Virus Internet Security sur mon PC

[julienk]

Bonjour à tous,

 

Le virus Internet Security sévit sur mon ordinateur depuis ce matin

 

J'ai installé et fait tourner RogueKiller, j'ai aussi utilisé Trojan Killer pour le supprimer. Mais il en reste encore un bout qui m'empêche de me servir de mes applications, avec toujours des messages m'incitant à acheter le faux antivirus.

 

J'ai lancé une nouvelle analyse de RogueKiller, je poste le rapport ci-dessous.

 

Si quelqu'un pouvait m'aider..

 

Merci

 

 

RogueKiller V7.1.0 [15/02/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/46)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode sans echec avec prise en charge reseau

Utilisateur: nt [Droits d'admin]

Mode: Recherche -- Date: 22/02/2012 17:55:53

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 2 ¤¤¤

[PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> FOUND

[HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> FOUND

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: FUJITSU MHV2080BH +++++

--- User ---

[MBR] 887a85fc1373f1c048a831bca501b03b

[bSP] 17654aaa07758ccc7f14ecba226b2aa6 : Windows XP MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 76112 Mo

3 - [XXXXXX] UNKNOWN (0x88) [VISIBLE] Offset (sectors): 155878695 | Size: 203 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[9].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;

RKreport[6].txt ; RKreport[7].txt ; RKreport[8].txt ; RKreport[9].txt

[Apollo]

Bonsoir,

 

Relance RogueKiller.

 

Clique sur Suppression puis poste le rapport.

 

Clique sur ProxyRaz puis poste le rapport.

 

@++

[julienk]

Bonsoir,

 

Relance RogueKiller.

 

Clique sur Suppression puis poste le rapport.

 

Clique sur ProxyRaz puis poste le rapport.

 

@++

 

Bonjour Apollo

 

J'ai relancé RogueKiller et cliqué sur Suppression, voici le rapport :

 

RogueKiller V7.1.0 [15/02/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/46)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode sans echec avec prise en charge reseau

Utilisateur: nt [Droits d'admin]

Mode: Suppression -- Date: 23/02/2012 09:55:50

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 2 ¤¤¤

[PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> NOT REMOVED, USE PROXYFIX

[HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> REPLACED (1)

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: FUJITSU MHV2080BH +++++

--- User ---

[MBR] 887a85fc1373f1c048a831bca501b03b

[bSP] 17654aaa07758ccc7f14ecba226b2aa6 : Windows XP MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 76112 Mo

3 - [XXXXXX] UNKNOWN (0x88) [VISIBLE] Offset (sectors): 155878695 | Size: 203 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[11].txt >>

RKreport[10].txt ; RKreport[11].txt ; RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ;

RKreport[4].txt ; RKreport[5].txt ; RKreport[6].txt ; RKreport[7].txt ; RKreport[8].txt ;

RKreport[9].txt

 

 

----------

 

Puis j'ai cliqué sur ProxyRaz, voici le rapport :

 

RogueKiller V7.1.0 [15/02/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/46)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode sans echec avec prise en charge reseau

Utilisateur: nt [Droits d'admin]

Mode: Proxy RAZ -- Date: 23/02/2012 09:57:27

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Driver: [NON CHARGE] ¤¤¤

 

¤¤¤ Entrees de registre: 1 ¤¤¤

[PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> REPLACED (0)

 

Termine : << RKreport[12].txt >>

RKreport[10].txt ; RKreport[11].txt ; RKreport[12].txt ; RKreport[1].txt ; RKreport[2].txt ;

RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ; RKreport[6].txt ; RKreport[7].txt ;

RKreport[8].txt ; RKreport[9].txt

 

 

 

Merci pour ton aide

[Apollo]

Bonjour,

 

1) Télécharger ATF Cleaner par Atribune.

• Installe-le sur le bureau. (A conserver car très utile après chaque séance de surf)
   
  

|MG| ATF Cleaner 3.0.0.2 Download
 
Double-clique ATF-Cleaner.exe afin de lancer le programme.
--> Sous Vista/7: Clic droit/exécuter en temps qu'administrateur.
 
Sous l'onglet Main, choisis : Select All
Cliquer sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Cliquer le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Cliquer le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, cliquer No à l'invite.
  

Clique Exit, du menu principal, afin de fermer le programme.

 

------------

 

2) Télécharge Malwarebytes' Anti-Malware (MBAM).

 

Enregistre l'exécutable sur le bureau.

 

|MG| Malwarebytes Anti-Malware 1.60.1.1000 Download

 

Attention, ne rien installer d'autre que MBAM car il est parfois proposé des trucs inutiles comme Registry Booster ou autres bêtises. A éviter donc.

 

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

 

@++

[julienk]

C 'est fait, voici le rapport :

 

Malwarebytes Anti-Malware (Essai) 1.60.1.1000

www.malwarebytes.org

 

Version de la base de données: v2012.02.22.02

 

Windows XP Service Pack 3 x86 NTFS (Mode sans échec/Réseau)

Internet Explorer 8.0.6001.18702

nt :: YOUR-6AF50ADA2B [administrateur]

 

Protection: Désactivé

 

23/02/2012 11:54:16

mbam-log-2012-02-23 (11-54-16).txt

 

Type d'examen: Examen complet

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | PUP | PUM

Options d'examen désactivées: Heuristique/Shuriken | P2P

Elément(s) analysé(s): 316700

Temps écoulé: 47 minute(s),

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 2

HKLM\SOFTWARE\New.net (Adware.NewDotNet) -> Mis en quarantaine et supprimé avec succès.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\New.net (Adware.NewDotNet) -> Mis en quarantaine et supprimé avec succès.

 

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 1

C:\Program Files\NewDotNet (Adware.NewDotNet) -> Mis en quarantaine et supprimé avec succès.

 

Fichier(s) détecté(s): 6

C:\Documents and Settings\nt\Bureau\RK_Quarantine\isecurity.exe.vir (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.

C:\Program Files\FlashFXP\(Keygenerator Serial) Flashfxp - Keygen.exe (Trojan.Agent.CK) -> Mis en quarantaine et supprimé avec succès.

C:\System Volume Information\_restore{7EA83019-0E95-463B-9F88-1D1B1567E84D}\RP597\A0106292.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.

C:\System Volume Information\_restore{7EA83019-0E95-463B-9F88-1D1B1567E84D}\RP597\A0109333.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.

C:\Program Files\NewDotNet\readme.html (Adware.NewDotNet) -> Mis en quarantaine et supprimé avec succès.

C:\Program Files\NewDotNet\uninstall.exe (Adware.NewDotNet) -> Mis en quarantaine et supprimé avec succès.

 

(fin)

[Apollo]

Re,

 

Le rogue internet security a-t-il été liquidé?

 

ZHPDiag :

 

• Télécharge ZHPDiag de Nicolas Coolman. et enregistre-le sur le BUREAU.
   
   
  
• Double-clique sur ZHPDiag.exe pour lancer l'installation
  
  • Important:
    Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

 

[*]L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.

 

[*]Double-clique sur ZHPDiag pour lancer l'exécution

• Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

 

[*]Clique sur le tournevis.

[*]Clique sur la loupe pour lancer l'analyse. Tu patientes jusqu'à ce que le scan affiche 100%

Tu refermes ZHPDiag

 

[*]Le rapport ZHPDiag.txt se trouve sur le Bureau. (et sous c:\ZHP\ZHPDiag.txt)

Ce rapport étant trop long pour le forum, héberge le :

• soit directement sur le forum en pièce jointe dans ta réponse : Ajouter un fichier en pièce jointe sur le forum <<< Seulement pour le forum Vista-XP.fr!
  
• soit sur Cjoint et copie-colle le lien fourni dans ta réponse. OU >>
  
• Free large file hosting. Send big files the easy way! copier/coller le tout premier lien fourni.

 

 

@++

[julienk]

Internet Security est toujours présent lorsque je lance l''ordi normalement : dans la abrre de tâche avec un message d'alerte sur le fait que mon antivirus est périmé.

 

J'ai fait la manip ZHPDiag que tu m'as indiqué en mode sans échec, voici le rapport sur Cjoint: Lien CJoint.com BBxqnlBe0dh

 

Julien

[Apollo]

1) Télécharge AdwCleaner par Xplode: Les Téléchargements - Outils de Xplode - AdwCleaner

 

Enregistre-le sur le bureau (et pas ailleurs).

 

Si tu es sous XP double clique sur AdwCleaner pour lancer l'outil.

Si tu es sous Vista/Seven, clique droit sur AdwCleaner et choisis exécuter en temps qu'administrateur.

 

Clique sur Suppression et laisse travailler l'outil.

 

Le rapport va s'ouvrir en fichier texte; copie la totalité de son contenu et colle-le dans ta réponse.

 

Le rapport est en outre sauvegardé sous C:\AdwCleaner[s1]

 

-------------------------

2) ComboFix ne doit pas être utilisé comme un outil de diagnostic, il ne doit être employé que sur demande expresse d'un conseiller formé à cet outil et sous son contrôle. Cet outil peut être dangereux!

 

Désactiver les protections (antivirus, firewall, antispyware).

Si vous ne savez pas comment faire, reportez-vous à cet article.

 

Connecter les supports amovibles (clé usb et autres) avant de procéder.

 

TUTO Officiel

 

Fais un clic droit ICI

• Dans le menu qui se déroule, choisis "Enregistrer la cible du lien sous" (si tu utilises Firefox) et "Enregistrer la cible sous" (si tu utilises Internet Explorer)
  
• Une fenêtre va s'ouvrir: dans le champs Nom du fichier (en bas ), tape ceci plop
   
  exemple:
   
  
• On va enregistrer ce fichier sur le Bureau: pour cela, sur le panneau de gauche, clique sur le Bureau.
   
  
• Clique enfin sur le bouton Enregistrer en bas de page à droite.
  
• Assure toi que tous les programmes sont fermés avant de lancer le fix!
  
• Fait un double clique sur plop.
  
• Si la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepte!
   
  
   
  
• Clique sur Oui au message de Limitation de Garantie qui s'affiche.
  
• Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sure: accepte!
  
• Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  
• Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
  

 

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

 

NB: Si malgré tout, tu ne parviens pas à réparer la connexion, lis ce sujet stp.

 

Si le message: "Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression".

apparaissait, redémarrer le pc.

 

 

 

+++

[julienk]

J'ai suivi le process mais je vois toujours la fausse alerte de sécurité windows dans ma barre de tâches.

 

 

 

Voilà le rapport AdwCleaner :

 

# AdwCleaner v1.410 - Rapport créé le 23/02/2012 à 17:00:40

# Mis à jour le 20/02/2012 par Xplode

# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)

# Nom d'utilisateur : nt - YOUR-6AF50ADA2B (Administrateur)

# Exécuté depuis : C:\Documents and Settings\nt\Bureau\adwcleaner.exe

# Option [suppression]

 

 

***** [services] *****

 

 

***** [Fichiers / Dossiers] *****

 

Dossier Supprimé : C:\Documents and Settings\nt\Application Data\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}

 

***** [Registre] *****

 

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\SoftwareUpdate.exe

Clé Supprimée : HKLM\SOFTWARE\Microsoft\RFC1156Agent

 

***** [Navigateurs] *****

 

-\\ Internet Explorer v8.0.6001.18702

 

[OK] Le registre ne contient aucune entrée illégitime.

 

-\\ Mozilla Firefox v10.0.2 (fr)

 

Profil : c222h7vu.default

Fichier : C:\Documents and Settings\nt\Application Data\Mozilla\Firefox\Profiles\c222h7vu.default\prefs.js

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

-\\ Google Chrome v [impossible d'obtenir la version]

 

Fichier : C:\Documents and Settings\nt\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

*************************

 

AdwCleaner[s1].txt - [1290 octets] - [23/02/2012 17:00:40]

 

*************************

 

Dossier Temporaire : 4 dossier(s) et 3 fichier(s) supprimés

 

########## EOF - C:\AdwCleaner[s1].txt - [1510 octets] ##########

 

 

 

 

Et le rapport COmboFix :

 

 

 

 

ComboFix 12-02-22.01 - nt 23/02/2012 17:50:21.2.1 - x86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1023.497 [GMT 1:00]

Lancé depuis: c:\documents and settings\nt\Bureau\plop.exe

AV: avast! Antivirus *Disabled/Outdated* {7591DB91-41F0-48A3-B128-1A293FD8233D}

.

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

---- Exécution préalable -------

.

c:\documents and settings\All Users\Application Data\ISx40.tmp

c:\documents and settings\All Users\Application Data\ISx41.tmp

c:\documents and settings\All Users\Application Data\ISxAC.tmp

c:\windows\system32\SET6D.tmp

c:\windows\system32\SET79.tmp

c:\windows\system32\SET82.tmp

c:\windows\system32\SET83.tmp

c:\windows\system32\SET84.tmp

c:\windows\system32\SET85.tmp

c:\windows\system32\SET86.tmp

c:\windows\system32\SET87.tmp

.

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

-------\Legacy_NNSERV

.

.

((((((((((((((((((((((((((((( Fichiers créés du 2012-01-23 au 2012-02-23 ))))))))))))))))))))))))))))))))))))

.

.

2012-02-23 15:01 . 2012-02-23 15:02 -------- d-----w- C:\ZHP

2012-02-23 15:00 . 2012-02-23 15:02 -------- d-----w- c:\program files\ZHPDiag

2012-02-22 12:44 . 2012-02-22 16:12 -------- d-----w- c:\program files\GridinSoft Trojan Killer

2012-02-22 12:14 . 2012-02-22 12:14 -------- d-----w- c:\documents and settings\nt\Application Data\Malwarebytes

2012-02-22 12:13 . 2012-02-22 12:13 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2012-02-22 12:13 . 2012-02-22 12:13 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2012-02-22 12:13 . 2011-12-10 14:24 20464 ----a-w- c:\windows\system32\drivers\mbam.sys

2012-02-22 11:37 . 2012-02-22 11:40 -------- d-----w- c:\documents and settings\Administrateur

2012-02-22 10:01 . 2012-02-22 10:01 -------- d-----w- C:\spoolerlogs

.

.

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-01-12 17:20 . 2005-08-22 12:53 1860096 ----a-w- c:\windows\system32\win32k.sys

2012-01-04 14:28 . 2012-01-04 14:28 16128 ----a-w- c:\windows\system32\drivers\gtkdrv.sys

2011-12-17 19:43 . 2005-08-22 12:53 916992 ----a-w- c:\windows\system32\wininet.dll

2011-12-17 19:43 . 2005-08-22 12:53 43520 ----a-w- c:\windows\system32\licmgr10.dll

2011-12-17 19:43 . 2005-08-22 12:53 1469440 ------w- c:\windows\system32\inetcpl.cpl

2011-12-16 12:22 . 2005-08-22 12:53 385024 ----a-w- c:\windows\system32\html.iec

2011-11-25 21:57 . 2005-08-22 12:53 293888 ----a-w- c:\windows\system32\winsrv.dll

2011-11-25 18:28 . 2011-10-04 08:08 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl

2012-02-18 01:06 . 2012-01-11 08:31 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll

.

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"TOSCDSPD"="c:\program files\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-11 65536]

"H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\Wcescomm.exe" [2006-11-13 1289000]

"Jing"="c:\program files\TechSmith\Jing\Jing.exe" [2010-08-19 3069192]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-04-14 344064]

"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2004-10-14 98394]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2004-10-14 688218]

"SoundMAXPnP"="c:\program files\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-07-27 1388544]

"LtMoh"="c:\program files\ltmoh\Ltmoh.exe" [2005-04-12 184320]

"AGRSMMSG"="AGRSMMSG.exe" [2005-04-12 88358]

"THotkey"="c:\program files\Toshiba\Toshiba Applet\thotkey.exe" [2005-08-10 356352]

"PadTouch"="c:\program files\TOSHIBA\Touch and Launch\PadExe.exe" [2004-11-17 1077327]

"TPSMain"="TPSMain.exe" [2005-08-03 266240]

"Tvs"="c:\program files\TOSHIBA\Tvs\TvsTray.exe" [2005-04-05 73728]

"SmoothView"="c:\program files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe" [2005-05-17 118784]

"TFncKy"="TFncKy.exe" [bU]

"dla"="c:\windows\system32\dla\tfswctrl.exe" [2005-05-31 122941]

"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-07-08 180269]

"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2005-12-09 225280]

"LogitechCameraAssistant"="c:\program files\Logitech\Video\CameraAssistant.exe" [2005-12-07 489472]

"LogitechVideo[inspector]"="c:\program files\Logitech\Video\InstallHelper.exe" [2005-12-07 08:33 73728]

"LogitechCameraService(E)"="c:\windows\system32\ElkCtrl.exe" [2004-11-01 262144]

"avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-01-19 2743104]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-11-29 421888]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-03-07 421160]

"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2011-04-20 58656]

"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-01-13 460872]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

.

c:\documents and settings\nt\Menu Démarrer\Programmes\Démarrage\

Lancement rapide de Microsoft Office OneNote 2003.lnk - c:\program files\Microsoft Office\OFFICE11\ONENOTEM.EXE [2007-4-19 64864]

.

c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\

Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]

Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-24 29696]

Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

Nikon Monitor.lnk - c:\program files\Fichiers communs\Nikon\Monitor\NkMonitor.exe [2007-10-18 479232]

Windows Desktop Search.lnk - c:\program files\MSN Toolbar Suite\DS\02.05.0001.1119\fr-fr\bin\WindowsSearch.exe [2005-9-20 238080]

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\FlashFXP\\flashfxp.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager

"c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager

"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application

"c:\\Program Files\\Toshiba\\ConfigFree\\CFXFER.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\Spotify\\spotify.exe"=

"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

.

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [31/01/2006 11:35 642560]

R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [24/01/2010 14:58 162640]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [24/01/2010 14:58 19024]

R2 BBSvc;Bing Bar Update Service;c:\program files\Microsoft\BingBar\BBSvc.EXE [21/10/2011 15:23 196176]

R2 BBUpdate;BBUpdate;c:\program files\Microsoft\BingBar\SeaPort.EXE [13/10/2011 17:21 249648]

R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [22/02/2012 13:13 652360]

R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [22/02/2012 13:13 20464]

S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [6/05/2010 22:55 136176]

S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [6/05/2010 22:55 136176]

S3 MPManF70;MPMan-F70;c:\windows\system32\drivers\MPManF70.sys [4/04/2006 20:53 11883]

S3 TrojanKillerDriver;GridinSoft Trojan Killer Driver;c:\windows\system32\drivers\gtkdrv.sys [4/01/2012 15:28 16128]

.

Contenu du dossier 'Tâches planifiées'

.

2012-02-16 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 15:57]

.

2012-02-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-05-06 21:55]

.

2012-02-22 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-05-06 21:55]

.

.

------- Examen supplémentaire -------

.

uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7

uStart Page = hxxp://mail.yahoo.com/

uInternet Settings,ProxyOverride = *.local

uSearchURL,(Default) = hxxp://fr.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://fr.search.yahoo.com

Trusted Zone: fnac.com\vod

TCP: DhcpNameServer = 212.27.40.240 212.27.40.241

FF - ProfilePath - c:\documents and settings\nt\Application Data\Mozilla\Firefox\Profiles\c222h7vu.default\

FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=

FF - prefs.js: browser.startup.homepage - hxxp://mail.yahoo.com/

FF - prefs.js: network.proxy.type - 0

.

- - - - ORPHELINS SUPPRIMES - - - -

.

AddRemove-MPMan-F70 V1.0 - c:\progra~1\MPMAN-~1\UNWISE.EXE

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2012-02-23 18:00

Windows 5.1.2600 Service Pack 3 NTFS

.

Recherche de processus cachés ...

.

Recherche d'éléments en démarrage automatique cachés ...

.

Recherche de fichiers cachés ...

.

Scan terminé avec succès

Fichiers cachés: 0

.

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{98B9D362-6FA9-F2DD-8313270235BA4B20}\{5D643ECC-D4AF-9C0B-F1B60013ED0D3A91}\{59246844-3775-677A-61694CAC956C3858}*]

"526BA65ZPQS4U365YNAELLJ5XA1"=hex:01,00,01,00,00,00,00,00,50,bd,9f,8a,7e,a0,d0,

fa,35,81,92,71,e8,29,5a,84,14,35,16,70,d8,6e,ff,61

.

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\•€|ÿÿÿÿ"•€|ù•Ñw*]

"5E7CEC10DF0760D4F8DAFB12FDC06CCD"="02:\\Software\\Adobe\\FeatureSubscriptions\\DVAAdobeDocMeta\\{01CEC7E5-70FD-4D06-8FAD-BF21DF0CC6DC}\\Registered"

.

--------------------- DLLs chargées dans les processus actifs ---------------------

.

- - - - - - - > 'winlogon.exe'(864)

c:\windows\system32\Ati2evxx.dll

.

- - - - - - - > 'explorer.exe'(3552)

c:\windows\system32\eappprxy.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\TPwrCfg.DLL

c:\windows\system32\TPwrReg.dll

c:\windows\system32\TPSTrace.DLL

c:\windows\system32\PortableDeviceApi.dll

.

Heure de fin: 2012-02-23 18:04:22

ComboFix-quarantined-files.txt 2012-02-23 17:04

.

Avant-CF: 15.651.196.928 octets libres

Après-CF: 15.600.766.976 octets libres

.

- - End Of File - - 0A2C5834969DA782E4123FA6409E636A

[Apollo]

D'habitude, un rogue montre un écran et non un indice dans la barre des tâches, indiquant un faux utilitaire de désinfection.

 

Désinstalle les outils spéciaux:

Télécharge DelFix sur ton bureau. Les Téléchargements - Outils de Xplode - DelFix

Lance-le et appuie sur le bouton [suppression]

Copie tout le contenu du texte qui s'ouvre et colle-le dans ta réponse.

 

Note : Le rapport est sauvegardé sous C:\DelFixSuppr.txt

 

Tu peux ensuite relancer DelFix et appuyer sur [Désinstaller] afin de supprimer toute trace de son utilisation.

 

-------------

Fais ensuite un scan complet, soit avec le virus removal tool: Apollo Et Compagnie :: Kaspersky Virus Removal Tool en français (en mode sans échec), soit en installant une version d'évaluation de Kaspersky antivirus, ce qui implique pour ce dernier, la désinstallation d'avast.

 

Versions d'évaluation

 

@++