PC vérolé [Résolu]

[PCKC]

Bonjour,

 

je fais appel à vous pour un problème de PC vérolé. Alors le souci c'est que je n'ai plus accès à internet avec ce PC car les pilotes de la carte réseau sont HS et je n'arrive pas à les remettre à jour. J'ai installé Antivir et Malvarebytes et fais des scans en mode sans échec cet après midi (il m'ont touvé 17 infections que j'ai supprimés). Mais j'ai toujours des virus. Impossible de mettre les pilotes de la carte réseau à jour et dés que j’insère une clé usb, il m'installe un autorun.exe dessus qu'antivir bloque systématiquement. Est ce que quelqu'un peut me filer un coup de pouce svp ?

[PCKC]

Pour info, voici le log hijackthis que je viens de faire et j'ai relancé un scan Antivir cette nuit :

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:25:02, on 01/11/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16945)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe

C:\Program Files\EPSON Projector\EasyMP Network Projection V2\EMP_NSWLSV.exe

C:\Program Files\Avira\AntiVir Desktop\avshadow.exe

C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

C:\Program Files\RALINK\Common\RalinkRegistryWriter.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\system32\VTTimer.exe

C:\WINDOWS\system32\VTtrayp.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

C:\Apps\Powercinema\PCMService.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\PROGRA~1\Wanadoo\CnxMon.exe

C:\PROGRA~1\MESSAG~1\Demon.exe

C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe

C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe

C:\Program Files\RALINK\Common\RaUI.exe

C:\WINDOWS\system32\cidaemon.exe

C:\Documents and Settings\lorenzi\Bureau\HIJACK\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/redirect/?country=FR&range=AD&phase=6&key=SEARCH

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN : Hotmail, Messenger, Bing, Actualité et Sport

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN : Hotmail, Messenger, Bing, Actualité et Sport

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe

O4 - HKLM\..\Run: [Demon] C:\PROGRA~1\MESSAG~1\Demon.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

O4 - HKLM\..\Run: [AdobeVersionCue] C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe

O4 - HKLM\..\Run: [EPSON Stylus DX5000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S68.tmp" /EF "HKLM"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: DSLMON.lnk = ?

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Program Files\RALINK\Common\RaUI.exe

O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - Orange : téléphones, forfaits, Internet, actualité, sport, video (file missing) (HKCU)

O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1213347360968

O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Program Files\Adobe\Adobe Version Cue\service\VersionCue.exe

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: EMP_NSWLSV - SEIKO EPSON CORPORATION - C:\Program Files\EPSON Projector\EasyMP Network Projection V2\EMP_NSWLSV.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: MySqlInventime - Unknown owner - c:\mysql\bin\mysqld-max-nt.exe (file missing)

O23 - Service: Ralink Registry Writer (RalinkRegistryWriter) - Ralink Technology, Corp. - C:\Program Files\RALINK\Common\RalinkRegistryWriter.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

 

--

End of file - 9296 bytes

[Thanos]

salut

 

Poste moi le rapport suivant stp =>

 

Attention!! Le programme que je vais te demander de télécharger peut entrer en conflit avec Antivir: pour pouvoir le télécharger et l'utiliser, il faut que tu désactives le bouclier d'Antivir. Fais un clic droit sur l'icône d'Antivir dans la barre des tâches et décoche Activer Antivir Guard

 

 

• Fais un clic sur le bouton droit de ta souris ICI
  
• Choisis Enregistrer la cible (du lien) sous > une fenêtre s'ouvre >>
  
• Dans le champs à droite de "Nom du Fichier" en bas de page, modifie le nom présent (ComboFix.exe) et met ceci >> PCKC.exe
  
• Enregistre-le fichier dans ta clé usb: pour cela clique sur le bouton Enregistrer.
  
• Branche ta clé usb sur le pc infecté et copie le fichier PCKC.exe dans le répertoire système (C:\ normalement).
  
• Assure toi que tous les programmes soient fermés avant de lancer le fix!
  
• Fait un double clique sur PCKC.exe.
  
• Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  
• Tape sur la touche Y (Yes) pour démarrer le scan.
  
• Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
  
• Si le rapport est trop long, poste le en deux fois.
  
• Si tu ne vois pas le rapport, tu le trouveras ici > C:\ComboFix.txt
  

[PCKC]

Bonjour, et merci de prendre le temps de me répondre,

je m'occupe de tout ça dés ce soir et te poste le rapport dans la foulée.

[PCKC]

Re-bonsoir,

alors j'ai suivi la procédure à la lettre et voici le log fourni par combofix :

 

 

ComboFix 10-11-02.01 - lorenzi 02/11/2010 19:47:05.1.1 - x86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.959.477 [GMT 1:00]

Lancé depuis: C:\PCKC.exe

AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\Administrateur\Application Data\lbisov.exe

c:\documents and settings\lorenzi\Application Data\lbisov.exe

c:\documents and settings\lorenzi\Application Data\ozzfhv.exe

c:\program files\Internet Explorer\iekey.dll

c:\recycled\Recycled

c:\windows\My.ini

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2010-10-02 au 2010-11-02 ))))))))))))))))))))))))))))))))))))

.

 

2010-11-02 05:45 . 2010-11-02 05:45 -------- d-----w- c:\documents and settings\lorenzi\Application Data\Avira

2010-11-01 13:35 . 2010-11-01 13:35 -------- d-----w- c:\windows\system32\NtmsData

2010-11-01 10:26 . 2010-11-01 10:26 -------- d-----w- c:\program files\Avira

2010-11-01 10:26 . 2010-11-01 10:26 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira

2010-11-01 10:26 . 2010-08-17 12:39 60936 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2010-11-01 10:26 . 2010-08-17 12:39 126856 ----a-w- c:\windows\system32\drivers\avipbb.sys

2010-11-01 10:26 . 2010-06-17 14:28 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys

2010-11-01 10:26 . 2010-06-17 14:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys

2010-11-01 10:22 . 2010-11-01 10:22 -------- d-----w- c:\documents and settings\Administrateur

2010-11-01 09:50 . 2010-11-01 09:50 -------- d-----w- c:\documents and settings\lorenzi\Application Data\Malwarebytes

2010-11-01 09:50 . 2010-04-29 14:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-11-01 09:50 . 2010-11-01 09:50 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2010-11-01 09:50 . 2010-11-01 09:50 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2010-11-01 09:50 . 2010-04-29 14:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-10-22 08:04 . 2010-11-01 19:28 21361 ----a-w- c:\windows\system32\drivers\AegisP.sys

2010-10-22 08:04 . 2010-10-22 08:09 -------- dc----w- c:\windows\system32\DRVSTORE

2010-10-22 08:04 . 2010-10-22 08:09 -------- d-----w- c:\program files\RALINK

2010-10-22 08:04 . 2010-10-22 08:04 -------- d-----w- c:\documents and settings\lorenzi\Application Data\InstallShield

2010-10-22 06:56 . 2010-10-22 06:56 -------- d-----w- c:\program files\Fichiers communs\EPSON Projector

2010-10-22 06:56 . 2010-10-22 06:56 -------- d-----w- c:\documents and settings\All Users\Application Data\SEIKO EPSON CORPORATION

2010-10-22 06:55 . 2009-09-25 21:17 20480 ----a-w- c:\windows\system32\drivers\ENP_NSWD.sys

2010-10-22 06:55 . 2009-09-14 12:11 6400 ----a-w- c:\windows\system32\drivers\EMP_Map.sys

2010-10-22 06:55 . 2009-09-14 12:11 17792 ----a-w- c:\windows\system32\drivers\EMP_NSAU.sys

2010-10-22 06:55 . 2010-10-22 06:55 -------- d-----w- c:\program files\EPSON Projector

2010-10-04 12:58 . 2010-10-04 12:58 -------- d-----w- c:\documents and settings\NetworkService\Bureau

2010-10-04 06:46 . 2010-10-04 06:46 -------- d-----w- c:\windows\system32\MpEngineStore

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

 

------- Sigcheck -------

 

[7] 2008-04-13 . 1DF7F42665C94B825322FAE71721130D . 182656 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ndis.sys

[7] 2004-08-05 . 558635D3AF1C7546D26067D5D9B6959E . 182912 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ndis.sys

 

c:\windows\System32\drivers\ndis.sys ... manque !!

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952]

"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]

"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]

"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2004-08-12 102400]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2004-08-12 684032]

"VTTimer"="VTTimer.exe" [2005-03-08 53248]

"VTTrayp"="VTtrayp.exe" [2005-01-11 143360]

"SoundMan"="SOUNDMAN.EXE" [2005-04-15 77824]

"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]

"PCMService"="c:\apps\Powercinema\PCMService.exe" [2004-10-08 81920]

"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2005-11-15 180269]

"WooCnxMon"="c:\progra~1\Wanadoo\CnxMon.exe" [2002-12-20 24576]

"Demon"="c:\progra~1\MESSAG~1\Demon.exe" [2002-09-03 40960]

"WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2002-12-20 20480]

"WOOTASKBARICON"="c:\progra~1\Wanadoo\TaskbarIcon.exe" [2002-12-20 45056]

"AdobeVersionCue"="c:\program files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe" [2003-10-22 1732608]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2005-11-15 98304]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Acc‚l‚rateur de d‚marrage AutoCAD.lnk - c:\program files\Fichiers communs\Autodesk Shared\acstart16.exe [2005-3-2 10872]

Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2007-6-13 110592]

Assistant d'Acrobat.lnk - c:\program files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe [2003-5-15 217193]

DSLMON.lnk - c:\program files\SAGEM\SAGEM F@st800\dslmon.exe [2006-9-27 938055]

Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]

Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2002-8-20 83360]

Ralink Wireless Utility.lnk - c:\program files\RALINK\Common\RaUI.exe [2010-10-22 1556480]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HdReg]

2004-08-09 17:45 24576 ----a-w- c:\apps\HDReg\HDRegApp.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%ProgramFiles%\\AOL 9.0\\aol.exe"=

"%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\logo_ubi.exe"=

"%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\pandora.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\APPS\\Inventime\\my.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

"c:\\Program Files\\AOL 9.0\\waol.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"16254:TCP"= 16254:TCP:NortonAV

"13634:TCP"= 13634:TCP:NortonAV

"15117:TCP"= 15117:TCP:NortonAV

"14230:TCP"= 14230:TCP:NortonAV

"17972:TCP"= 17972:TCP:NortonAV

"18566:TCP"= 18566:TCP:NortonAV

"15201:TCP"= 15201:TCP:NortonAV

"18422:TCP"= 18422:TCP:NortonAV

"17990:TCP"= 17990:TCP:NortonAV

"15389:TCP"= 15389:TCP:NortonAV

"14825:TCP"= 14825:TCP:NortonAV

"17637:TCP"= 17637:TCP:NortonAV

"13404:TCP"= 13404:TCP:NortonAV

"13992:TCP"= 13992:TCP:NortonAV

"17908:TCP"= 17908:TCP:NortonAV

"16579:TCP"= 16579:TCP:NortonAV

"14748:TCP"= 14748:TCP:NortonAV

"18041:TCP"= 18041:TCP:NortonAV

"15685:TCP"= 15685:TCP:NortonAV

"15889:TCP"= 15889:TCP:NortonAV

"15612:TCP"= 15612:TCP:NortonAV

"12150:TCP"= 12150:TCP:NortonAV

"18821:TCP"= 18821:TCP:NortonAV

"16758:TCP"= 16758:TCP:NortonAV

"16205:TCP"= 16205:TCP:NortonAV

"13618:TCP"= 13618:TCP:NortonAV

"17829:TCP"= 17829:TCP:NortonAV

"14910:TCP"= 14910:TCP:NortonAV

"14897:TCP"= 14897:TCP:NortonAV

"17116:TCP"= 17116:TCP:NortonAV

"14874:TCP"= 14874:TCP:NortonAV

"13357:TCP"= 13357:TCP:NortonAV

"12445:TCP"= 12445:TCP:NortonAV

"17337:TCP"= 17337:TCP:NortonAV

"16115:TCP"= 16115:TCP:NortonAV

"17486:TCP"= 17486:TCP:NortonAV

"16883:TCP"= 16883:TCP:NortonAV

"14240:TCP"= 14240:TCP:NortonAV

"13216:TCP"= 13216:TCP:NortonAV

"16079:TCP"= 16079:TCP:NortonAV

"13405:TCP"= 13405:TCP:NortonAV

"16086:TCP"= 16086:TCP:NortonAV

"17300:TCP"= 17300:TCP:NortonAV

"17108:TCP"= 17108:TCP:NortonAV

"12488:TCP"= 12488:TCP:NortonAV

 

R1 EMP_MAP;EPSON Network Presentation Driver Service;c:\windows\system32\drivers\EMP_Map.sys [22/10/2010 07:55 6400]

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [01/11/2010 11:26 135336]

R2 EMP_NSWLSV;EMP_NSWLSV;c:\program files\EPSON Projector\EasyMP Network Projection V2\EMP_NSWLSV.exe [22/10/2010 07:55 98304]

R3 EPPVAD2_simple;EPSON Projector ENP Audio Device;c:\windows\system32\drivers\EMP_NSAU.sys [22/10/2010 07:55 17792]

S3 ENPNdisprot;ENP_NSWD NDIS Protocol Driver;c:\windows\system32\drivers\ENP_NSWD.sys [22/10/2010 07:55 20480]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr/

IE: &Recherche AOL Toolbar - c:\program files\AOL Toolbar\toolbar.dll/SEARCH.HTML

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000

.

.

------- Associations de fichier -------

.

.scr=AutoCADScriptFile

.

- - - - ORPHELINS SUPPRIMES - - - -

 

Notify-WgaLogon - (no file)

AddRemove-HijackThis - c:\documents and settings\lorenzi\Bureau\HIJACK\HijackThis.exe

 

 

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2010-11-02 19:52

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MySqlInventime]

"ImagePath"="c:\mysql\bin\mysqld-max-nt MySqlInventime"

.

Heure de fin: 2010-11-02 19:54:40

ComboFix-quarantined-files.txt 2010-11-02 18:54

 

Avant-CF: 42 098 024 448 octets libres

Après-CF: 42 162 081 792 octets libres

 

- - End Of File - - BCA13A7E518CAF76948D6AE43B2C8B2B

[Thanos]

salut

 

ComboFix a bien bossé Non seulement il a trouvé et éradiqué une infection, mais il a aussi mis en évidence un fichier manquant important au bon fonctionnement de ta connexion (ndis.sys) . Il est donc normal que tu ne parvienne pas à te connecter.

Ceci dit, on va réparer ca à l'aide d'un script et remettre le fichier en place grace à une copie qui se trouve dans un des dossiers système >>

 

De nouveau, désactive ton antivirus le temps du scan.

Passe par ta clé usb pour télécharger le script que je t'ai uploadé.

 

 

Rend toi sur cette page afin de télécharger le fichier CFScript => Download CFScript.txt from Sendspace.com - send big files the easy way

Clique sur le lien à droite de Download Link en bas de page et télécharge le fichier sur ta clé usb.

• Branche ta clé usb sur le pc infecté ainsi que tous les supports amovibles que tu possèdes avant de faire ce scan (clé usb/disque dur externe etc)
  
• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe (PCKC.exe) qui se trouve dans le lecteur C:\ comme sur la capture
  
  
• Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt
  

Note: Le script proposé est adapté au cas de PCKC : Vous ne devez en aucun cas l'utiliser sur votre pc!

 

Une fois le pc redémarré, dis moi si tu as retrouvé ta connexion

[PCKC]

Bonsoir,

le glisser/déposer ne fonctionne pas, ca ne lance pas le scan, le script se positionne à droite ou à gauche du fichier ComboFix.exe (PCKC.exe)!!!

 

Bon, j'ai fait un ouvrir avec... et ça à l'air de fonctionner.

J'attend la fin du scan.

Modifié le 3 novembre 2010 par PCKC

[PCKC]

Le PC a planté. Windows se lance et plante sans cesse !!!

[Thanos]

salut

 

Aie!! il s'agissait juste de remettre un fichier système à sa place: le script n'a rien supprimé sur le disque (ni fichier/ni clé de registre etc...)

 

Dis moi, est ce que tu as tenté de redémarrer le pc en mode sans échec ? Tente et dis moi si ca marche. Pour lancer le mode sans échec =>

 

• Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement.
  
• Tapote par alternance les touches [F8] et [F5] jusqu'à l'affichage du menu des options avancées de Windows.
  
• Sélectionne "Mode sans échec" et appuie sur la touche [Entrée].
  
• Clique sur le bouton Oui à l'apparition du message.
  
• Choisis ton compte usuel, et non Administrateur.
  

Est ce que tu possèdes le cd de Windows ?

[PCKC]

j'ai redémaré en mode sans echec et ca marche oar contre je ne possede pas le CD windows il était déjà sur le PC