 

Une copie infectée de c:\windows\system32\mstsc.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\system32\dllcache\mstsc.exe

 

Une copie infectée de c:\windows\system32\notepad.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\system32\dllcache\notepad.exe

 

Une copie infectée de c:\windows\system32\ntbackup.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\system32\dllcache\ntbackup.exe

 

Une copie infectée de c:\windows\system32\odbcad32.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\system32\dllcache\odbcad32.exe

 

Une copie infectée de c:\windows\system32\osk.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\system32\dllcache\osk.exe

 

Une copie infectée de c:\windows\system32\sndrec32.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\system32\dllcache\sndrec32.exe

 

Une copie infectée de c:\windows\system32\sol.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\system32\dllcache\sol.exe

 

Une copie infectée de c:\windows\system32\spider.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\system32\dllcache\spider.exe

 

Une copie infectée de c:\windows\system32\winmine.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\system32\dllcache\winmine.exe

 

Une copie infectée de c:\windows\system32\Restore\rstrui.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\windows\system32\dllcache\rstrui.exe

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2010-07-28 au 2010-08-30 ))))))))))))))))))))))))))))))))))))

.

 

2010-08-30 22:28 . 2010-08-30 22:30 155591 --sh--r- C:\zPharaoh.exe

2010-08-22 18:26 . 2010-08-22 18:26 -------- d-----w- C:\_OTL

2010-08-20 22:06 . 2010-08-20 22:06 -------- d-----w- c:\documents and settings\SYSTEM

2010-08-20 21:58 . 2010-08-30 22:28 32768 ----a-w- c:\documents and settings\tazebama.dll

2010-08-20 21:58 . 2010-08-30 22:11 32768 ----a-w- c:\documents and settings\tazebama.dll.vir

2010-08-19 20:37 . 2010-08-19 20:37 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Mozilla

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-08-30 22:34 . 2006-03-16 07:08 289647 ----a-w- c:\windows\system32\sndrec32.exe

2010-08-30 22:34 . 2005-09-01 06:12 395119 ----a-w- c:\windows\system32\fxscover.exe

2010-08-30 22:34 . 2005-09-01 06:12 299887 ----a-w- c:\windows\system32\fxsclnt.exe

2010-08-30 22:34 . 2005-09-01 06:12 568175 ----a-w- c:\windows\system32\mstsc.exe

2010-08-30 22:34 . 2005-09-01 06:12 504175 ----a-w- c:\windows\system32\mspaint.exe

2010-08-30 22:34 . 2005-09-01 06:12 271727 ----a-w- c:\windows\system32\calc.exe

2010-08-24 13:55 . 2005-09-01 05:53 1135983 ----a-w- c:\windows\explorer.exe

2010-08-22 21:57 . 2008-02-11 21:48 295791 ----a-w- c:\windows\War3Unin.exe

2010-08-21 20:16 . 2009-10-11 16:07 -------- d-----w- c:\program files\AIMP2

2010-08-21 19:52 . 2010-07-03 22:22 -------- d-----w- c:\program files\uTorrent

2010-08-20 22:26 . 2010-07-03 22:13 -------- d-----w- c:\documents and settings\le Grincheux\Application Data\uTorrent

2010-08-20 22:17 . 2006-11-20 14:22 -------- d-----w- c:\program files\XviD

2010-08-20 22:17 . 2006-03-30 21:40 -------- d-----w- c:\program files\XnView

2010-08-20 22:17 . 2006-03-21 02:11 -------- d-----w- c:\program files\DivX

2010-08-20 22:16 . 2007-06-25 16:05 -------- d-----w- c:\program files\Diablo II

2010-08-19 06:09 . 2009-11-09 22:29 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2010-08-08 21:54 . 2010-08-08 21:54 503808 ----a-w- c:\documents and settings\le Grincheux\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-7afd998e-n\msvcp71.dll

2010-08-08 21:54 . 2010-08-08 21:54 499712 ----a-w- c:\documents and settings\le Grincheux\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-7afd998e-n\jmc.dll

2010-08-08 21:54 . 2010-08-08 21:54 348160 ----a-w- c:\documents and settings\le Grincheux\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-7afd998e-n\msvcr71.dll

2010-08-08 21:54 . 2010-08-08 21:54 61440 ----a-w- c:\documents and settings\le Grincheux\Application Data\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-65a2df23-n\decora-sse.dll

2010-08-08 21:54 . 2010-08-08 21:54 12800 ----a-w- c:\documents and settings\le Grincheux\Application Data\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-65a2df23-n\decora-d3d.dll

2010-07-10 17:49 . 2006-03-08 08:21 -------- d-----w- c:\program files\Java

2010-06-23 06:09 . 2005-09-01 05:53 85834 ----a-w- c:\windows\system32\perfc00C.dat

2010-06-23 06:09 . 2005-09-01 05:53 512530 ----a-w- c:\windows\system32\perfh00C.dat

2010-06-11 14:51 . 2010-06-11 14:51 3055600 ----a-w- c:\documents and settings\le Grincheux\Application Data\Mozilla\plugins\npgtpo3dautoplugin.dll

2010-06-11 14:36 . 2010-06-11 14:36 275952 ----a-w- c:\documents and settings\le Grincheux\Application Data\Mozilla\plugins\npgoogletalk.dll

2008-03-29 22:03 . 2008-03-29 22:03 130 ----a-w- c:\program files\MIB2ROM.TXT

2006-07-14 02:44 . 2006-07-14 02:44 251 ----a-w- c:\program files\wt3d.ini

2006-06-19 17:01 . 2006-03-30 21:51 56 --sh--r- c:\windows\system32\2BACFA2839.sys

2006-06-23 16:39 . 2006-03-23 17:17 4184 --sha-w- c:\windows\system32\KGyGaAvL.sys

.

 

------- Sigcheck -------

 

[-] 2010-08-24 . 0A80A6C91F0D8E4BC3565C943665868D . 1135983 . . [6.00.2900.3156] . . c:\windows\explorer.exe

[-] 2008-04-14 . F2317622D29F9FF0F88AEECD5F60F0DD . 1037824 . . [6.00.2900.5512] . . c:\windows\SoftwareDistribution\Download\23ec66f2314a80d718b5483ab6e865af\explorer.exe

[-] 2007-06-13 . 80A5400514EB32D393654768C4017E46 . 979456 . . [6.00.2900.3156] . . c:\windows\system32\dllcache\explorer.exe

[7] 2007-06-13 . B795475444D6D57A572C14B9E1A29839 . 1037312 . . [6.00.2900.3156] . . c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe

[7] 2004-08-10 . 4C33E5B9A6197B6ED215F6CFBA0A2DAA . 1036288 . . [6.00.2900.2180] . . c:\windows\$NtUninstallKB938828$\explorer.exe

 

[-] 2008-04-14 . 3D3C316BD1E112F3B9C532D8B9939BDC . 93184 . . [6.00.2900.5512] . . c:\windows\SoftwareDistribution\Download\23ec66f2314a80d718b5483ab6e865af\iexplore.exe

[7] 2004-08-10 . 833E2B3F0E2484C0F2B804AE871B4381 . 93184 . . [6.00.2900.2180] . . c:\windows\system32\dllcache\iexplore.exe

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ModemOnHold"="c:\program files\NetWaiting\netWaiting.exe" [2003-09-10 20480]

"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-08-20 4040383]

"Google Update"="c:\documents and settings\le Grincheux\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2010-08-22 289631]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ShowLOMControl"="1 (0x1)" [X]

"ehTray"="c:\windows\ehome\ehtray.exe" [2005-09-29 67584]

"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-11-19 98304]

"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-11-19 77824]

"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-11-19 118784]

"SigmatelSysTrayApp"="stsystra.exe" [2005-11-16 397312]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2005-11-29 761947]

"Dell QuickSet"="c:\program files\Dell\QuickSet\quickset.exe" [2010-08-22 996207]

"IntelZeroConfig"="c:\program files\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-28 667718]

"IntelWireless"="c:\program files\Intel\Wireless\Bin\ifrmewrk.exe" [2010-08-22 758709]

"DVDLauncher"="c:\program files\CyberLink\PowerDVD\DVDLauncher.exe" [2005-12-09 49152]

"ISUSPM Startup"="c:\program files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" [2005-06-10 249856]

"ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2005-06-10 81920]

"HP Component Manager"="c:\program files\HP\hpcoretech\hpcmpmgr.exe" [2005-01-12 241664]

"MSKDetectorExe"="c:\program files\McAfee\SpamKiller\MSKDetct.exe" [2005-08-12 1121792]

"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]

"WidgetGF38"="c:\program files\GrenobleFoot38\Widget\widget_gf38.exe" [2010-08-22 1857897]

"CamserviceDeluxe2"="c:\program files\Hercules\Deluxe Optical Glass\Camservice.exe" [2007-08-10 81920]

"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2009-09-26 198160]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]

"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-11-10 417792]

"Sony Ericsson PC Suite"="c:\program files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 159744]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-10 15360]

 

c:\documents and settings\le Grincheux\Menu D‚marrer\Programmes\D‚marrage\

RocketDock.lnk - c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-3-19 787311]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2006-3-8 181103]

D‚marrage rapide du logiciel HP Image Zone.lnk - c:\program files\HP\Digital Imaging\bin\hpqthb08.exe [2004-5-29 53248]

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=

"c:\\Program Files\\Warcraft III\\Warcraft III.exe"=

"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=

"c:\\Documents and Settings\\le Grincheux\\Local Settings\\Application Data\\Google\\Google Talk Plugin\\googletalkplugin.dll"=

"c:\\Documents and Settings\\le Grincheux\\Local Settings\\Application Data\\Google\\Google Talk Plugin\\googletalkplugin.exe"=

"c:\\WINDOWS\\system32\\dpvsetup.exe"=

"c:\\Program Files\\Moovida\\moovida.exe"=

"c:\\WINDOWS\\pchealth\\helpctr\\binaries\\helpctr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

"53:UDP"= 53:UDP:Promo

 

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [08/11/2009 21:36 108289]

S2 gupdate1ca26b1b752115a;Service Google Update (gupdate1ca26b1b752115a);c:\program files\Google\Update\GoogleUpdate.exe [27/08/2009 03:00 133104]

S3 camfilt2;camfilt2;c:\windows\system32\drivers\camfilt2.sys [30/12/2008 00:47 94720]

S3 oflpydin;oflpydin;\??\c:\docume~1\LEGRIN~1\LOCALS~1\Temp\oflpydin.sys --> c:\docume~1\LEGRIN~1\LOCALS~1\Temp\oflpydin.sys [?]

S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [08/10/2007 17:50 639224]

.

Contenu du dossier 'Tâches planifiées'

 

2010-08-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-08-27 00:59]

 

2010-08-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-08-27 00:59]

 

2010-08-21 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2495161797-1602714929-218562749-1005Core.job

- c:\documents and settings\le Grincheux\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-02-10 21:45]

 

2010-08-21 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2495161797-1602714929-218562749-1005UA.job

- c:\documents and settings\le Grincheux\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-02-10 21:45]

 

2006-03-14 c:\windows\Tasks\Rappel d'abonnement 1 auprès de l'ISP.job

- c:\windows\system32\OOBE\oobebaln.exe [2005-09-01 12:00]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.msn.com

mStart Page = hxxp://home.sweetim.com

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000

FF - ProfilePath - c:\documents and settings\le Grincheux\Application Data\Mozilla\Firefox\Profiles\i40htbcj.default\

FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=

FF - prefs.js: browser.search.selectedEngine - SearchTheWeb

FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/

FF - prefs.js: keyword.URL - hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=

FF - component: c:\documents and settings\le Grincheux\Application Data\Mozilla\Firefox\Profiles\i40htbcj.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll

FF - component: c:\documents and settings\le Grincheux\Application Data\Mozilla\Firefox\Profiles\i40htbcj.default\extensions\{463F6CA5-EE3C-4be1-B7E6-7FEE11953374}\platform\WINNT\components\FoxyTunes.dll

FF - component: c:\program files\real\realplayer\browserrecord\firefox\ext\components\nprpffbrowserrecordext.dll

FF - plugin: c:\documents and settings\All Users\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll

FF - plugin: c:\documents and settings\le Grincheux\Application Data\Mozilla\plugins\npgoogletalk.dll

FF - plugin: c:\documents and settings\le Grincheux\Application Data\Mozilla\plugins\npgtpo3dautoplugin.dll

FF - plugin: c:\documents and settings\le Grincheux\Local Settings\Application Data\Google\Update\1.2.183.29\npGoogleOneClick8.dll

FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll

FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll

FF - plugin: c:\program files\Google\Update\1.2.183.29\npGoogleOneClick8.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npdeployJava1.dll

FF - plugin: c:\program files\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll

FF - plugin: c:\program files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll

FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

 

---- PARAMETRES FIREFOX ----

FF - user.js: network.cookie.cookieBehavior - 0

FF - user.js: privacy.clearOnShutdown.cookies - false

FF - user.js: security.warn_viewing_mixed - false

FF - user.js: security.warn_viewing_mixed.show_once - false

FF - user.js: security.warn_submit_insecure - false

FF - user.js: security.warn_submit_insecure.show_once - false

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);

.

- - - - ORPHELINS SUPPRIMES - - - -

 

BHO-{A6E9BAAF-53CD-4575-967B-2AF710A7D21F} - c:\program files\Iminent\IMBooster\Iminent.LinkToContent.dll

Toolbar-{66886C4D-B307-4ECA-A228-52CA9B9851A4} - c:\program files\Deenero\deenero_1,0,2,0.dll

WebBrowser-{EEE6C35B-6118-11DC-9C72-001320C79847} - (no file)

HKCU-Run-Veoh - c:\program files\Veoh Networks\Veoh\VeohClient.exe

HKCU-Run-uTorrent - c:\program files\uTorrent\uTorrent.exe

HKCU-Run-{2CE9E5B6-5D5E-7A29-0893-4EAE85B80943} - c:\documents and settings\le Grincheux\Application Data\Izfeb\wuqy.exe

AddRemove-Diablo II - c:\windows\DIIUnin.exe

AddRemove-DVD Shrink_is1 - c:\program files\DVD Shrink\unins000.exe

AddRemove-Google Chrome - c:\program files\Google\Chrome\Application\5.0.375.126\Installer\setup.exe

AddRemove-InstallShield_{2C164906-E68F-462A-9010-70DD022223EF} - c:\program files\Fichiers communs\InstallShield\Driver\8\Intel 32\IDriver.exe

AddRemove-InstallShield_{2F81FBFC-9A37-431F-9050-14B55485DF5A} - c:\program files\Fichiers communs\InstallShield\Driver\8\Intel 32\IDriver.exe

AddRemove-InstallShield_{9518F764-C54D-47B2-9E73-154B21E79FD2} - c:\program files\Fichiers communs\InstallShield\Driver\8\Intel 32\IDriver.exe

AddRemove-InstallShield_{B9B9863A-32FD-4133-ADB7-46244ED77694} - c:\program files\Fichiers communs\InstallShield\Driver\8\Intel 32\IDriver.exe

AddRemove-InstallShield_{DE286975-ACF1-45B8-9EF7-34E162B2C817} - c:\program files\Fichiers communs\InstallShield\Driver\8\Intel 32\IDriver.exe

AddRemove-InstallShield_{EF4C7EB0-D71B-43A3-9552-8053DE4B0401} - c:\program files\Fichiers communs\InstallShield\Driver\8\Intel 32\IDriver.exe

AddRemove-InstallShield_{F37942A8-B21B-4C5A-A1D2-B676BF55EAE0} - c:\program files\Fichiers communs\InstallShield\Driver\8\Intel 32\IDriver.exe

AddRemove-Malwarebytes' Anti-Malware_is1 - c:\program files\Malwarebytes' Anti-Malware\unins000.exe

AddRemove-uTorrent - c:\program files\uTorrent\uTorrent.exe

AddRemove-XnView_is1 - c:\program files\XnView\unins000.exe

AddRemove-XviD_is1 - c:\program files\XviD\unins000.exe

AddRemove-{1ADE23D7-7A1E-4AEC-BA5D-EB8A01BED943} - c:\program files\Astonsoft\DeepBurner\Uninstall.exe

AddRemove-{56298F72-C2CC-4FE5-ACEA-30C7A866BF4C} - c:\program files\InstallShield Installation Information\{56298F72-C2CC-4FE5-ACEA-30C7A866BF4C}\setup.exe

AddRemove-{7585478E9D9B42108671C12F8714CEFE} - c:\program files\DivX\ConverterUninstall.exe

AddRemove-{7B63B2922B174135AFC0E1377DD81EC2} - c:\program files\DivX\DivXCodecUninstall.exe

AddRemove-{8ADFC4160D694100B5B8A22DE9DCABD9} - c:\program files\DivX\DivXPlayerUninstall.exe

AddRemove-{A1062847-0846-427A-92A1-BB8251A91E91} - c:\program files\HP\Digital Imaging\{A1062847-0846-427A-92A1-BB8251A91E91}\setup\hpzscr01.exe

AddRemove-{B13A7C41581B411290FBC0395694E2A9} - c:\program files\DivX\ConverterUninstall.exe

AddRemove-{B7050CBDB2504B34BC2A9CA0A692CC29} - c:\program files\DivX\DivXWebPlayerUninstall.exe

 

 

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2010-08-31 00:29

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'explorer.exe'(2532)

c:\documents and settings\tazebama.dll

c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.dll

c:\windows\system32\ntshrui.dll

c:\windows\system32\NETSHELL.dll

c:\windows\system32\credui.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\Intel\Wireless\Bin\EvtEng.exe

c:\program files\Intel\Wireless\Bin\S24EvMon.exe

c:\program files\Intel\Wireless\Bin\WLKeeper.exe

c:\program files\Executive Software\DiskeeperLite\DKService.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\program files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe

c:\documents and settings\tazebama.dl_

c:\windows\system32\HPZipm12.exe

c:\program files\Intel\Wireless\Bin\RegSrvc.exe

c:\windows\ehome\mcrdsvc.exe

c:\windows\system32\wbem\wmiapsrv.exe

c:\windows\system32\wscntfy.exe

c:\windows\stsystra.exe

c:\windows\system32\igfxsrvc.exe

c:\program files\Fichiers communs\Teleca Shared\CapabilityManager.exe

c:\program files\HP\Digital Imaging\bin\hpqgalry.exe

c:\program files\Fichiers communs\Teleca Shared\Generic.exe

c:\program files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe

c:\windows\system32\msiexec.exe

.

**************************************************************************

.

Heure de fin: 2010-08-31 00:40:42 - La machine a redémarré

ComboFix-quarantined-files.txt 2010-08-30 22:40

ComboFix2.txt 2009-11-06 23:09

 

Avant-CF: 5 850 988 544 octets libres

Après-CF: 5 792 129 024 octets libres

 

- - End Of File - - 48A52C75B8B71ED298003A6F95E4618E

[nardino]

Bonjour,

Fichier à créer avec le blocnote et à enregistrer sous delete.txt. sur le bureau

Dans Format décoche "Retour automatique à la ligne", c'est très important.

 

Begin copying here:

 

Drivers to delete:

oflpydin

 

Files to delete:

c:\docume~1\LEGRIN~1\LOCALS~1\Temp\oflpydin.sys

c:\documents and settings.\hook.dl_

c:\documents and settings.\tazebama.dl_

c:\documents and settings.\tazebama.dll

c:\documents and settings.\tazebama.dll.vir

C:\zPharaoh.exe

 

Folders to delete:

c:\documents and settings\SYSTEM

 

Télécharge The Avenger 2 (de Swandog46) :

 

Enregistre le fichier sur le Bureau.

Décompresse Avenger.zip sur le Bureau.

Tu dois obtenir le fichier avenger.exe

Ferme tous tes programmes y compris la surveillance de ton antivirus.

Clique sur l'icône avenger.exe, il ne nécessite pas d'installation.

Clique sur l'icône Ouvrir un dossier en haut à gauche.

Dans l'arborescence, pointe sur le fichier delete.txt créé sur le bureau.

Clique sur Execute.

Redémarre le pc quand cela te sera proposé.

Une fois revenu sur la session un rapport va s'ouvrir.

Poste-le par copier-coller.

Il sera enregistré sous C:\avenger.txt

@+

[Roje]

Bonsoir Nardino,

 

voici le scan à la suite de l'exécution de Avenger.

 

 

 

Logfile of The Avenger Version 2.0, © by Swandog46

Swandog46's Public Anti-Malware Tools

 

Platform: Windows XP

 

*******************

 

Script file opened successfully.

Script file read successfully.

 

Backups directory opened successfully at C:\Avenger

 

*******************

 

Beginning to process script file:

 

Rootkit scan active.

No rootkits found!

 

Driver "oflpydin" deleted successfully.

 

Error: file "c:\docume~1\LEGRIN~1\LOCALS~1\Temp\oflpydin.sys" not found!

Deletion of file "c:\docume~1\LEGRIN~1\LOCALS~1\Temp\oflpydin.sys" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

 

 

Error: could not open file "c:\documents and settings.\hook.dl_"

Deletion of file "c:\documents and settings.\hook.dl_" failed!

Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)

--> bad path / the parent directory does not exist

 

 

Error: could not open file "c:\documents and settings.\tazebama.dl_"

Deletion of file "c:\documents and settings.\tazebama.dl_" failed!

Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)

--> bad path / the parent directory does not exist

 

 

Error: could not open file "c:\documents and settings.\tazebama.dll"

Deletion of file "c:\documents and settings.\tazebama.dll" failed!

Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)

--> bad path / the parent directory does not exist

 

 

Error: could not open file "c:\documents and settings.\tazebama.dll.vir"

Deletion of file "c:\documents and settings.\tazebama.dll.vir" failed!

Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)

--> bad path / the parent directory does not exist

 

File "C:\zPharaoh.exe" deleted successfully.

Folder "c:\documents and settings\SYSTEM" deleted successfully.

 

Completed script processing.

 

*******************

 

Finished! Terminate.

[nardino]

Bonsoir,

 

Désactive la restauration système comme indiqué sur ce lien

Pour supprimer l'infection qui s'y niche.

Fais un scan en ligne ici ou là

Poste le rapport.

@+

[Roje]

Bonsoir Nardino,

 

J'ai bien suivi la première partie de tes instructions. Malheureusement, les liens que tu me communiques m'envoient sur Kapersky. Sur ce site, on signale que le scan en ligne est momentanément arrêtée en attendant une version plus efficace.

Sur cette page-là, on propose une version téléchargeable. Dois-je l'utiliser ?

 

Concernant mon ordi, il m'est possible de me connecter sur le net, mais c'est le grand n'importe quoi concernant l'utilisation de mes programmes. Pour tout dire impossible d'utiliser mes plupart programmes.

 

@+

Modifié le 2 septembre 2010 par Roje

[nardino]

Bonjour,

 

IMPORTANT: Sauvegarde toutes tes données autres que les fichiers exe et assure-toi que tu disposes de moyens de réinstallation du système.

CD/DVD d'installation du système ou CD/DVD de restauration (avec les versions préinstallées sur ordinateur d'usine).

 

- Télécharge la version d'évaluation de Kaspersky Antivirus

Clique sur Versions d'évaluation à gauche, puis sur Evaluer 30 jours dans Kaspersky Anti-Virus 2010, (Tutorial):

- Désinstalle ton antivirus et installe Kaspersky.

- Démarre en mode sans échec.

 

Après la fermeture de la première fenêtre du BIOS, au tout début de la phase de démarrage du PC (boot), appuyer sur F8.

Une fenêtre de type DOS s'ouvre, sélectionner Mode sans échec à l'aide des flèches du clavier et cliquer sur Entrée (Enter)

Ne t'inquiète pas de l'aspect, Windows démarre avec le minimum nécessaire et peut prendre quelque minutes pour démarrer.

Il faut choisir la même session qu'en mode normal et non pas la session Administrateur qui n'apparaît que sous ce mode avec XP.

 

- Démarre Kaspersky à partir du Menu Démarrer - Tous les programmes - Kaspersky Anti-virus

- Une icône avec un K grisé apparaît près de l'horloge.

- Clique droit sur cette icône, puis "Analyser le Poste de travail" dans le menu contextuel qui s'ouvre.

- Le scan de l'ordinateur va démarrer

- Le scan terminé, supprime tout ce qui a été détecté.

- Créé un rapport à partir du bouton Enregistrer-sous en bas de la fenêtre, enregistre le fichier sous le nom Kaspersky.txt sur ton bureau

- Redémarre en mode normal.

- Double-clique sur le fichier Kaspersky.txt qui se trouve sur ton bureau et copie-colle le rapport dans ta réponse.

¨@+